Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Infezione Bagle: risolta?

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Infezione Bagle: risolta?

Messaggioda ssjx » mar dic 07, 2010 7:22 pm

Nuovo quesito per gli esperti in sicurezza... ho appena passato 2 ore sul desktop che "manifestava strani comportamenti" secondo mio fratello. Beh gli strani comportamenti erano Outpost firewall totalmente andato, le protezioni di Avast disabilitate irrimediabilmente, praticamente tutte le piccole utility di sicurezza (come HijackThis) andate o corrotte, e svariati altri programmi che non partivano più.... si salvava solo MBAM

Ho cominciato comunque a scansionare con Hitman Pro (visto che lo avevo letto di recente in home) e dopo una decina di scansioni finalmente non trovava più nulla (e ne ha trovata di roba). Passo quindi a MBAM che invece trova un'altra mole immensa di malware/virus fra cui Bagle (in un centinaio di .exe dai nomi più improbabili e per lo più numerici). Vabbè anche qui dopo svariate scansioni finalmente ho tutto pulito... un'altra serie di scansioni incrociate fra MBAM e Hitman (perché poi tornava a riconoscere qualcos'altro) finchè al momento nessuno dei due trova più nulla

Ho infine riattivato Avast e la maggior parte dei programmi e sembra che tutto funzioni nuovamente. A questo punto quindi, prima di lanciare le scansioni di Avast e Minivir, ho pensato di postare il log di HijackThis per sapere se notate nulla.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19.10.21, on 07/12/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe
D:\Programmi\Sicurezza\Avast5\AvastSvc.exe
D:\Programmi\Utility\FreeProxy\FreeProxy.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
D:\Programmi\Utility\Vista Drive Icon\DrvIcon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\NotifyPhoneBook.exe
D:\Programmi\Sicurezza\Avast5\avastUI.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Ray Adams\ATI Tray Tools\atitray.exe
D:\Programmi\Utility\Vista Start Menu\VistaStartMenu.exe
D:\Programmi\Utility\Y'Z Dock\YzDock.exe
D:\Programmi\Sicurezza\Tools\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SICURE~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - D:\Programmi\Utility\Babylon\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [DrvIcon] D:\Programmi\Utility\Vista Drive Icon\DrvIcon.exe
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [avast5] "D:\Programmi\Sicurezza\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programmi\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [Flock Update] "C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\Flock\Update\FlockUpdate.exe" /c
O4 - HKCU\..\Run: [VistaStartMenu] "D:\Programmi\Utility\Vista Start Menu\VistaStartMenu.exe"
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectiOnEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectiOnEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: Translate this web page with Babylon - res://D:\Programmi\Utility\Babylon\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://D:\Programmi\Utility\Babylon\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\PRODUT~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SICURE~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SICURE~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - D:\Programmi\Utility\Babylon\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - D:\Programmi\Utility\Babylon\Utils\BabylonIEPI.dll
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26F66FE2-DD37-4547-9CD0-9337CB788E2A}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC0FEF12-B712-4E2D-8260-2FBE808DAB03}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1734726-E922-4F55-ADEE-F0EA4317B253}: NameServer = 8.8.8.8 8.8.4.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{26F66FE2-DD37-4547-9CD0-9337CB788E2A}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS2\Services\Tcpip\..\{26F66FE2-DD37-4547-9CD0-9337CB788E2A}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS3\Services\Tcpip\..\{26F66FE2-DD37-4547-9CD0-9337CB788E2A}: NameServer = 208.67.222.222,208.67.220.220
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ABBYY FineReader 10 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.10.0) - ABBYY - C:\Programmi\File comuni\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - AVAST Software - D:\Programmi\Sicurezza\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - D:\Programmi\Sicurezza\Avast5\AvastSvc.exe
O23 - Service: Free Proxy Service (FreeProxy) - Unknown owner - D:\Programmi\Utility\FreeProxy\FreeProxy.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

--
End of file - 7448 bytes


Sottolineo che questo PC deve essere sicuro al 100% perché viene usato per accedere alla banca e non vorrei avere sorprese.

Inoltre un'altra domanda: il mio notebook (senza antivirus) si connette al web attraverso il wifi questo PC che funge da access point (rete ad hoc) ... è possibile che l'infezione si sia propagata? Obiettivamente non ho idea se sia possibile o meno...


Grazie mille in anticipo [^]
Usavo IE e mi lamentavo... usavo Mozilla e mi lamentavo, decisamente meno ma mi lamentavo, ... poi ho trovato Opera e fu amore a prima vista
Avatar utente
ssjx
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5756
Iscritto il: ven nov 26, 2004 3:37 pm
Località: Barcellona

Re: Infezione Bagle: risolta?

Messaggioda Sabbb » mar dic 07, 2010 7:44 pm

Anche se AVG (il rescure disck ,in questo caso) fa quasi acqua da tutte le parti,per la rimozione da Beagle a mio avviso è il migliore . D:\Programmi\Utility\FreeProxy\FreeProxy.exe questo D:\Programmi\Utility\Y'Z Dock\YzDock.exe e O4 - HKCU\..\Run: [Flock Update] "C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\Flock \Update\FlockUpdate.exe" /c è roba che conosci? Un analisi sul sito apposta non farebbe male .Hai i DNS di Open vero?
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am

Re: Infezione Bagle: risolta?

Messaggioda ssjx » mar dic 07, 2010 7:59 pm

Sabbb ha scritto:D:\Programmi\Utility\FreeProxy\FreeProxy.exe
D:\Programmi\Utility\Y'Z Dock\YzDock.exe

Si son puliti... il primo è il proxy server per fornire l'accesso internet al notebook, mentre il secondo è una dock

Sabbb ha scritto:O4 - HKCU\..\Run: [Flock Update] "C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\Flock \Update\FlockUpdate.exe" /c

Questa invece è solo sporcizia visto che Flock (browser) l'ho disinstallato [nonono]

Sabbb ha scritto:Un analisi sul sito apposta non farebbe male

? Scusa sono niubbo... che sito?

Sabbb ha scritto:Hai i DNS di Open vero?

Quelli di Google

Ad ogni modo sembra quindi che dovrebbe essere tutto pulito... se nessuno nota altro faccio le scansioni complete con Avast e Minivir e poi dovrei essere a posto
Usavo IE e mi lamentavo... usavo Mozilla e mi lamentavo, decisamente meno ma mi lamentavo, ... poi ho trovato Opera e fu amore a prima vista
Avatar utente
ssjx
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5756
Iscritto il: ven nov 26, 2004 3:37 pm
Località: Barcellona


Re: Infezione Bagle: risolta?

Messaggioda Uomo_Senza_Sonno » mar dic 07, 2010 8:44 pm

ssjx ha scritto:Sottolineo che questo PC deve essere sicuro al 100% perché viene usato per accedere alla banca e non vorrei avere sorprese.

Effettua una scansione con il rescue disk di Gdata e poi installa CIS (Comodo Internet Security). Non dovresti avere problemi a riguardo
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Infezione Bagle: risolta?

Messaggioda hashcat » mar dic 07, 2010 8:59 pm

ssjx ha scritto:Nuovo quesito per gli esperti in sicurezza... ho appena passato 2 ore sul desktop che "manifestava strani comportamenti" secondo mio fratello. Beh gli strani comportamenti erano Outpost firewall totalmente andato, le protezioni di Avast disabilitate irrimediabilmente, praticamente tutte le piccole utility di sicurezza (come HijackThis) andate o corrotte, e svariati altri programmi che non partivano più.... si salvava solo MBAM

Ho cominciato comunque a scansionare con Hitman Pro (visto che lo avevo letto di recente in home) e dopo una decina di scansioni finalmente non trovava più nulla (e ne ha trovata di roba). Passo quindi a MBAM che invece trova un'altra mole immensa di malware/virus fra cui Bagle (in un centinaio di .exe dai nomi più improbabili e per lo più numerici). Vabbè anche qui dopo svariate scansioni finalmente ho tutto pulito... un'altra serie di scansioni incrociate fra MBAM e Hitman (perché poi tornava a riconoscere qualcos'altro) finchè al momento nessuno dei due trova più nulla

Ho infine riattivato Avast e la maggior parte dei programmi e sembra che tutto funzioni nuovamente. A questo punto quindi, prima di lanciare le scansioni di Avast e Minivir, ho pensato di postare il log di HijackThis per sapere se notate nulla.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19.10.21, on 07/12/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe
D:\Programmi\Sicurezza\Avast5\AvastSvc.exe
D:\Programmi\Utility\FreeProxy\FreeProxy.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
D:\Programmi\Utility\Vista Drive Icon\DrvIcon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\NotifyPhoneBook.exe
D:\Programmi\Sicurezza\Avast5\avastUI.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Ray Adams\ATI Tray Tools\atitray.exe
D:\Programmi\Utility\Vista Start Menu\VistaStartMenu.exe
D:\Programmi\Utility\Y'Z Dock\YzDock.exe
D:\Programmi\Sicurezza\Tools\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SICURE~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - D:\Programmi\Utility\Babylon\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [DrvIcon] D:\Programmi\Utility\Vista Drive Icon\DrvIcon.exe
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [avast5] "D:\Programmi\Sicurezza\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programmi\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [Flock Update] "C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\Flock\Update\FlockUpdate.exe" /c
O4 - HKCU\..\Run: [VistaStartMenu] "D:\Programmi\Utility\Vista Start Menu\VistaStartMenu.exe"
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectiOnEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectiOnEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: Translate this web page with Babylon - res://D:\Programmi\Utility\Babylon\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://D:\Programmi\Utility\Babylon\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\PRODUT~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SICURE~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SICURE~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - D:\Programmi\Utility\Babylon\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - D:\Programmi\Utility\Babylon\Utils\BabylonIEPI.dll
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26F66FE2-DD37-4547-9CD0-9337CB788E2A}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC0FEF12-B712-4E2D-8260-2FBE808DAB03}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1734726-E922-4F55-ADEE-F0EA4317B253}: NameServer = 8.8.8.8 8.8.4.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{26F66FE2-DD37-4547-9CD0-9337CB788E2A}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS2\Services\Tcpip\..\{26F66FE2-DD37-4547-9CD0-9337CB788E2A}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS3\Services\Tcpip\..\{26F66FE2-DD37-4547-9CD0-9337CB788E2A}: NameServer = 208.67.222.222,208.67.220.220
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ABBYY FineReader 10 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.10.0) - ABBYY - C:\Programmi\File comuni\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - AVAST Software - D:\Programmi\Sicurezza\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - D:\Programmi\Sicurezza\Avast5\AvastSvc.exe
O23 - Service: Free Proxy Service (FreeProxy) - Unknown owner - D:\Programmi\Utility\FreeProxy\FreeProxy.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

--
End of file - 7448 bytes


Sottolineo che questo PC deve essere sicuro al 100% perché viene usato per accedere alla banca e non vorrei avere sorprese.

Inoltre un'altra domanda: il mio notebook (senza antivirus) si connette al web attraverso il wifi questo PC che funge da access point (rete ad hoc) ... è possibile che l'infezione si sia propagata? Obiettivamente non ho idea se sia possibile o meno...


Grazie mille in anticipo [^]

Il log di hijackthis sembra pulito, io ti consiglierei una scansione con Emsisoft Antimalware la licenza la puoi ottenere facilmente leggendo questo articolo di MegaLab.it.
http://www.MegaLab.it/6698/emsisoft-anti-malware-5-0-gratis-per-6-mesi
Fai una scansione completa e vedi se trova qualcosa, poi potresti postarci il log di Combofix.
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Infezione Bagle: risolta?

Messaggioda ssjx » mar dic 07, 2010 11:09 pm

Uomo_Senza_Sonno ha scritto:e poi installa CIS (Comodo Internet Security)

No viste le prestazioni del PC preferisco restare con Avast+Outpost .... mi riferivo all'assoluta certezza nella pulizia [;)]

Nel frattempo Avast non ha trovato nulla... domani provo anche quelli segnalati [^]
Usavo IE e mi lamentavo... usavo Mozilla e mi lamentavo, decisamente meno ma mi lamentavo, ... poi ho trovato Opera e fu amore a prima vista
Avatar utente
ssjx
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5756
Iscritto il: ven nov 26, 2004 3:37 pm
Località: Barcellona

Re: Infezione Bagle: risolta?

Messaggioda Sabbb » mar dic 07, 2010 11:16 pm

ssjx ha scritto:
Uomo_Senza_Sonno ha scritto:e poi installa CIS (Comodo Internet Security)

No viste le prestazioni del PC preferisco restare con Avast+Outpost
CIS consuma molto meno di Avast + Outpost
Nel frattempo Avast non ha trovato nulla... domani provo anche quelli segnalati [^]
Non fidarti troppo di Avast.Il suggerimento di Uomo (G Data) lo vedo molto meglio.
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am

Re: Infezione Bagle: risolta?

Messaggioda Uomo_Senza_Sonno » mer dic 08, 2010 12:23 am

ssjx ha scritto:No viste le prestazioni del PC preferisco restare con Avast+Outpost .... mi riferivo all'assoluta certezza nella pulizia [;)]

In questo periodo sono troppo sintetico, e a volte così tanto che faccio perdere anche il senso delle mie parole. E me ne scuso.
La scansione con il rescue disk in questo frangente ti servirà a maggiore conferma della rimozione dell'infezione. Per quanto riguarda l'installazione di CIS, sicuramente avrai letto l'articolo a riguardo e ne avrai fatto le tue considerazioni riguardo il possibile impiego sulla macchina in questione. Per maggiori convincimenti, devi rivolgerti a lui [:D]
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Infezione Bagle: risolta?

Messaggioda farbix89 » mer dic 08, 2010 9:27 am

Sabbb ha scritto:CIS consuma molto meno di Avast + Outpost


[^]

Basta leggere la mia firma [:D]
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Infezione Bagle: risolta?

Messaggioda ssjx » mer dic 08, 2010 10:40 am

farbix89 ha scritto:
Sabbb ha scritto:CIS consuma molto meno di Avast + Outpost


[^]

Basta leggere la mia firma [:D]

Uhmm... non so in termini di memoria come stiano le cose, ma ti assicuro che in quanto a prestazioni del sistema (per non parlare dell'avvio) Avast + Outpost free sono stati la migliore accoppiata (e li ho provati tutti, compreso CIS [;)] )
Usavo IE e mi lamentavo... usavo Mozilla e mi lamentavo, decisamente meno ma mi lamentavo, ... poi ho trovato Opera e fu amore a prima vista
Avatar utente
ssjx
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5756
Iscritto il: ven nov 26, 2004 3:37 pm
Località: Barcellona

Re: Infezione Bagle: risolta?

Messaggioda ssjx » lun dic 13, 2010 8:16 pm

hashcat ha scritto:io ti consiglierei una scansione con Emsisoft Antimalware la licenza la puoi ottenere facilmente leggendo questo articolo di MegaLab.it.
http://www.MegaLab.it/6698/emsisoft-anti-malware-5-0-gratis-per-6-mesi
Fai una scansione completa e vedi se trova qualcosa, poi potresti postarci il log di Combofix.

OK dopo le scansioni complete di Avast (trovato nulla) e Minivir (qualcosina di fondamentalmente innocuo), ho provato Emisoft.... sullo specifico non ha trovato nulla, ma in compenso i falsi positivi si sprecano [...] ... mi sa che lo ricestino subito [uhm]

PS
mi incuriosiva una cosa: fra i files rimasti c'erano una serie di exe (ma non solo) sulla root di tutte le partzioni che avevano una particolarità: in esplora risorse non venivano visualizzati nemmeno impostando la visualizzazione dei files nascosti... erano inattivi ed innocui ma non capisco come facessero ad occultarsi [uhm] ... la cosa bella? : questi ultimi li ho sgamati mentre usavo Filezilla [acc2] (che invece le visualizzava normalmente [:D] ) ... avendoli già visti altrove grazie a Minivir ho finito di pulire manualmente (e comunque indicandoli manualmente allo scanner venivano riconosciuti) ... non si finisce mai di imparare [std]
Usavo IE e mi lamentavo... usavo Mozilla e mi lamentavo, decisamente meno ma mi lamentavo, ... poi ho trovato Opera e fu amore a prima vista
Avatar utente
ssjx
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5756
Iscritto il: ven nov 26, 2004 3:37 pm
Località: Barcellona

Re: Infezione Bagle: risolta?

Messaggioda FDAC » lun dic 13, 2010 8:31 pm

Hai proprio ragione, caro Ssjx.
L'importante, è che tutto sia andato per il verso giusto.
Comunicaci dunque lo stato di salute del tuo sistema.
Ciao :)
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: Infezione Bagle: risolta?

Messaggioda ssjx » lun dic 13, 2010 9:32 pm

Beh direi che ormai tutti i tool antivirus/malware sono d'accordo quindi non vedo perché non dovrei esserlo io :P
Usavo IE e mi lamentavo... usavo Mozilla e mi lamentavo, decisamente meno ma mi lamentavo, ... poi ho trovato Opera e fu amore a prima vista
Avatar utente
ssjx
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5756
Iscritto il: ven nov 26, 2004 3:37 pm
Località: Barcellona

Re: Infezione Bagle: risolta?

Messaggioda FDAC » mar dic 14, 2010 2:00 pm

Bene, problema risolto. Ciao!
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Bing [Bot] e 1 ospite

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising