Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

un altro caso Bagle... aiuto ( postato i 2 file GMER)

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

un altro caso Bagle... aiuto ( postato i 2 file GMER)

Messaggioda alfdib » lun feb 26, 2007 6:29 pm

Crazy, Amantide,
ecco qui un altro che necessita del vostro aiuto.
Vi faccio l'upload del rootkit e autostart del mio infettato Windows 2000 SP4.

Se cortesemente mi volete dare lo script da mettere in Avenger vi ringrazio molto [:)]

Ieri ho trovato queso sito che sembra dare dei cleaner per vari Bagle:
http://www.nod32.it/download/free-virus-remover.php

che ne pensate?

Grazie infinitamente per la vostra disponibilità a nome mio e, credo, anche degli altri che beneficiano della vostra disponibilità... [prego]

PS : non si può fare un topic dove si spiegano le regole per fare lo script per Avenger partendo da GMER in modo che vi solleviamo un poco da questo carico di lavoro? o non c'è in internet una guida in tal senso? Mi dispiace infatti rubarvi tempo e pensare che dobbiate fare uqesto lavoro ex novo per ogni persona con questo problema.
Ipse Fabrum Suae Quemquae Fortunae ( Ognuno è artefice del proprio destino)
Avatar utente
alfdib
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: lun feb 26, 2007 6:06 pm

Re: un altro caso Bagle... aiuto ( postato i 2 file GMER)

Messaggioda crazy.cat » lun feb 26, 2007 6:43 pm

alfdib ha scritto:PS : non si può fare un topic dove si spiegano le regole per fare lo script per Avenger partendo da GMER in modo che vi solleviamo un poco da questo carico di lavoro? o non c'è in internet una guida in tal senso? Mi dispiace infatti rubarvi tempo e pensare che dobbiate fare uqesto lavoro ex novo per ogni persona con questo problema.


Non basta l'articolo di amantide?
http://www.MegaLab.it/2657
alla fine il log cambia solo nel nome dell'utente.

Adesso leggo il tuo e poi ti rispondo
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda crazy.cat » lun feb 26, 2007 6:49 pm

prova con questo log per avenger

Codice: Seleziona tutto
Files to delete:
C:\Documents and Settings\adb\Dati applicazioni\hidires\m_hook.sys
C:\Documents and Settings\adb\Dati applicazioni\hidires\hidr.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe

folders to delete:
C:\Documents and Settings\adb\Dati applicazioni\hidires
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr


Poi segui il resto delle istruzioni nell'articolo su come ripristinare i servizi mancanti e poi reinstalla i programmi non funzionanti
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Messaggioda alfdib » lun feb 26, 2007 6:56 pm

Grazie Crazy!
Sinceramente l'articolo l'avevo letto ben 3 volte ma non sono riuscito a capire bene il passaggio da GMER a Avenger...
Ma sicuramente sarà perché non sono abbastanza afferrato nell'argomento.
Adesso provo il tuo script e poi ti faccio sapere.
Ipse Fabrum Suae Quemquae Fortunae ( Ognuno è artefice del proprio destino)
Avatar utente
alfdib
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: lun feb 26, 2007 6:06 pm

Messaggioda Amantide » lun feb 26, 2007 7:06 pm

Ciao alfdib e benvenuto [:)]

Ieri ho trovato queso sito che sembra dare dei cleaner per vari Bagle:
http://www.nod32.it/download/free-virus-remover.php

che ne pensate?

Non c'è questa variante di Bagle, quindi è inutile.

PS : non si può fare un topic dove si spiegano le regole per fare lo script per Avenger partendo da GMER in modo che vi solleviamo un poco da questo carico di lavoro?

Vedi anche qui il perché questa guida non sarà scritta mai.
http://www.MegaLab.it/forum/viewtopic.p ... 016#226016

Non dipende tutto solo da Gmer, non è un programa che ha il database antivirale e ti dice lui cosa dev'essere eliminato. Si, qualcosa riconosce e te lo indica, ma se non si ha una minima conoscenza della struttura del windows e dei processi e servizi principali... non aiuterà nessuna guida.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda alfdib » mar feb 27, 2007 4:21 pm

Dunque,
una cosa interessante che potrebbere aprire un nuovo metodo per risolvere Bagle...
ho provato a mettere lo script in Avenger ma poi, quando ripartivo non so perché ma avenger mi dava qualche errore... ho provato quindi in modalità provvisoria ( usando Boot Safe) ma in questo caso avenger non riusciva a scompattare gli ZIP...
allora avendo letto in giro che il programma Hijackthis è molto potente gli ho fatto fare una scansione e poi ho eliminato tutte le voci che avevano nomi simili a quelli che Crazy aveva messo nel suo script.
Sembra abbia funzionato!
infatti sono riuscito ad installare AVS, Zone Alarm di nuovo.
Le mie domande, ora sono:
come faccio ad essere sicuro che non ci sia più al 100%?
e' fattibile la mia procedura o sono stato semplicemente fotunato o in realtà non ho risolto nulla?

Grazie per il vostro aiuto!
Ciao
Ipse Fabrum Suae Quemquae Fortunae ( Ognuno è artefice del proprio destino)
Avatar utente
alfdib
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: lun feb 26, 2007 6:06 pm

Messaggioda crazy.cat » mar feb 27, 2007 4:57 pm

alfdib ha scritto:Le mie domande, ora sono:
come faccio ad essere sicuro che non ci sia più al 100%?

a mano apri il regedit e cominci a cercare tutte le chiavi legate ai nomi che ti avevo postato nel log.

Poi cerchi gli eventuali file presenti nel tuo pc (ma uno potrebbe essere nascosto) e quindi completamente invisibile.

Ma aspettiamo conferma da amantide che ha studiato questo virus.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Amantide » mar feb 27, 2007 4:59 pm

alfdib ha scritto:e' fattibile la mia procedura o sono stato semplicemente fotunato o in realtà non ho risolto nulla?

Direi la seconda [fischio]

Il fatto che Avenger ti ha restituito qualche errore, non vuol dire che non è riuscito a portare al termine l'esecuzione dello script.
Hijackthis è più un strumento di diagnostica e senza l'aiuto di altri strumenti può fare ben poco, contro Bagle tra altro è completamente inefficace.
Se sei riuscito a vedere nel log di Hijackthis qualche voce citata da crazy.cat allora vuol dire che il grosso è stato già eliminato prima, perché quelle voci diventono visibili solo dopo aver eliminato il rootkit che nasconde l'infezione.

Io direi che ora il tuo pc è pulito, però se vuoi la certezza, postaci il log Autostart di Gmer.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda alfdib » mar feb 27, 2007 5:05 pm

yes my lady!
here you are:

vediamo se sono stato fortunato... [8)]
Ipse Fabrum Suae Quemquae Fortunae ( Ognuno è artefice del proprio destino)
Avatar utente
alfdib
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: lun feb 26, 2007 6:06 pm

Messaggioda Amantide » mar feb 27, 2007 5:19 pm

Il log è pulito [;)]
Se vuoi sapere se si tratta della questione di *** [fischio] oppure di buon lavoro svolto da Avenger, cerca il C:\ il file avenger.txt con il report. Potrebbero esserci anche altri report in C:\avenger\
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda alfdib » mar feb 27, 2007 5:36 pm

Come temevo...

essendo partito, l'ultima volta, in modalità provvisoria, sembra che Avenger non riuscisse a funzionare... ( infatti vedi tutti failed nel file...)

Comunque questo file non è indicativo del fatto che Avenger abbia funzionato o meno dato che l'ho eseguito 2 volte in modalità normale e 1 volta in modalità provvisoria ( e l'ultimo Avenger .txt ha sovrascritto sicuramente le precedenti).

E' probabile, come dici tu, che lo script di Crazy abbia funzionato ugualmente anche se mi ha dato dei messaggi di errore e a questo punto Hijackthis ha solamente fatto un piccolo lavoro finale ( dato che prima di usarlo non mi lasciava installare gli AVS e ZA vari...).

Farò la verifica come suggerito da Crazy.cat ma quando avrò più tempo.

Non so dirti...

Spero che questa mia esperienza sia stata utile anche a voi perché, forse sbaglio, ma ritengo che hijackthis abbia dato un mano ( anche se come dici tu, da solo non basta).

Grazie Amantide e grazie Crazy.cat!
[^]
Senza il vostro aiuto... avrei probabilmente formattato...
Ipse Fabrum Suae Quemquae Fortunae ( Ognuno è artefice del proprio destino)
Avatar utente
alfdib
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: lun feb 26, 2007 6:06 pm

Messaggioda crazy.cat » mar feb 27, 2007 6:30 pm

Se sei riuscito a reinstallare i programmi di sicurezza e funzionano, qualcosa è cambiato.

nello script per avenger si mettono ormai per abitudine tutte le voci che potrebbero esserci (meglio abbondare che metterne in meno, in mezzo ad un lungolog potrebbe anche sfuggire qualcosa), quindi qualche messaggio di errore o di file mancante potrebbe anche starci.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda crazy.cat » mar feb 27, 2007 6:31 pm

Se sei riuscito a reinstallare i programmi di sicurezza e funzionano, qualcosa è cambiato.

nello script per avenger si mettono ormai per abitudine tutte le voci che potrebbero esserci (meglio abbondare che metterne in meno, in mezzo ad un lungolog potrebbe anche sfuggire qualcosa), quindi qualche messaggio di errore o di file mancante potrebbe anche starci.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda alfdib » ven mar 02, 2007 2:20 pm

Scusate se torno, ma da quando ho risolto e reinstallato AVS e Zone Alarm ogni volta che mi riparte il PC la tastiera non funziona ( è una USB) e devo togliere l'attacco e rimetterlo subito dopo per farla funzionare...
la cosa interessante è che anche se all'inizio non mi funziona, la lucina del lucchetto con il 9 è accesa...
c'entra col lavoro che abbiamo fatto?
grazie
Ipse Fabrum Suae Quemquae Fortunae ( Ognuno è artefice del proprio destino)
Avatar utente
alfdib
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: lun feb 26, 2007 6:06 pm

Messaggioda Amantide » ven mar 02, 2007 8:37 pm

Prova a disabilitare l'avvio automatico di zone alarm e vedi se te lo rifà.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda alfdib » dom mar 04, 2007 8:28 pm

l'ho fatto ma purtroppo non è quello... :-(
Ipse Fabrum Suae Quemquae Fortunae ( Ognuno è artefice del proprio destino)
Avatar utente
alfdib
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: lun feb 26, 2007 6:06 pm

Messaggioda crazy.cat » dom mar 04, 2007 8:38 pm

alfdib ha scritto:l'ho fatto ma purtroppo non è quello... :-(

Prova ad andare nel bios del pc e vedere se trovi una voce "usb legacy support" o qualcosa di simile e abilitala.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda alfdib » lun mar 05, 2007 9:37 pm

sono andato nel BIOS, era già su enabled...
non è che ho tolto il caricamento di qualche driver di tastiera per sbaglio quando ho fatto il lavoro per togliere Bagle?
Ipse Fabrum Suae Quemquae Fortunae ( Ognuno è artefice del proprio destino)
Avatar utente
alfdib
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: lun feb 26, 2007 6:06 pm

Messaggioda Amantide » lun mar 05, 2007 9:57 pm

alfdib ha scritto:non è che ho tolto il caricamento di qualche driver di tastiera per sbaglio quando ho fatto il lavoro per togliere Bagle?

Seguendo le nostre istruzioni di sopra - sicuramente no [std] , per il resto non saprei cosa hai combinato da solo giocherellando con Hijackthis [boh]

A questo punto l'unica cosa che ti potrei consigliare è reinstallare i driver della tastiera.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda alfdib » mar mar 06, 2007 8:14 pm

Probabilmente hai ragione Amantide....
sicuramente ho giocherellato troppo allegramente con degli strumenti da dottore specialista..
e ora ne porto le conseguenze...
Ieri in effetti, come dicevi tu.. ho provato a fare quello che suggerisci ma sinceramnete non ci sono riuscito...
che software si usa? o devo semplicemente cancellare i driver specificati sotto la tastiera in Gestione Periferiche (kbdclass.sys + kbdhid.sys) e poi farglieli reinstallare tramite "trova nuovo hardwr"?
Ipse Fabrum Suae Quemquae Fortunae ( Ognuno è artefice del proprio destino)
Avatar utente
alfdib
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: lun feb 26, 2007 6:06 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising