Pagina 1 di 1

BAGLE

MessaggioInviato: sab mar 01, 2008 9:12 am
da quanikmimett
Ho tutti i sintomi del virus bagle ,anzi la certezza ,avendo in un topic trovato un programma "ELIBAGLE" che crea un documento di testo di cui allego una parte " Fri Feb 29 23:28:14 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
F:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
F:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
F:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
F:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Fri Feb 29 23:30:04 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
F:\$Recycle.Bin\S-1-5-21-4266618270-530398677-2930862500-1000\$RM0XSL5\GETMAIL 4.0.EXE --> Eliminado Bagle.dldr
F:\Program Files\Common Files\Ahead\Lib\NEROCHECK.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 4845
Nº Total de Ficheros: 36978
Nº de Ficheros Analizados: 3862
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2
Exploración Detenida por el Usuario.

Secondo la procedura di Amantide dovrei fare lanciare kasperky antivirus on line ma già trovo un intoppo in quanto si blocca nell'istallare il controllo Active-X perché secondo lui non sarei l'amministratore del sistema e non avrei impostato la protezione IE a livello medio.Quindi come fare per andare avanti? [nonono]

Precisazione BEAGLE

MessaggioInviato: sab mar 01, 2008 9:19 am
da quanikmimett
Dimenticavo di dire inoltre che non mi fa nemmeno istallare GMER infatti mi appare un messaggio di errore "create file"F:/Windows/gmer.dll:impossibile trovare il file specificato"

MessaggioInviato: sab mar 01, 2008 9:44 am
da ste_95
Leggere e applicare fino in fondo:

http://www.MegaLab.it/forum/viewtopic.php?t=34966

BAGLE E KASPERSKY

MessaggioInviato: sab mar 01, 2008 10:42 am
da quanikmimett
Ho Windows Vista,con questo sistema Avanger non funziona,ho letto l'articolo dove si parla di Bagle su Vista e mi consiglia di utilizzare il CD di utylity che ho scaricato,CC cleaner e ELIBAGLA che pure ho utilizzato,ma come primo passaggio devo sempre fare la scansione con Kaspersky che SI BLOCCA pur avendo eliminato tutte le protezioni riguardo i l'stallazione dei controlli activeX.Qualcuno con animo gentile sa come risolvere?Il messaggio che mi appare quando kaspersky si blocca nella scansione è"Occorre disporre dei privilegi di amministratore e avere impostato la protezione di IE ad un livello medio .

Re: BAGLE E KASPERSKY

MessaggioInviato: sab mar 01, 2008 10:43 am
da ste_95
quanikmimett ha scritto:"Occorre disporre dei privilegi di amministratore e avere impostato la protezione di IE ad un livello medio"

Hai fatto ciò?

MessaggioInviato: sab mar 01, 2008 10:49 am
da quanikmimett
Sto sbattendo la testa, per i privilegi di amministratore Vista mi fa comparire solo il messaggio "PER CONTINUARE E' NECESSARIA L'AUTORIZZAZIONE DELL'UTENTE"quando tento per esempio di modificare l'ora,clicco ok e va .Ma questo avviso non mi compare quando kaspersky tenta di istallare i controlli active-x,penso quindi che dovrei disabilitare il controllo account e far si che il messaggio PER CONTINUARE E' NECESSARIA L'AUTORIZZAZIONE DELL'UTENTE non mi compaia più ma non riesco a farlo.

MessaggioInviato: sab mar 01, 2008 10:53 am
da quanikmimett
Entro nel centro di sicurezza del PC di Vista,e vedo che i livelli di protezione di IE sono a zero perché li ho disattivati per quanto riguarda i controlli activex ma
il controllo account utente non riesco a disabilitarlo

MessaggioInviato: sab mar 01, 2008 11:52 am
da ste_95
Per disabilitare il Controllo Utente:

http://www.MegaLab.it/2686

MessaggioInviato: sab mar 01, 2008 6:04 pm
da quanikmimett
Lista de Acciones (por Exploración):
Explorando Unidad F:\
F:\Windows\System32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 13669
Nº Total de Ficheros: 78407
Nº de Ficheros Analizados: 13589
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Sat Mar 01 17:49:23 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
F:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
F:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
F:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Questo è lo script che mi da dopo scansione con Elibagle,l'unica che riesco a fare perché la scansione con Kaspersky mi risulta impossibile anche dopo numerosi tentativi.Ho letto i consigli per rimuovere il rootkit ma anche in questo caso non riesco ,soprattutto in un passaggio dove mi si dice di utilizzare il CD utility MegaLab e aprire il registro di sistema in remoto;a questo punto non capisco cosa fare.Una cosa strana inoltre la vedo aprendo dal pannello di controllo il centro di sicurezza del PC dove mi da tutto OK anche se nei servizi di strumenti di amministrazione l'antivirus Nod32 risulta disabilitato e volendolo attivare mi risulta impossibile.Adesso l'ho disistallato e il centro di sicurezza di Vista mi dice che manca la protezione da virus.AIUTO!!!! [V]

MessaggioInviato: sab mar 01, 2008 6:06 pm
da ste_95
E' necessaria la scansione con Kaspersky on-line, perché il trojan infetta anche altri file, e solo Kaspersky è in grado di identificarli con completezza.

MessaggioInviato: sab mar 01, 2008 6:12 pm
da quanikmimett
Allora mi IMPICCO [crylol]
Kaspersky non va.Avete alternative?

MessaggioInviato: sab mar 01, 2008 6:16 pm
da quanikmimett
Ditemi se quello che sto per dire è una cacchiata oppure si è accesa la lampadina. [:)] Avendo istallati 2 sistemi operativi,Vista e Windows xp ,posso tentare di fare la scansione, dove è istallato Vista , con kaspersky da XP ,al limite poi usare anche Avenger da XP?

MessaggioInviato: sab mar 01, 2008 6:18 pm
da ste_95
Buona idea. Inizia pure! [^]

MessaggioInviato: dom mar 02, 2008 9:27 am
da quanikmimett
Dopo tanta fatica credo di essere quasi riuscito nell'impresa.Facendo ripetute scansioni con elibagle alla fine non ha più rilevato bagle secondo lo script seguente:Lista de Acciones (por Exploración):
Explorando Unidad F:\

Nº Total de Directorios: 158
Nº Total de Ficheros: 1108
Nº de Ficheros Analizados: 162
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.

Sun Mar 02 08:51:38 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.

Installando Nod32 sembra che vada tutto bene ,mi si avvia anche Spybot ,cosa che prima non avveniva,grazie e speriamo bene!
Allego comunque anche il report di kaspersky,fatto ieri sera:Total number of scanned objects 77737
Number of viruses found 3
Number of infected objects 12
Number of suspicious objects 0
Duration of the scan process 01:18:23

Infected Object Name Virus Name Last Action
E:\hiberfil.sys Object is locked skipped
E:\QooBox\Quarantine\F\Users\Pasquale\AppData\Roaming\setup_it[1].exe.vir Infected: not-a-virus:Downloader.Win32.WinFixer.bq skipped
E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
E:\System Volume Information\SystemRestore\FRStaging\Windows\bthservsdp.dat Object is locked skipped
E:\System Volume Information\SystemRestore\FRStaging\Windows\oggview32.dll Infected: Trojan-Downloader.Win32.Agent.gxd skipped
E:\Users\Pasquale\friazjnw.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Users\Pasquale\ikbmbswc.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Users\Pasquale\jljchgey.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Users\Pasquale\jsiuoslw.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Users\Pasquale\kaoxdjuk.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Users\Pasquale\kvkrapph.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Users\Pasquale\nwztlpgr.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Users\Pasquale\onflxkuc.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Users\Pasquale\sjrfwynj.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Users\Pasquale\vuljcxqd.exe Infected: Trojan.Win32.Dialer.aan skipped
E:\Windows\bthservsdp.dat Object is locked skipped
E:\Windows\CSC\v2.0.6\pq Object is locked skipped
E:\Windows\System32\drivers\down\137968.exe Object is locked skipped
E:\Windows\System32\drivers\down\141531.exe Object is locked skipped
E:\Windows\System32\drivers\down\147250.exe Object is locked skipped
E:\Windows\System32\drivers\down\149421.exe Object is locked skipped
E:\Windows\System32\drivers\down\153953.exe Object is locked skipped
E:\Windows\System32\drivers\down\165968.exe Object is locked skipped
E:\Windows\System32\drivers\down\168281.exe Object is locked skipped
E:\Windows\System32\drivers\down\184125.exe Object is locked skipped
E:\Windows\System32\drivers\down\184718.exe Object is locked skipped
E:\Windows\System32\drivers\down\190375.exe Object is locked skipped
E:\Windows\System32\drivers\down\220875.exe Object is locked skipped
E:\Windows\System32\drivers\hldrrr.exe Object is locked skipped
E:\Windows\System32\drivers\srosa.sys Object is locked skipped
E:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl Object is locked skipped
E:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl Object is locked skipped
E:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl Object is locked skipped
E:\Windows\System32\mdelk.exe Object is locked skipped
E:\Windows\System32\wintems.exe Object is locked skipped
Scan process completed.

Alla nuova scansione con nod32 mi appare comunque questo avviso,mi sapete dire cosa è? f:\program files\spybot - search & destroy\teatimer.exe NewHeur_PE
virus probabilmente sconosciuto

MessaggioInviato: dom mar 02, 2008 11:26 am
da ste_95
Bagle è ancora vivo e vegeto... Da XP segui le seguenti istruzioni:

Disabilita il ripristino configurazione di sistema su tutti i dischi.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
E:\WINDOWS\system32\drivers\srosa.sys
E:\WINDOWS\system32\wintems.exe
E:\windows\system32\drivers\hldrrr.exe
E:\WINDOWS\system32\mdelk.exe
E:\System Volume Information\SystemRestore\FRStaging\Windows\oggview32.dll
E:\Users\Pasquale\friazjnw.exe
E:\Users\Pasquale\ikbmbswc.exe
E:\Users\Pasquale\jljchgey.exe
E:\Users\Pasquale\jsiuoslw.exe
E:\Users\Pasquale\kaoxdjuk.exe
E:\Users\Pasquale\kvkrapph.exe
E:\Users\Pasquale\nwztlpgr.exe
E:\Users\Pasquale\onflxkuc.exe
E:\Users\Pasquale\sjrfwynj.exe
E:\Users\Pasquale\vuljcxqd.exe
F:\program files\spybot - search & destroy\teatimer.exe

Folders to delete:
E:\WINDOWS\system32\drivers\down
E:\QooBox

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente e all'avvio, ricordati di avviare XP e non Vista.
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Riscarica gli installer dei programmi di sicurezza e prova a reinstallare un antivirus.

MessaggioInviato: dom mar 02, 2008 12:54 pm
da quanikmimett
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\^lgegamm

*******************

Script file located at: \??\C:\WINDOWS\nyimgxqk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File E:\WINDOWS\system32\drivers\srosa.sys not found!
Deletion of file E:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
E:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc0000034



File E:\WINDOWS\system32\wintems.exe not found!
Deletion of file E:\WINDOWS\system32\wintems.exe failed!

Could not process line:
E:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File E:\windows\system32\drivers\hldrrr.exe not found!
Deletion of file E:\windows\system32\drivers\hldrrr.exe failed!

Could not process line:
E:\windows\system32\drivers\hldrrr.exe
Status: 0xc0000034



File E:\WINDOWS\system32\mdelk.exe not found!
Deletion of file E:\WINDOWS\system32\mdelk.exe failed!

Could not process line:
E:\WINDOWS\system32\mdelk.exe
Status: 0xc0000034

File E:\System Volume Information\SystemRestore\FRStaging\Windows\oggview32.dll deleted successfully.
File E:\Users\Pasquale\friazjnw.exe deleted successfully.
File E:\Users\Pasquale\ikbmbswc.exe deleted successfully.
File E:\Users\Pasquale\jljchgey.exe deleted successfully.
File E:\Users\Pasquale\jsiuoslw.exe deleted successfully.
File E:\Users\Pasquale\kaoxdjuk.exe deleted successfully.
File E:\Users\Pasquale\kvkrapph.exe deleted successfully.
File E:\Users\Pasquale\nwztlpgr.exe deleted successfully.
File E:\Users\Pasquale\onflxkuc.exe deleted successfully.
File E:\Users\Pasquale\sjrfwynj.exe deleted successfully.
File E:\Users\Pasquale\vuljcxqd.exe deleted successfully.


Could not open file F:\program files\spybot - search & destroy\teatimer.exe for deletion
Deletion of file F:\program files\spybot - search & destroy\teatimer.exe failed!

Could not process line:
F:\program files\spybot - search & destroy\teatimer.exe
Status: 0xc000003a

Folder E:\WINDOWS\system32\drivers\down deleted successfully.
Folder E:\QooBox deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Adesso come va?Vedo che alcune voci non sono state trovate da Avenger ,può darsi che sia stata la scansione con Elibagle queste siano state eliminate?

MessaggioInviato: dom mar 02, 2008 12:55 pm
da ste_95
Elimina manualmente questo file:

F:\program files\spybot - search & destroy\teatimer.exe

Poi prova a reinstallare un antivirus riscaricando il suo file di installazione.

MessaggioInviato: dom mar 02, 2008 1:24 pm
da quanikmimett
Il file F:\program files\spybot - search & destroy\teatimer.exe
non c'è [acc2] Ma c'entra qualcosa con Bagle?
Adesso sembra che vada tutto bene.perché mi dici che devo disinstallare l'antivirus per poi installarlo di nuovo?Il file sospetto, con la scansione che sto rifacendo con nod32 non mi viene segnalato., nella scansione precedente mi era apparso subito

MessaggioInviato: dom mar 02, 2008 1:50 pm
da ste_95
Se l'antivirus ti funziona, ripristina anche la modalità provvisoria utilizzando questo file.