Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Script per nuova versione Bagle

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Script per nuova versione Bagle

Messaggioda lampo24 » mer ott 17, 2007 8:00 pm

Sono stupido lo so....ho aperto un file scaricato via P2P ed era il maledetto Beagle che mi ha disattivato OutPost Pro e NOD32 ma non AVG Free Anti Rootkit.

Seguendo le guide di MegaLab e mettendoci un po' di mio sono riuscito a rimuovere il virus , però poi riaccendendo il pc Bagle si ricreava.

Pensando di non aver cancellato tutti i file ho deciso di scrivere sul forum.

Posto qui le scansioni fatte con Gmer.

Autostart

Scansione Rootkit



Nel registro sono presenti solo le chiavi:

HKLM\System\CurrentControlSet\Enum\Services\srosa
HKLM\System\CurrentControlSet\Enum\root\LEGACY_SROSA

Grazie a tutti coloro che mi aiuteranno !! [cry]
Avatar utente
lampo24
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mer ott 17, 2007 7:46 pm

Messaggioda tecnico24 » mer ott 17, 2007 9:16 pm

scaricati elibagla www.zonavirus.com/datos/descargas/95/elibagla.asp
assicurati che la casella eliminar ficheros sia automaticamente spuntata.
fai la scansione e posta il report in c:/
dovresti essere a posto dopo.



P.S(il link del download in fondo alla pagina).
Avatar utente
tecnico24
Senior Member
Senior Member
 
Messaggi: 380
Iscritto il: dom mag 20, 2007 4:31 pm

Messaggioda crazy.cat » gio ott 18, 2007 6:57 am

serve il log della scansione online di kaspersky, altrimenti non ne usciamo.
Gmer non basta più.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Messaggioda lampo24 » gio ott 18, 2007 11:04 am

Questo è il log di EliBagla:

Codice: Seleziona tutto

     Wed Oct 17 16:08:05 2007
EliBagle v10.60  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\HIDR.EXE.Muestra EliBagle v10.60
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE --> Bagle Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.60
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

     Wed Oct 17 16:08:20 2007
EliBagle v10.60  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

     Thu Oct 18 09:22:58 2007
EliBagle v10.61  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\HIDR.EXE.Muestra EliBagle v10.61
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE --> Bagle Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.61
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

     Thu Oct 18 09:23:03 2007
EliBagle v10.61  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios:   11919
Nº Total de Ficheros:      149839
Nº de Ficheros Analizados: 14232
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0


Queso invece è il log di Kaspersky

Inoltre AVG Anti-Rootkit mi dice che Bagle ha creato una cartella con dei suoi file ".ex_" ".sy_" in C:\Windows\ime\SHARED
Avatar utente
lampo24
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mer ott 17, 2007 7:46 pm

Messaggioda crazy.cat » gio ott 18, 2007 11:14 am

Hai provato a reinstallare l'antivirus?

Kaspersky deve essere fatto su tutto il disco il controllo e non solo sulla cartella windows, ma già da questa si vedono alcuni malware di vario genere.

C:\WINDOWS\system32\NTInvisible.dll Infected: not-a-virus:Monitor.Win32.SpyAgent.60006 skipped
C:\WINDOWS\system32\sinvfct.dll Infected: not-a-virus:Monitor.Win32.SpyAgent.60006 skipped
C:\WINDOWS\system32\Vic32.dll Infected: not-a-virus:Monitor.Win32.PCSpy.c skipped
C:\WINDOWS\SystemSA32.dll Infected: not-a-virus:Monitor.Win32.SpyAgent.q skipped
C:\WINDOWS\YahooDLL.dll Infected: not-a-virus:Monitor.Win32.SpyAgent.60006 skipped

E' meglio se ti scarichi A2 squared o superantispyware in versione freeware e gli fai fare un controllo di tutto il disco.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda lampo24 » gio ott 18, 2007 11:53 am

Come ho già detto...sarei pure riuscito a cancellare il virus e a mettere l'antivirus NOD32, però al riavvio del pc Bagle si ricrea e NOD32 si elimina.

La scansione su tutto il disco l'ho fatta ma vengono rilevati come virus solo file di applicazioni tipo Metaspolit nulla di serio se non cio' che è dentro la cartella Windows.

Avevo pensato a formattare, però a vendo un pc oem con Intel Pentium D915 non so dove andare a prendere i dirver S-ATA


[cry+] [cry+]
Avatar utente
lampo24
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mer ott 17, 2007 7:46 pm

Messaggioda crazy.cat » gio ott 18, 2007 11:58 am

Se il bagle si riforma evidentemente ci sono dei suoi file attivi da qualche parte.

Se mi fai vedere il log della scansione di kaspersky, magari qualcosa mi posso inventare.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda lampo24 » gio ott 18, 2007 1:37 pm

Il link per il log di kaspersky è lo stesso di due post sopra a questo:

http://www.mediafire.com/?ayemysmy25s
Avatar utente
lampo24
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mer ott 17, 2007 7:46 pm

Messaggioda crazy.cat » gio ott 18, 2007 2:01 pm

Ma è solo la scansione della cartella windows
Scan Target - Folders: C:\WINDOWS\
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda tecnico24 » gio ott 18, 2007 2:04 pm

disabilita il ripristino config.di sistema www.sicurezzainrete.com/disabilitare_system_restore.htm
poi scarica avenger http://swandog46.geekstogo.com/avenger.zip
clicca su input script manualy e poi sulla lente e copia quanto segue:




Codice: Seleziona tutto
files to delete:
C:\WINDOWS\YahooDLL.dll
C:\WINDOWS\SystemSA32.dll
C:\WINDOWS\system32\Vic32.dll
C:\WINDOWS\system32\sinvfct.dll
C:\WINDOWS\system32\NTInvisible.dll
C:\WINDOWS\system32\drivers\HIDR.EXE.VIR
C:\WINDOWS\sysk32.dll



poi clicca su done,poi sul semaforo,il pc si riavviera',seno fallo manualmente e posta il log di avenger lo trovi in c:/
Avatar utente
tecnico24
Senior Member
Senior Member
 
Messaggi: 380
Iscritto il: dom mag 20, 2007 4:31 pm

Messaggioda lampo24 » gio ott 18, 2007 4:04 pm

Ho detto ad avanger di cancellare anche le chiavi di registro incriminate, questo è il log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\uqpbnhcc

*******************

Script file located at: \??\C:\WINDOWS\eiowrhbp.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\YahooDLL.dll deleted successfully.
File C:\WINDOWS\SystemSA32.dll deleted successfully.
File C:\WINDOWS\system32\Vic32.dll deleted successfully.
File C:\WINDOWS\system32\sinvfct.dll deleted successfully.
File C:\WINDOWS\system32\NTInvisible.dll deleted successfully.
File C:\WINDOWS\system32\drivers\HIDR.EXE.VIR deleted successfully.
File C:\WINDOWS\sysk32.dll deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Services\srosa
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Che faccio ?

Ho fatto una scansione con AVG Anti Rootkit e hdir.exe e srosa.sys sono ancora presenti

Riprovo dicendo ad avanger di cancellarmi anche la cartella incriminata C:\Windows\ime\SHARED ?

[cry+]
Avatar utente
lampo24
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mer ott 17, 2007 7:46 pm

Messaggioda lampo24 » gio ott 18, 2007 5:01 pm

Ho rieseguito l'utility spagnola per rimuovere Bagle, poi ho messo il seg. script ad avanger :

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\YahooDLL.dll
C:\WINDOWS\SystemSA32.dll
C:\WINDOWS\system32\Vic32.dll
C:\WINDOWS\system32\sinvfct.dll
C:\WINDOWS\system32\NTInvisible.dll
C:\WINDOWS\system32\drivers\HIDR.EXE.VIR
C:\WINDOWS\sysk32.dll

folders to delete:
C:\WINDOWS\exefqd
C:\WINDOWS\ime\SHARED

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Ho riavviato il pc e NOD32 si è installato, ora provo a riavviare e vedo che succede.
Avatar utente
lampo24
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mer ott 17, 2007 7:46 pm

Messaggioda lampo24 » gio ott 18, 2007 5:17 pm

FUNZIONA !!

Sono riuscito a debellare totalmente Bagle !! [applauso+] [applauso+]

Ora secondo voi mi conviene tenere Look n Stop o rimettere OutoPost Pro come firewall ?

Grazie mille !! [^]
Avatar utente
lampo24
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mer ott 17, 2007 7:46 pm

Messaggioda tecnico24 » gio ott 18, 2007 5:59 pm

il problema era proprio il ripristino configurazione di sistema.
esso se non era disattivato,il virus fa le copie di se stesso.
metti zone alarm come firewall.
Avatar utente
tecnico24
Senior Member
Senior Member
 
Messaggi: 380
Iscritto il: dom mag 20, 2007 4:31 pm

Messaggioda doblece » lun ott 29, 2007 12:39 am

tecnico24 ha scritto:il problema era proprio il ripristino configurazione di sistema.
esso se non era disattivato,il virus fa le copie di se stesso.
metti zone alarm come firewall.


Zone Alarm non funziona, ho avuto (ho ancora) lo stesso problema e precisamente mi aveva disattivato il Spybot, Kaspersky e Zone Alarm.

Non ho riuscito a capire bene la sequenza che lampo24 ha seguito per eliminare il Bagle completamente, però avevo già riuscito a eliminare il hidr.exe ed il srosa.sys ma non mi lascia eliminare il LEGACY del Registro. C'è un processo chiamato "Megadrv3" che non incontro.

Non posso bootare in modo sicuro. Vado ora a provare con il Root-Kit Revealer perche vedo che il virus è ancora là.

Vi prego scusare il mio italiano che non lo parlo molto bene, sono franco-venezolana. [:-H]

Se lampo24 mi potessi spiegare il ordine che ha seguito esattamente, lo ringrazieró del fondo del mio cuore!

Grazie!
Avatar utente
doblece
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: lun ott 29, 2007 12:13 am

Messaggioda crazy.cat » lun ott 29, 2007 8:26 am

doblece ha scritto:Vi prego scusare il mio italiano che non lo parlo molto bene, sono franco-venezolana. [:-H]

Non ti preoccupare, ci sono degli italiani che parlano anche peggio.

Ci puoi far vedere il log della scansione online di kaspersky, così vediamo dove si trova il virus?
http://www.MegaLab.it/2657/5
con questo log poi creiamo lo script adatto per Avenger.

Con questo file ripristini la modalità provvisoria.
http://www.MegaLab.it/3250
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda sathurn » lun ott 29, 2007 10:57 am

ciao...anche io ho preso bagle su p2p.... questo è il log di kaspersky, potreste aiutarmi??? grazie mille

http://www.mediafire.com/?e5ginsn5czz
Avatar utente
sathurn
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: lun ott 29, 2007 10:50 am

Messaggioda doblece » lun ott 29, 2007 11:08 am

Grazie per rispondere cosí subito! :)

Avevo già fatto due scansione col KAV online venerdí, quando ho visto che il antivirus, spybot e zone alarm non erano più attivi. Ha trovato questo nel "restore": Trojan-Downloader.Win32.Bagle.fc, ma niente nel proprio disco. Ho disabilittato il restore, e nella seconda scansione non c'è viri, ma tanti processi "blocked".

Dopo di quello (e di 14 ore), ho riuscito a trovare il hidr.exe e srosa.sys e gli ho eliminato dal DOS (no erano visibile). Ho trovato ancora referenze a srosa nel registro e le ho eliminato anche, ma non posso eliminare il "LEGACY". Ho eliminato il folder "exefld" che si trovava nel system32.

Ho potuto reinstalare Spybot, ZoneAlarm e Kaspersky, ma sento che il virus è là in qualsiasi parte perché negli processi ci sono duplicati, e ho avuto ancora una volta dopo di questo, il problema della "recycle bin" dove instala una file occulta di nome "DCxx" (dove "xx" e qualsiasi numero). Non potevo iniziare in modo sicuro. Nel "Internet Temp files" ci sono files che appariscono e dispariscono, ma non tanto come l'altro giorno.

Ho fatto un scan col Elibagla che mi ha restituito il accesso al safeboot mode (nemmeno grazie per il link al Safeboot, vado a scaricarlo per averlo qui). Anche col Blacklight di F-secure, che non ha visto niente.
Ho passato il F-Bagle di F-secure che ha eliminato due entry dal registro, ma sempre il LEGACY e là. Ho fatto un scan con il Kaspersky nel modo sicuro ma non ho potuto terminarlo perché si blocca.

Ho visto anche che sono una serie di files ".DAT" che non avevo ne conosco, disseminate in varii folders del disco.

Bè, ho fatto di tutto, credo, LOL.

Allora vado a fare un altra volta la scansione col KAV Online per avere i datti freschi, e lo posto quà.

Grazie, siete uno sole! :D
Ultima modifica di doblece il lun ott 29, 2007 11:14 am, modificato 2 volte in totale.
Avatar utente
doblece
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: lun ott 29, 2007 12:13 am

Messaggioda crazy.cat » lun ott 29, 2007 11:10 am

sathurn ha scritto:ciao...anche io ho preso bagle su p2p.... questo è il log di kaspersky, potreste aiutarmi??? grazie mille

Il disco c: è tutto a posto?

Svuota il cestino e dai questo script ad avenger, dopo il riavvio del pc copia il txt che esce qui nella discussione.

Files to delete:
d:\WINDOWS\system32\drivers\hidr.exe
d:\WINDOWS\system32\drivers\srosa.sys
d:\WINDOWS\system32\wintems.exe
d:\WINDOWS\system32\hldrrr.exe
d:\WINDOWS\system32\trusted.exe
d:\WINDOWS\system32\drivers\pci32.sys
D:\Programmi\eMule\Temp\010.part
D:\Programmi\eMule\Temp\009.part
D:\Programmi\Miramar\PC MACLAN\ATMSG.EXE
D:\avenger\backup.zip

folders to delete:
d:\WINDOWS\exefnd
d:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda doblece » lun ott 29, 2007 12:31 pm

Qui è il log KAV che ho fatto, non ha trovato viri.

Non mi lascia caricare qui il html nemmeno il pdf o txt, allora vi aggiungo il pdf postato sul mio server:

http://doblece.net/kav.pdf

Aggiungo anche il log dello Hijack This, per qualsiasi cosa.

http://doblece.net/hijackthislog.pdf

Ho già scaricato il avenger, aspetto allora le vostri indicazione :)

Grazie!
Avatar utente
doblece
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: lun ott 29, 2007 12:13 am

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 15 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising