Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Report kaspersky per infezione bagle

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Report kaspersky per infezione bagle

Messaggioda raffaellom » mer lug 16, 2008 12:45 pm

Ciao,


mi sono iscritto al forum dopo aver letto la guida, vi posto il report di kaspersky perché data l'estensione dell'infezione (156 file infetti...) non mi fido molto delle mie capacità e vi chiederei di aiutarmi.

Alcune info: ho disinstallato l'antivirus, ho levato il ripristino automatico e sono in modalità provvisoria (l'av kaspersky non riusciva a finalizzare l'aggiornamento in modalità normale, non so perché).

Grazie mille per l'aiuto.
Avatar utente
raffaellom
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mer lug 16, 2008 12:20 pm

Messaggioda raffaellom » mer lug 16, 2008 12:59 pm

Allego il report anche in archivio .zip.
Avatar utente
raffaellom
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mer lug 16, 2008 12:20 pm

Messaggioda TheHacker66 » mer lug 16, 2008 1:26 pm

Ciao, innanzitutto scaricati HijackThis da Da Qui, avvialo e clicca su "scan & save a log file", salva il log e postalo qui secondo QUESTE regole.

C'è comunque un'intero articolo sul portale dedicato al debellamento di Bagle.
RICORDATE: GOOGLARE NON E' UN REATO! E NON LO E' NEANCHE CERCARE SUL FORUM PRIMA DI POSTARE!
Avatar utente
TheHacker66
Bronze Member
Bronze Member
 
Messaggi: 806
Iscritto il: dom nov 19, 2006 8:22 pm
Località: Milano


Messaggioda raffaellom » mer lug 16, 2008 1:41 pm

Questo è il report linkato sencondo le regole, non le avevo viste e mi sono attenuto a quelle nel topic in evidenza in questa sezione:

http://www.mediafire.com/?zdt5i3h9pn1



L'articolo l'ho letto, ma non sono sicuro di essere in grado di compilare correttamente l'elenco di file da inserire in avenger...
Avatar utente
raffaellom
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mer lug 16, 2008 12:20 pm

Messaggioda gio! » mer lug 16, 2008 1:50 pm

Hijackthis serve poco se si tratta di bagle.
Scarica avenger http://swandog46.geekstogo.com/avenger2/download.php
avvialo e nella casella bianca scrivi:

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\windows\system32\hldrrr.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld
%UserProfile%\Dati applicazioni\m

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Come descritto anche nel post in rilievo.
Fai riavviare il pc e postaci il log avenger seguendo le regole.

Dopo avenger prova anche elibagle http://www.zonavirus.com/datos/descarga ... ibagla.asp
Avvialo e seleziona "eliminar ficheros automaticamente, quindi clicca su explorar.
Al termine dicci cosa ha trovato.
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda raffaellom » mer lug 16, 2008 1:55 pm

Lo faccio anche se i file infettati sono molti più di quelli presenti in quell'elenco?

Non rischio che al riavvio mi si riinfetti tutto di nuovo se lascio indietro dei file?
Avatar utente
raffaellom
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mer lug 16, 2008 12:20 pm

Messaggioda crazy.cat » mer lug 16, 2008 2:05 pm

raffaellom ha scritto:Non rischio che al riavvio mi si riinfetti tutto di nuovo se lascio indietro dei file?

Si.
Aspetta che leggo il resto del report.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda crazy.cat » mer lug 16, 2008 2:13 pm

Sono molto preoccupato per il log di kaspersky che hai mostrato, il virus sembra mutato ancora ed essere più aggressivo.
Speriamo che i tools funzionino.

Ecco il tuo script per avenger.

