Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

che versione di Bagle??

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

che versione di Bagle??

Messaggioda iancarey » mer lug 04, 2007 10:55 pm

Ciao a tutti, ho appena scoperto di avere il virus Bagle nel pc (il file hdlrrr.exe).
Ho letto la guida di Amantide su come eliminarlo, però ci sono alcune differenze rispetto al caso indicato,quindi non so se muovermi con quella procedura oppure no...
(ad esempio, la cartella exefld è vuota, poi non c'è il rootkit m_hook.sys )

vi posto il log di gmer, spero che possiate darmi una mano.
grazie a tutti, buona serata


GMER 1.0.13.12551 - http://www.gmer.net
Autostart scan 2007-07-04 21:38:47
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent@DLLName = Ati2evxx.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
anbmService /*Notebook Manager Service*/@ = C:\Acer\eManager\anbmServ.exe
emaudsv /*E-MU Audio Service*/@ = %SystemRoot%\system32\emaudsv.exe
MSIServer /*Windows Installer*/@ = C:\WINDOWS\system32\msiexec.exe /V
NOD32krn /*NOD32 Kernel Service*/@ = "C:\Programmi\Eset\nod32krn.exe"
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@SynTPLprC:\Programmi\Synaptics\SynTP\SynTPLpr.exe = C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
@SynTPEnhC:\Programmi\Synaptics\SynTP\SynTPEnh.exe = C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
@Broadcom Wireless Manager UIC:\WINDOWS\system32\WLTRAY.exe = C:\WINDOWS\system32\WLTRAY.exe
@SoundManSOUNDMAN.EXE = SOUNDMAN.EXE
@eRecoveryServiceC:\Windows\System32\Check.exe = C:\Windows\System32\Check.exe
@CtrlVol"C:\Programmi\Launch Manager\CtrlVol.exe" = "C:\Programmi\Launch Manager\CtrlVol.exe"
@LMgrOSD"C:\Programmi\Launch Manager\OSDCtrl.exe" = "C:\Programmi\Launch Manager\OSDCtrl.exe"
@Wbutton"C:\Programmi\Launch Manager\Wbutton.exe" = "C:\Programmi\Launch Manager\Wbutton.exe"
@KernelFaultCheck%systemroot%\system32\dumprep 0 -k = %systemroot%\system32\dumprep 0 -k
@LaunchAp"C:\Programmi\Launch Manager\LaunchAp.exe" = "C:\Programmi\Launch Manager\LaunchAp.exe"
@nod32kui"C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE = "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
@hldrrrC:\WINDOWS\system32\hldrrr.exe = C:\WINDOWS\system32\hldrrr.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run@hldrrr = C:\WINDOWS\system32\hldrrr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{8DD448E6-C188-4aed-AF92-44956194EB1F} /*Windows Media Player Play as Playlist Context Menu Handler*/(null) =
@{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} /*Windows Media Player Add to Playlist Context Menu Handler*/(null) =
@{2F603045-309F-11CF-9774-0020AFD0CFF6} /*Synaptics Control Panel*/C:\Programmi\Synaptics\SynTP\SynTPCpl.dll = C:\Programmi\Synaptics\SynTP\SynTPCpl.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{7C5E74A0-D5E0-11D0-A9BF-E886A83B9BE5} /*Context Menu Shell Extension*/(null) =
@{B089FE88-FB52-11D3-BDF1-0050DA34150D} /*NOD32 Context Menu Shell Extension*/C:\Programmi\Eset\nodshex.dll = C:\Programmi\Eset\nodshex.dll
@{32020A01-506E-484D-A2A8-BE3CF17601C3} /*AlcoholShellEx*/(null) =
@{e82a2d71-5b2f-43a0-97b8-81be15854de8} /*ShellLink for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} /*Shell Icon Handler for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll = C:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll
@{00020D75-0000-0000-C000-000000000046} /*Microsoft Office Outlook Desktop Icon Handler*/C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL = C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Office Outlook Custom Icon Handler*/C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL = C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{47CAF5E1-782D-4AB4-9A30-72C8F7FD4E7B} /*Vopt Context Menu*/C:\Programmi\Vopt8\VoptSX.dll = C:\Programmi\Vopt8\VoptSX.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
NOD32 Context Menu Shell Extension@{B089FE88-FB52-11D3-BDF1-0050DA34150D} = C:\Programmi\Eset\nodshex.dll
TagRename_ContextMenu@{7C5E74A0-D5E0-11D0-A9BF-E886A83B9BE5} =
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
NOD32 Context Menu Shell Extension@{B089FE88-FB52-11D3-BDF1-0050DA34150D} = C:\Programmi\Eset\nodshex.dll
TagRename_ContextMenu@{7C5E74A0-D5E0-11D0-A9BF-E886A83B9BE5} =
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects@{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} = C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\system32\ssstars.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://myspace.com/enzocanale = http://myspace.com/enzocanale
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\system32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\ >>>
000000000001@PackedCatalogItem = C:\WINDOWS\system32\imon.dll
000000000002@PackedCatalogItem = C:\WINDOWS\system32\imon.dll
000000000003@PackedCatalogItem = C:\WINDOWS\system32\imon.dll
000000000004@PackedCatalogItem = C:\WINDOWS\system32\imon.dll
000000000005@PackedCatalogItem = C:\WINDOWS\system32\imon.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000028@PackedCatalogItem = C:\WINDOWS\system32\imon.dll

C:\Documents and Settings\enzo\Menu Avvio\Programmi\Esecuzione automatica = html2pop3.lnk

---- EOF - GMER 1.0.13 ----
Avatar utente
iancarey
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: mer lug 04, 2007 10:35 pm

Messaggioda crazy.cat » gio lug 05, 2007 9:14 am

In questo periodo ci sono almeno un paio di varianti di quel virus.
Dai questo script ad avenger e alla fine copia qui il testo del txt finale.

Codice: Seleziona tutto
Files to delete:
C:\Documents and Settings\enzo\Dati applicazioni\hidires\m_hook.sys
C:\Documents and Settings\enzo\Dati applicazioni\hidires\rosa.sys
C:\Documents and Settings\enzo\Dati applicazioni\hidires\hidr.exe
c:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hldrrr.exe

folders to delete:
C:\Documents and Settings\enzo\Dati applicazioni\hidires
c:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda iancarey » gio lug 05, 2007 12:26 pm

ciao crazy cat,ho eseguito avenger, comunque
c'erano due processi hldrrr.exe in esecuzione,
e uno svcipa.exe che stava in windows/temp - l'ho cancellato a mano.
poi ho visto che si attivavano delle sessioni di internet explorer con una finestra popup (che però alla fine si richiudeva)....pur usando io firefox

però l'antivirus nod è ripartito dopo essere stato chiuso...

Comunque questo è il log, grazie mille

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\aagegkdd

*******************

Script file located at: \??\C:\Documents and Settings\plrmlrhb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\Documents and Settings\enzo\Dati applicazioni\hidires\m_hook.sys for deletion
Deletion of file C:\Documents and Settings\enzo\Dati applicazioni\hidires\m_hook.sys failed!

Could not process line:
C:\Documents and Settings\enzo\Dati applicazioni\hidires\m_hook.sys
Status: 0xc000003a



Could not open file C:\Documents and Settings\enzo\Dati applicazioni\hidires\rosa.sys for deletion
Deletion of file C:\Documents and Settings\enzo\Dati applicazioni\hidires\rosa.sys failed!

Could not process line:
C:\Documents and Settings\enzo\Dati applicazioni\hidires\rosa.sys
Status: 0xc000003a



Could not open file C:\Documents and Settings\enzo\Dati applicazioni\hidires\hidr.exe for deletion
Deletion of file C:\Documents and Settings\enzo\Dati applicazioni\hidires\hidr.exe failed!

Could not process line:
C:\Documents and Settings\enzo\Dati applicazioni\hidires\hidr.exe
Status: 0xc000003a



File c:\WINDOWS\system32\wintems.exe not found!
Deletion of file c:\WINDOWS\system32\wintems.exe failed!

Could not process line:
c:\WINDOWS\system32\wintems.exe
Status: 0xc0000034

File c:\WINDOWS\system32\hldrrr.exe deleted successfully.


Folder C:\Documents and Settings\enzo\Dati applicazioni\hidires not found!
Deletion of folder C:\Documents and Settings\enzo\Dati applicazioni\hidires failed!

Could not process line:
C:\Documents and Settings\enzo\Dati applicazioni\hidires
Status: 0xc0000034

Folder c:\WINDOWS\exefld deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Avatar utente
iancarey
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: mer lug 04, 2007 10:35 pm


Messaggioda crazy.cat » gio lug 05, 2007 2:12 pm

Nell'articolo si spiega poi come sistemare modalità provvisoria e alcune altre cose, leggilo per bene.

se ti si aprono finestre di Ie ci può essere qualche spyware/adware che non si vede nel log, scarica a2 squared o superantispyware e scansioni con quelli.
sono in versione free e li trovi tramite google.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda The King of GnG » gio lug 05, 2007 6:58 pm

Si chiama Bagle, il worm, perché lo chiamate Bangle, Bongle, Bingle o in 10.000 altri modi [...]

http://www.viruslist.com/en/viruses/enc ... usid=21928
People should just buy a cd and rip it. You are legal then" - William Henry Gates III (detto "Bill")
Avatar utente
The King of GnG
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 11144
Iscritto il: mer mar 02, 2005 8:24 pm
Località: La Biblioteca di Babele

Messaggioda iancarey » ven lug 06, 2007 1:14 pm

Ciao a tuttti, ho scaricato a2 free e ha finito la rimozione di Bagle, credo che ora sia tutto ok, anche se non mi spiego come mai nel mio caso non aveva installato quei rootkit....anche la modalità provvisoria ha sempre funzionato....forse era ancora un'altra variante....
comunque le finestre popup erano sicuramente legate a bagle, perché era l'unico worm che avevo preso (NOD non lo aveva beccato) e ora non si aprono più.
Grazie mille per l'aiuto,e buona giornata!
Avatar utente
iancarey
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: mer lug 04, 2007 10:35 pm

Messaggioda Mr.TFM » ven lug 06, 2007 1:42 pm

The King of GnG ha scritto:Si chiama Bagle, il worm, perché lo chiamate Bangle, Bongle, Bingle o in 10.000 altri modi [...]

http://www.viruslist.com/en/viruses/enc ... usid=21928
Ho corretto il titolo del topic.
In effetti nel primo post ha scritto Bagle, quindi mi viene da pensare che sia solo un errore di battitura e comunque non mi pare che si ci sia nulla di grave....
Bagle, Bangle, Bingle, Bongle.... Si era capito di cosa si stava parlando.

Comunque facciamo più attenzione a ciò che scriviamo. [;)]
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 17 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising