Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Virus Bagle... again.

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Virus Bagle... again.

Messaggioda Lucathegreat » mer nov 12, 2008 12:37 pm

Salve ragazzi, mi sono iscritto su questo forum per avere delucidazioni riguardo a questo stupido worm, che riuscii a debellare mesi fa grazie alla guida presente su questo sito e all'utilissimo Avenger. [:)]
Ieri sera tuttavia me lo sono beccato di nuovo, e come prima cosa ha mandato a remengo McAfee e pure Live Messenger (che non so che abbia fatto di male per essere eliminato... [rotfl] )

In ogni caso ho provato a seguire le istruzioni postate, ma questa evidente nuova variante blocca pure Avenger, come tutti gli altri antivirus che ho provato.
Non riesco nemmeno a fare la scansione online con Kaspersky perché mi dà un delirante errore "devi essere connesso a internet" o qualcosa del genere... [uhm]
L'unico che ha funzionato è Findykill, che mi ha fornito questo log:


----------------- FindyKill V4.500 ------------------

* User : LucaPirilli - LUCA
* Emplacement : C:\Programmi\FindyKill
* Outils Mis a jours le 12/11/08 par Chiquitine29
* Recherche effectuée à 11:25:19 le 12/11/2008
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\VM_STI.EXE
C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\DAP\DAP.EXE
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programmi\mcafee.com\agent\mcdetect.exe
C:\Programmi\WiFiConnector\NintendoWFCReg.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programmi\Mozilla Firefox\firefox.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:


»»»» Presence des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch


»»»» Presence des fichiers dans C:\WINDOWS\system32

Found ! [12/11/2008 11.23] - C:\WINDOWS\system32\mdelk.exe
Found ! [12/11/2008 11.23] - C:\WINDOWS\system32\wintems.exe
Found ! [12/11/2008 11.24] - C:\WINDOWS\system32\ban_list.txt

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

Found ! [12/11/2008 11.21] - C:\WINDOWS\system32\drivers\srosa.sys
Found ! [12/11/2008 11.21] - C:\WINDOWS\system32\drivers\srosa2.sys
Found ! [05/09/2006 09.10] - C:\WINDOWS\system32\drivers\winfilse.exe
Found ! [13/01/2008 16.07] - "C:\WINDOWS\system32\drivers\down"
Found ! [12/11/2008 11.25] - "C:\WINDOWS\system32\drivers\downld"
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\161812.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\162734.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\175828.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\178296.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\179593.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\188250.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\189187.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\190187.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\192234.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\204359.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\208953.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\209125.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\210359.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\214750.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\216750.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\218375.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\219421.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\221937.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\225828.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\228343.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\234234.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\248234.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\248796.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\249609.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\251125.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\253421.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\276750.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\277343.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\283187.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\291046.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\319218.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\320718.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\330875.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\331296.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\335671.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\336156.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\461890.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\474578.exe
Found ! [12/11/2008 11.25] C:\WINDOWS\system32\drivers\downld\481000.exe

»»»» Presence des fichiers dans C:\Documents and Settings\LucaPirilli\Dati applicazioni

Found ! [12/11/2008 11.23] - "C:\Documents and Settings\LucaPirilli\Dati applicazioni\m\flec006.exe"
Found ! [12/11/2008 11.24] - "C:\Documents and Settings\LucaPirilli\Dati applicazioni\m\list.oct"
Found ! [12/11/2008 11.24] - "C:\Documents and Settings\LucaPirilli\Dati applicazioni\m\data.oct"
Found ! [12/11/2008 11.24] - "C:\Documents and Settings\LucaPirilli\Dati applicazioni\m\srvlist.oct"
Found ! [12/11/2008 11.24] - "C:\Documents and Settings\LucaPirilli\Dati applicazioni\m\shared"
Found ! [11/11/2008 19.56] - "C:\Documents and Settings\LucaPirilli\Dati applicazioni\m"

»»»» Presence des fichiers dans C:\DOCUME~1\LUCAPI~1\IMPOST~1\Temp

Found ! - C:\DOCUME~1\LUCAPI~1\IMPOST~1\Temp\PatchByFile.tmp



Tuttavia, provando a rimuovere i virus con FK come suggerito (con riavvio del PC e tutto), non si ottiene nulla dato che una volta riavviato non appare nessuna finestra del programma che mi dice di averli rimossi...

Che caspita devo fare? [V]
Non ho voglia di formattare tutto.... [cry]

Grazie a chi risponderà!
Avatar utente
Lucathegreat
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mer nov 12, 2008 12:20 pm

Re: Virus Bagle... again.

Messaggioda Amantide » mer nov 12, 2008 12:53 pm

Hai usato l'opzione 2 di FindyKill per rimuovere il Bagle?

Dopo il riavvio del pc, se il log non apparirà automaticamente, prova a cercarlo manualmente in C:\FindyKill.txt e postalo qui.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Virus Bagle... again.

Messaggioda Lucathegreat » mer nov 12, 2008 1:50 pm

Sì, l'ho usata ma dopo il riavvio non mi ha detto nulla. [...]
L'unico log che ho è sempre quello di prima, ma ora sotto si è aggiunta questa roba, non so se è apparsa in seguito al riavvio o cosa.... [boh]

--------------- [ Registre / Startup ] ----------------


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
AdslTaskBar REG_SZ rundll32.exe stmctrl.dll,TaskBar
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
SkyTel REG_SZ SkyTel.EXE
RaidTool REG_SZ C:\Programmi\VIA\RAID\raid_tool.exe
RTHDCPL REG_SZ RTHDCPL.EXE
Alcmtr REG_SZ ALCMTR.EXE
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
HP Software Update REG_SZ C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
SunJavaUpdateSched REG_SZ "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
QuickTime Task REG_SZ "C:\Programmi\QuickTime\qttask.exe" -atboottime
BigDogPath REG_SZ C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
AdaptecDirectCD REG_SZ "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
MISAggregator REG_SZ
NWEReboot REG_SZ
NeroFilterCheck REG_SZ C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
CloneCDTray REG_SZ "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
McAfee Guardian REG_SZ "C:\Programmi\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
atdrvbwr REG_SZ C:\ojeajvsf.bat
uaqtqnbv REG_SZ C:\jccsgqjd.bat
MPFExe REG_SZ C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
MCAgentExe REG_SZ c:\PROGRA~1\mcafee.com\agent\mcagent.exe
MCUpdateExe REG_SZ C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
VSOCheckTask REG_SZ "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
VirusScan Online REG_SZ C:\Programmi\McAfee.com\VSO\mcvsshld.exe
OASClnt REG_SZ C:\Programmi\McAfee.com\VSO\oasclnt.exe
MSKAGENTEXE REG_SZ C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
MSKDetectorExe REG_SZ C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
Adobe Reader Speed Launcher REG_SZ "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
Office Monitor Word Exel R REG_SZ C:\WINDOWS\System32\svchs.exe
MsnMsgr REG_SZ "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
DAEMON Tools REG_SZ "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
DownloadAccelerator REG_SZ "C:\Programmi\DAP\DAP.EXE" /STARTUP
DWQueuedReporting REG_SZ "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t

--------------- [ Registre / Clés infectieuses ] ----------------


Found ! - HKEY_USERS\S-1-5-21-682003330-115176313-839522115-1004\Software\Local AppWizard-Generated Applications\MsnMsgr
Found ! - HKEY_USERS\S-1-5-21-682003330-115176313-839522115-1004\Software\Local AppWizard-Generated Applications\winfilse
Found ! - HKEY_USERS\S-1-5-21-682003330-115176313-839522115-1004\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-682003330-115176313-839522115-1004\Software\DateTime4
Found ! - HKEY_USERS\S-1-5-21-682003330-115176313-839522115-1004\Software\FFC
Found ! - HKEY_USERS\S-1-5-21-682003330-115176313-839522115-1004\Software\FirstRRRun
Found ! - HKEY_USERS\S-1-5-21-682003330-115176313-839522115-1004\Software\FirtR
Found ! - HKEY_USERS\S-1-5-21-682003330-115176313-839522115-1004\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\MsnMsgr
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse


In ogni caso adesso FK non mi permette più di fare la scansione e mi dà errore, ma non mi pare si sia risolto niente dato che non riesco ancora ad installare nessun antivirus... [V]

EDIT: Ho riprovato a fare la scansione e stavolta l'ha conclusa in qualche modo, pur dandomi errore... riposto l'intero log che ho al momento:

----------------- FindyKill V4.500 ------------------

* User : LucaPirilli - LUCA
* Emplacement : C:\Programmi\FindyKill
* Outils Mis a jours le 12/11/08 par Chiquitine29
* Recherche effectuée à 13:59:56 le 12/11/2008
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\VM_STI.EXE
C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\DAP\DAP.EXE
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programmi\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programmi\WiFiConnector\NintendoWFCReg.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:


»»»» Presence des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch


»»»» Presence des fichiers dans C:\WINDOWS\system32

Found ! [12/11/2008 13.44] - C:\WINDOWS\system32\mdelk.exe
Found ! [12/11/2008 13.44] - C:\WINDOWS\system32\wintems.exe
Found ! [12/11/2008 13.45] - C:\WINDOWS\system32\ban_list.txt

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

Found ! [12/11/2008 13.43] - C:\WINDOWS\system32\drivers\srosa.sys
Found ! [12/11/2008 13.42] - C:\WINDOWS\system32\drivers\srosa2.sys
Found ! [05/09/2006 09.10] - C:\WINDOWS\system32\drivers\winfilse.exe
Found ! [13/01/2008 16.07] - "C:\WINDOWS\system32\drivers\down"
Found ! [12/11/2008 13.46] - "C:\WINDOWS\system32\drivers\downld"
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\154828.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\155750.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\161812.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\162734.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\163281.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\168593.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\172234.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\175046.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\175828.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\178296.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\179593.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\180453.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\186718.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\188250.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\189187.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\190187.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\192234.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\204359.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\208953.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\209125.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\210359.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\214750.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\216750.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\218375.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\219421.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\221937.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\222156.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\225828.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\228343.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\234234.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\245375.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\245859.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\248234.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\248796.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\249609.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\251125.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\253421.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\276750.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\277343.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\283187.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\288125.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\291046.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\293156.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\294390.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\300234.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\319218.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\320718.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\325296.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\330875.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\331296.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\335671.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\336156.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\461890.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\474578.exe
Found ! [12/11/2008 13.46] C:\WINDOWS\system32\drivers\downld\481000.exe

»»»» Presence des fichiers dans C:\Documents and Settings\LucaPirilli\Dati applicazioni

Found ! [12/11/2008 13.44] - "C:\Documents and Settings\LucaPirilli\Dati applicazioni\m\flec006.exe"
Found ! [12/11/2008 13.45] - "C:\Documents and Settings\LucaPirilli\Dati applicazioni\m\list.oct"
Found ! [12/11/2008 13.45] - "C:\Documents and Settings\LucaPirilli\Dati applicazioni\m\data.oct"
Found ! [12/11/2008 13.45] - "C:\Documents and Settings\LucaPirilli\Dati applicazioni\m\srvlist.oct"
Found ! [12/11/2008 13.45] - "C:\Documents and Settings\LucaPirilli\Dati applicazioni\m\shared"
Found ! [11/11/2008 19.56] - "C:\Documents and Settings\LucaPirilli\Dati applicazioni\m"

»»»» Presence des fichiers dans C:\DOCUME~1\LUCAPI~1\IMPOST~1\Temp

Found ! - C:\DOCUME~1\LUCAPI~1\IMPOST~1\Temp\PatchByFile.tmp

»»»» Presence des fichiers dans C:\Documents and Settings\LucaPirilli\Local Settings\Temporary Internet Files\Content.IE5


--------------- [ Registre / Startup ] ----------------


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
AdslTaskBar REG_SZ rundll32.exe stmctrl.dll,TaskBar
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
SkyTel REG_SZ SkyTel.EXE
RaidTool REG_SZ C:\Programmi\VIA\RAID\raid_tool.exe
RTHDCPL REG_SZ RTHDCPL.EXE
Alcmtr REG_SZ ALCMTR.EXE
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
HP Software Update REG_SZ C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
SunJavaUpdateSched REG_SZ "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
QuickTime Task REG_SZ "C:\Programmi\QuickTime\qttask.exe" -atboottime
BigDogPath REG_SZ C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
AdaptecDirectCD REG_SZ "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
MISAggregator REG_SZ
NWEReboot REG_SZ
NeroFilterCheck REG_SZ C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
CloneCDTray REG_SZ "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
McAfee Guardian REG_SZ "C:\Programmi\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
atdrvbwr REG_SZ C:\ojeajvsf.bat
uaqtqnbv REG_SZ C:\jccsgqjd.bat
MPFExe REG_SZ C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
MCAgentExe REG_SZ c:\PROGRA~1\mcafee.com\agent\mcagent.exe
MCUpdateExe REG_SZ C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
VSOCheckTask REG_SZ "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
VirusScan Online REG_SZ C:\Programmi\McAfee.com\VSO\mcvsshld.exe
OASClnt REG_SZ C:\Programmi\McAfee.com\VSO\oasclnt.exe
MSKAGENTEXE REG_SZ C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
MSKDetectorExe REG_SZ C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
Adobe Reader Speed Launcher REG_SZ "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
Office Monitor Word Exel R REG_SZ C:\WINDOWS\System32\svchs.exe
MsnMsgr REG_SZ "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
DAEMON Tools REG_SZ "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
DownloadAccelerator REG_SZ "C:\Programmi\DAP\DAP.EXE" /STARTUP

--------------- [ Registre / Clés infectieuses ] ----------------


Found ! - HKEY_USERS\S-1-5-21-682003330-115176313-839522115-1004\Software\Local AppWizard-Generated Applications\MsnMsgr
Found ! - HKEY_USERS\S-1-5-21-682003330-115176313-839522115-1004\Software\Local AppWizard-Generated Applications\winfilse
Found ! - HKEY_USERS\S-1-5-21-682003330-115176313-839522115-1004\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-682003330-115176313-839522115-1004\Software\DateTime4
Found ! - HKEY_USERS\S-1-5-21-682003330-115176313-839522115-1004\Software\FFC
Found ! - HKEY_USERS\S-1-5-21-682003330-115176313-839522115-1004\Software\FirstRRRun
Found ! - HKEY_USERS\S-1-5-21-682003330-115176313-839522115-1004\Software\FirtR
Found ! - HKEY_USERS\S-1-5-21-682003330-115176313-839522115-1004\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\MsnMsgr
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\DateTime4
Found ! - HKEY_CURRENT_USER\Software\FirtR
Found ! - HKEY_CURRENT_USER\Software\FirstRRRun
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\DateTime4
Found ! - HKEY_CURRENT_USER\Software\FirtR
Found ! - HKEY_CURRENT_USER\Software\FirstRRRun
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\DateTime4
Found ! - HKEY_CURRENT_USER\Software\FirtR
Found ! - HKEY_CURRENT_USER\Software\FirstRRRun

--------------- [ Etat / Services ] ----------------

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

- sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

- sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

- sans echec non fonctionnel !!



+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

EapHost - Type de démarrage = 3

/!\ Ip6Fw - Type de démarrage = 4

/!\ SharedAccess - Type de démarrage = 4

/!\ wuauserv - Type de démarrage = 4

/!\ wscsvc - Type de démarrage = 4



--------------- [ Recherche dans supports amovibles] ----------------


+- Informations :

C: - Unit… fissa


+- Contenu de l'autorun : C:\autorun.inf



+- presence des fichiers :

Found ! [27/08/2007 16.10][drahs----] - C:\autorun.inf


--------------- [ Registre / Mountpoint2 ] ----------------


-> Not found !


------------------- ! Fin du rapport ! --------------------
Ultima modifica di Lucathegreat il mer nov 12, 2008 2:13 pm, modificato 1 volta in totale.
Avatar utente
Lucathegreat
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mer nov 12, 2008 12:20 pm


Re: Virus Bagle... again.

Messaggioda Amantide » mer nov 12, 2008 2:12 pm

Scarica il ComboFix rinominato da qui ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto.
Speriamo che funziona [^]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Virus Bagle... again.

Messaggioda Lucathegreat » mer nov 12, 2008 2:15 pm

Il Combofix l'avevo provato già prima ma non funziona, appare solo il riquadro blu con il cursore lampeggiante e basta... [V]
Comunque ho editato il messaggio di prima, forse ti è utile per capirci qualcosa. [:)]
Avatar utente
Lucathegreat
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mer nov 12, 2008 12:20 pm

Re: Virus Bagle... again.

Messaggioda Amantide » mer nov 12, 2008 2:33 pm

Prova comunque a vedere se il Combofix rinominato funziona.
Anzi, intanto scarica lo stesso il file pincopallino.exe su desktop.

Poi copia ed incolla il seguente testo su blocconote e salva anche questo file su desktop con il nome CFScript.txt.
Codice: Seleziona tutto
Killall::
File::
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\srosa2.sys
C:\WINDOWS\system32\drivers\winfilse.exe
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\downld
C:\Documents and Settings\LucaPirilli\Dati applicazioni\m
C:\DOCUME~1\LUCAPI~1\IMPOST~1\Temp\PatchByFile.tmp
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\ban_list.txt
C:\ojeajvsf.bat
C:\jccsgqjd.bat
C:\autorun.inf

Folder::
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\downld
C:\Documents and Settings\LucaPirilli\Dati applicazioni\m

Driver::
srosa
sK9Ou0s

Registry::
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"atdrvbwr"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"uaqtqnbv"=-


Ora trascina il file CFScript.txt sull'icona di Pincopallino.exe. A termine dell'operazione postami il log di Combofix.txt

Se non riusciamo a risolvere così, useremo OtMoveIt3
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Virus Bagle... again.

Messaggioda Lucathegreat » mer nov 12, 2008 2:38 pm

Nope, niente da fare, ComboFix/Pincopallino non dà segni di vita nemmeno trascinando il .txt... >__>
Avatar utente
Lucathegreat
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mer nov 12, 2008 12:20 pm

Re: Virus Bagle... again.

Messaggioda Amantide » mer nov 12, 2008 3:06 pm

E vabbè [uhm]

Allora scarica OtMoveIt3, avvialo ed assicurati che la voce Unregister Dll's and Ocx's sia spuntata.
Nello spazio bianco sotto alla voce Paste Instructions for items to be Moved incolla seguente script e clicca su MoveIt!:

Codice: Seleziona tutto
:Processes
explorer.exe
mdelk.exe
winfilse.exe

:Files
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\srosa2.sys
C:\WINDOWS\system32\drivers\winfilse.exe
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\downld
C:\Documents and Settings\LucaPirilli\Dati applicazioni\m
C:\DOCUME~1\LUCAPI~1\IMPOST~1\Temp\PatchByFile.tmp
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\ban_list.txt
C:\ojeajvsf.bat
C:\jccsgqjd.bat
C:\autorun.inf

:Services
srosa
sK9Ou0s

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]


Il log dell'operazione verrà salvato nella cartella C:\_OtMoveIt\MovedFiles sotto la forma del file [nome_e_data].LOG
Copia il suo contenuto ed inseriscilo qui.

Subito dopo il riavvio del pc prova ad eseguire sia l'opzione 2 di Findykill che Elibagla.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Virus Bagle... again.

Messaggioda Bilbovm » mer nov 12, 2008 3:22 pm

guarda guarda....

ieri sera credo di averlo beccato pure io, sul portatile.

non parte l'antivirus, non parte il firewall, non parte firefox (cioè parte ma si chiude subbito) parte solo IE7 [fischio] scan on line niente da fare.

fortunatamente il pc fisso non ha ricevuto nulla.

differenze? antivirus uguale, sul fisso ho comodo, sul portatile online armor3, poi sul portatile ho incredimail e live messanger ed emule, e niente altro (sul fisso niente incredimail e niente live messanger)

mi sa che riformatto tutto stasera....
Bye '73 de Roby.-
http://www.atrieste.eu
Avatar utente
Bilbovm
Senior Member
Senior Member
 
Messaggi: 458
Iscritto il: lun ago 14, 2006 8:09 am

Re: Virus Bagle... again.

Messaggioda Lucathegreat » mer nov 12, 2008 3:24 pm

Ok, allora, qualcosa si è mosso e il pc è stato riavviato.
Nella cartella movedfiles però ho solo 2 log che non riportano l'ora attuale, bensì quella di stamattina (se ben ricordo avevo già provato ad usarlo assieme agli altri consigliati, ma senza risultato...). [rolleyes]
C'è solo una cartella che riporta l'ora corretta dell'ultima scansione (15:13), ma nessun log nè dentro nè fuori tale cartella... [8)]

Ragazzi, che delirio. [nonono]
Avatar utente
Lucathegreat
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mer nov 12, 2008 12:20 pm

Re: Virus Bagle... again.

Messaggioda Amantide » mer nov 12, 2008 3:27 pm

@ Luca...
Prova intanto a rieseguire Findykill ed eventualmente anche Elibagla.

@ Bilbovm
Vedi se riesci a risolvere seguendo la guda nell'ultimo articolo di crazy.cat su Bagle.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Virus Bagle... again.

Messaggioda Lucathegreat » mer nov 12, 2008 3:40 pm

Allora, ho fatto il punto 2 di FK, mi ha riavviato il pc però adesso il log è completamente vuoto. [...]
Con Elibagla invece mi ha dato questo:

Wed Nov 12 15:38:56 2008
EliBagle v11.95 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\LUCAPIRILLI\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\LUCAPIRILLI\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle


Qualcosa ha rimosso, ma per altri ha accesso negato... [uhm]
Avatar utente
Lucathegreat
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mer nov 12, 2008 12:20 pm

Re: Virus Bagle... again.

Messaggioda Bilbovm » mer nov 12, 2008 3:54 pm

ci proverò, se non altro per curiosità. anche se fare il ripristino non mi darebbe molto fastidio visto che non c'è nulla sulla macchina.

ma quello che invece mi preme molto di più, è capire come sta rompitura sia entrata nella macchina, visto che ne avevo due collegate in rete, ma è entrata in una sola......

incredimail? live messanger (che però non era loggato)? emule? o che altro?
Bye '73 de Roby.-
http://www.atrieste.eu
Avatar utente
Bilbovm
Senior Member
Senior Member
 
Messaggi: 458
Iscritto il: lun ago 14, 2006 8:09 am

Re: Virus Bagle... again.

Messaggioda Amantide » mer nov 12, 2008 8:21 pm

Riproviamo un'altra volta con Combofix.

Per iniziare disinstalliamolo.
Vai su Start>> Esegui>> digita combofix /u e premi OK.

Hai possibilità di scaricare il Combofix da un altro computer e trasportarlo su quello infetto tramite chiavetta USB?
Scarica Combofix da qui e salvalo direttamente con un nome di fantasia, per esempio xifobmoc.exe [fischio]
Se non puoi usufruire di un altro PC, prova allora a salvarlo in questo modo direttamente sul pc infetto, importante è che lo salvi su Desktop.
Ora ritorna su Start>> Esegui>> digita "%userprofile%\desktop\xifobmoc.exe" /killall e premi OK.

Fammi sapere.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Virus Bagle... again.

Messaggioda antonpaco » sab nov 15, 2008 9:28 pm

purtroppo il bagle e' il peggiore virus del momento per due motivi fondamentali, il primo e' le tante varianti del virus, non sai mai quale tool serve per eliminarlo, e secondo e' che aggredisce tutti i programmi di sicurezza, proprio per questo molta gente prefrisce formattare, tenta con qualche tool di rimozione per ciascuna variante prelevabili dai siti sophos, symantec e trendmicro, magari hai fortuna.
Avatar utente
antonpaco
Aficionado
Aficionado
 
Messaggi: 136
Iscritto il: dom giu 01, 2008 11:45 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising