Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Aiuto virus Bagle

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Aiuto virus Bagle

Messaggioda pro27 » dom feb 03, 2008 3:17 am

Come molti in questo periodo mi sono lasciato infettare da questo virus, variante bagle.iw

Ho fatto un a scansione con kaspersky 6 e qualcosa ha eliminato, ma il pc non si accende in modalità provvisoria.

Allego il report di kaspersky online e resto in attesa di un aiuto per debellarlo.

Grazie, pro27
Avatar utente
pro27
Neo Iscritto
Neo Iscritto
 
Messaggi: 24
Iscritto il: dom feb 03, 2008 2:09 am

Messaggioda ste_95 » dom feb 03, 2008 7:28 am

L'antivirus ti funziona?

Ripristina la modalità provvisoria utilizzando questo file.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda pro27 » lun feb 04, 2008 1:27 pm

Grazie mille per l'attenzione Ste_95.

Dunque, l'antivirus funziona, ad ogni accensione (che è diventata decisamente lenta) KAV mi trova il trojan (Bagle.iw al percorso C://WINT/system32/driver/srosa.exe (se non sbaglio, perché sono andato a memoria) e lo elimina, ma questo riaccade ad ogni nuova accensione.
Il pc una volta acceso non sembra avere grossi problemi di lentezza.

Insomma il virus da qualche parte c'è ancora.


Come da tuo consiglio ho ripristinato la modalità provvisoria e il pc ora vi accede.
Non essendosi avviato KAV in mod provvisoria, non mi ha ritrovato il trojan. Ho quindi avviato manualmente KAV e gli ho fatto fare una scansione delle risorse del computer, contemporaneamente ho pulito il registro con Ccleaner e scansionato con spy-bot (entrambi in modalità normale non si aprivano).Risultato:
Spy-bot mi ha trovato 37 voci infette da Win32.Bagle.hi (KAV però parlava di Bagle.iw), una da Win32.Agent.bgy e una da Microsoft.WindowsSecurityCentre_disabled.
KAV invece non ha rilevato nulla.

Ho quindi riavviato il PC e Spy-bot in auto ha eseguito una nuova scansione senza trovare nulla.

Il PC si è avviato normalmente e KAV non ha rilevato nulla, inotre la console di win mi ha evidenziato che il firewall e gli aggiornamenti auto erano disabilitati e gli ho ripristinati.

Sembrerebbe che Spy-bot abbia quindi eliminato il trojan, adesso faccio una nuova scansione col Kaspersky online e ti rimando il log se puo servirti.

Grazie ancora per i consigli.
Avatar utente
pro27
Neo Iscritto
Neo Iscritto
 
Messaggi: 24
Iscritto il: dom feb 03, 2008 2:09 am


Messaggioda pro27 » lun feb 04, 2008 1:40 pm

Cavolo non credo di aver sconfitto Bagle [cry+]

Kaspersky online sta eseguendo la scansione e per il momento ha trovato 1 virus e 4 oggetti sospetti [uhm]

Appena termina la scansione posto il log

Mannaggia al bagle!! [:p]
Avatar utente
pro27
Neo Iscritto
Neo Iscritto
 
Messaggi: 24
Iscritto il: dom feb 03, 2008 2:09 am

Messaggioda pro27 » lun feb 04, 2008 2:27 pm

Ecco il log
Avatar utente
pro27
Neo Iscritto
Neo Iscritto
 
Messaggi: 24
Iscritto il: dom feb 03, 2008 2:09 am

Messaggioda ste_95 » lun feb 04, 2008 2:37 pm

Disabilita il ripristino configurazione di sistema.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WinBaglehi23.zip
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WinBaglehi6.zip
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

Folders to delete:
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Riscarica gli installer dei programmi di sicurezza e prova a reinstallare un antivirus.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda pro27 » lun feb 04, 2008 2:51 pm

Seguito il procedimento ma non mi pare sia andato a buon fine, onvatti al riavvio KAV6 ha tornato ad avvisarmi di aver trovato un virus.
Ho quindi eseguito nuovamente l'operazione tramite Avenger e al riavvio KAV non ha fatto una piega.

Però dai log non mi pare che abbia fatto tutto, allego in file zip entrambi i log avuti da avenger

Ste_95 grazie mille
Avatar utente
pro27
Neo Iscritto
Neo Iscritto
 
Messaggi: 24
Iscritto il: dom feb 03, 2008 2:09 am

Messaggioda ste_95 » lun feb 04, 2008 3:09 pm

Prova a eliminare il file che kaspersky segnala, quindi chiudi kaspersky ed esegui lo script di avenger.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda pro27 » lun feb 04, 2008 3:18 pm

Il file che segna KAV (quando lo fa) l'ho sempre eliminato.

Ancora non è andato in porto Avenger... ecco il log:

Codice: Seleziona tutto
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\effnhkxw

*******************

Script file located at: \??\C:\Program Files\xhonchuy.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\WINDOWS\system32\drivers\srosa.sys for deletion
Deletion of file C:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc000003a



Could not open file C:\WINDOWS\system32\wintems.exe for deletion
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc000003a



Could not open file C:\windows\system32\drivers\hldrrr.exe for deletion
Deletion of file C:\windows\system32\drivers\hldrrr.exe failed!

Could not process line:
C:\windows\system32\drivers\hldrrr.exe
Status: 0xc000003a



Could not open file C:\WINDOWS\system32\mdelk.exe for deletion
Deletion of file C:\WINDOWS\system32\mdelk.exe failed!

Could not process line:
C:\WINDOWS\system32\mdelk.exe
Status: 0xc000003a



File C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WinBaglehi23.zip not found!
Deletion of file C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WinBaglehi23.zip failed!

Could not process line:
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WinBaglehi23.zip
Status: 0xc0000034



File C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WinBaglehi6.zip not found!
Deletion of file C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WinBaglehi6.zip failed!

Could not process line:
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WinBaglehi6.zip
Status: 0xc0000034



File C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe not found!
Deletion of file C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe failed!

Could not process line:
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
Status: 0xc0000034



Could not open folder C:\WINDOWS\system32\drivers\down for deletion
Deletion of folder C:\WINDOWS\system32\drivers\down failed!

Could not process line:
C:\WINDOWS\system32\drivers\down
Status: 0xc000003a



Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Status: 0xc0000034


Completed script processing.

*******************

Finished!  Terminate.



Scusa la domanda ma come mai devo eliminare TeaTimer di Spy-bot?
Avatar utente
pro27
Neo Iscritto
Neo Iscritto
 
Messaggi: 24
Iscritto il: dom feb 03, 2008 2:09 am

Messaggioda ste_95 » lun feb 04, 2008 3:20 pm

Se noti dal log di kaspersky, il file è stato infettato.

Scarica GMER e vedi se nella scheda rootkit ti segnala delle attività in rosso.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda pro27 » lun feb 04, 2008 3:26 pm

In rosso nulla.

Questo è il risultato:

Codice: Seleziona tutto
GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2008-02-04 15:28:56
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT            \??\C:\WINNT\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)  ZwEnumerateKey [0xF3D755B0]
SSDT            \??\C:\WINNT\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)  ZwEnumerateValueKey [0xF3D75660]
SSDT            \??\C:\WINNT\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)  ZwQuerySystemInformation [0xF3D83AD0]

Code            \??\C:\WINNT\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)  FsRtlCheckLockForReadAccess
Code            \??\C:\WINNT\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)  IoIsOperationSynchronous

---- Devices - GMER 1.0.14 ----

Device          \FileSystem\Ntfs \Ntfs                                              87180B60

AttachedDevice  \FileSystem\Ntfs \Ntfs                                              klif.sys (spuper-ptor/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Ip                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                           kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Udp                                           kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                         kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Modules - GMER 1.0.14 ----

Module          _________                                                           F738D000-F73A5000 (98304 bytes)

---- Threads - GMER 1.0.14 ----

Thread          4:136                                                               86E7C330
Thread          4:140                                                               86E7C330
Thread          4:144                                                               86D58F10
Thread          4:148                                                               86D58F10
Thread          4:152                                                               86D58F10
Thread          4:552                                                               86E7C330
Thread          4:764                                                               86E7C330

---- EOF - GMER 1.0.14 ----


Chiedo scusa credo di aver avuto troppa fretta, sto riscansionando e c'è molta più roba. Aspetta che posto il nuovo log
Avatar utente
pro27
Neo Iscritto
Neo Iscritto
 
Messaggi: 24
Iscritto il: dom feb 03, 2008 2:09 am

Messaggioda ste_95 » lun feb 04, 2008 3:34 pm

pro27 ha scritto:Chiedo scusa credo di aver avuto troppa fretta, sto riscansionando e c'è molta più roba. Aspetta che posto il nuovo log


Sembrava strano. [^]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda pro27 » lun feb 04, 2008 3:36 pm

Eccoci qua, lo zippo perché è decisamente più lungo [acc2]
comunque in rosso non ho visto nulla.

Grazie ancora
Avatar utente
pro27
Neo Iscritto
Neo Iscritto
 
Messaggi: 24
Iscritto il: dom feb 03, 2008 2:09 am

Messaggioda ste_95 » lun feb 04, 2008 3:38 pm

Prova a eseguire una scansione completa del sistema con kaspersky.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda pro27 » lun feb 04, 2008 4:03 pm

Adesso non posso in quanto non sono più su quella postazione. Stasera provo ad effettuarla, ma tu intendi con Kaspersky online o col KAV6 installato sulla macchina?

Nel frattempo rinnovo i ringraziamenti per l'assistenza [^]
Avatar utente
pro27
Neo Iscritto
Neo Iscritto
 
Messaggi: 24
Iscritto il: dom feb 03, 2008 2:09 am

Messaggioda ste_95 » lun feb 04, 2008 4:13 pm

Prima con quello installato e poi con quello on-line.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda pro27 » lun feb 04, 2008 10:04 pm

Ciao ste_95, ho scansionato il pc con KAV6 e mi ha trovato una variante del bagle (bagle.jf) che ho eliminato.

Ho quindi scansionato tramite l'online di kaspersky e questo è il log.

Come mi devo muovere?
Avatar utente
pro27
Neo Iscritto
Neo Iscritto
 
Messaggi: 24
Iscritto il: dom feb 03, 2008 2:09 am

Messaggioda ste_95 » mar feb 05, 2008 7:44 am

Hai ancora gli avvisi all'avvio? In caso positivo riprova con lo script di Avenger.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda pro27 » mer feb 06, 2008 9:16 pm

Se per avvisi intendi la segnalazione di KAV6, allora le ultime 2 accensioni sono state "pulite".

Altrimenti non ho capito cosa intendi per avviso.

Ps. ma il kaspersky online mi segnalava ancora infezioni, sbagliava?
Avatar utente
pro27
Neo Iscritto
Neo Iscritto
 
Messaggi: 24
Iscritto il: dom feb 03, 2008 2:09 am

Messaggioda ste_95 » gio feb 07, 2008 7:01 am

Ti segnalava delle cose nei backup di avenger. Sembra tutto a posto.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising