www.MegaLab.it

[Pciccio]

Ciao, un virus mi ha messo fuori uso antivir, spybot e hijackthis! Un paio di volte il computer mi si è riavviato da solo mentre utilizzavo emule. Forse ho scaricato un file infetto, ma lo avevo scansionato con antivir senza avere segnalazioni di positività.
Riporto qui l'analisi con Virus Total che infatti conferma il fatto che Antivir non lo riconosce come virus mentre molti altri sì (è la terza volta che Avira mi tradisce). Ora sto scansionando il pc con Kaspersky online scanner poi vi aggiornerò. Se intanto avete qualche suggerimento ve ne sarei infinitamente grato.

[stevens]

ciao

fai subito una scansione con questo programma

http://dc108.4shared.com/download/75022 ... 1-de3379fb

Doppio click sull'icona Findykill per avviare l'installazione:
Inserisci la prima spunta per accettare la licenza e prosegui > Suivant
Clicca su "Si" per destinare una cartella al programma
Clicca su Dèmarrer > Quitter per terminare l'installazione.
Cerca l'icona del programma sul desktop o in programmi ed eseguilo
Dovrai usare prima il tasto 1 (invio) per la ricerca e successivamente il tanto 2 (invio) per la pulizia.
Il report delle operazioni effettuate lo trovarai in C:\FindyKill.txt
Allega il rapporto nella tua risposta.

USA SOLO L'OPZIONE 2

[Pciccio]

Ciao Stevens, grazie per la risposta. Allora, mentre tu mi rispondevi stavo facendo lo scan online con Kaspersky che però ha incontrato un errore durante l'aggiornamento. Poi ho seguito i tuoi suggerimenti lanciando prima la ricerca con 1 , durante la quale ho intravisto due messaggi di errore relativi a non so cosa, infine ho rilanciato il programma con l'opzione 2 però ho avuto una schermata blu con successivo riavvio e quindi sto ancora qua...ora non ho il PC infetto a portata di mano, attendo comunque preziosi suggerimenti.

[Amantide]

Scarica ComboFix , salvandolo sul desktop con un nome di fantasia, ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto inserendolo tra i tag LOG, in questo modo:

Codice: Seleziona tutto

[LOG]qui va inserito il log[/LOG]

[ste_95]

@Piccio
Sei in grado di zippare il malware e caricarmelo qui? Provvederei a inviarlo ai laboratori di Avira e lo terrei per un eventuale test.
Grazie.

[stevens]

disattiva il ripristino e prova ad eseguire combofix come ti ha consigliato Amantide

[Pciccio]

Grazie ragazzi, non riesco a fare niente perché per ogni tentativo che faccio ottengo "non è un'applicazione di Win32 valida" nonostante abbia disattivato il ripristino di sistema. Ehm..dovrei ancora avere da qualche parte il MegalabCD rivelatosi necessario circa un anno fa...ste, tu ne sai qualcosa... sarà ancora utile? Comunque non riesco a caricarti il malware dove dici tu perché non riesco ad aprire il tuo link. Ah dimenticavo, allego il log di findykill anche se a mio avviso gli mancava qualche minuto di cottura come accennato in precedenza, comunque credo ci siano informazioni interessanti, che mi dite?

----------------- FindyKill V4.707 ------------------

* User : Giovanni - FRANCI
* Emplacement : C:\Programmi\FindyKill
* Outils Mis a jours le 06/12/08 par Chiquitine29
* Recherche effectuée à 1:53:10 le 27/04/2009
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\SupportAppXL\cdrom_mon.exe
C:\Programmi\Launch Manager\LaunchAp.exe
C:\Programmi\Launch Manager\PowerKey.exe
C:\Programmi\Launch Manager\HotkeyApp.exe
C:\Programmi\Launch Manager\CtrlVol.exe
C:\Programmi\Launch Manager\Wbutton.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programmi\Alice Mobile\Alice Mobile.exe
C:\Programmi\Internet Explorer\iexplore.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:


»»»» Presence des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Found ! - C:\WINDOWS\Prefetch\HOTKEYAPP.EXE-27506939.pf
Found ! - C:\WINDOWS\Prefetch\KEY_GEN.EXE-3A9DB8A7.pf
Found ! - C:\WINDOWS\Prefetch\POWERKEY.EXE-21CFE9B7.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32


»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers


»»»» Presence des fichiers dans C:\Documents and Settings\Giovanni\Dati applicazioni


»»»» Presence des fichiers dans C:\DOCUME~1\Giovanni\IMPOST~1\Temp


»»»» Presence des fichiers dans C:\Documents and Settings\Giovanni\Local Settings\Temporary Internet Files\Content.IE5

Found ! [13/09/2007 13.31] - C:\Documents and Settings\All Users\Dati applicazioni\Skype\Plugins\Local Cache\7B5560BB781B40259A06350E9B643B6E_more.jpg
Found ! [02/04/2008 00.42] - C:\Documents and Settings\All Users\Dati applicazioni\Skype\Plugins\Local Cache\D3987B641C134048B815DB578D607F42_more.jpg

--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
SpybotSD TeaTimer=C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
LaunchApp=LaunApp
IgfxTray=C:\WINDOWS\System32\igfxtray.exe
HotKeysCmds=C:\WINDOWS\System32\hkcmd.exe
AcerNotebookManager=
LaunchAp=C:\Programmi\Launch Manager\LaunchAp.exe
PowerKey="C:\Programmi\Launch Manager\PowerKey.exe"
LManager=C:\Programmi\Launch Manager\HotkeyApp.exe
CtrlVol=C:\Programmi\Launch Manager\CtrlVol.exe
Wbutton="C:\Programmi\Launch Manager\Wbutton.exe"
AGRSMMSG=AGRSMMSG.exe
NeroFilterCheck=C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
EPSON Stylus C64 Series=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
avgnt="C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min /nosplash"
Adobe Reader Speed Launcher="C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
QuickTime Task="C:\Programmi\QuickTime\qttask.exe" -atboottime
iTunesHelper="C:\Programmi\iTunes\iTunesHelper.exe"
BluetoothAuthenticationAgent=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
Thunderbird="C:\Programmi\Mozilla Thunderbird\thunderbird.exe"
SunJavaUpdateSched="C:\Programmi\Java\jre6\bin\jusched.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\Disabled=
SynTPLpr=C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
SynTPEnh=C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
QuickTime Task="C:\Programmi\QuickTime\qttask.exe" -atboottime
PCSuiteTrayApplication=C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
Sony Ericsson PC Suite="C:\Programmi\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
NBKeyScan="C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

[HKEY_CURRENT_USER\software\local appwizard-generated applications\key_gen]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\LaunchAp]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\LaunchApp]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\TeaTimer]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\Wbutton]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]

--------------- [ Registre / Clés infectieuses ] ----------------


Found ! - HKEY_USERS\S-1-5-21-3595745839-738886159-432117756-1007\Software\bisoft
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s

--------------- [ Etat / Services ] ----------------

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

- sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

- sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

- sans echec non fonctionnel !!



+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

EapHost - Type de démarrage = 3

/!\ Ip6Fw - Type de démarrage = 4

/!\ SharedAccess - Type de démarrage = 4

/!\ wuauserv - Type de démarrage = 4

/!\ wscsvc - Type de démarrage = 4



--------------- [ Recherche dans supports amovibles] ----------------


+- Informations :

C: - Unit… fissa

D: - Unit… fissa

F: - Unit… CD-ROM

G: - Unit… fissa

H: - Unit… rimovibile


+- Contenu de l'autorun : F:\autorun.inf

[autorun]
open=OnSpcLCK.exe
Icon=CD.ICO


+- presence des fichiers :

Found ! [11/07/2006 00.33][-r-------] - F:\autorun.inf


--------------- [ Registre / Mountpoint2 ] ----------------


-> Not found !


------------------- ! Fin du rapport ! --------------------

[stevens]

scarica questo programmino... il download lo trovi in fondo alla pagina

http://www.zonavirus.com/datos/descarga ... ibagla.asp

lancia il programma e spunta '' ELIMINAR FICHEROS AUTOMATICAMENTE''

clicca su EXPLORAR per avviare la scansione


quando avra' finito troverai il log in C:\InfoSat.txt. - copiali in blocco note e postalo nel forum

Appena finito, posta il log e vedi se riesci a far partire combofix

nel download dai un nome a caso, ABC.EXE o altro - e' il bagle che impedisce l'avvio

Nel log che hai postato ci sono delle infezioni del bagle, ma bisogna rimuoverle-

[cosmo]

Provato ad eseguire una scansione con combofix da modalità provvisoria??

[ste_95]

La modalità provvisoria non esiste più con Bagle. Il MegaLabCD lo devi ricreare. Prova a ricaricare il file adesso.

[Pciccio]

..il MegaLabCD lo devi ricreare..

Immagino perché è aggiornato, giusto?

[ste_95]

Immagino perché è aggiornato, giusto?

Sì.

[Pciccio]

Allora stevens: ho lanciato il programmino come si chiama , bel fikeros, ma ha iniziato con una finestrina tipo "recercando 124 ficheros viricos" poi non ho visto più niente....
Intanto per sfruttare questo post prima di una risposta che spero arrivi, allego la lista dei processi se può essere utile

Processi2.JPG

Ste, ti ho uploadato il file, guarda se riesci ad averlo

[stevens]

ciao Pciccio

postami il log della scansione - lo trovi in C:\InfoSat.txt.

[Pciccio]

Ciao, sono riuscito ad accedere al forum dopo tre tentativi senza successo dato che il PC si riavvia da solo continuamente. All'avvio del pc Elibagle è partito da solo (?) , ho lanciato lo scan con eliminazione automatica selezionata, mi dice che il figheiro è stato eliminato, ciononostante il bastardello è tornato fuori con strafottenza - si presenta sotto queste sembianze -

Finestra Keygen.JPG

e il pc si è riavviato da solo. Dopo è ripartito elibagle senza però stavolta trovare niente, torna fuori il bastardello ma stavolta non chiudo la sua finestra e per adesso il pc non si riavvia.
Riporto il primo log di elibagle :

(28-4-2009 16:27:24)
EliBagle v12.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\DOCUMENTS AND SETTINGS\GIOVANNI\DATI APPLICAZIONI\DRIVERS\WINUPGRO.EXE Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\GIOVANNI\DATI APPLICAZIONI\DRIVERS\SROSA2.SYS Eliminado Bagle(rootkit)
C:\DOCUMENTS AND SETTINGS\GIOVANNI\DATI APPLICAZIONI\M\FLEC006.EXE Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\GIOVANNI\DATI APPLICAZIONI\M\LIST.OCT Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\GIOVANNI\DATI APPLICAZIONI\DRIVERS\DOWNLD\1855698.EXE Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\GIOVANNI\DATI APPLICAZIONI\DRIVERS\DOWNLD\829262.EXE Eliminado Bagle.dldr
C:\DOCUMENTS AND SETTINGS\GIOVANNI\DATI APPLICAZIONI\DRIVERS\DOWNLD\912972.EXE Eliminado Bagle

(28-4-2009 16:55:46)
EliBagle v12.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\GIOVANNI\DATI APPLICAZIONI\DRIVERS\WINUPGRO.EXE Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\GIOVANNI\DATI APPLICAZIONI\M\FLEC006.EXE Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\GIOVANNI\DATI APPLICAZIONI\DRIVERS\DOWNLD\1070409.EXE Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\GIOVANNI\DATI APPLICAZIONI\DRIVERS\DOWNLD\1093852.EXE Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\GIOVANNI\DATI APPLICAZIONI\DRIVERS\DOWNLD\1316192.EXE Eliminado Bagle

(28-4-2009 20:59:39)
EliBagle v12.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\GIOVANNI\DATI APPLICAZIONI\DRIVERS\WINUPGRO.EXE Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\GIOVANNI\DATI APPLICAZIONI\M\FLEC006.EXE Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

(28-4-2009 20:59:55)
EliBagle v12.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Programmi\AutoPowerOn\KEY_GEN.EXE Eliminado Bagle.dldr

Nº Total de Directorios: 6288
Nº Total de Ficheros: 61122
Nº de Ficheros Analizados: 14082
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

(28-4-2009 21:12:12)
EliBagle v12.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\GIOVANNI\DATI APPLICAZIONI\DRIVERS\WINUPGRO.EXE Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\GIOVANNI\DATI APPLICAZIONI\M\FLEC006.EXE Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Sembra che ancora il mio pc abbia la febbre suina. Cosa posso fare?

[ste_95]

Riprova con FindyKill e Combofix.

[stevens]

ti ha tolto 10 infezioni del bagle.....

[Pciccio]

ste, ho riprovato ma è ancora impossibile eseguire combofix, stasera proverò con findykill...a me sembra che ancora questo virus sia radicato da qualche parte...comunque fammi sapere qualcosa del file che ti ho uploadato

[cosmo]

ste, ho riprovato ma è ancora impossibile eseguire combofix.........

Neanche se scaricandolo dal sito prima di premere salva lo salvi con un nome a caso tipo "renegade" ??

[ste_95]

Come puoi vedere:
http://www.virustotal.com/analisis/b163 ... 24e7dfa1cc
Antivir si è attrezzato da solo ancora prima che io gli mandassi il sample.

Riprova con Elibagle e subito dopo con FindyKill e Combofix.