Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Altra vittima di Bagle

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Altra vittima di Bagle

Messaggioda f.punzi » dom feb 03, 2008 3:39 pm

Anch'io sono una vittima di Bagle. Innanzitutto, vi ringrazio in anticipo per le informazioni contenute nei vostri articoli, che ho già cercato di mettere a frutto. Infatti, ho disattivato il ripristino di sistema ed eseguito una scansione online con Kaspersky, ma solo delle "aree critiche" del pc e ho trovato questo C:\WINDOWS\system32\mdelk.exe. Così ho lanciato The Avenger con lo script che ho copiato dal vostro sito, che già conteneva C:\WINDOWS\system32\mdelk.exe. Dal file log risultava che alcuni file e cartelle non erano stati trovati ma altri sì e cancellati (tra cui mdelk.exe). Eppure, nulla è cambiato. Ho provato così a ripetere l'operazione e il risultato è stato il seguente:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | german.exe


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCU\Software\DateTime4


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCU\Software\FirstRRRun


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dqcljjof

*******************

Script file located at: elvitess

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!


Mi sono accorto, leggendo questo forum, che la scansione con Kaspersky va fatta su tutto il pc, così l'ho rilanciata ed è tuttora in corso. Il problema è che dopo mezz'ora è ancora bloccata sulla cartella C:\Avenger dove ha trovato mdelk.exe.

Inoltre, uno degli effetti collaterali del virus, oltre al blocco degli antivirus, è che ogni nuova finestra di internet explorer (versione 6) ci mette qualche minuto per aprirsi.

Un bel pasticcio, mi rendo conto. Come mi consigliate di procedere?

Grazie!
Avatar utente
f.punzi
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: dom feb 03, 2008 3:17 pm

Messaggioda ste_95 » dom feb 03, 2008 3:41 pm

E' necessaria la scansione on-line estesa con kaspersky. Quanto finisce salva il file in formato html, comprimilo e allegalo a un tuo messaggio.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda f.punzi » dom feb 03, 2008 3:47 pm

Ti ringrazio per l'attenzione. Ho lanciato la scansione estesa, ma dopo quasi un'ora è ancora bloccata sulla cartella C:\Avenger (dove ha trovato mdelk.exe). E' normale? Proseguo?
Avatar utente
f.punzi
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: dom feb 03, 2008 3:17 pm


Messaggioda ste_95 » dom feb 03, 2008 3:48 pm

Si, se non si è bloccato lascialo andare avanti.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda f.punzi » dom feb 03, 2008 3:53 pm

Ok. E in effetti, poco dopo aver postato, la scansione si è rimessa in moto e adesso sta andando avanti.

grazie
Avatar utente
f.punzi
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: dom feb 03, 2008 3:17 pm

Messaggioda f.punzi » lun feb 04, 2008 8:55 am

Buongiorno, ecco il report della scansione estesa con Kaspersky. Sono 25 gli oggetti infettati, mi pare non tutti da Bagle. Mi chiedo se Avenger funzionerà, visto che nella sua stessa cartella c'è il virus.
Avatar utente
f.punzi
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: dom feb 03, 2008 3:17 pm

Messaggioda ste_95 » lun feb 04, 2008 9:38 am

Disabilita il ripristino configurazione di sistema.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\Avenger\backup.zip
C:\Avenger\backup-02.02.2008-14.44.44,06.zip
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_1[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_1[2].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_1[3].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_2[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\3IYX1PHL\b64_31[2].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\3IYX1PHL\b64_31[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\AP8PA5M1\b64_2[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\AP8PA5M1\b64_2[2].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_1[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_31[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_31[2].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_31[3].jpg
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

Folders to delete:
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Riscarica gli installer dei programmi di sicurezza e prova a reinstallare un antivirus.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda f.punzi » lun feb 04, 2008 10:39 am

Grazie, ecco il log, ma non credo che abbia avuto buon esito. Appena partito si è fermato e si è aperto il txt con questo risultato:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rmbiojyt

*******************

Script file located at: thkbxtcw

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!
Avatar utente
f.punzi
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: dom feb 03, 2008 3:17 pm

Messaggioda ste_95 » lun feb 04, 2008 10:48 am

Sei sicura di incollare correttamente tutto lo script? Questo è quello che dovresti inserire:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\Avenger\backup.zip
C:\Avenger\backup-02.02.2008-14.44.44,06.zip
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_1[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_1[2].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_1[3].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_2[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\3IYX1PHL\b64_31[2].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\3IYX1PHL\b64_31[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\AP8PA5M1\b64_2[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\AP8PA5M1\b64_2[2].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_1[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_31[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_31[2].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_31[3].jpg
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

Folders to delete:
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda f.punzi » lun feb 04, 2008 10:50 am

Per scrupolo riprovo, ma sono quasi sicuro di averlo incollato tutto.
Avatar utente
f.punzi
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: dom feb 03, 2008 3:17 pm

Messaggioda f.punzi » lun feb 04, 2008 11:04 am

Ho fatto un paio di aggiunte allo script per neutralizzare il fallimento precedente:
C:\Avenger\backup-04.02.2008-10.33.23,79.zip
C:\Avenger\mdelk.exe

Stavolta credo sia andata (le finestre di explorer mi si aprono di nuovo velocemente). Ecco il log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dactarli

*******************

Script file located at: \??\C:\obaqgqmf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.
File C:\WINDOWS\system32\wintems.exe deleted successfully.
File C:\windows\system32\drivers\hldrrr.exe deleted successfully.
File C:\WINDOWS\system32\mdelk.exe deleted successfully.
File C:\Avenger\backup.zip deleted successfully.
File C:\Avenger\backup-02.02.2008-14.44.44,06.zip deleted successfully.
File C:\Avenger\backup-04.02.2008-10.33.23,79.zip deleted successfully.
File C:\Avenger\mdelk.exe deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_1[2].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_1[3].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\3IYX1PHL\b64_31[2].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\3IYX1PHL\b64_31[1].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\AP8PA5M1\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\AP8PA5M1\b64_2[2].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_31[1].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_31[2].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_31[3].jpg deleted successfully.
File C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe deleted successfully.
Folder C:\WINDOWS\system32\drivers\down deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Avatar utente
f.punzi
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: dom feb 03, 2008 3:17 pm

Messaggioda ste_95 » lun feb 04, 2008 11:08 am

Prova a reinstallare un antivirus.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda f.punzi » lun feb 04, 2008 11:15 am

Ok, ti faccio sapere.

Intanto grazie davvero!
Avatar utente
f.punzi
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: dom feb 03, 2008 3:17 pm

Messaggioda f.punzi » lun feb 04, 2008 12:35 pm

Antivirus reinstallato e tutto tornato alla normalità.
C'è qualcos'altro che devo risistemare? Lo riattivo il ripristino di configurazione?

ciao e grazie di cuore!
Avatar utente
f.punzi
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: dom feb 03, 2008 3:17 pm

Messaggioda ste_95 » lun feb 04, 2008 12:36 pm

Ripristina anche la modalità provvisoria utilizzando questo file.

Se il ripristino lo usi o ti è utile puoi riattivarlo.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising