Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

ancora BAGLE! sempre più difficile!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

ancora BAGLE! sempre più difficile!

Messaggioda patakkino » lun lug 14, 2008 11:07 pm

ho letto quasi tutti gli articoli su Bagle e provato e riprovato varie opzioni; sembra neutralizzare tutto! [cry+]
Elibagla sembra non trovare nulla di preoccupante.
gmer non si installa
(CreateFile "C:\Windows\gmer.dll": Impossibile trovare il file specificato.)
Avenger... sinceramente non sono riuscito a trovare quella che viene definitala "nuova versione"... quella con la lente d'ingrandimento per capirci...
Sono in un vicolo cieco!
e continua a bloccarmi eventuali scansioni on-line, antivirus... insomma non mi fa lavorare.
Cosa posso fare?

rimango in attesa[/b]
Avatar utente
patakkino
Neo Iscritto
Neo Iscritto
 
Messaggi: 11
Iscritto il: ven lug 11, 2008 7:12 am

Messaggioda ste_95 » mar lug 15, 2008 5:54 am

Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda patakkino » mer lug 23, 2008 2:34 pm

allora...
come da procedura indicata, ho provveduto a scaricare la versione di Avenger, ho incollato il log indicato ed ho tolto la spunta dallo scan for rootkits.
Cliccato su Execute, è apparso un messaggio che come previsto, diceva che lo script non era valido.
allora ho riscritto la riga iniziale ( files to delete: )compreso i 2 punti finali.
al click su Execute ho ricevuto questi messaggi:

Are you sure you want to execute the current script?
(cliccato SI)
(altro messaggio Warning...)
(di nuovo ho cliccato SI)

... da qui sono comparsi i seguenti messaggi d'errore:

Error: can't open file 'C:\cleanup.bat' (error 2: impossibile trovare il file specificato.)
(pulsante OK)
Error: Could not open cleanup batch. Aborting execution! (Error 6: handle non valido.)
(pulsante OK)
Error: 'can't open file C:\avenger.txt' (error 2: impossibile trovare il file specificato.)
(pulsante OK)
Error: Could not log error messages to file. (Error 6: handle non valido.)
(pulsante OK)


...ora cosa posso fare?
non mi sembra di aver omesso parti della procedura indicata.

attendo notizie in merito

grazie come sempre
Avatar utente
patakkino
Neo Iscritto
Neo Iscritto
 
Messaggi: 11
Iscritto il: ven lug 11, 2008 7:12 am


Messaggioda goghi » mer lug 23, 2008 9:35 pm

stesso problema pure a me... non so più cosa fare
Avatar utente
goghi
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: mer lug 23, 2008 1:19 pm

Messaggioda ZaC » ven lug 25, 2008 1:41 am

io ho risolto (o almeno sembrerebbe che sia riuscito a risolvere) smontando l'hd ed analizzandolo come hd esterno usb da un altro pc. Su quest'ulimo però ho disattivato l'autorun prima ancora di collegarvici l'hd esterno (quello da pulire per intenderci).
Terminata una scansione col mio antivirus su questo hd ho tolto il grosso di bagle. Per toglierlo definitivamente, rimontato l'hd sul pc originale, ho seguito le istruzioni fornite su questo sito (MegaLab).
DISORDER THIS ORDER
Avatar utente
ZaC
Aficionado
Aficionado
 
Messaggi: 72
Iscritto il: lun lug 21, 2008 6:09 pm

...smontare l'hd

Messaggioda patakkino » ven lug 25, 2008 7:57 am

non so se sono in grado dismontare l'hd dal notebook.
Comunque nel frattempo, ho effettuato una scansionecon EsetNod32 online ed ha trovato (oltre a Bagle) altri 16 worms!
mi sa che la cosa è piùcomplicata del previsto.
Dovrò cercare di eliminarli uno alla volta.
Al momento cercherò di toglierli di mezzo uno ad uno, solo che mi ha buttato fuori dalla scansione poco prima di finirla...
Se riesco ad avere un elenco, lo posto qui sopra...

grazie comunque per le dritte. [:)]
Avatar utente
patakkino
Neo Iscritto
Neo Iscritto
 
Messaggi: 11
Iscritto il: ven lug 11, 2008 7:12 am

Messaggioda gio! » ven lug 25, 2008 9:35 am

Se ci posti i percorsi dei file...
Prova anche con un log hijackthis.
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda ZaC » ven lug 25, 2008 11:00 am

i nuovi worm probabilmente li ha scaricati bagle stesso! Ti consiglio di collegarti ad internet il meno possibile dal tuo notebook infetto, altrimenti ti troverai in breve pieno zeppo di schifezze...
Tornando alla soluzione drastica che ti ho proposto, in genere gli hd dei notebook sono facilmente raggiungibili, non dovrai smontarlo tutto! Basterà svitare un paio di viti dalla base e lo avrai fra le tue mani. In rete si trovano diversi manuali per notebook (cerca: disassemble manual nome e marca del tuo notebook, se non è proprio lo stesso non fa nulla, le case di computer non si sbattono troppo per creare architetture molto diverse nei loro prodotti). Ti servirà poi un case usb per hd da 2,5'' (oppure controlla sul manuale del tuo notebook di che dimensione sia il tuo hd). Il prezzo non è elevatissimo, io ho speso 10 euri. Oppure se hai già un hd esterno usb delle stesse dimenzioni del tuo puoi smontare quello e montarci temporaneamente quello da ripulire.
Stai tranquillo, è un'operazione un po' delicata ma tutto sommato semplice ed efficace! Risulta più facile attaccare un virus da un pc pulito... Mi raccomando, se procederai così però disattiva assolutamente l'autorun sul pc pulito! (link nel mio post precedente)
Buona fortuna
DISORDER THIS ORDER
Avatar utente
ZaC
Aficionado
Aficionado
 
Messaggi: 72
Iscritto il: lun lug 21, 2008 6:09 pm

altri tentativi...

Messaggioda patakkino » ven lug 25, 2008 12:35 pm

per giò...
purtroppo Hijackthis non riesce a partire... proprio ion funzione del problema (credo) di bagle... o di qualche suo fratello!
Mi dice che non riesce ad avviare il programma perché non è una procedura di Win32 valida.
C'è modo eventualmente di disattivarlo e cancellarlo manualmente?

per ZaC...
sono un po' restìo a smontare l'hd dal notebook, però se non c'è altra strada, proverò anche quello. Grazie per le dritte.
Intanto sembra che con Nod32 qualche cosa sia riuscito a vedere... magari se riesco a sbloccare la situazione ce la faccio...
avrete miei aggiornamenti in merito.

a presto
Avatar utente
patakkino
Neo Iscritto
Neo Iscritto
 
Messaggi: 11
Iscritto il: ven lug 11, 2008 7:12 am

Messaggioda gio! » ven lug 25, 2008 12:50 pm

Proviamo con combofix.
Scaricalo da qui http://subs.geekstogo.com/ComboFix.exe nel momento in cui ti chiede dove salvarlo scegli il desktop e dacci come nome 123. Disattiva antivirus, disconnettiti e non usare altre applicazioni. Avvia combofix, segui le istruzioni a video ed al termine posta il log in C:\Combofix.txt [:)]
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda tonyfly » ven lug 25, 2008 12:59 pm

posso suggerire un'operazione meno "indolore" dello smontare l'hard disk? se avete un po' di spazio installate un secondo sistema operativo,metteteci il dualboot e avviando il sistema operativo "sano" potrete curare quello "malato".Io l'ho fatto e funziona egregiamente.
Avatar utente
tonyfly
Aficionado
Aficionado
 
Messaggi: 28
Iscritto il: dom mar 25, 2007 4:14 pm

Messaggioda gio! » ven lug 25, 2008 1:06 pm

tonyfly ha scritto:posso suggerire un'operazione meno "indolore" dello smontare l'hard disk? se avete un po' di spazio installate un secondo sistema operativo,metteteci il dualboot e avviando il sistema operativo "sano" potrete curare quello "malato".Io l'ho fatto e funziona egregiamente.

Meno indolore? cioè più dolorosa? [:D]
Già ma dove lo trova l'altro sistema operativo? deve comunque avere una seconda partizione. Sarebbe più complicato a mio avviso.
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda ZaC » sab lug 26, 2008 3:34 pm

@patakkino: qualora tu volessi smontare l'hd, per disattivare in modo più facile l'autorun ti consiglio questa mini guida assai più efficace e di facile comprensione (le mask di bit magari possono risultare un concetto un po' astruso).
Facci sapere
DISORDER THIS ORDER
Avatar utente
ZaC
Aficionado
Aficionado
 
Messaggi: 72
Iscritto il: lun lug 21, 2008 6:09 pm

Messaggioda ste_95 » mar lug 29, 2008 2:41 pm

gio! ha scritto:Proviamo con combofix.
Scaricalo da qui http://subs.geekstogo.com/ComboFix.exe nel momento in cui ti chiede dove salvarlo scegli il desktop e dacci come nome 123. Disattiva antivirus, disconnettiti e non usare altre applicazioni. Avvia combofix, segui le istruzioni a video ed al termine posta il log in C:\Combofix.txt [:)]

Anche Combofix viene bloccato da Bagle. [;)]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda gio! » mar lug 29, 2008 3:26 pm

ste_95 ha scritto:
gio! ha scritto:Proviamo con combofix.
Scaricalo da qui http://subs.geekstogo.com/ComboFix.exe nel momento in cui ti chiede dove salvarlo scegli il desktop e dacci come nome 123. Disattiva antivirus, disconnettiti e non usare altre applicazioni. Avvia combofix, segui le istruzioni a video ed al termine posta il log in C:\Combofix.txt [:)]

Anche Combofix viene bloccato da Bagle. [;)]

A volte rinominandolo no. [:)]
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

...è andata...!

Messaggioda patakkino » sab ago 02, 2008 12:25 pm

finalmente sono riuscito a sconfiggere Bagle!
Ringrazio Gio! in particolare che con la sua intuizione mi ha ridato speranza.
Combofix (rinominato) ha funzionato egregiamente!
Ha scovato e abbattuto i vari worm (i file Hldrrr, srosa, wintems, mdelk, ecc...).
Dopo queste piccole situazioni da risolvere sono riuscito a riavere, wireless, sound e soprattutto antivirus!
sulle successive 3 scansioni, ha trovato un complessivo di 38 worm e 278 spyware da cancellare!!
Praticamente una metàstasi digitale
Comunque una piccola controindicazione l'ho avuta.... era talmente incasinato il sistema operativo che ho dovuto fare un reboot della macchina con il disco di ripristino di Windows.
Comunque ora sono di nuovo "pulito"

Ringrazio ancora tutti per l'appoggio e l'attenzione

n.b.
Purtroppo il ripristino del sistema (non me l'aspettavo), ha cancellato il log creato da Combofix per poter vedere il .txt con tutte le indicazioni rimosse
Avatar utente
patakkino
Neo Iscritto
Neo Iscritto
 
Messaggi: 11
Iscritto il: ven lug 11, 2008 7:12 am

Messaggioda gio! » sab ago 02, 2008 12:39 pm

Sono contento che ha funzionato [:)]
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 11 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising