Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Curiosità su Bagle

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Curiosità su Bagle

Messaggioda Jon Paul Lord » dom giu 28, 2009 9:12 pm

Buonasera a tutti, scusate la domanda:
Ho contratto il virus Bagle tramite un Key Generator (sono un idiota, lo so); ho letto che disattiva completamente tutti gli antivirus, ma vedo che Spyware Doctor blocca le azioni sul registro di quei processi dannosi. Tramite Process Viewer, sono riuscito a risalire alle cartelle che contengono i file .exe da cui partono i processi e li ho eliminati manualmente (Spyware Doctor ha eliminato aclune chiavi di registro e alcune infezioni); una cosa non mi quadra: non mi si apre Windows Messenger e prima, dopo aver eliminato quei file, quando l'ho lanciato, essi si sono rigenerati e sono ricomparsi gli avvisi di Spyware Doctor che mi diceva di aver bloccato alcuni processi dannosi...

La mia domanda è questa: possibile che sia Messenger il problema? Adesso sembra tutto sotto controllo (tra l'altro non c'è più nè il processo winupgro.exe nè l'altro che cominciava sempre con win ma non ricordo), sarò apposto? Come faccio con MSN?

Grazie della pazienza e della collaborazione...
Avatar utente
Jon Paul Lord
Aficionado
Aficionado
 
Messaggi: 82
Iscritto il: mer feb 20, 2008 4:53 pm
Località: Roma

Re: Curiosità su Bagle

Messaggioda ste_95 » dom giu 28, 2009 10:24 pm

Jon Paul Lord ha scritto:La mia domanda è questa: possibile che sia Messenger il problema? Adesso sembra tutto sotto controllo (tra l'altro non c'è più nè il processo winupgro.exe nè l'altro che cominciava sempre con win ma non ricordo), sarò apposto? Come faccio con MSN?

Probabile. Scarica ComboFix , salvandolo sul desktop con un nome di fantasia, ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto inserendolo tra i tag LOG, in questo modo:
Codice: Seleziona tutto
[LOG]qui va inserito il log[/LOG]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Curiosità su Bagle

Messaggioda Jon Paul Lord » dom giu 28, 2009 10:29 pm

ste_95 ha scritto:
Jon Paul Lord ha scritto:La mia domanda è questa: possibile che sia Messenger il problema? Adesso sembra tutto sotto controllo (tra l'altro non c'è più nè il processo winupgro.exe nè l'altro che cominciava sempre con win ma non ricordo), sarò apposto? Come faccio con MSN?

Probabile. Scarica ComboFix , salvandolo sul desktop con un nome di fantasia, ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto inserendolo tra i tag LOG, in questo modo:
Codice: Seleziona tutto
[LOG]qui va inserito il log[/LOG]


Nel frattempo che mi rispondessi (e grazie di averlo fatto [:)] ) con spyware doctor ho aggiunto alle azioni, quella di bloccare il file WINUPGRO.EXE; fatto ciò, quando lancio msn, spyware doctor mi dice che è stato bloccato il processo msnmsgr.exe perché stava tentando di chiudere un file (?) e il percorso rimanda a WINUPGRO.EXE: a bloccare l'ho bloccato, e stavo reinstallando msn...

P.S. Sto per andare off topic: sul sito di messenger, dove c'è scritto download, clicco, mi manda su un sito, ma poi mi reindirizza su un sito dove mi fa vedere un'immagine di musica (brutalizer.com)... Non riesco a scaricare il file!
Avatar utente
Jon Paul Lord
Aficionado
Aficionado
 
Messaggi: 82
Iscritto il: mer feb 20, 2008 4:53 pm
Località: Roma


Re: Curiosità su Bagle

Messaggioda ste_95 » dom giu 28, 2009 10:56 pm

Usa Combofix. [;)]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Curiosità su Bagle

Messaggioda Jon Paul Lord » dom giu 28, 2009 10:59 pm

ste_95 ha scritto:Usa Combofix. [;)]


Ora sto andando a letto, grazie mille... Comunque, reinstallando msn il problema non me lo dà più... [rolleyes]
Per sicurezza domani uso Combofix, thank you! [grazie]
Avatar utente
Jon Paul Lord
Aficionado
Aficionado
 
Messaggi: 82
Iscritto il: mer feb 20, 2008 4:53 pm
Località: Roma

Re: Curiosità su Bagle

Messaggioda ste_95 » lun giu 29, 2009 6:25 am

Il problema è proprio MSN, perché Bagle infetta ogni volta un eseguibile in avvio automatico in modo da garantirsi la reinfezione. Una passata con ComboFIx io la darei comunque.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Curiosità su Bagle

Messaggioda Mikleman » lun giu 29, 2009 11:28 am

sono d'accordo con ste (meglio essere prudenti) ,fai una scansione con combofix e postaci il log.
Avatar utente
Mikleman
Aficionado
Aficionado
 
Messaggi: 87
Iscritto il: lun mar 30, 2009 10:37 pm

Re: Curiosità su Bagle

Messaggioda developerwinme » mer lug 01, 2009 2:31 pm

Jon Paul Lord ha scritto:ho letto che disattiva completamente tutti gli antivirus, ma vedo che Spyware Doctor blocca le azioni sul registro di quei processi dannosi.


Ciao, è vero che Bagle disattiva completamente quasi tutti gli antivirus ma basta un qualsiasi software HIPS o Antivirus/AntiSpyware/Firewall con questa funzionalità (Kaspersky, ZoneAlarm Pro, Comodo, Online Armor ecc...) che sia in grado di rilevare e bloccare il caricamento e la modifica dei servizi (e dei driver, che poi su windows sono la stessa cosa(o quasi)) e Bagle non può disattivare un bel niente. Inoltre sembra che alcune varianti di Bagle non funzionino quando è in eecuzione l'utility ProcessMonitor di Sysinternals.

Spero di aver soddisfatto la tua curiosità(come da titolo). Ciao
PC: ASUS X53S (Intel Core i7-2670QM 2.20 Ghz, RAM 8 GB, NVIDIA GeForce GT520MX, Windows 8 Pro)
Mobile: Nokia Lumia 710 (CPU 1,4 Ghz, RAM 512 MB, Windows Phone 7.8)
--
developerwinme.wordpress.com
Avatar utente
developerwinme
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5014
Iscritto il: mar dic 30, 2008 7:00 pm
Località: Como

Re: Curiosità su Bagle

Messaggioda antonpaco » gio lug 02, 2009 6:02 pm

non dimentichiamo che del virus bagle esiteranno almeno un ventina di varianti, tutte diverse tra di loro, personalmente mi e' capitato di risolvere un bagle sul pc di mio fratello solamente con findykill mentre un altro tipo di bagle sul pc di un collega non c'e' stato nulla da fare, ha dovuto fromattare.
Avatar utente
antonpaco
Aficionado
Aficionado
 
Messaggi: 136
Iscritto il: dom giu 01, 2008 11:45 am

Re: Curiosità su Bagle

Messaggioda developerwinme » ven lug 03, 2009 9:29 am

Ciao antonpaco,

antonpaco ha scritto:non dimentichiamo che del virus bagle esiteranno almeno un ventina di varianti, tutte diverse tra di loro, personalmente mi e' capitato di risolvere un bagle sul pc di mio fratello solamente con findykill mentre un altro tipo di bagle sul pc di un collega non c'e' stato nulla da fare, ha dovuto fromattare.


questo è vero ma tutte le varianti (o almeno quelle più pericolose) necessitano di caricare un driver (normalmente srosa.sys) che serve per eliminare i software di sicurezza e nascondere i processi e le chiavi di registro del virus, oltre al driver stesso. Quello che voglio dire io è che Bagle potrebbe essere facilmente sconfitto, o almeno il risultato di una sua infezione molto ridotto, in presenza di un buon software HIPS configurato correttamente, come quelli citati nel mio precedente post.
PC: ASUS X53S (Intel Core i7-2670QM 2.20 Ghz, RAM 8 GB, NVIDIA GeForce GT520MX, Windows 8 Pro)
Mobile: Nokia Lumia 710 (CPU 1,4 Ghz, RAM 512 MB, Windows Phone 7.8)
--
developerwinme.wordpress.com
Avatar utente
developerwinme
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5014
Iscritto il: mar dic 30, 2008 7:00 pm
Località: Como


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 15 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising