Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Virus Bagle

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Virus Bagle

Messaggioda nino66 » gio feb 14, 2008 7:01 pm

Ciao a tutti

Credo di aver beccato Bagle! [cry+]

Qualcuno sa indicarmi quali sono le operazioni da eseguire?

Grazie [:)]

Nino66
Avatar utente
nino66
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: gio feb 14, 2008 6:54 pm

Messaggioda ste_95 » gio feb 14, 2008 7:02 pm

Leggere e applicare fino in fondo:

http://www.MegaLab.it/forum/viewtopic.php?t=34966
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda nino66 » ven feb 15, 2008 11:57 am

Intanto avevo già messo a fare la scansione con Kaspersky on line.

Vorrei chiederti se posso inviarti il file di log di kaspersky quando avrà finito, perché ho visto che si sono infettati anche file diversi da quelli che tu indichi. In ogni caso lo script viene fatto con il blocco note o con qualche altro programma? [uhm]

Grazie poi ti faccio sapere

Nino66
Avatar utente
nino66
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: gio feb 14, 2008 6:54 pm


Messaggioda crazy.cat » ven feb 15, 2008 1:49 pm

nino66 ha scritto:Vorrei chiederti se posso inviarti il file di log di kaspersky quando avrà finito

Non solo puoi, ma devi inviarlo.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda nino66 » ven feb 15, 2008 3:06 pm

Incasinato: [cry+]

Caduta la connessione ad internet: mi tocca ricominciare da capo

Intanto seguo le istruzioni di ste_95 e vediamo cosa succede. Rifarò la scansione successivamente

A risentirci. Nino66
Avatar utente
nino66
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: gio feb 14, 2008 6:54 pm

Messaggioda nino66 » ven feb 15, 2008 3:33 pm

Mi correggo: non mi è caduta la connessione, mi si è spento il computer.

Ho eseguito comunque la pulizia con avenger e il risultato è nel file allegato:

Fatemi sapere. Grazie

Nino66
Avatar utente
nino66
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: gio feb 14, 2008 6:54 pm

Messaggioda crazy.cat » ven feb 15, 2008 3:34 pm

nino66 ha scritto:e il risultato è nel file allegato:

Quale?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda nino66 » ven feb 15, 2008 3:38 pm

Scusa evidentemente non si è allegato
Avatar utente
nino66
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: gio feb 14, 2008 6:54 pm

Messaggioda nino66 » ven feb 15, 2008 3:52 pm

Invio anche il log creato da gmer

Nino66
Avatar utente
nino66
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: gio feb 14, 2008 6:54 pm

Messaggioda ste_95 » ven feb 15, 2008 4:19 pm

Il log di GMER è nuovo?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda nino66 » ven feb 15, 2008 4:23 pm

si, l'ho creato subito dopo aver fatto la pulizia con avenger.

Mi fate sapere che cosa devo inserire adesso su avenger visto che, se non erro, il rootkit del virus si è stabilito su alcuni file di SQL?

Grazie
Avatar utente
nino66
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: gio feb 14, 2008 6:54 pm

Messaggioda ste_95 » ven feb 15, 2008 4:27 pm

Mi dispiace dirtelo, ma devi rifare nuovamente la scansione con kaspersky online.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda nino66 » ven feb 15, 2008 4:33 pm

[V] Va bè

appena ha finito vi faccio sapere

grazie
Avatar utente
nino66
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: gio feb 14, 2008 6:54 pm

Messaggioda nino66 » sab feb 16, 2008 10:29 am

[:)] Buongiorno a tutti

Vi invio i file della scansione fatta con Kaspersky on line. Siccome non so se è meglio il log in formato txt o html ve li invio entrambi.

Aspetto vostre notizie

Ciao
Avatar utente
nino66
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: gio feb 14, 2008 6:54 pm

Messaggioda ste_95 » sab feb 16, 2008 10:31 am

Disabilita il ripristino configurazione di sistema.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\avenger\backup.zip
C:\Documents and Settings\Casa\Impostazioni locali\Temporary Internet Files\Content.IE5\42WYGKYV\b64_1[1].jpg
C:\Documents and Settings\Casa\Impostazioni locali\Temporary Internet Files\Content.IE5\9JRAFTYQ\b64_31[1].jpg
C:\Documents and Settings\Casa\Impostazioni locali\Temporary Internet Files\Content.IE5\GBM176Y2\b64_2[1].jpg
C:\Documents and Settings\Casa\Impostazioni locali\Temporary Internet Files\Content.IE5\Y6BWSR27\b64_2[1].jpg
C:\Programmi\ATI Multimedia\main\atidtct.exe

Folders to delete:
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Riscarica gli installer dei programmi di sicurezza e prova a reinstallare un antivirus.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda nino66 » sab feb 16, 2008 10:44 am

Ecco il log di Avenger: la cosa strana è che nel riavviare il pc dopo la prima schermata di Windows, poi schermo nero e più niente. Ho dovuto resettare mi è apparsa la schermata di visualzzazione delle varie modalità di avvio, ho messo "avvia windows normalmente" e ha finito la pulizia.

Ecco il risultato:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lpnfbvjk

*******************

Script file located at: iwctehgb

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!
//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lpnfbvjk

*******************

Script file located at: iwctehgb

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!

Fatemi sapere
Avatar utente
nino66
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: gio feb 14, 2008 6:54 pm

Messaggioda ste_95 » sab feb 16, 2008 10:45 am

Riprova con Avenger.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda nino66 » sab feb 16, 2008 10:51 am

Stavolta riavvio normale

Ecco il log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pakrtgys

*******************

Script file located at: xytaqatd

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!
Avatar utente
nino66
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: gio feb 14, 2008 6:54 pm

Messaggioda ste_95 » sab feb 16, 2008 10:54 am

Sei sicuro di incollare correttamente tutto lo script?

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\avenger\backup.zip
C:\Documents and Settings\Casa\Impostazioni locali\Temporary Internet Files\Content.IE5\42WYGKYV\b64_1[1].jpg
C:\Documents and Settings\Casa\Impostazioni locali\Temporary Internet Files\Content.IE5\9JRAFTYQ\b64_31[1].jpg
C:\Documents and Settings\Casa\Impostazioni locali\Temporary Internet Files\Content.IE5\GBM176Y2\b64_2[1].jpg
C:\Documents and Settings\Casa\Impostazioni locali\Temporary Internet Files\Content.IE5\Y6BWSR27\b64_2[1].jpg
C:\Programmi\ATI Multimedia\main\atidtct.exe

Folders to delete:
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda nino66 » sab feb 16, 2008 10:57 am

Credo di sì, comunque adesso lo rifaccio e ti faccio sapere
Avatar utente
nino66
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: gio feb 14, 2008 6:54 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 21 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising