[new] Guida alla disinfezione per Bagle / Mitglieder

[Fiura]

Quote:

Originariamente inviato da Fiura

Tutto fatto (nell'0rdine),trovati altri virus/worm/trojan. In molti casi però il programma non ha fatto altro che eliminare i file messi in quarantena da programmi eseguiti in precedenza. E' un po' che non mi compare la scritta che non posso eseguire perchè non amministratore. La wifi continua a non funzionare. Cercando la soluzione del problema mi dice "servizio wireless windows non è in esecuzione" clicco "attivare il servizio windows wireless", mi dice "impossibile risolvere il problema" "contattare amm. di rete o provider serv. internet". Ovviamente il router funziona (con il 2° NB).

dimenticavo, ho anche eliminato e reinstallato i drivers della wifi (intel wireless wifi Link 4965AGN) e l'utility di gestione (asus wireless console). Nelle proprietà della scheda la stessa risulta "funziona correttamente".

[wjmat]

Quote:

Originariamente inviato da Fiura

Tutto fatto (nell'0rdine),trovati altri virus/worm/trojan. In molti casi però il programma non ha fatto altro che eliminare i file messi in quarantena da programmi eseguiti in precedenza. E' un po' che non mi compare la scritta che non posso eseguire perchè non amministratore. La wifi continua a non funzionare. Cercando la soluzione del problema mi dice "servizio wireless windows non è in esecuzione" clicco "attivare il servizio windows wireless", mi dice "impossibile risolvere il problema" "contattare amm. di rete o provider serv. internet". Ovviamente il router funziona (con il 2° NB).

già visto qui?
http://www.hwupgrade.it/forum/showpo...postcount=5156

[Joele1965]

Quote:

Originariamente inviato da wjmat

ciao

scaricalo e rinominalo su un altro pc poi lo porti sul pc infetto con una chiavetta che lascerai poi inserita durante le scansioni

Salve,

Ora riposto il log di Malware,

ma come mai non trovo le cartelle che mi dice sono infette ?

ad esempio
Cartelle infette:
C:\Documents and Settings\saverio\Dati applicazioni\hidires (Worm.Bagle) -> No action taken.
QUESTA NON ESITE

C:\Documents and Settings\saverio\Dati applicazioni\m (Trojan.Agent) -> No action taken.
QUESTA ESISTE MA SE CERCO DI ANNULLARLA DICE CHE ESISTONO FILE ALL'INTERNO E NON E' POSSIBILE ANNULLARLA MA IO LA VEDO VUOTA

POI NEL REGISTRO LA CARTELLA RUN E' VUOTA ????
Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit (Worm.Bagle) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe (Worm.Bagle) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Worm.Bagle) -> No action taken.

[wjmat]

Quote:

Originariamente inviato da Joele1965

Salve,

Ora riposto il log di Malware,

ma come mai non trovo le cartelle che mi dice sono infette ?

ad esempio
Cartelle infette:
C:\Documents and Settings\saverio\Dati applicazioni\hidires (Worm.Bagle) -> No action taken.
QUESTA NON ESITE

C:\Documents and Settings\saverio\Dati applicazioni\m (Trojan.Agent) -> No action taken.
QUESTA ESISTE MA SE CERCO DI ANNULLARLA DICE CHE ESISTONO FILE ALL'INTERNO E NON E' POSSIBILE ANNULLARLA MA IO LA VEDO VUOTA

POI NEL REGISTRO LA CARTELLA RUN E' VUOTA ????
Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit (Worm.Bagle) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe (Worm.Bagle) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Worm.Bagle) -> No action taken.

con mbam le hai rimosse quelle voci?
i file potresti non vederli in quanto nascosti

[Joele1965]

Salve

le voci le ho rimosse ma alle successive scansioni le riporta anora identiche!

ma i file nascosti non si vedono anche se ho abilitato la spunta
vedi file nascosti e protetti dal sistema ?

[wjmat]

Quote:

Originariamente inviato da Joele1965

Salve

le voci le ho rimosse ma alle successive scansioni le riporta anora identiche!

ma i file nascosti non si vedono anche se ho abilitato la spunta
vedi file nascosti e protetti dal sistema ?

hai fatto girare combofix e gli altri tool?

[Joele1965]

Combo non mi si installa neanche con la usb

[wjmat]

Quote:

Originariamente inviato da Joele1965

Combo non mi si installa neanche con la usb

prova con un rescue cd, effettuerai una scansione antivirus partendo direttamente dal cd indifferentemente dallo stato del tuo sistema operativo

• scarica l'immagine l'ISO del cd o l'eseguibile che permette di creare l'ISO o masterizzare direttamente
• masterizza l'immagine iso su un cd e lascialo inserito al termine
• riavvia il pc e batti un tasto per avviare dal cd, se non lo fa imposta il boot da cd
• attendi il caricamento ed effettua una scansione completa rimuovendo ogni file infetto trovato come indicato in guida

guida e link al rescue cd di avira
guida e link al rescue cd di kaspersky

poi ripeti la guida dall'inizio

[Joele1965]

Quote:

Originariamente inviato da wjmat

prova con un rescue cd, effettuerai una scansione antivirus partendo direttamente dal cd indifferentemente dallo stato del tuo sistema operativo

• scarica l'immagine l'ISO del cd o l'eseguibile che permette di creare l'ISO o masterizzare direttamente
• masterizza l'immagine iso su un cd e lascialo inserito al termine
• riavvia il pc e batti un tasto per avviare dal cd, se non lo fa imposta il boot da cd
• attendi il caricamento ed effettua una scansione completa rimuovendo ogni file infetto trovato come indicato in guida

guida e link al rescue cd di avira
guida e link al rescue cd di kaspersky

poi ripeti la guida dall'inizio

Fatto il rescue con avira
ma non mi ha emesso nessun LOG ? come mai
anzi sembra non abbia fatto nulla boh??????

Poi ho ripetuto il trend ma combo NISBA
Ecco il LOG di Malware

Malwarebytes' Anti-Malware 1.41
Versione del database: 2775
Windows 5.1.2600 Service Pack 3

16/10/2009 16.11.24
mbam-log-2009-10-16 (16-11-24).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 174709
Tempo trascorso: 29 minute(s), 1 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 3
Elementi dato del registro infetti: 0
Cartelle infette: 2
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\srosa (Worm.Bagle) -> Delete on reboot.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit (Worm.Bagle) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe (Worm.Bagle) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Worm.Bagle) -> Delete on reboot.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
C:\Documents and Settings\saverio\Dati applicazioni\hidires (Worm.Bagle) -> Delete on reboot.
C:\Documents and Settings\saverio\Dati applicazioni\m (Trojan.Agent) -> Delete on reboot.


A proposito ogni volta che avvio il PC mi ritrovo elibagle in azione come posso vedere i processi e toglierlo xkè sembra che nelle apllicazioni non sia installato ?

Grazie

[wjmat]

Quote:

Originariamente inviato da Joele1965

Fatto il rescue con avira
ma non mi ha emesso nessun LOG ? come mai
anzi sembra non abbia fatto nulla boh??????

Poi ho ripetuto il trend ma combo NISBA
Ecco il LOG di Malware




A proposito ogni volta che avvio il PC mi ritrovo elibagle in azione come posso vedere i processi e toglierlo xkè sembra che nelle apllicazioni non sia installato ?

Grazie

i log devi caricarli sui server remoti come indicato nelle regole di sezione

elibagla l'hai fatto girare?

[Fiura]

Quote:

Originariamente inviato da wjmat

già visto qui?
http://www.hwupgrade.it/forum/showpo...postcount=5156

Grande! Funziona. Ero stato già nei servizi, ma da semplice utente non mi ero permesso di fare modifiche. Quelli della Wifi non c'erano proprio.

Un grazie speciale a te e ad arnyreny. Probabilmente formatto il NB lo stesso, ma almeno ho il tempo di recuperare tutto con calma, e sopratutto, grazie a voi, ho vinto una sfida. Non mi era mai capitato un virus così balordo!!!

A presto, ma spero per consigli meno vitali.
Ciao

[ale.silvia86]

Quote:

Originariamente inviato da wjmat

ciao

i log ci servono tutti
il file segnalato da prevx mi sembra molto un falso positivo però per sicurezza fai controllare quel file su www.virustotal.com e su http://virscan.org/

Una volta sui siti clicca su sfoglia -> cerca il file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

ciao scusa ma non ho avuto un momento libero!
allora ora prevx non mi da più niente (dopo scansione di avira che sono riuscito a rimettere) log pulito
combofix: http://wikisend.com/download/464618/ComboFix2.txt

ora con avira (impostazione alta allarme) trova sempre circa 75 file vari..tutti bagle..posto log: http://wikisend.com/download/442628/...7-A0C17570.LOG

[wjmat]

Quote:

Originariamente inviato da Fiura

Grande! Funziona. Ero stato già nei servizi, ma da semplice utente non mi ero permesso di fare modifiche. Quelli della Wifi non c'erano proprio.

Un grazie speciale a te e ad arnyreny. Probabilmente formatto il NB lo stesso, ma almeno ho il tempo di recuperare tutto con calma, e sopratutto, grazie a voi, ho vinto una sfida. Non mi era mai capitato un virus così balordo!!!

A presto, ma spero per consigli meno vitali.
Ciao

di nulla
ciao

[wjmat]

Quote:

Originariamente inviato da ale.silvia86

ciao scusa ma non ho avuto un momento libero!
allora ora prevx non mi da più niente (dopo scansione di avira che sono riuscito a rimettere) log pulito
combofix: http://wikisend.com/download/464618/ComboFix2.txt

ora con avira (impostazione alta allarme) trova sempre circa 75 file vari..tutti bagle..posto log: http://wikisend.com/download/442628/...7-A0C17570.LOG

avira non è ancora ok

Quote:

Azione primaria.............................: interattivo
Azione secondaria...........................: ignora

metti ripara e quarantena ed eventualemnete fagli fare un ultimo giro

[ale.silvia86]

dici quindi in configurazione azione per rilevamenti, invece di interattivo metto automatico, però azione primaria ok ripara, ma secondaria non c'è quarantena..c'è elimina, rinomina o ignora..

[wjmat]

Quote:

Originariamente inviato da ale.silvia86

dici quindi in configurazione azione per rilevamenti, invece di interattivo metto automatico, però azione primaria ok ripara, ma secondaria non c'è quarantena..c'è elimina, rinomina o ignora..

metti elimina ma sopra metti la spunta per la copia del file nella quarantena

[Joele1965]

Quote:

Originariamente inviato da wjmat

i log devi caricarli sui server remoti come indicato nelle regole di sezione

elibagla l'hai fatto girare?

elibalga si l'ho fatto girare,la cosa strana è che quando riavvio il PC (in quanto si impalla) elibagla mi si presenta in automatico, come se girasse sotto il PC a mia insaputa e io non riesco a vederlo!


il PC lo devo riaccendere xkè ho il file eseguibile di Combofix (tra l'altro alcune volte l'iconcina sul video assume l'aspetto/immagine di combofix corretta altre volte no) sul desktop e se cerco di eliminarla s'impalla tutto sembra quasi che ci sia un "collegamento tra combofix ed elibagla, cioè che il primo incasini il secondo.....in quanto se si impalla e riavvio mi appare elibagla, boh.........

[Joele1965]

Help.....

non riesco + a togliere l'icona dell'eseguibile di combofix dal desktop PC
ed ad ogni accensione mi si presenta elbagla come faccio a far si che non si presenti ad ogni avvio ?

[wjmat]

Quote:

Originariamente inviato da Joele1965

Help.....

non riesco + a togliere l'icona dell'eseguibile di combofix dal desktop PC
ed ad ogni accensione mi si presenta elbagla come faccio a far si che non si presenti ad ogni avvio ?

ma con elibagla sei riuscito a fare una scansione completa?
per rimuovere combo vedi bigino in firma

[Joele1965]

Si con Eli ho scansionato completamente, manon ho trovato nulla.