Guida Rimozione virus Bagle (antivirus disattivato) - leggere le Regole di Sezione - Pagina 25

ennys · 09-01-2008, 16:34

Quote:

Originariamente inviato da Chill-Out

l'errore è sempre lo stesso?

Sì...

**Chill-Out** · 09-01-2008, 16:44

Quote:

Originariamente inviato da ennys

Sì...

allegami un log di HTJ e intanto ti scarichi questo e lo fai girare e alleghi il log
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

ennys · 09-01-2008, 16:45

Quote:

Originariamente inviato da Chill-Out

allegami un log di HTJ e intanto ti scarichi questo e lo fai girare e alleghi il log
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Grazie 1000, lo farò stasera.

kamandi · 09-01-2008, 17:34

Attenzione:
Sotto allego FOTOGRAFIA del Messaggio di errore che mi compare dopo l'avvio di VISTA

Sono riusscito a eliminare BAGLE e ho installato AVIRA ANTIVIR + SUPERANTISPYWARE.

Il problema e che mi compare sempre questo messaggio e che risulta ancora impossibile abilitare WINDOWS DEFENDER (non mi interessa più ma almeno che non compaia il fastidioso messaggio)

GRAZIEEE

sit · 09-01-2008, 17:52

Aggiornamento:

Lievi buone notizie, ma attendo consigli.

Dopo ennesime spazzolate di ccclean e elibagla, controllo accurato che restore system sia disabilitato ecc ecc, il nuovo giro di kasper (terzo di oggi) mi segnala, anziché 5 virus e 11 file infett come sempre, solo 2 virus e 5 file infett.

Allego il log per chi ha la pazienza di capirlo e suggerirmi che fare ora

**Chill-Out** · 09-01-2008, 18:01

Quote:

C:\Users\gianluca\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\5b3b23b6-3dec73ed/GetAccess.class Infected: Trojan-Downloader.Java.OpenConnection.aj skipped
C:\Users\gianluca\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\5b3b23b6-3dec73ed/Installer.class Infected: Trojan-Downloader.Java.OpenConnection.aj skipped
C:\Users\gianluca\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\5b3b23b6-3dec73ed/NewSecurityClassLoader.class Infected: Exploit.Java.ByteVerify skipped
C:\Users\gianluca\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\5b3b23b6-3dec73ed/NewURLClassLoader.class Infected: Exploit.Java.ByteVerify skipped
C:\Users\gianluca\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\5b3b23b6-3dec73ed ZIP: infected - 4 skipped

che non hanno nulla a che vedere col Bagle, certo che tu hai la calamita, procedi cosi:

Pannello di Controllo - Java - Impostazioni - Elimina fie - OK

sit · 09-01-2008, 18:16

ah ok

fatto. dovrei essere a posto?

un'ultima domanda, oltre a ringraziare te e gli altri che mi hanno aiutato.

Che misure di protezione mi consigliate d'ora in poi? Vedo che consigliate avira antivir come antivirus... e come firewall?

Grazie

Roberta76 · 09-01-2008, 18:24

Quote:

Originariamente inviato da Riverside

@ RobertaProvvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

continuano a ricrearsi 4 file

appena li cancello si ricreano

DLLHOST.EXE-5E46FA0D.pf
DLLHOST.EXE-6A473D35.pf
CONSENT.EXE-531BD9EA.pf
DLLHOST.EXE-766398D2.pf

che faccio?

Grazie

Roby

**Chill-Out** · 09-01-2008, 18:25

@sit
Visto che ci sei fai anche l'eventuale aggiornamento Pannello di Controllo - Java - Aggiornamento - Aggiorna adesso

http://www.hwupgrade.it/forum/showthread.php?t=1598794
http://www.hwupgrade.it/forum/showthread.php?t=1514684

**Chill-Out** · 09-01-2008, 18:33

@Roberta76

è normale

sit · 09-01-2008, 18:49

grazie! avira installato e configurato secondo la guida che ho letto, funziona tutto. comodo anche.
quindi... sono tranquillo?

**Chill-Out** · 09-01-2008, 18:56

Quote:

Originariamente inviato da sit

grazie! avira installato e configurato secondo la guida che ho letto, funziona tutto. comodo anche.
quindi... sono tranquillo?

sei tranquillo nel momento in cui capisci che il miglior software di sicurezza sei tu, quindi evitare di puntare e cliccare dappertutto e scaricare qualsiasi cosa etc...

Roberta76 · 09-01-2008, 18:58

Quote:

Originariamente inviato da Chill-Out

@Roberta76

è normale

mi stavo preoccupando anche perchè adesso saranno diventati una ventina

continuo con la guida allora

Roby

sit · 09-01-2008, 19:37

Quote:

Originariamente inviato da Chill-Out

sei tranquillo nel momento in cui capisci che il miglior software di sicurezza sei tu, quindi evitare di puntare e cliccare dappertutto e scaricare qualsiasi cosa etc...

Hai ragione.

Grazie ancora

Roberta76 · 09-01-2008, 20:11

sono ferma a: scarica TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download

mi da un'errore quando avvio il programma

Ho provato a fare una scansione online ma ho un problema di activeX

lancetta · 09-01-2008, 20:25

Quote:

Originariamente inviato da Roberta76

sono ferma a: scarica TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download

mi da un'errore quando avvio il programma

Ho provato a fare una scansione online ma ho un problema di activeX

ma lo accetti quando lo chiede?

lancetta · 09-01-2008, 20:26

o meglio ti chiede di installarlo?

Edit: che sistema operativo hai (XP,vista)????

Riverside · 09-01-2008, 21:09

Quote:

Originariamente inviato da Roberta76

mi da un'errore quando avvio il programma

Prova con questo Roberta:
scarica PANDA ANTIROOTKIT (non richiede l’installazione)
clicca qui per il download

Posizionalo sul Desktop e lancialo:
● nella maschera principale spunta la voce Automatic Update
● esegui una scansione
● se verranno rilevati rootkit, il tool provvederà a rimuoverli
Visto che non produce log, devi dire se ha trovato e rimosso qualcosa.

Quote:

Originariamente inviato da Roberta76

Ho provato a fare una scansione online ma ho un problema di activeX

Che browser usi? Internet Explorer o Firefox o Opera?

rricom · 09-01-2008, 21:17

Salve, ho paura di aver beccato un brutto virus.

HLDRRR.exe Win32.HLLM.Beagle

Ho WXP SP2 HD con tre partizioni.
L'ho preso da un allegato email, la prima cosa che mi ha fatto mi ha cancellato gli eseguibili dell'antivirus e firewall che avevo installati: Avg. Spyboot e Outpost. Alchè ho installato Comodo firewall ed appena mi sono colegato a internet mi ha bloccato il tentativo di uscita di C:\WINDOWS\system32\drivers\hldrrr.exe, se lo cerco non lo trovo, neanche visualizando i file nascosti e di sistema. Se cerco di installare un altro antivirus o antispayware non me li installa: ad au certo punto dell'installazione dice che non riesce a scrivere su una certa cartella o lo finisce di installare ma poi o viene subito cancellato o quando lo faccio partire mi apre un secondo la finestra di gestione e poi si chiude subito. Queso comportamento vale anche per altri prog tipo gestione/pulizia registro ecc.
Una scnsione con HijackThis non sembra dare notizie utili (mi sono però fidato di una interpreatzione del log automatica fatta in un sito)
Ho individuato nel registro queste voci:
1- KEY_CURRENT_USER/software/Microsoft/Windows/ShellNoRoam/MUICache/ con valore C:\WINDOWS\system32\drivers\hldrrr.exe impostato a: install, lo cancello ma quando riavvio il pc ritorna e avolte non riesco neppure a cancellarlo
2- HKEY_LOCAL_MACHINE/System/Software/Comodo/Personal Firewall/Apps/4/ con valore Filename impostato a: C:\WINDOWS\system32\drivers\hldrrr.exe (ma questo credo sia il blocco fatto da Comodo).
3- Riesco ad installare Spyware Doctor che dalla scansione non mi trova nulla ma ad ogni riavvio del pc mi da' un messaggio: individuatro processo nascosto C:\WINDOWS\system32\drivers\hldrrr.exe eliminarlo al prossimo riavvio? Dico si ma poi si ripresenta.
Dopo questa operazione è comparsa anche la voce:
HKEY_LOCAL_MACHINE/System/ControlSet002/Control/SessionManager PendingFileRenameOperations valore \??\C:\WINDOWS\system32\drivers\hldrrr.exe.

Altra Cosa grave:
1- non riesco a ripristinare il sistema ad un punto precedente
2- non riesco ad entrare in una qualche modalità provvisoria, mi da' il messaggio: "Press ES to cancel STPD.sys" se premo esc si riavvia se premo invio si avvia normalmente
3- tentando l'avvio con cd es Hiren's boot cd e poi facendo la scnsione antivirus non mi legge il disco C dice inaccessibile, vedo le partizioni.

PS preciso che riesco ad avviare il pc ad usarlo, a navigare, sembra non abbia problemi ma non riesco ad installare programmi di difesa.
Ora ho disabilitato il ripristino di sistema

Sono disperato, possibile che si carichi in memoria? come faccio a debellarlo? Su internet ho trovato poche spiegazioni e non funzionano.
Vorrei formattare, ma chissà se riesco ad accedere a c, prima volevo sentirvi.
Grazie

Nomi relativi che ho trovato per il virus: Trojan.Loader.D, Trojan-DownloaderWin32.Bagle.D, Worm_Bagle.KO, Win32.HLLM.Beagle, Trojan.Loader.D

Seguendo le istruzioni su questo forum per eliminare i virus Bagle, porto sotto il rapporto di ELIBAGLA:
Codice:

Codice:

  Wed Jan 09 17:15:37 2008
EliBagle v10.82  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.82
 a "[email protected]".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.82
 a "[email protected]".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Wed Jan 09 17:18:46 2008
EliBagle v10.82  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.82
 a "[email protected]".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

	  Wed Jan 09 17:19:02 2008
EliBagle v10.82  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   2795
Nº Total de Ficheros:      38024
Nº de Ficheros Analizados: 6966
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

Quando riavvio il PC Elibagla mi da questi messaggi:
Envianos C:\muestra\SROSA.sys.Muestra Elibagle v10.82 a...
e poi
Detected Gusano Bagle reinice para completar su eliminacio.
Ma non lo elimina.
:-(

Roberta76 · 09-01-2008, 21:38

@Lancetta: Si gli dico di installare le activeX, poi cerca di far ripartire la scansione ma mi dice che non può continuare.

Sistema operativo: Windows Vista Home Premium

@Riverside: Operating system not supported

Uso explorer

Ciao

Roby

09-01-2008, 18:25	#489
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	@sit Visto che ci sei fai anche l'eventuale aggiornamento Pannello di Controllo - Java - Aggiornamento - Aggiorna adesso http://www.hwupgrade.it/forum/showthread.php?t=1598794 http://www.hwupgrade.it/forum/showthread.php?t=1514684 __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

09-01-2008, 18:33	#490
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	@Roberta76 è normale __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

09-01-2008, 20:11	#495
Roberta76 Member Iscritto dal: Jan 2008 Città: Milano Messaggi: 37	sono ferma a: scarica TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download mi da un'errore quando avvio il programma Ho provato a fare una scansione online ma ho un problema di activeX __________________ Vivi come puoi perchè come vuoi non puoi...

09-01-2008, 20:26	#497
lancetta Senior Member Iscritto dal: Feb 2007 Città: Salerno...... Messaggi: 3259	o meglio ti chiede di installarlo? Edit: che sistema operativo hai (XP,vista)???? __________________ Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA \| GUIDA:ShutdownTimer (Spegnimento auto pc) \| Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta... Ultima modifica di lancetta : 09-01-2008 alle 20:31.

09-01-2008, 21:17	#499
rricom Member Iscritto dal: Feb 2001 Città: Parma Messaggi: 183	Virus HLDRRR.exe-Win32.HLLM.Beagle mi disinstalla antivirus e no modalità provvisoria Salve, ho paura di aver beccato un brutto virus. HLDRRR.exe Win32.HLLM.Beagle Ho WXP SP2 HD con tre partizioni. L'ho preso da un allegato email, la prima cosa che mi ha fatto mi ha cancellato gli eseguibili dell'antivirus e firewall che avevo installati: Avg. Spyboot e Outpost. Alchè ho installato Comodo firewall ed appena mi sono colegato a internet mi ha bloccato il tentativo di uscita di C:\WINDOWS\system32\drivers\hldrrr.exe, se lo cerco non lo trovo, neanche visualizando i file nascosti e di sistema. Se cerco di installare un altro antivirus o antispayware non me li installa: ad au certo punto dell'installazione dice che non riesce a scrivere su una certa cartella o lo finisce di installare ma poi o viene subito cancellato o quando lo faccio partire mi apre un secondo la finestra di gestione e poi si chiude subito. Queso comportamento vale anche per altri prog tipo gestione/pulizia registro ecc. Una scnsione con HijackThis non sembra dare notizie utili (mi sono però fidato di una interpreatzione del log automatica fatta in un sito) Ho individuato nel registro queste voci: 1- KEY_CURRENT_USER/software/Microsoft/Windows/ShellNoRoam/MUICache/ con valore C:\WINDOWS\system32\drivers\hldrrr.exe impostato a: install, lo cancello ma quando riavvio il pc ritorna e avolte non riesco neppure a cancellarlo 2- HKEY_LOCAL_MACHINE/System/Software/Comodo/Personal Firewall/Apps/4/ con valore Filename impostato a: C:\WINDOWS\system32\drivers\hldrrr.exe (ma questo credo sia il blocco fatto da Comodo). 3- Riesco ad installare Spyware Doctor che dalla scansione non mi trova nulla ma ad ogni riavvio del pc mi da' un messaggio: individuatro processo nascosto C:\WINDOWS\system32\drivers\hldrrr.exe eliminarlo al prossimo riavvio? Dico si ma poi si ripresenta. Dopo questa operazione è comparsa anche la voce: HKEY_LOCAL_MACHINE/System/ControlSet002/Control/SessionManager PendingFileRenameOperations valore \??\C:\WINDOWS\system32\drivers\hldrrr.exe. Altra Cosa grave: 1- non riesco a ripristinare il sistema ad un punto precedente 2- non riesco ad entrare in una qualche modalità provvisoria, mi da' il messaggio: "Press ES to cancel STPD.sys" se premo esc si riavvia se premo invio si avvia normalmente 3- tentando l'avvio con cd es Hiren's boot cd e poi facendo la scnsione antivirus non mi legge il disco C dice inaccessibile, vedo le partizioni. PS preciso che riesco ad avviare il pc ad usarlo, a navigare, sembra non abbia problemi ma non riesco ad installare programmi di difesa. Ora ho disabilitato il ripristino di sistema Sono disperato, possibile che si carichi in memoria? come faccio a debellarlo? Su internet ho trovato poche spiegazioni e non funzionano. Vorrei formattare, ma chissà se riesco ad accedere a c, prima volevo sentirvi. Grazie Nomi relativi che ho trovato per il virus: Trojan.Loader.D, Trojan-DownloaderWin32.Bagle.D, Worm_Bagle.KO, Win32.HLLM.Beagle, Trojan.Loader.D Seguendo le istruzioni su questo forum per eliminare i virus Bagle, porto sotto il rapporto di ELIBAGLA: Codice: Codice: Wed Jan 09 17:15:37 2008 EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Acción Directa): Por favor, envienos una muestra del fichero C:\Muestras\SROSA.SYS.Muestra EliBagle v10.82 a "[email protected]". Gracias. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado. Por favor, envienos una muestra del fichero C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.82 a "[email protected]". Gracias. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado. Restaurada Clave: "SafeBoot\Minimal y Network" Wed Jan 09 17:18:46 2008 EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Acción Directa): Por favor, envienos una muestra del fichero C:\Muestras\SROSA.SYS.Muestra EliBagle v10.82 a "[email protected]". Gracias. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado. Wed Jan 09 17:19:02 2008 EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad C:\ Nº Total de Directorios: 2795 Nº Total de Ficheros: 38024 Nº de Ficheros Analizados: 6966 Nº de Ficheros Infectados: 0 Nº de Ficheros Limpiados: 0 Quando riavvio il PC Elibagla mi da questi messaggi: Envianos C:\muestra\SROSA.sys.Muestra Elibagle v10.82 a... e poi Detected Gusano Bagle reinice para completar su eliminacio. Ma non lo elimina. :-(

09-01-2008, 18:16	#487
sit Junior Member Iscritto dal: Jan 2008 Messaggi: 19	ah ok fatto. dovrei essere a posto? un'ultima domanda, oltre a ringraziare te e gli altri che mi hanno aiutato. Che misure di protezione mi consigliate d'ora in poi? Vedo che consigliate avira antivir come antivirus... e come firewall? Grazie

09-01-2008, 18:49	#491
sit Junior Member Iscritto dal: Jan 2008 Messaggi: 19	grazie! avira installato e configurato secondo la guida che ho letto, funziona tutto. comodo anche. quindi... sono tranquillo?

09-01-2008, 21:38	#500
Roberta76 Member Iscritto dal: Jan 2008 Città: Milano Messaggi: 37	@Lancetta: Si gli dico di installare le activeX, poi cerca di far ripartire la scansione ma mi dice che non può continuare. Sistema operativo: Windows Vista Home Premium @Riverside: Operating system not supported Uso explorer Ciao Roby __________________ Vivi come puoi perchè come vuoi non puoi...

Strumenti
Mostra una versione stampabile Invia questa pagina per email