Guida Rimozione virus Bagle (antivirus disattivato) - leggere le Regole di Sezione - Pagina 77

neo-one · 12-02-2008, 10:09

Quote:

Originariamente inviato da Chill-Out

Ennesima variante del Bagle, presumo tu abbia già disattivato il ripristino configurazione sistema se si prima di procedere con altre operazioni pulisci con Ccleaner

Sono SICURISSIMO di avrelo disabilitato all'inizio di tutte le operazioni... ma me lo sono ritrovato abilitato!

L'ho disattivato nuovamente.

Quote:

Originariamente inviato da Chill-Out

ComboFix
Download: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

che significa a macchina dedicata?
Come si disabilitano i realtime dei software di sicurezza?

edit: installato cleaner, lo apro ma la finestra scompare in meno di un secondo. :o

mizDuilio · 12-02-2008, 10:24

Quote:

Originariamente inviato da Chill-Out

No mi riferisco a neo-one, in ogni caso se la tua intenzione è quella di formattare è inutile iniziare lo sbattimento per la rimozione del Bagle non trovi?

si infatti ti/vi chiedevo se copiando i file ke mi servono su una partizione ke già esiste, e formattando solo la partizione col SO risolvo i problemi del beagle, oppure se prolifera anke nella partizione (ovvio ke i file ke tengo nn sono eseguibili)...

ascia · 12-02-2008, 10:35

Io ho il seguente problema.
Sicuramente è il Bagle, non so come posso esserne certo, però i sintomi sono quelli:
niente modalità provvisoria, tutti i programmi antivirus, antispam, pulitori, etc, non mi si avviano.
Il problema è che sto cercando di seguire le guide, ma ogni programma che scarico, CCleaner, antivitus, etc non mi si avviano.

Con EliBagla è venuto fuori questo.

Mon Feb 11 16:08:12 2008
EliBagle v10.98 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.98
a "[email protected]". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

Mon Feb 11 16:08:52 2008
EliBagle v10.98 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 4454
Nº Total de Ficheros: 90030
Nº de Ficheros Analizados: 7607
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Tue Feb 12 10:50:21 2008
EliBagle v10.98 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.98
a "[email protected]". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

Tue Feb 12 10:50:46 2008
EliBagle v10.98 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 4353
Nº Total de Ficheros: 90284
Nº de Ficheros Analizados: 7220
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0

Scusate ma non so come si posta correttamente il file Infosat.txt

mimmonet · 12-02-2008, 11:09

Quote:

Originariamente inviato da murack83pa

è fondamentale che elimini tutti i crack, xchè il bagle si diffonde tramite crack....
...
segui il punto 4) della guida: devi scaricare avenger (kaspersky forse lo rileverà come malware, tu ignoralo,eventualmente lo disattivi momentaneamente) installalo ed utilizzalo secondo indicazioni da guida in prima pagina....

al riavvio , posta il log di avenger

Ecco il post di Avenger.

http://www.fileup.itadib.com/downloa...gk6tXEM3tOR0ja

Che dite? è grave?

Tnx!!!!!!

mariokke · 12-02-2008, 12:59

Ciao a tutti e complimenti per la guida.

Anche io sono stato infettato da bagle , ma seguendo i passi della guida credo di essere riuscito ad eliminarlo , però mi sono rimasti due problemi:

1 - La connessione ad internet adesso mi funziona solo non appena avvio il computer ,mi dura più o meno 5 minuti e poi si blocca, o meglio, mi rimane connesso solo che non riesco più a scaricare le pagine. Non credo si tratti di un problema di linea, adesso sono connesso con il desktop (i problemi li ho sul notebook invece )dalla stessa connessione e mi va alla grande .

2 - Avevo installato zone alarm e ovviamente con bagle mi si era bloccato. Il problema è che adesso dopo avere fatto tutta la provedura non riesco cmq a disinstallarlo . Su installazione applicazioni non risulta più , come se fosse disinstallato, ma invece nel menù avvio c'è e se clicco su unistall mi dice che si tratta di un'pplicazione win32 non valida, cioè il medesimo errore che mi dava quando c'era bagle (dico c'era perchè da tutte le scansioni che ho fatto ora il computer risulta pulito , non mi trova più niente) .
Se vado cartella di zone alarm all'interno di c:/programmi e cerco di eliminare tutto mi dice che è impossibile eliminare perchè il programma è in uso ?!

Non sò sinceramente se i due problemi sono collegati, cosa mi suggerite di fare?

vi allego il log di hijackthis

http://www.zshare.net/download/747243937e1748/

murack83pa · 12-02-2008, 13:07

Quote:

Originariamente inviato da mimmonet

Ecco il post di Avenger.

http://www.fileup.itadib.com/downloa...gk6tXEM3tOR0ja

Che dite? è grave?

Tnx!!!!!!

mi sembra che alcune voci nn siano state eliminate........

fai girare panda antirootkit come da guida, punto 5) e dimmi se elimina qualkosa

@ ascia: devi modificare il tuo post, i log nn vanno incollati

murack83pa · 12-02-2008, 13:09

Quote:

Originariamente inviato da mizDuilio

si infatti ti/vi chiedevo se copiando i file ke mi servono su una partizione ke già esiste, e formattando solo la partizione col SO risolvo i problemi del beagle, oppure se prolifera anke nella partizione (ovvio ke i file ke tengo nn sono eseguibili)...

bagle si diffonde tramite crack...quindi sia exe che rar o zip.....fai attenzione a cosa trasporti.......

murack83pa · 12-02-2008, 13:25

Quote:

Originariamente inviato da mariokke

......

allora

1-riguardo internet, vedi qui:
http://www.hwupgrade.it/forum/showpo...postcount=1441

2-per zone allarm, un modo semplice e voloce è riavviare in modalità provvissoria e cancellare tutto manualmente (facendo attenzione), xò dopo devi fare una bella pulizia del registro con ccleaner
poi lo reinstalli, anche se te lo sconsiglio.....c sono firewall gratis migliori, come online armor free oppure comodo

3-fixa queste voci in hijackthis:

Quote:

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.ex e
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - Unknown owner - C:\Programmi\VMware\VMware Server\vmware-authd.exe (file missing)
O23 - Service: VMware DHCP Service (VMnetDHCP) - Unknown owner - C:\WINDOWS\system32\vmnetdhcp.exe (file missing)
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - Unknown owner - C:\Programmi\File comuni\VMware\VMware Virtual Image Editing\vmount2.exe (file missing)
O23 - Service: VMware Registration Service (vmserverdWin32) - Unknown owner - C:\Programmi\VMware\VMware Server\vmserverdWin32.exe (file missing)

hai ancora traccia di norton.....vai qui x la completa rimozione.
http://www.hwupgrade.it/forum/showthread.php?t=1630445

NB: è una procedura delicata

mimmonet · 12-02-2008, 14:21

Quote:

Originariamente inviato da murack83pa

mi sembra che alcune voci nn siano state eliminate........

fai girare panda antirootkit come da guida, punto 5) e dimmi se elimina qualkosa

@ ascia: devi modificare il tuo post, i log nn vanno incollati

Ha trovato questo....
http://www.fileup.itadib.com/downloa...8l6ihVPvLcK8bO

murack83pa · 12-02-2008, 14:42

Quote:

Originariamente inviato da mimmonet

Ha trovato questo....
http://www.fileup.itadib.com/downloa...8l6ihVPvLcK8bO

credo che quello che ha individuato sia relativo a kasperksy......x il momento nn lo eliminare....chiedo conferma a chill o lancetta o river

fai una scansione con gmer e hijackthis (li trovi entrambi nella guida) e posta qui i log

hai problemi al pc? kaspersky ti funziona correttamente? hai scaricato e fatto un po di pulizia con ccleaner come da guida? internet ti funziona?

mimmonet · 12-02-2008, 14:56

Quote:

Originariamente inviato da murack83pa

credo che quello che ha individuato sia relativo a kasperksy......x il momento nn lo eliminare....chiedo conferma a chill o lancetta o river

fai una scansione con gmer e hijackthis (li trovi entrambi nella guida) e posta qui i log

hai problemi al pc? kaspersky ti funziona correttamente? hai scaricato e fatto un po di pulizia con ccleaner come da guida? internet ti funziona?

Nessun Problema al pc, KIS funziona correttamente, e almeno prima che facessi lo scan con Panda agni tanto mi trovava qualcosina che io prontamente eliminavo o mettevo in quarantena. CC cleaner fatto, ed internet va benissimo.
In pratica nn ho sintomi a parte quello che ogni tanto mi riverla KIS.
Cmq ora provo anche gmer e hijackthis come da tuo consiglio e della guida.

Tnx ancora!!

lancetta · 12-02-2008, 15:23

Quote:

Originariamente inviato da murack83pa

credo che quello che ha individuato sia relativo a kasperksy......x il momento nn lo eliminare....chiedo conferma a chill o lancetta o river

fai una scansione con gmer e hijackthis (li trovi entrambi nella guida) e posta qui i log

hai problemi al pc? kaspersky ti funziona correttamente? hai scaricato e fatto un po di pulizia con ccleaner come da guida? internet ti funziona?

esatto socio.....

relativo al kasper...

**Chill-Out** · 12-02-2008, 15:30

Quote:

che significa a macchina dedicata?
Come si disabilitano i realtime dei software di sicurezza?

diciamo che non è il tuo caso vedi se riesci a farlo girare

neo-one · 12-02-2008, 15:40

Quote:

Originariamente inviato da Chill-Out

diciamo che non è il tuo caso vedi se riesci a farlo girare

neanche questa è valida

Sto facendo un altro passaggio di elibagla, l'unica che gira, ma non penso che a questo punto serva a qualcosa

**Chill-Out** · 12-02-2008, 16:11

Quote:

Originariamente inviato da neo-one

neanche questa è valida

Sto facendo un altro passaggio di elibagla, l'unica che gira, ma non penso che a questo punto serva a qualcosa

Combo prova a rinominarlo (tasto dx del mouse - rinomina) ovviamente devi cancellare il precedente e riscaricarlo.

neo-one · 12-02-2008, 16:31

Scaricato e cancellato più volte:
se semplicemente rinominato dopo il download, continua a non funzionare
se rinominato durante la fase "salva con nome", il file si apre per l'installazione ma appare una schermata blu vuota... niente istruzioni!

Intanto allego l'ultima scansione di elibagla

P.S. gli utenti che ho in posta elettronica rischiano di ricevere mie email infettate?

**Chill-Out** · 12-02-2008, 16:41

Quote:

P.S. gli utenti che ho in posta elettronica rischiano di ricevere mie email infettate?

No

Scarica Avenger da qui: http://www.wikifortio.com/630243/AntiBagle.zip
ed inserisci lo script in prima pagina

allega il log

neo-one · 12-02-2008, 17:03

Quote:

Originariamente inviato da Chill-Out

No

Scarica Avenger da qui: http://www.wikifortio.com/630243/AntiBagle.zip
ed inserisci lo script in prima pagina

allega il log

Stavolta è partito

**Chill-Out** · 12-02-2008, 17:05

Quote:

Originariamente inviato da neo-one

Stavolta è partito

Altra passata di EliBagla

..::Redline::.. · 12-02-2008, 17:43

Quote:

Originariamente inviato da murack83pa

secondo me c'è ancora qualke crack o programma cracckato nel pc...

la guida sottolinea l'assoluta necessita di eliminare ogni traccia di crack, che è il mezzo attraverso cui si propaga tale worm....

quindi assicurati di aver eliminato ogni cosa, disinstalla programmi cracckati...antivirus, software di ogni genere cracckati....e poi vedi di far partire elibagle in mod provvissoria....nuovamente...e vediamo...

Ciao murack83pa, più disinstallo programmi e più mi si inpappa il pc, ora sto per l'ennesima volta facendo uno scan elibagla, volevo chiedere se trasporto il file txt in un altra pennetta se corro rischi di trasportarmi virus anche nell'altro pc dal quale scrivo.

12-02-2008, 10:35	#1523
ascia Member Iscritto dal: Mar 2004 Messaggi: 136	Io ho il seguente problema. Sicuramente è il Bagle, non so come posso esserne certo, però i sintomi sono quelli: niente modalità provvisoria, tutti i programmi antivirus, antispam, pulitori, etc, non mi si avviano. Il problema è che sto cercando di seguire le guide, ma ogni programma che scarico, CCleaner, antivitus, etc non mi si avviano. Con EliBagla è venuto fuori questo. Mon Feb 11 16:08:12 2008 EliBagle v10.98 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. Por favor, envienos una muestra del fichero C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.98 a "[email protected]". Gracias. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado. Restaurada Clave: "SafeBoot\Minimal y Network" Mon Feb 11 16:08:52 2008 EliBagle v10.98 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad C:\ Nº Total de Directorios: 4454 Nº Total de Ficheros: 90030 Nº de Ficheros Analizados: 7607 Nº de Ficheros Infectados: 0 Nº de Ficheros Limpiados: 0 Tue Feb 12 10:50:21 2008 EliBagle v10.98 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. Por favor, envienos una muestra del fichero C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.98 a "[email protected]". Gracias. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado. Restaurada Clave: "SafeBoot\Minimal y Network" Tue Feb 12 10:50:46 2008 EliBagle v10.98 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad C:\ Nº Total de Directorios: 4353 Nº Total de Ficheros: 90284 Nº de Ficheros Analizados: 7220 Nº de Ficheros Infectados: 1 Nº de Ficheros Limpiados: 0 Scusate ma non so come si posta correttamente il file Infosat.txt Ultima modifica di ascia : 12-02-2008 alle 10:58.

12-02-2008, 12:59	#1525
mariokke Junior Member Iscritto dal: Feb 2008 Messaggi: 1	Ciao a tutti e complimenti per la guida. Anche io sono stato infettato da bagle , ma seguendo i passi della guida credo di essere riuscito ad eliminarlo , però mi sono rimasti due problemi: 1 - La connessione ad internet adesso mi funziona solo non appena avvio il computer ,mi dura più o meno 5 minuti e poi si blocca, o meglio, mi rimane connesso solo che non riesco più a scaricare le pagine. Non credo si tratti di un problema di linea, adesso sono connesso con il desktop (i problemi li ho sul notebook invece )dalla stessa connessione e mi va alla grande . 2 - Avevo installato zone alarm e ovviamente con bagle mi si era bloccato. Il problema è che adesso dopo avere fatto tutta la provedura non riesco cmq a disinstallarlo . Su installazione applicazioni non risulta più , come se fosse disinstallato, ma invece nel menù avvio c'è e se clicco su unistall mi dice che si tratta di un'pplicazione win32 non valida, cioè il medesimo errore che mi dava quando c'era bagle (dico c'era perchè da tutte le scansioni che ho fatto ora il computer risulta pulito , non mi trova più niente) . Se vado cartella di zone alarm all'interno di c:/programmi e cerco di eliminare tutto mi dice che è impossibile eliminare perchè il programma è in uso ?! Non sò sinceramente se i due problemi sono collegati, cosa mi suggerite di fare? vi allego il log di hijackthis http://www.zshare.net/download/747243937e1748/

Strumenti
Mostra una versione stampabile Invia questa pagina per email