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\windows\system32\hldrrr.exe
C:\Program Files\Electronic Arts\EADM\Core.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Acer\AcerTour\Reminder.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld
%UserProfile%\Dati applicazioni\m
C:\_OTMoveIt
C:\Muestras

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda raffaellom » mer lug 16, 2008 2:14 pm

Grazie, quindi ora eseguo avenger riavvio e provo a fare un'altra scansione con kaspersky?
Avatar utente
raffaellom
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mer lug 16, 2008 12:20 pm

Messaggioda crazy.cat » mer lug 16, 2008 2:19 pm

Esegui avenger e se funziona prova a reinstallare un antivirus.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda raffaellom » mer lug 16, 2008 2:43 pm

Avenger ha funzionato.

Questo il txt al riavvio: http://www.mediafire.com/?zzhtl1njtzy



All'avvio di windows è anche partito elibagle, che avevo installato in precedenza che ha cancellato 12 file infetti, spero non abbia interferito con avenger. Questo il riepilogo di elibagle: http://www.mediafire.com/?jttgyy4y5ht
Avatar utente
raffaellom
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mer lug 16, 2008 12:20 pm

Messaggioda raffaellom » mer lug 16, 2008 2:45 pm

Sembrerebbe che il problema sia risolto, perché ccleaner funziona. Ora reinstallo un av, prima avevo antivir ma non è stato molto utile in questo frangente... cercherò qualcos'altro magari.
Avatar utente
raffaellom
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mer lug 16, 2008 12:20 pm

Messaggioda crazy.cat » mer lug 16, 2008 2:47 pm

Ripeti questo script, c'era un errore nell'altro.

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\windows\system32\hldrrr.exe
C:\Program Files\Electronic Arts\EADM\Core.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Acer\AcerTour\Reminder.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld
C:\Users\Raffaello\AppData\Roaming\m
C:\_OTMoveIt
C:\Muestras

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda raffaellom » mer lug 16, 2008 2:48 pm

ok, provo subito, grazie
Avatar utente
raffaellom
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mer lug 16, 2008 12:20 pm

Messaggioda raffaellom » mer lug 16, 2008 2:54 pm

Fatto e riavviato questo è il txt al riavvio: http://www.mediafire.com/?i9dumgme5gz



C'è una cosa però, mi si è aperta una schermata all'avvio:

Immagine
Immagine


Non so cosa sia core.exe - silent e per ora ho lasciato in sospeso...
Avatar utente
raffaellom
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mer lug 16, 2008 12:20 pm

Messaggioda gio! » mer lug 16, 2008 3:18 pm

Posta un log hijackthis e vediamo quella schermata se si riferisce a qualcosa presente nel log.
ps: dal log di avenger si vede che non ha trovato più niente perché elibagle ha ripulito il computer [;)]
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda crazy.cat » mer lug 16, 2008 3:19 pm

Era uno dei file infetti dal virus, direi che appartiene a qualche gioco ma non saprei dire quale.
crazy.cat ha scritto:C:\Program Files\Electronic Arts\EADM\Core.exe


Controlla se trovi la cartella
C:\Users\Raffaello\AppData\Roaming\m
nel caso ci sia, svuotala di tutti i file al suo interno.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda raffaellom » mer lug 16, 2008 3:27 pm

si era un file dell'EA, ora ho rimosso l'avvio automatico dell'applicazione con ccleaner.

La cartella non c'è, grazie mille dell'aiuto comunque. Spero davvero sia risolta la cosa, ora provo ad installare un av.
Avatar utente
raffaellom
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mer lug 16, 2008 12:20 pm

Messaggioda raffaellom » mer lug 16, 2008 4:27 pm

Allora ho installato avira e ho fatto una scansione, mi ha trovato quattordici file infetti che ho eliminato.

è normale? Cosa devo fare a questo punto?



qui il report di avira: http://www.mediafire.com/?znigxrx25j4
Avatar utente
raffaellom
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mer lug 16, 2008 12:20 pm

Messaggioda crazy.cat » mer lug 16, 2008 5:23 pm

erano tutti i virus messi in quarantena da Twister e sono stati tutti cancellati da avira.
Direi che sei a posto.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 16 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising