Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Un presunto Bagle

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Un presunto Bagle

Messaggioda LucaPR » mar mag 20, 2008 10:15 pm

Salve a tutti,

Ho tutti i problemi dati dal virus Bagle ( non posso più vedere cartelle e file nascosti, installare antivirus, la scheda audio non funziona più, windows firewall è inesistente etc.. ) posso però aprire avanger ( ma quando inserisco il codice trovato nell Vs guida e faccio execute mi da dei problemi, riguardo a file mancanti, premetto che ho controllato più volte la sintassi del codice ed è giusta) posso anche utilizzare hijack This , ma dopo la scansione e relativo controllo sul sito, non c'è nulla di sosptetto. Sono riuscito anche a fare una scansione con Spybot e Adware, ma a parte qualche cokkie tracciante non hanno trovato nulla.
Altra cosa, all'interno del task manager non ci sono processi attivi tipo: HLDRRR.EXE e nel registro di sistema in: HKCU\Software\Microsoft\Windows\CurrentVersion\Run

non vi sono voci riguardo a: german.exe , HLDRRR.EXE e drvsyskit.

Nella speranza di poter ricevere un Vs aiuto, colgo l'occasione per porgere

Distinti Saluti

Luca
Luca
Avatar utente
LucaPR
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mar mag 20, 2008 6:11 pm

Messaggioda SteelBolter » mar mag 20, 2008 11:29 pm

Non me ne intendo molto di Bagle, dato che non sono mai riuscito a prenderlo, quindi non ti posso dare consigli specifici...

Ma ti inviterei a fare a fare un bel back-up di tutti i file che ti interessano in modo da essere già pronti ad una eventuale formattazione...
Avatar utente
SteelBolter
Silver Member
Silver Member
 
Messaggi: 1110
Iscritto il: sab mag 26, 2007 8:04 pm

Messaggioda poppiski » mer mag 21, 2008 12:45 am

QUI siega tutto su come venirne fuori [^]
vista / XP dualboot + ubuntu su virtualbox
Avatar utente
poppiski
Senior Member
Senior Member
 
Messaggi: 325
Iscritto il: dom apr 06, 2008 6:25 pm
Località: Giulianova


Messaggioda ste_95 » mer mag 21, 2008 5:48 am

Esegui la scansione on-line estesa con Kaspersky come descritto qui e postane il log seguendo queste indicazioni.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Un presunto Bagle

Messaggioda stex2005 » mer mag 21, 2008 7:53 am

LucaPR ha scritto:Salve a tutti,
Altra cosa, all'interno del task manager non ci sono processi attivi tipo: HLDRRR.EXE e nel registro di sistema in: HKCU\Software\Microsoft\Windows\CurrentVersion\Run

non vi sono voci riguardo a: german.exe , HLDRRR.EXE e drvsyskit.


Non fare caso a cercare i file registro modificati e processi correnti...
dopo aver fatto la scansione con kaspersky online,
con avenger eliminerai tutti i file sospetti
e installando nuove voci di registro corrette riporterai la situazione come prima.

ma un passo alla volta:
segui bene le istruzioni di ste_95 e saremo tutti lieti di darti una mano
Grazie a dio sono Italiano
Avatar utente
stex2005
Senior Member
Senior Member
 
Messaggi: 176
Iscritto il: gio mag 15, 2008 3:45 pm
Località: Veneto, Prov di Belluno

Re: Un presunto Bagle

Messaggioda vegnone23 » mer mag 21, 2008 8:38 am

LucaPR ha scritto:non vi sono voci riguardo a: german.exe , HLDRRR.EXE e drvsyskit.


non è detto che tu abbia nel pc tutti i files che bagle crea e modifica, io ad esempio ne avevo (ho?!) solo alcuni. segui le istruzioni di ste ho la procedura di base x i bagle.

passo passo senza paura, non fa grossi danni al sistema, infetta qualche file qua e là ed è rognoso da levare, tutto qui.
Avatar utente
vegnone23
Bronze Member
Bronze Member
 
Messaggi: 512
Iscritto il: lun mag 19, 2008 5:40 pm
Località: Caldine - Firenze

Messaggioda LucaPR » mer mag 21, 2008 5:20 pm

Grazie a tutti per l'aiuto che mi state fornendo,

nei prossimio giorni vi posto il log dello scan ( con 2 tera di hard disk ci vuole un po ) :D

ho comunque effettuato uno scan con un programma spagnolo di cui non ricordo il nome (ma lo scaricato da un Vs link) e mi ha trovato 3 bagle in 3 file .zip e me li ha eliminati, solo che ad ogni riavvio del pc mi appare una finestra informativa ( sempre di questo programma) che mi avvisa che è stato trovato un certo: Gusano Bagle, ma anche dopo diversi scan non lo elimina ne rileva.

Ora comunque seguo le Vs istruzioni...

A preso e grazie
Luca
Avatar utente
LucaPR
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mar mag 20, 2008 6:11 pm

Messaggioda stex2005 » mer mag 21, 2008 5:33 pm

Sempre a disposizione!
Grazie a dio sono Italiano
Avatar utente
stex2005
Senior Member
Senior Member
 
Messaggi: 176
Iscritto il: gio mag 15, 2008 3:45 pm
Località: Veneto, Prov di Belluno

Messaggioda stex2005 » mer mag 21, 2008 5:35 pm

Sempre a disposizione! [^]
Grazie a dio sono Italiano
Avatar utente
stex2005
Senior Member
Senior Member
 
Messaggi: 176
Iscritto il: gio mag 15, 2008 3:45 pm
Località: Veneto, Prov di Belluno

Messaggioda LucaPR » lun mag 26, 2008 4:56 pm

Finalmente dopo ore di scan ecco i risultati!


http://www.mediafire.com/?prxhbrfxtdv

Attendo Vs istruzioni :D

Grazie
Luca
Avatar utente
LucaPR
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mar mag 20, 2008 6:11 pm

Messaggioda ste_95 » lun mag 26, 2008 5:07 pm

Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\Documents and Settings\lucas\Documenti\scaricati firefox\scion-tc.zip
C:\Programmi\eMule\Incoming\Easy_Calendar_Maker_1.33_Key+Serial.zip
C:\Programmi\eMule\Incoming\Easy Calendar Maker 2.0.zip
C:\Programmi\eMule\Incoming\PDF Password Recovery 3.0.zip
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVDtray.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld
C:\Muestras

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda stex2005 » lun mag 26, 2008 5:08 pm

LucaPR ha scritto:Finalmente dopo ore di scan ecco i risultati!


http://www.mediafire.com/?prxhbrfxtdv

Attendo Vs istruzioni :D

Grazie


Ho dato un occhiata, non me ne intendo... lascio il compito a ste_95.. esperto in virus...

comuqnue il Bagle te lo sei beccato a scaricare questo:

C:\Programmi\eMule\Incoming\Easy_Calendar_Maker_1.33_Key+Serial.zip/Easy_Calendar_Maker_1.33_Key+Serial.exe
Grazie a dio sono Italiano
Avatar utente
stex2005
Senior Member
Senior Member
 
Messaggi: 176
Iscritto il: gio mag 15, 2008 3:45 pm
Località: Veneto, Prov di Belluno

Messaggioda LucaPR » lun mag 26, 2008 7:24 pm

Allora, sono riuscito a eliminare i file grazie alla vecchia versione di avenger, di cui posto il log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\frbptyyh

*******************

Script file located at: \??\C:\Program Files\yllcglkq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.


File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034

File C:\windows\system32\drivers\hldrrr.exe deleted successfully.


File C:\WINDOWS\system32\mdelk.exe not found!
Deletion of file C:\WINDOWS\system32\mdelk.exe failed!

Could not process line:
C:\WINDOWS\system32\mdelk.exe
Status: 0xc0000034

File C:\WINDOWS\system32\drivers\mdelk.exe deleted successfully.
File C:\Documents and Settings\lucas\Documenti\scaricati firefox\scion-tc.zip deleted successfully.
File C:\Programmi\eMule\Incoming\Easy_Calendar_Maker_1.33_Key+Serial.zip deleted successfully.
File C:\Programmi\eMule\Incoming\Easy Calendar Maker 2.0.zip deleted successfully.
File C:\Programmi\eMule\Incoming\PDF Password Recovery 3.0.zip deleted successfully.
File C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe deleted successfully.
File C:\Programmi\SlySoft\AnyDVD\AnyDVDtray.exe deleted successfully.
Folder C:\WINDOWS\system32\drivers\downld deleted successfully.
Folder C:\Muestras deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Ps.: ho ancora sul desktop il finto programma "Easy Calendar Maker" che tra l'altro antivir non mi ha rilevato virus (lo avevo scansionato prima di eseguirlo) lo devo eliminare manualmente??

Grazie del vostro presioso aiuto
Luca
Avatar utente
LucaPR
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mar mag 20, 2008 6:11 pm

Messaggioda ste_95 » lun mag 26, 2008 7:46 pm

Hai ancora problemi?

Segui le istruzioni di questa pagina per ripristinare la rete senza fili, la modalità provvisoria e la visualizzazione dei file nascosti.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda LucaPR » mar mag 27, 2008 1:32 pm

Al momento ho solo una finestra che mi si apre all'avvio del pc relativa al programma infetto ( da notarsi che non risulta in esecuzione automatica) probabilmente se clicco su qualche pulsante della finestra stessa rischio di riprendermi il virus... in quanto grazie al vostro prezioso aiutosono riuscito ad installare NOD32, che mi ha già rilevato ed elimianto 3 tipi diversi di bagle....

Se avessi bisogno di qualcosa chiederò.. Vi ringrazio per tutto l'aiuto che mi è stato fornito. [^]

GRAZIE A TUTTI


Luca
Luca
Avatar utente
LucaPR
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mar mag 20, 2008 6:11 pm

Messaggioda ste_95 » mar mag 27, 2008 1:36 pm

Scarica HijackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Posta sul forum il risultato facendo attenzione a queste regole.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda LucaPR » mar mag 27, 2008 8:34 pm

EccoVi i risulatati dello scan:

http://www.mediafire.com/?4g1owymmszm


Grassie

:D
Luca
Avatar utente
LucaPR
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mar mag 20, 2008 6:11 pm

Messaggioda ste_95 » mer mag 28, 2008 5:32 am

Scarica GMER, poi esegui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda LucaPR » mer mag 28, 2008 11:01 pm

Luca
Avatar utente
LucaPR
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mar mag 20, 2008 6:11 pm

Messaggioda ste_95 » gio mag 29, 2008 5:55 am

Uff... Sei sicuro di non trovare il file infetto che ti notifica "File to crack" ne con Antivir ne con la scansione online con Kaspersky? I log sono puliti.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 12 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising