Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

BAGLE

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

BAGLE

Messaggioda quanikmimett » sab mar 01, 2008 9:12 am

Ho tutti i sintomi del virus bagle ,anzi la certezza ,avendo in un topic trovato un programma "ELIBAGLE" che crea un documento di testo di cui allego una parte " Fri Feb 29 23:28:14 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
F:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
F:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
F:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
F:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Fri Feb 29 23:30:04 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
F:\$Recycle.Bin\S-1-5-21-4266618270-530398677-2930862500-1000\$RM0XSL5\GETMAIL 4.0.EXE --> Eliminado Bagle.dldr
F:\Program Files\Common Files\Ahead\Lib\NEROCHECK.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 4845
Nº Total de Ficheros: 36978
Nº de Ficheros Analizados: 3862
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2
Exploración Detenida por el Usuario.

Secondo la procedura di Amantide dovrei fare lanciare kasperky antivirus on line ma già trovo un intoppo in quanto si blocca nell'istallare il controllo Active-X perché secondo lui non sarei l'amministratore del sistema e non avrei impostato la protezione IE a livello medio.Quindi come fare per andare avanti? [nonono]
Avatar utente
quanikmimett
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: sab mar 01, 2008 9:02 am

Precisazione BEAGLE

Messaggioda quanikmimett » sab mar 01, 2008 9:19 am

Dimenticavo di dire inoltre che non mi fa nemmeno istallare GMER infatti mi appare un messaggio di errore "create file"F:/Windows/gmer.dll:impossibile trovare il file specificato"
Avatar utente
quanikmimett
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: sab mar 01, 2008 9:02 am

Messaggioda ste_95 » sab mar 01, 2008 9:44 am

Leggere e applicare fino in fondo:

http://www.MegaLab.it/forum/viewtopic.php?t=34966
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am


BAGLE E KASPERSKY

Messaggioda quanikmimett » sab mar 01, 2008 10:42 am

Ho Windows Vista,con questo sistema Avanger non funziona,ho letto l'articolo dove si parla di Bagle su Vista e mi consiglia di utilizzare il CD di utylity che ho scaricato,CC cleaner e ELIBAGLA che pure ho utilizzato,ma come primo passaggio devo sempre fare la scansione con Kaspersky che SI BLOCCA pur avendo eliminato tutte le protezioni riguardo i l'stallazione dei controlli activeX.Qualcuno con animo gentile sa come risolvere?Il messaggio che mi appare quando kaspersky si blocca nella scansione è"Occorre disporre dei privilegi di amministratore e avere impostato la protezione di IE ad un livello medio .
Avatar utente
quanikmimett
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: sab mar 01, 2008 9:02 am

Re: BAGLE E KASPERSKY

Messaggioda ste_95 » sab mar 01, 2008 10:43 am

quanikmimett ha scritto:"Occorre disporre dei privilegi di amministratore e avere impostato la protezione di IE ad un livello medio"

Hai fatto ciò?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda quanikmimett » sab mar 01, 2008 10:49 am

Sto sbattendo la testa, per i privilegi di amministratore Vista mi fa comparire solo il messaggio "PER CONTINUARE E' NECESSARIA L'AUTORIZZAZIONE DELL'UTENTE"quando tento per esempio di modificare l'ora,clicco ok e va .Ma questo avviso non mi compare quando kaspersky tenta di istallare i controlli active-x,penso quindi che dovrei disabilitare il controllo account e far si che il messaggio PER CONTINUARE E' NECESSARIA L'AUTORIZZAZIONE DELL'UTENTE non mi compaia più ma non riesco a farlo.
Avatar utente
quanikmimett
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: sab mar 01, 2008 9:02 am

Messaggioda quanikmimett » sab mar 01, 2008 10:53 am

Entro nel centro di sicurezza del PC di Vista,e vedo che i livelli di protezione di IE sono a zero perché li ho disattivati per quanto riguarda i controlli activex ma
il controllo account utente non riesco a disabilitarlo
Avatar utente
quanikmimett
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: sab mar 01, 2008 9:02 am

Messaggioda ste_95 » sab mar 01, 2008 11:52 am

Per disabilitare il Controllo Utente:

http://www.MegaLab.it/2686
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda quanikmimett » sab mar 01, 2008 6:04 pm

Lista de Acciones (por Exploración):
Explorando Unidad F:\
F:\Windows\System32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 13669
Nº Total de Ficheros: 78407
Nº de Ficheros Analizados: 13589
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Sat Mar 01 17:49:23 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
F:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
F:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
F:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Questo è lo script che mi da dopo scansione con Elibagle,l'unica che riesco a fare perché la scansione con Kaspersky mi risulta impossibile anche dopo numerosi tentativi.Ho letto i consigli per rimuovere il rootkit ma anche in questo caso non riesco ,soprattutto in un passaggio dove mi si dice di utilizzare il CD utility MegaLab e aprire il registro di sistema in remoto;a questo punto non capisco cosa fare.Una cosa strana inoltre la vedo aprendo dal pannello di controllo il centro di sicurezza del PC dove mi da tutto OK anche se nei servizi di strumenti di amministrazione l'antivirus Nod32 risulta disabilitato e volendolo attivare mi risulta impossibile.Adesso l'ho disistallato e il centro di sicurezza di Vista mi dice che manca la protezione da virus.AIUTO!!!! [V]
Avatar utente
quanikmimett
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: sab mar 01, 2008 9:02 am

Messaggioda ste_95 » sab mar 01, 2008 6:06 pm

E' necessaria la scansione con Kaspersky on-line, perché il trojan infetta anche altri file, e solo Kaspersky è in grado di identificarli con completezza.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda quanikmimett » sab mar 01, 2008 6:12 pm

Allora mi IMPICCO [crylol]
Kaspersky non va.Avete alternative?
Avatar utente
quanikmimett
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: sab mar 01, 2008 9:02 am

Messaggioda quanikmimett » sab mar 01, 2008 6:16 pm

Ditemi se quello che sto per dire è una cacchiata oppure si è accesa la lampadina. [:)] Avendo istallati 2 sistemi operativi,Vista e Windows xp ,posso tentare di fare la scansione, dove è istallato Vista , con kaspersky da XP ,al limite poi usare anche Avenger da XP?
Avatar utente
quanikmimett
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: sab mar 01, 2008 9:02 am

Messaggioda ste_95 » sab mar 01, 2008 6:18 pm

Buona idea. Inizia pure! [^]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda quanikmimett » dom mar 02, 2008 9:27 am

Dopo tanta fatica credo di essere quasi riuscito nell'impresa.Facendo ripetute scansioni con elibagle alla fine non ha più rilevato bagle secondo lo script seguente:Lista de Acciones (por Exploración):
Explorando Unidad F:\

Nº Total de Directorios: 158
Nº Total de Ficheros: 1108
Nº de Ficheros Analizados: 162
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.

Sun Mar 02 08:51:38 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.

Installando Nod32 sembra che vada tutto bene ,mi si avvia anche Spybot ,cosa che prima non avveniva,grazie e speriamo bene!
Allego comunque anche il report di kaspersky,fatto ieri sera:Total number of scanned objects 77737
Number of viruses found 3
Number of infected objects 12
Number of suspicious objects 0
Duration of the scan process 01:18:23

Infected Object Name Virus Name Last Action
E:\hiberfil.sys Object is locked skipped
E:\QooBox\Quarantine\F\Users\Pasquale\AppData\Roaming\setup_it[1].exe.vir Infected: not-a-virus:Downloader.Win32.WinFixer.bq skipped
E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
E:\System Volume Information\SystemRestore\FRStaging\Windows\bthservsdp.dat Object is locked skipped
E:\System Volume Information\SystemRestore\FRStaging\Windows\oggview32.dll Infected: Trojan-Downloader.Win32.Agent.gxd skipped
E:\Users\Pasquale\friazjnw.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Users\Pasquale\ikbmbswc.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Users\Pasquale\jljchgey.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Users\Pasquale\jsiuoslw.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Users\Pasquale\kaoxdjuk.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Users\Pasquale\kvkrapph.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Users\Pasquale\nwztlpgr.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Users\Pasquale\onflxkuc.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Users\Pasquale\sjrfwynj.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Users\Pasquale\vuljcxqd.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Windows\bthservsdp.dat Object is locked skipped
E:\Windows\CSC\v2.0.6\pq Object is locked skipped
E:\Windows\System32\drivers\down\137968.exe Object is locked skipped
E:\Windows\System32\drivers\down\141531.exe Object is locked skipped
E:\Windows\System32\drivers\down\147250.exe Object is locked skipped
E:\Windows\System32\drivers\down\149421.exe Object is locked skipped
E:\Windows\System32\drivers\down\153953.exe Object is locked skipped
E:\Windows\System32\drivers\down\165968.exe Object is locked skipped
E:\Windows\System32\drivers\down\168281.exe Object is locked skipped
E:\Windows\System32\drivers\down\184125.exe Object is locked skipped
E:\Windows\System32\drivers\down\184718.exe Object is locked skipped
E:\Windows\System32\drivers\down\190375.exe Object is locked skipped
E:\Windows\System32\drivers\down\220875.exe Object is locked skipped
E:\Windows\System32\drivers\hldrrr.exe Object is locked skipped
E:\Windows\System32\drivers\srosa.sys Object is locked skipped
E:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl Object is locked skipped
E:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl Object is locked skipped
E:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl Object is locked skipped
E:\Windows\System32\mdelk.exe Object is locked skipped
E:\Windows\System32\wintems.exe Object is locked skipped
Scan process completed.

Alla nuova scansione con nod32 mi appare comunque questo avviso,mi sapete dire cosa è? f:\program files\spybot - search & destroy\teatimer.exe NewHeur_PE
virus probabilmente sconosciuto
Avatar utente
quanikmimett
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: sab mar 01, 2008 9:02 am

Messaggioda ste_95 » dom mar 02, 2008 11:26 am

Bagle è ancora vivo e vegeto... Da XP segui le seguenti istruzioni:

Disabilita il ripristino configurazione di sistema su tutti i dischi.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
E:\WINDOWS\system32\drivers\srosa.sys
E:\WINDOWS\system32\wintems.exe
E:\windows\system32\drivers\hldrrr.exe
E:\WINDOWS\system32\mdelk.exe
E:\System Volume Information\SystemRestore\FRStaging\Windows\oggview32.dll
E:\Users\Pasquale\friazjnw.exe
E:\Users\Pasquale\ikbmbswc.exe
E:\Users\Pasquale\jljchgey.exe
E:\Users\Pasquale\jsiuoslw.exe
E:\Users\Pasquale\kaoxdjuk.exe
E:\Users\Pasquale\kvkrapph.exe
E:\Users\Pasquale\nwztlpgr.exe
E:\Users\Pasquale\onflxkuc.exe
E:\Users\Pasquale\sjrfwynj.exe
E:\Users\Pasquale\vuljcxqd.exe
F:\program files\spybot - search & destroy\teatimer.exe

Folders to delete:
E:\WINDOWS\system32\drivers\down
E:\QooBox

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente e all'avvio, ricordati di avviare XP e non Vista.
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Riscarica gli installer dei programmi di sicurezza e prova a reinstallare un antivirus.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda quanikmimett » dom mar 02, 2008 12:54 pm

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\^lgegamm

*******************

Script file located at: \??\C:\WINDOWS\nyimgxqk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File E:\WINDOWS\system32\drivers\srosa.sys not found!
Deletion of file E:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
E:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc0000034



File E:\WINDOWS\system32\wintems.exe not found!
Deletion of file E:\WINDOWS\system32\wintems.exe failed!

Could not process line:
E:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File E:\windows\system32\drivers\hldrrr.exe not found!
Deletion of file E:\windows\system32\drivers\hldrrr.exe failed!

Could not process line:
E:\windows\system32\drivers\hldrrr.exe
Status: 0xc0000034



File E:\WINDOWS\system32\mdelk.exe not found!
Deletion of file E:\WINDOWS\system32\mdelk.exe failed!

Could not process line:
E:\WINDOWS\system32\mdelk.exe
Status: 0xc0000034

File E:\System Volume Information\SystemRestore\FRStaging\Windows\oggview32.dll deleted successfully.
File E:\Users\Pasquale\friazjnw.exe deleted successfully.
File E:\Users\Pasquale\ikbmbswc.exe deleted successfully.
File E:\Users\Pasquale\jljchgey.exe deleted successfully.
File E:\Users\Pasquale\jsiuoslw.exe deleted successfully.
File E:\Users\Pasquale\kaoxdjuk.exe deleted successfully.
File E:\Users\Pasquale\kvkrapph.exe deleted successfully.
File E:\Users\Pasquale\nwztlpgr.exe deleted successfully.
File E:\Users\Pasquale\onflxkuc.exe deleted successfully.
File E:\Users\Pasquale\sjrfwynj.exe deleted successfully.
File E:\Users\Pasquale\vuljcxqd.exe deleted successfully.


Could not open file F:\program files\spybot - search & destroy\teatimer.exe for deletion
Deletion of file F:\program files\spybot - search & destroy\teatimer.exe failed!

Could not process line:
F:\program files\spybot - search & destroy\teatimer.exe
Status: 0xc000003a

Folder E:\WINDOWS\system32\drivers\down deleted successfully.
Folder E:\QooBox deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Adesso come va?Vedo che alcune voci non sono state trovate da Avenger ,può darsi che sia stata la scansione con Elibagle queste siano state eliminate?
Avatar utente
quanikmimett
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: sab mar 01, 2008 9:02 am

Messaggioda ste_95 » dom mar 02, 2008 12:55 pm

Elimina manualmente questo file:

F:\program files\spybot - search & destroy\teatimer.exe

Poi prova a reinstallare un antivirus riscaricando il suo file di installazione.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda quanikmimett » dom mar 02, 2008 1:24 pm

Il file F:\program files\spybot - search & destroy\teatimer.exe
non c'è [acc2] Ma c'entra qualcosa con Bagle?
Adesso sembra che vada tutto bene.perché mi dici che devo disinstallare l'antivirus per poi installarlo di nuovo?Il file sospetto, con la scansione che sto rifacendo con nod32 non mi viene segnalato., nella scansione precedente mi era apparso subito
Avatar utente
quanikmimett
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: sab mar 01, 2008 9:02 am

Messaggioda ste_95 » dom mar 02, 2008 1:50 pm

Se l'antivirus ti funziona, ripristina anche la modalità provvisoria utilizzando questo file.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 9 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising