Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Indovinate? Esatto! Beagle pure io.

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Indovinate? Esatto! Beagle pure io.

Messaggioda torch » ven feb 08, 2008 10:37 pm

Salve a tutti.

Quest'oggi il mulo mi ha portato in dono il beagle :-(
(Solito problema "applicazione non valida win 32" , firewall (Comodo) disabilitato, AVG non caricato, e compagnia bella).

Ho letto i numerosi threads già aperti sull'argomento: ho disabilitato il ripristino automatico ed ho appena avviato la scansione on-line con kaspersky; appena avrà finito posterò qui il log.

Nel mentre, vi vorrei chiedere.

Voi reinstallereste Comodo Firewall + AVG antivirus, o propendereste per un'alta accoppiata? Suggerimenti?

Intanto grazie,
torcH
Avatar utente
torch
Senior Member
Senior Member
 
Messaggi: 343
Iscritto il: ven feb 08, 2008 9:12 pm

Messaggioda ste_95 » ven feb 08, 2008 10:54 pm

Consiglierei COMODO + Avira Antivir PE. Risolviamo un problema alla volta.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda torch » sab feb 09, 2008 10:02 am

Salve,

allego il log di Kaspersky.
Ho già scaricato il Megalab_The_Avenger (e disattivato il ripristino automatico).

Qualche anima pia potrebbe dirmi quali stringhe devo inserire in Avenger?

Grazie e saluti,
torcH
Avatar utente
torch
Senior Member
Senior Member
 
Messaggi: 343
Iscritto il: ven feb 08, 2008 9:12 pm


Messaggioda crazy.cat » sab feb 09, 2008 10:11 am

Scarica Avenger http://www.MegaLab.it/forum/viewtopic.p ... 172#325172

Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nel box bianco che si è aperto:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
G:\Downloads\eMule\arch\Photomatix Pro 2.4  Plugin Tone Mapping  Keygen By The Camel Updated-Fixed Release 05-2007.rar

folders to delete:
c:\WINDOWS\system32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA



Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà e prova a reinstallare subito l'antivirus.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda torch » sab feb 09, 2008 10:20 am

Salve,

ecco qui il log restituitomi da avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ecyojsav

*******************

Script file located at: \??\C:\asppwkfs.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034

File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.


File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034

File C:\windows\system32\drivers\hldrrr.exe deleted successfully.


File C:\WINDOWS\system32\mdelk.exe not found!
Deletion of file C:\WINDOWS\system32\mdelk.exe failed!

Could not process line:
C:\WINDOWS\system32\mdelk.exe
Status: 0xc0000034

_________


Ma devo disinstallare prima delle nuove versioni, il vecchio antivirus ed il vecchio firewall?
Avatar utente
torch
Senior Member
Senior Member
 
Messaggi: 343
Iscritto il: ven feb 08, 2008 9:12 pm

Messaggioda torch » sab feb 09, 2008 10:27 am

Salve,

sono riuscito ad installare antivir, ma quando provo a lanciare l'applicazione mi "dice" che non è un'applicazione di win32 valida...
Avatar utente
torch
Senior Member
Senior Member
 
Messaggi: 343
Iscritto il: ven feb 08, 2008 9:12 pm

Messaggioda crazy.cat » sab feb 09, 2008 10:32 am

Devi riscaricare un nuovo file di installazione di antivir, quello vecchio viene danneggiato dal virus.
(anche se tu avevi una strana versione del virus, di solito ci sono molte cose infette rispetto a quelle che avevi tu)
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda torch » sab feb 09, 2008 10:37 am

Salve,

ma il file di installazione di antivir l'ho scaricato da un altro pc e l'ho messo sul notebook infettato solo per l'installazione, dopo aver effettuato la pulizia con Avenger...

Comunque ora lo stò riscaricando e provo subito ad installarlo.

MA dal log che ho postato sembra essersi tutto risolto?

(vedo un sacco di "deletion failed"...)

Grazie e saluti,
torcH
Avatar utente
torch
Senior Member
Senior Member
 
Messaggi: 343
Iscritto il: ven feb 08, 2008 9:12 pm

Messaggioda torch » sab feb 09, 2008 10:42 am

Niente: ho nuovamente scaricato antivir (Date: 09-24-2007 - Version: 7.06.00.270).

Continua a non aprirmi l'eseguibile: non è un'applicazione win 32 valida...

________________


Aggiungo che anche in modalità provvisoria (che prima non andava, e che ho rispristinato con il vostro file di registro), antivir non gira: non è un'applicazione win 32 valida...
Ultima modifica di torch il sab feb 09, 2008 10:58 am, modificato 1 volta in totale.
Avatar utente
torch
Senior Member
Senior Member
 
Messaggi: 343
Iscritto il: ven feb 08, 2008 9:12 pm

Messaggioda crazy.cat » sab feb 09, 2008 10:58 am

torch ha scritto:(vedo un sacco di "deletion failed"...)

Il virus, a seconda della variante, mette vari file nascosti che non vengono visti nelle scansioni online, per quello li inseriamo tutti nello script.
Quindi alcuni possono non esserci.

Ha rimosso alcune cose, ma di solito c'è molto altro di infetto nei pc, almeno uno dei file in esecuzione automatica viene infettato, nella tua scansione non si vedeva niente.

Prova a scaricare gmer e vediamo che voci in rosso saltano fuori quando lo apri
http://www.gmer.net/gmer.zip
Ed elibagla vediamo se trova qualcosa
http://www.zonavirus.com/datos/descarga ... ibagla.asp

(Un nuovo bagle?....speriamo di no...)
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda torch » sab feb 09, 2008 11:03 am

Ok,

grazie anche per le spiegazioni.

Ho scaricato gmer ed elibagla

Per ora eligabla:

Detectado Gusano Bagle

...


E gmer: Process: c:windows\system32\drivers\hldrrr.exe (*** hidden ***) Value 2584

Che faccio?
Avatar utente
torch
Senior Member
Senior Member
 
Messaggi: 343
Iscritto il: ven feb 08, 2008 9:12 pm

Messaggioda torch » sab feb 09, 2008 11:24 am

Salve,


ho fatto una scansione completa con gmer.

Allego il log.

In rosso mi ha segnato:

file c:windows\system32\drivers\srosa.sys


e

service c:windows\system32\drivers\srosa.sys
Avatar utente
torch
Senior Member
Senior Member
 
Messaggi: 343
Iscritto il: ven feb 08, 2008 9:12 pm

Messaggioda ste_95 » sab feb 09, 2008 11:31 am

Dovresti eseguire una nuova scansione con kaspersky.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda torch » sab feb 09, 2008 11:34 am

No, davvero?

Altre 11 ore di scansione...

Posso fare qualcosaltro prima, o dici che è l'unica?

Grazie e saluti,
torcH

p.s.: e se spostassi alcuni archivi (delle .iso già verificate) per diminuire il tempo di scansione?
Avatar utente
torch
Senior Member
Senior Member
 
Messaggi: 343
Iscritto il: ven feb 08, 2008 9:12 pm

Messaggioda ste_95 » sab feb 09, 2008 11:35 am

Puoi spostare in un hard disk esterno degli mp3 e delle foto sane, e poi non scansionarlo avendovi all'interno solo le cose sicuramente non infette. In ogni caso credo che sia nuovamente necessaria, se l'infezione c'è ancora probabilmente ha infettato qualcos'altro.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda torch » sab feb 09, 2008 11:37 am

Ok, grazie.

Ora ho riavviato il sistema e si è caricato automaticamente EliBagla che ha trovato SROSA.SYS -> Bagle (rootkit)...
Avatar utente
torch
Senior Member
Senior Member
 
Messaggi: 343
Iscritto il: ven feb 08, 2008 9:12 pm

Messaggioda torch » sab feb 09, 2008 11:52 am

Allora:

ho riavviato il sistema, ho provato ad installare Antivir ed ora funziona!

Allego il log della scansione del disco c: che ha effettuato automaticamente.

L'unica voce che ha problemi è la seguente:

C.windows\system32\drivers\sptd.sys This file could not be opened!

Ora nè elibagla nè gmer trovano nulla di anomalo.

Come mi muovo?

Grazie
Avatar utente
torch
Senior Member
Senior Member
 
Messaggi: 343
Iscritto il: ven feb 08, 2008 9:12 pm

Messaggioda ste_95 » sab feb 09, 2008 11:53 am

Che infezione salterina... Meglio così:

Ripristina anche la modalità provvisoria utilizzando questo file.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda torch » sab feb 09, 2008 11:58 am

Salve,

ste_95 ha scritto:Che infezione salterina... Meglio così:

Ripristina anche la modalità provvisoria utilizzando questo file.


sisi, meglio così, per carità :-)

Ma ora come procedo?

Reinstallo il Firewall, mi ricollego in rete, aggiorno l'antivirus, eseguo una completa scansione in locale e via dicendo o cos'altro?

Grazie
Avatar utente
torch
Senior Member
Senior Member
 
Messaggi: 343
Iscritto il: ven feb 08, 2008 9:12 pm

Messaggioda ste_95 » sab feb 09, 2008 11:59 am

torch ha scritto:Reinstallo il Firewall, mi ricollego in rete, aggiorno l'antivirus, eseguo una completa scansione in locale


Esatto.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising