C'è o non c'è Bagle? Questo è il problema...

[vegahardware]

Ciao a tutti...

ieri anche io sono stato una delle vittimi del famoso Bagle!

Ho seguito i vostri consigli per la rimozione, ma sembra che qualcosa ancora è nel pc! Anche se fancendo la scansione con ELIBAGLA e con Avenger non mi trova nulla, a differenza del programma Prevx CSI che mi trova infetti i seguenti file: vsdatant.sys, hldrrr.exe, wintems.exe, ashDisp.exe ma non posso eliminarli perchè il software è senza licenza.

Vi allego i LOG di HijackThis e GEM tramite questo link www.webalice.it/viniciocolonna/Logs.zip/ poichè la dimensione è oltre 24kb Forse voi ci capite qualcosa...

[murack83pa]

ciao

segui le seguenti modalità di pubblicazione dei log:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

posta i log di prevx csi, gmer e hijackthis

sarebbe utile se completassi il tutto con i programmi indicati nella guida alla disinfezione

[vegahardware]

Prova così:

http://www.fileup.itadib.com/downloa...rpFW80bFvI3WKm

[murack83pa]

Quote:

Originariamente inviato da vegahardware

Prova così:

http://www.fileup.itadib.com/downloa...rpFW80bFvI3WKm

formato .txt

[vegahardware]

http://www.fileup.itadib.com/downloa...U6zD89xKIAKIGv

http://www.fileup.itadib.com/downloa...S2iBUx5epCTfOB

http://www.fileup.itadib.com/downloa...LLY6mUXenGmoor

http://www.fileup.itadib.com/downloa...eRpPEgWMI3X6Oj

[murack83pa]

c'è ancora traccia di bagle...sicuro di aver seguito la guida?

sicuro che avast e zoneallarm ti funzionano?

dal log di hijackthis nn sembrano attivi...

fixa queste voci:

Quote:

O1 - Hosts: HP7DD90D
O1 - Hosts: HP7DD90D
O1 - Hosts: HP7DD90D HP0017A47DD90D
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: LEC TranslateDotNet Server - Unknown owner - C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe (file missing)
O23 - Service: Windows Update Service (muamgrd) - Unknown owner - C:\WINDOWS\System32\muamgrd.exe (file missing)
O23 - Service: NBService - Unknown owner - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe (file missing)

hai una versione vecchia, dopo aver fixato queste voci, disinstalla hijackthis e scaricati l'ultima versione:
http://www.trendsecure.com/portal/en...HJTInstall.exe

fai la scansione con elibagle in mod provvissoria e utilizza avenger inserendo lo script in prima pagina della guida

fai anche una nuova scansione con hijackthis

posta tutti e 3 i log

[vegahardware]

Siccome le cose sul mio pc vanno meglio, per quanto riguarda la stabilità del sistema, prima di effettuare la procedura da te consigliata...

ti invio il log della scansione con HiJackThis 2.0.2

http://www.fileup.itadib.com/downloa...uqcJBiAXYIOHoo

Così gli dai un'occhiata e vedi se qualcosa è cambiata!

[murack83pa]

mi dispiace, ma da nuovo log compaiono cose ancora peggiori

hai un bel backdoor...e nn solo quello...penserei seriamente a cambiare la tua dotazione di sicurezza che sta facendo acqua da tutte le parti...incominciando da avast....

ricominciamo da zero:

1-Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

2-Scarica CCLEANER: DOWNLOAD
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

3- rilancia hijackthis(tutti programmi chiusi) e fixa queste voci:

Quote:

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: LEC TranslateDotNet Server - Unknown owner - C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe (file missing)
O23 - Service: Windows Update Service (muamgrd) - Unknown owner - C:\WINDOWS\System32\muamgrd.exe (file missing)
O23 - Service: NBService - Unknown owner - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe (file missing)

4- fai girare elibagle in modalità provvissoria e posta il log

5- utilizza avenger e inserisci lo script che trovi in prima pagina del 3d per la rimozione del bagle

6- segui la guida alla disinfezione, esegui tutti i programmi indicati, e poi a fine scansione posta tutti i log, in particolare servono le seguenti scansioni:

• pulizia degli ads con eset

• asquared free in deep scan (metti in quarantena ciò che trova)

• scan online con f-secure di tutto il pc --> http://support.f-secure.it/ita/home/ols.shtml

• scan con DrWeb CureIT e posta qui il log

NB: il ripristino va tenuto disattivato, è fondamentale
questi programmi c permettono di avere uno screen completo dell'infezione del tuo pc (oltre che a debellare molte infezioni), x eventuali dubbi o problemi, chiedi pure

[vegahardware]

Finalmente ho seguito le tue procedure ed eseguito tutte le scansioni:

EigleBagle: http://www.fileup.itadib.com/downloa...SfBdz0APMi5sPx

Avenger: http://www.fileup.itadib.com/downloa...09CXMq578yyy4o

A-squared Free: http://www.fileup.itadib.com/downloa...P3KzrVSz0jXsJU

F-Secure OnLine Scan: http://www.fileup.itadib.com/downloa...ws3ouv3e70wHsq

DrWeb CureIT: http://www.fileup.itadib.com/downloa...uAgFMCF72L8CC4

Scansione finale con Prevx CSI: http://www.fileup.itadib.com/downloa...og32EdJastbReY

Scansione finale con HijackThis:
http://www.fileup.itadib.com/downloa...UTJAOqKBhNFIEl

GMER: http://www.fileup.itadib.com/downloa...tnWoMPy82fSEjE


Ora l'unico programma a mostrarmi ancora infezioni è Prevx CSI, ma non ho la KEY per eliminare le infezioni...

Inoltre, siccome Avast! Pro ha fatto la sua pessima figura cosa mi consigliate?

[wjmat]

ovviamente l'ottimo e freeware antivir!

[murack83pa]

allora

1- le voci relativa a vnc rilevate da asquared le puoi ripristinare

2- scarica avenger (forse devi disattivare momentaneamente l'antivirus)
DOWNLOAD
Estrailo in una sua cartella dedicata (nella stessa partizione in cui è presente il sistema operativo), avvialo ed incollare il seguente script e cliccare su "Execute":

Quote:

files to delete:
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\wintems.exe

al riavvio del pc, postare il log di avenger

3- fixa queste voci in hijackthis:

Quote:

O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O23 - Service: DynDNS Updater Service (DynDNS_Updater_Service) - Unknown owner - C:\Programmi\DynDNS Updater\DynDNS.exe (file missing)
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: Windows Update Service (muamgrd) - Unknown owner - C:\WINDOWS\System32\muamgrd.exe (file missing)

4- riavvia il pc, scarica questo programma: DOWNLOAD

Installa KASPERSKY VIRUS REMOVAL TOOL
● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva il log che verrà rilasciato e postalo qui

5- scarica TRENDMICRO ROOTKIT BOOSTER: DOWNLOAD
● scompattalo in una cartella dedicata (è un tool standalone)
● lancia il tool e clicca su Scan
● al termine della scansione ti verrà richiesto di salvare il log
● se venissero rilevati Rootkit provvedi alla loro eliminazione
● il log verrà salvato in una cartella denominata TRMBLog che trovi all'interno della cartella dedicata che hai precedentemente creato
● allega il log salvato

6- pulizia con ccleaner, nuovo log di hijackthis e di prevx csi

[vegahardware]

Scansioni eseguite... ecco i logs:

AntiVir Personal Edition: http://www.fileup.itadib.com/downloa...twmrpOvJWKgYkP

Avenger: http://www.fileup.itadib.com/downloa...bmYq70wDvf0znJ

Kaspersky: http://www.fileup.itadib.com/downloa...DyL4XRLLKeNtpK

RootkitBuster: http://www.fileup.itadib.com/downloa...RJ0840kn85cdJw

CCleaner: http://www.fileup.itadib.com/downloa...cQiQadlI6tiMOm

HijackThis: http://www.fileup.itadib.com/downloa...BD5qbYAFLkoko2

Anche dopo aver cliccato su FIX questi due servizi restano:

O23 - Service: DynDNS Updater Service (DynDNS_Updater_Service) - Unknown owner - C:\Programmi\DynDNS Updater\DynDNS.exe (file missing)
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)


Prevx CSI: http://www.fileup.itadib.com/downloa...i1P2EBlUl4MRDt


A me sembra che non sia cambiato nulla...
Potrebbe essere che i risultati di Prevx CSI siano falsi positivi?

[Chill-Out]

Procedi così:

1 Esegui HijackThis e fixa la seguente voce:

O23 - Service: Windows Update Service (muamgrd) - Unknown owner - C:\WINDOWS\System32\muamgrd.exe (file missing)
O23 - Service: DynDNS Updater Service (DynDNS_Updater_Service) - Unknown owner - C:\Programmi\DynDNS Updater\DynDNS.exe (file missing)
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O1 - Hosts: HP7DD90D
O1 - Hosts: HP7DD90D
O1 - Hosts: HP7DD90D HP0017A47DD90D

2 Start - Esegui - digita cmd (finestra Dos) e scrivi
sc stop muamgrd e batti INVIO
sc delete muamgrd e batti INVIO

sc stop DynDNS_Updater_Service e batti INVIO
sc delete DynDNS_Updater_Service e batti INVIO

sc stop iPod Service e batti INVIO
sc delete iPod Service e batti INVIO

3 Esegui HijackThis clicca su Open the Misc Tool section - clicca su Open host file manager - seleziona le seguenti righe:

O1 - Hosts: HP7DD90D
O1 - Hosts: HP7DD90D
O1 - Hosts: HP7DD90D HP0017A47DD90D

e clicca su Delete line(s)

al termine della procedura indicata allega un nuovo log di HijackThis

[vegahardware]

Ciao, con il tuo metodo sono riuscito a togliere DynDNS e muamgrd per non iPod Service, propobilmente a causa del nome a due parole... non trova il servizio per eliminarlo!

Ti allego il nuovo log di HijackThis: http://www.fileup.itadib.com/downloa...57Eg9IgMzj0Ofj

In attesa delle Vs. risposte ho fatto la scansione con un altro tool, ComboFix vi allego il log: http://www.fileup.itadib.com/downloa...uvzpvt2VM0MEJg

Sembra una storia infinita...


PS.
Ragazzi secondo me ci sono file infetti nei punti di ripristino di WinXP, siamo sicuri che basta disattivare il ripristino della confiugurazione di sistema per cancellare i punti di ripristino salvati?

[Chill-Out]

Quote:

O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)

considerando il macello che c'è sul PC questa è l'ultima cosa che mi preoccupa, comunque segui questa procedura, ovvero rifixa la suddetta voce poi Start - Esegui - digita services.msc - OK si aprirà una finestra relativa ai servizi attivi scorri la lista fino ad individuare il seguente servizio:
Servizio iPod lo selezioni e clicchi su Arresta servizio - poi tasto dx del mouse Proprietà - Generale - Tipo di avvio - dal menù a tendina selezioni disabilitato - Applica - OK

Poi dal momento che hai utilizzato anche ComboFix ne approfittiamo, apri il Blocco Note copia e incolla queste righe:

Quote:

File::
C:\Programmi\DynDNS Updater\DynDNS.exe
C:\WINDOWS\System32\muamgrd.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\ldiskl.sys
C:\Programmi\iPod\bin\iPodService.exe

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt + nuovo log di HJT

[lancetta]

gentilmente riscarica elibagla e riscansiona....allega qui i risultati

[vegahardware]

Ecco il log di ComboFix: http://www.fileup.itadib.com/downloa...5IprboUZtjULuS

e qui c'è quello di ELIBAGLA: http://www.fileup.itadib.com/downloa...DVxMB95VVhjGBU

Per la croncaca vi mando anche questo: http://www.fileup.itadib.com/downloa...xDgmZQqeHBQyHq

[xcdegasp]

Quote:

Originariamente inviato da vegahardware

Ecco il log di ComboFix: http://www.fileup.itadib.com/downloa...5IprboUZtjULuS

e qui c'è quello di ELIBAGLA: http://www.fileup.itadib.com/downloa...DVxMB95VVhjGBU

Per la croncaca vi mando anche questo: http://www.fileup.itadib.com/downloa...xDgmZQqeHBQyHq

hai un po' di casino nel pc, compare sia Avast che Antivir, disinstalla Avast completamente!
Aggiorna assolutamente la Java e disinstalla quella attuale, disinstalla la barra "SnagIt" e abituati ad usare un browser alternativo oltre a installare un buon firewall come ad esempio l'ottimo e semplicissimo OnlineArmor che esiste anche in lingua italiana

[vegahardware]

Quote:

Originariamente inviato da xcdegasp

hai un po' di casino nel pc, compare sia Avast che Antivir, disinstalla Avast completamente!
Aggiorna assolutamente la Java e disinstalla quella attuale, disinstalla la barra "SnagIt" e abituati ad usare un browser alternativo oltre a installare un buon firewall come ad esempio l'ottimo e semplicissimo OnlineArmor che esiste anche in lingua italiana

Ho disinstallato Avast! ora c'è solo Antivir...

Ho disinstallato la versione di Java installando Java 6 Update 5!

Ho disinstallato compleatamente SnagIT!

Uso come browser Firefox... penso sia alternativo a Internet Explorer!

Ho un router wireless Netgear DG834GTIT con firewall integrato, quindi avevo ritenuto superfluo il firewall software, probabilmente mi sbagliavo...

Dopo aver eseguito le operazioni da te elencate, ti invio il log di HijackThis: http://www.fileup.itadib.com/downloa...G7cjthBDcS0uLC

La mia domanda nasce spontanea: Se l'unico software ad aver rilevato la presenza di rootkit è stato PrevX CSI perchè non eliminarli con questo software?

[Chill-Out]

Quote:

La mia domanda nasce spontanea: Se l'unico software ad aver rilevato la presenza di rootkit è stato PrevX CSI perchè non eliminarli con questo software?

perchè per procedere alla disinfezione devi acquistare la key, non acquistando la key è un' ottimo tool diagnostico.

Comunque l'untimo Rootkit della serie era questo C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\ldiskl.sys eliminato con ComboFix

per il resto il log di HJT dal punto di vista infettivo è pulito