Pagina 1 di 2

Aiuto virus Bagle

MessaggioInviato: dom feb 03, 2008 3:17 am
da pro27
Come molti in questo periodo mi sono lasciato infettare da questo virus, variante bagle.iw

Ho fatto un a scansione con kaspersky 6 e qualcosa ha eliminato, ma il pc non si accende in modalità provvisoria.

Allego il report di kaspersky online e resto in attesa di un aiuto per debellarlo.

Grazie, pro27

MessaggioInviato: dom feb 03, 2008 7:28 am
da ste_95
L'antivirus ti funziona?

Ripristina la modalità provvisoria utilizzando questo file.

MessaggioInviato: lun feb 04, 2008 1:27 pm
da pro27
Grazie mille per l'attenzione Ste_95.

Dunque, l'antivirus funziona, ad ogni accensione (che è diventata decisamente lenta) KAV mi trova il trojan (Bagle.iw al percorso C://WINT/system32/driver/srosa.exe (se non sbaglio, perché sono andato a memoria) e lo elimina, ma questo riaccade ad ogni nuova accensione.
Il pc una volta acceso non sembra avere grossi problemi di lentezza.

Insomma il virus da qualche parte c'è ancora.


Come da tuo consiglio ho ripristinato la modalità provvisoria e il pc ora vi accede.
Non essendosi avviato KAV in mod provvisoria, non mi ha ritrovato il trojan. Ho quindi avviato manualmente KAV e gli ho fatto fare una scansione delle risorse del computer, contemporaneamente ho pulito il registro con Ccleaner e scansionato con spy-bot (entrambi in modalità normale non si aprivano).Risultato:
Spy-bot mi ha trovato 37 voci infette da Win32.Bagle.hi (KAV però parlava di Bagle.iw), una da Win32.Agent.bgy e una da Microsoft.WindowsSecurityCentre_disabled.
KAV invece non ha rilevato nulla.

Ho quindi riavviato il PC e Spy-bot in auto ha eseguito una nuova scansione senza trovare nulla.

Il PC si è avviato normalmente e KAV non ha rilevato nulla, inotre la console di win mi ha evidenziato che il firewall e gli aggiornamenti auto erano disabilitati e gli ho ripristinati.

Sembrerebbe che Spy-bot abbia quindi eliminato il trojan, adesso faccio una nuova scansione col Kaspersky online e ti rimando il log se puo servirti.

Grazie ancora per i consigli.

MessaggioInviato: lun feb 04, 2008 1:40 pm
da pro27
Cavolo non credo di aver sconfitto Bagle [cry+]

Kaspersky online sta eseguendo la scansione e per il momento ha trovato 1 virus e 4 oggetti sospetti [uhm]

Appena termina la scansione posto il log

Mannaggia al bagle!! [:p]

MessaggioInviato: lun feb 04, 2008 2:27 pm
da pro27
Ecco il log

MessaggioInviato: lun feb 04, 2008 2:37 pm
da ste_95
Disabilita il ripristino configurazione di sistema.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WinBaglehi23.zip
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WinBaglehi6.zip
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

Folders to delete:
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Riscarica gli installer dei programmi di sicurezza e prova a reinstallare un antivirus.

MessaggioInviato: lun feb 04, 2008 2:51 pm
da pro27
Seguito il procedimento ma non mi pare sia andato a buon fine, onvatti al riavvio KAV6 ha tornato ad avvisarmi di aver trovato un virus.
Ho quindi eseguito nuovamente l'operazione tramite Avenger e al riavvio KAV non ha fatto una piega.

Però dai log non mi pare che abbia fatto tutto, allego in file zip entrambi i log avuti da avenger

Ste_95 grazie mille

MessaggioInviato: lun feb 04, 2008 3:09 pm
da ste_95
Prova a eliminare il file che kaspersky segnala, quindi chiudi kaspersky ed esegui lo script di avenger.

MessaggioInviato: lun feb 04, 2008 3:18 pm
da pro27
Il file che segna KAV (quando lo fa) l'ho sempre eliminato.

Ancora non è andato in porto Avenger... ecco il log:

Codice: Seleziona tutto
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\effnhkxw

*******************

Script file located at: \??\C:\Program Files\xhonchuy.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\WINDOWS\system32\drivers\srosa.sys for deletion
Deletion of file C:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc000003a



Could not open file C:\WINDOWS\system32\wintems.exe for deletion
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc000003a



Could not open file C:\windows\system32\drivers\hldrrr.exe for deletion
Deletion of file C:\windows\system32\drivers\hldrrr.exe failed!

Could not process line:
C:\windows\system32\drivers\hldrrr.exe
Status: 0xc000003a



Could not open file C:\WINDOWS\system32\mdelk.exe for deletion
Deletion of file C:\WINDOWS\system32\mdelk.exe failed!

Could not process line:
C:\WINDOWS\system32\mdelk.exe
Status: 0xc000003a



File C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WinBaglehi23.zip not found!
Deletion of file C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WinBaglehi23.zip failed!

Could not process line:
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WinBaglehi23.zip
Status: 0xc0000034



File C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WinBaglehi6.zip not found!
Deletion of file C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WinBaglehi6.zip failed!

Could not process line:
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WinBaglehi6.zip
Status: 0xc0000034



File C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe not found!
Deletion of file C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe failed!

Could not process line:
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
Status: 0xc0000034



Could not open folder C:\WINDOWS\system32\drivers\down for deletion
Deletion of folder C:\WINDOWS\system32\drivers\down failed!

Could not process line:
C:\WINDOWS\system32\drivers\down
Status: 0xc000003a



Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Status: 0xc0000034


Completed script processing.

*******************

Finished!  Terminate.



Scusa la domanda ma come mai devo eliminare TeaTimer di Spy-bot?

MessaggioInviato: lun feb 04, 2008 3:20 pm
da ste_95
Se noti dal log di kaspersky, il file è stato infettato.

Scarica GMER e vedi se nella scheda rootkit ti segnala delle attività in rosso.

MessaggioInviato: lun feb 04, 2008 3:26 pm
da pro27
In rosso nulla.

Questo è il risultato:

Codice: Seleziona tutto
GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2008-02-04 15:28:56
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT            \??\C:\WINNT\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)  ZwEnumerateKey [0xF3D755B0]
SSDT            \??\C:\WINNT\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)  ZwEnumerateValueKey [0xF3D75660]
SSDT            \??\C:\WINNT\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)  ZwQuerySystemInformation [0xF3D83AD0]

Code            \??\C:\WINNT\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)  FsRtlCheckLockForReadAccess
Code            \??\C:\WINNT\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)  IoIsOperationSynchronous

---- Devices - GMER 1.0.14 ----

Device          \FileSystem\Ntfs \Ntfs                                              87180B60

AttachedDevice  \FileSystem\Ntfs \Ntfs                                              klif.sys (spuper-ptor/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Ip                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                           kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Udp                                           kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                         kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Modules - GMER 1.0.14 ----

Module          _________                                                           F738D000-F73A5000 (98304 bytes)

---- Threads - GMER 1.0.14 ----

Thread          4:136                                                               86E7C330
Thread          4:140                                                               86E7C330
Thread          4:144                                                               86D58F10
Thread          4:148                                                               86D58F10
Thread          4:152                                                               86D58F10
Thread          4:552                                                               86E7C330
Thread          4:764                                                               86E7C330

---- EOF - GMER 1.0.14 ----


Chiedo scusa credo di aver avuto troppa fretta, sto riscansionando e c'è molta più roba. Aspetta che posto il nuovo log

MessaggioInviato: lun feb 04, 2008 3:34 pm
da ste_95
pro27 ha scritto:Chiedo scusa credo di aver avuto troppa fretta, sto riscansionando e c'è molta più roba. Aspetta che posto il nuovo log


Sembrava strano. [^]

MessaggioInviato: lun feb 04, 2008 3:36 pm
da pro27
Eccoci qua, lo zippo perché è decisamente più lungo [acc2]
comunque in rosso non ho visto nulla.

Grazie ancora

MessaggioInviato: lun feb 04, 2008 3:38 pm
da ste_95
Prova a eseguire una scansione completa del sistema con kaspersky.

MessaggioInviato: lun feb 04, 2008 4:03 pm
da pro27
Adesso non posso in quanto non sono più su quella postazione. Stasera provo ad effettuarla, ma tu intendi con Kaspersky online o col KAV6 installato sulla macchina?

Nel frattempo rinnovo i ringraziamenti per l'assistenza [^]

MessaggioInviato: lun feb 04, 2008 4:13 pm
da ste_95
Prima con quello installato e poi con quello on-line.

MessaggioInviato: lun feb 04, 2008 10:04 pm
da pro27
Ciao ste_95, ho scansionato il pc con KAV6 e mi ha trovato una variante del bagle (bagle.jf) che ho eliminato.

Ho quindi scansionato tramite l'online di kaspersky e questo è il log.

Come mi devo muovere?

MessaggioInviato: mar feb 05, 2008 7:44 am
da ste_95
Hai ancora gli avvisi all'avvio? In caso positivo riprova con lo script di Avenger.

MessaggioInviato: mer feb 06, 2008 9:16 pm
da pro27
Se per avvisi intendi la segnalazione di KAV6, allora le ultime 2 accensioni sono state "pulite".

Altrimenti non ho capito cosa intendi per avviso.

Ps. ma il kaspersky online mi segnalava ancora infezioni, sbagliava?

MessaggioInviato: gio feb 07, 2008 7:01 am
da ste_95
Ti segnalava delle cose nei backup di avenger. Sembra tutto a posto.