www.MegaLab.it

[kandiska]

Crazy...Ciao...Ahimè ho ripreso il virus Bagle a distanza di un paio di anni....Sto seguendo la procedura descritta ad un altro ragazzo avente lo stesso problema...Sto facendo la scansione con Malwarebytes visto che anch'io non riesco ad utilizzare kaspersky online.....Volevo sapere dopo postare il log successivo alla scansione....Grazie...

[kandiska]

Crazy...ok..ok....Ho visto cm postare il log...Appena finito il controllo mi ci dai una okkiata gentilmente...

[crazy.cat]

Ho bisogno del file che genera l'infezione per poterlo studiare, se riesci a caricarlo su un sito di hosting dati come questo http://www.wikifortio.com/ e poi mandarmi il link per poterlo scaricare con un PM.

Scarica FindyKill ed installalo (è in francese però è di facile comprensione).
Una volta installato chiudi tutte le applicazioni attive e disconnettiti dal internet, poi clicca sull'icona di FindyKill e nella finestra dos che si aprirà scrivi 2 e premi Invio. Attendi il termine della scansione ed il riavvio e posta qui il log che trovi in C:\FindyKill.txt

[kandiska]

Scusami...Ma attualmente sto facendo la scansione con Malwarebytes...non devo farla..cioè devo interromperla?? E pi...Che file deve farti avere sul sito che mi hai appena dato...per poter studiare l'origine dell'infezione,dove lo prendo???SE ho capito bene non è il log che mi uscirà fuori da questo programma francese,giusto?

[kandiska]

Crazy...Ritornando al file d'origine del problema sinceramente non so qual è precisamente quello infetto anche perché il problema è sorto stamani improvvisamente quando ho riacceso il pc...questo mi fa supporre che il virus l'ho preso ieri ma è entrato in funzione nel momento in cui ho spento e riacceso il pc..giusto.. credi che sia così?Sono sicuro che è un bagle per il semplice motivo che tutti i programmi di protezione sono disabilitati,come il ripristino di sistema che non mi parte ed idem per la modalità provvisoria...Questo è quello che è successo...ora ti chiedo cosa devo fare??Qui ti posto il file log che mi è uscito fuori dalla scansione completa con Malwarebytes' Anti-Malware non so se ti servirà o meno,ma ho preferito finire la scansione e ci sono ben 27 file infetti..Devo cancellarli??Aspetto tue notizie

Malwarebytes' Anti-Malware 1.32
Versione del database: 1630
Windows 5.1.2600 Service Pack 3

08/01/2009 13.08.54
mbam-log-2009-01-08 (13-08-49).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 118999
Tempo trascorso: 1 hour(s), 10 minute(s), 55 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 5
Valori di registro infetti: 1
Elementi dato del registro infetti: 0
Cartelle infette: 5
File infetti: 10

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sk9ou0s (Worm.Bagel) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sk9ou0s (Worm.Bagel) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sk9ou0s (Worm.Bagel) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sk9ou0s (Worm.Bagel) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webmediaplayer (Rogue.WebMediaPlayer) -> No action taken.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
C:\Programmi\WebMediaPlayer (Rogue.WebMediaPlayer) -> No action taken.
C:\Programmi\WebMediaPlayer\resources (Rogue.WebMediaPlayer) -> No action taken.
C:\Programmi\WebMediaPlayer\skins (Rogue.WebMediaPlayer) -> No action taken.
C:\Programmi\WebMediaPlayer\updates (Rogue.WebMediaPlayer) -> No action taken.
C:\Documents and Settings\pc\Dati applicazioni\m (Trojan.Agent) -> No action taken.

File infetti:
C:\Documents and Settings\pc\Dati applicazioni\drivers\srosa2.sys (Worm.Bagel) -> No action taken.
C:\Programmi\WebMediaPlayer\sqlite3.dll (Rogue.WebMediaPlayer) -> No action taken.
C:\Programmi\WebMediaPlayer\uninst.exe (Rogue.WebMediaPlayer) -> No action taken.
C:\Programmi\WebMediaPlayer\WebMediaPlayer.exe (Rogue.WebMediaPlayer) -> No action taken.
C:\Programmi\WebMediaPlayer\resources\wmp_translation_file.xml (Rogue.WebMediaPlayer) -> No action taken.
C:\Programmi\WebMediaPlayer\skins\classic.skn (Rogue.WebMediaPlayer) -> No action taken.
C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> No action taken.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> No action taken.
C:\Documents and Settings\pc\Dati applicazioni\m\flec006.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\All Users\Desktop\WebMediaPlayer.lnk (Adware.EGDAccess) -> No action taken.

[crazy.cat]

si cancella tutto quello che ha trovato malwarebytes, e poi fai la scansione con findykill.
Per il file lascia stare se non sai quale sia.

[kandiska]

Crazy...allora...questo è il log della scansione di Findykill...

----------------- FindyKill V4.711 ------------------

* User: pc - MELVIN
* Executed from : C:\Programmi\FindyKill
* Update on 05/01/09 by Chiquitine29
* Start at 13:54:07 the 08/01/2009
* Windows XP - Internet Explorer 7.0.5730.11

((((((((((((((((( *** Searching *** ))))))))))))))))))


--------------- [ Active Processes ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programmi\Mozilla Firefox\firefox.exe

--------------- [ Infected files / folders ] ----------------


»»»» Presence Files in C:


»»»» Presence Files in C:\WINDOWS


»»»» Presence Files in C:\WINDOWS\Prefetch


»»»» Presence Files in C:\WINDOWS\system32


»»»» Presence Files in C:\WINDOWS\system32\drivers


»»»» Presence Files in C:\Documents and Settings\pc\Dati applicazioni


»»»» Presence Files in C:\DOCUME~1\pc\IMPOST~1\Temp


»»»» Presence Files in C:\Documents and Settings\pc\Local Settings\Temporary Internet Files\Content.IE5


--------------- [ Registry / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
msnmsgr="C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
yawgois="c:\documents and settings\pc\impostazioni locali\dati applicazioni\yawgois.exe" yawgois

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
RemoteControl=C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz=nwiz.exe /install
ADMTray.exe="C:\Acer\Empowering Technology\admtray.exe"
LManager=C:\PROGRA~1\LAUNCH~1\LManager.exe
RTHDCPL=RTHDCPL.EXE
Alcmtr=ALCMTR.EXE
AzMixerSel=C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
SynTPEnh=C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
IntelZeroConfig="C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe"
IntelWireless="C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
EOUApp="C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe"
AVP="C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
TkBellExe="C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
muBlinder=C:\Documents and Settings\pc\Desktop\muBlinder\muBlinder.exe -startup
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
<NO NAME>=


--------------- [ Registry / Infected keys ] ----------------




--------------- [ States / Services ] ----------------



+- Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - Type of startup = 3

EapHost - Type of startup = 2

Ip6Fw - Type of startup = 2

SharedAccess - Type of startup = 2

wuauserv - Type of startup = 2

wscsvc - Type of startup = 2


--------------- [ Searching in removable drives ] ----------------


+- Informations :

C: - Unit… fissa


+- Presence of files :



--------------- [ Registry / Mountpoint2 ] ----------------


-> Not found !


------------------- ! End of report ! --------------------

[crazy.cat]

Ma l'antivirus ti funziona adesso?
Il bagle non sembra essersi attivato del tutto.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nel box bianco che si è aperto:

Codice: Seleziona tutto

Files to delete:
c:\documents and settings\pc\impostazioni locali\dati applicazioni\yawgois.exe
c:\documents and settings\pc\impostazioni locali\dati applicazioni\yawgois.dat
c:\documents and settings\pc\impostazioni locali\dati applicazioni\yawgois_nav.dat
c:\documents and settings\pc\impostazioni locali\dati applicazioni\yawgois_navps.dat

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se ti da un errore di script errato, prova a riscrivere manualmente la prima riga (Files to delete:) ricordando i due punti.

[kandiska]

No...l'antivirus non mi funziona...Mi dice che è un'applicazione di win32 non valida...Ora provo a fare la procedura con Avenger...Grazie per l'aiuto...sempre gentilissimo Crazy!

[kandiska]

Ecco il resoconto di Avenger che sembra andato a buon fine ma continua a non funzionare nessun programma di sicurezza incluso Kaspersy:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "c:\documents and settings\pc\impostazioni locali\dati applicazioni\yawgois.exe" deleted successfully.
File "c:\documents and settings\pc\impostazioni locali\dati applicazioni\yawgois.dat" deleted successfully.
File "c:\documents and settings\pc\impostazioni locali\dati applicazioni\yawgois_nav.dat" deleted successfully.
File "c:\documents and settings\pc\impostazioni locali\dati applicazioni\yawgois_navps.dat" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[kandiska]

Che mi consigli di fare...?...Dammi qualche dritta perché non sono in grado di risolvere da solo!!!

[crazy.cat]

Che mi consigli di fare...?.

Hai reinstallato gli antivirus scaricando nuovamente i programmi di installazione originali?
hai provato ad installare un altro antivirus?

Prova a ripensare a quali file provenienti dal p2p hai usato ieri e vedi se riesci a recuperarlo e passarmelo.
Mi serve il file originale infetto per fare delle prove.

[kandiska]

Ok provo prima a disinstallare e reinstallare l'antivirus...poi provo a recuperare i file sospetti e te li posto sul sito...A tal proposito volevo chiederti...posso postarteli più di una alla volta o è possibile solo singolarmente???

[crazy.cat]

.A tal proposito volevo chiederti...posso postarteli più di una alla volta o è possibile solo singolarmente???

Fai un archivio unico e caricali su quel sito che ti ho indicato, al termine dell'upload ti danno un link per poter scaricare il file e mi passi il link con un messaggio privato.

[kandiska]

Crazy...allora ..prima di inviarti i file sospetti che sono riuscito a recuperare voglio farti il resoconto generale della situazione del mio notebook...Praticamente non mi funziona Il ripristino di sistema.modalità provvisoria,problema con la rilevazione wireless di windows,suoni di sistema,periferiche usb e altre cose simili oltre ai vari programmi kaspersky,msn e così via...Spero che in quei file ci sia quello che potrà farti capire cosa fare per risolvere sto bordello...!!

[crazy.cat]

Intanto prova a reinstallare l'antivirus, se non funziona kaspersky, scarica avira freeware e prova con quello.
Poi leggi questo
http://www.MegaLab.it/2657/4/bagle-un-w ... -antivirus
e usa gli allegati all'articolo per ripristinare qualche problema.

[kandiska]

Ok...perfetto...Per chi sta seguendo la discussione...ho inviato i programmi sospetti contenenti i potenziali virus ed effettivamente crazy mi ha confermato che sono presenti particolari tipi di bagle più evoluti penso...Li studierà e ci farà sapere domani su come intervenire...Nel frattempo vi dico che apparentemente il mio pc sembra essere privo di imperfezioni nel senso che tutti i vari problemi elencati sopra ora non sono più presenti(Kaspersky dopo l'installazione parte tranquillamente,così come tutti i programmi di sicurezza,perfiriche audio e usb perfettamente funzionanti...Ho riattivato tutti i servizi disattivati dal virus tramite la guida nel link precedente postatomi da Crazy...In attesa di maggiori sviluppi ringrazio Crazy per la gentile ed efficiente collaborazione

[crazy.cat]

Una volta reinstallato kaspersky, fai una scansione completa del disco fisso e di eventuali periferiche esterne per eventuali rimasugli di virus che possono essere sfuggiti.