[new] Guida alla disinfezione per Bagle / Mitglieder

[marco_81]

ok adesso aspetto che termini la scansione di mbam e poi faccio quanto detto.

avira ha rilevato un paio di virus in alcuni file che erano stati rinominati dal rescue cd di avira.

uno si trovava nei file per il ripristino, che si era riattivato a mia insaputa.
disattivandolo cancella i punti di ripristino?

quando termina mbam allego anche il log di quanto rilevato da avira in tempo reale

[Chill-Out]

Quote:

Originariamente inviato da marco_81

ok adesso aspetto che termini la scansione di mbam e poi faccio quanto detto.

avira ha rilevato un paio di virus in alcuni file che erano stati rinominati dal rescue cd di avira.

uno si trovava nei file per il ripristino, che si era riattivato a mia insaputa.
disattivandolo cancella i punti di ripristino?

quando termina mbam allego anche il log di quanto rilevato da avira in tempo reale

Il riprisitno è stato riattivato da Combo, ovviamente è opportuno fare una scansione completa anche con Antivir

[marco_81]

ah ecco chi lo aveva riattivato. ero sicuro di averlo disattivato.
allora nell'ordine devo fare:
-scansione con mbam che è in corso
-rimuovere eventuali rimasugli di norton
-far eseguire lo script a combofix
- una scansione completa con avira.

dimentico qualcosa?

[wjmat]

x Thommy_Yorke

rifai la scansione completa con mbam, mi sembra strano sia durata così poco
i log vanno caricati tutti sui server remoti indicati nelle regore di sezione
aspettiamo il log di avg e per completezza anche l'altro di combo dato che l'hai fatto girare 2 volte

[xcdegasp]

Quote:

Originariamente inviato da Thommy_Yorke

AVG è uscito pulito pulito..non mi ha trovato niente..

Log di ELIBAGLE: http://www.fileqube.com/file/tvNbAosWw177959
Log PrevX CSI: http://www.fileqube.com/file/MyZpKrdp177962
il secondo log di combofix mica me lo ritrovo più...io ne ho vedo uno solo..comunque MBAM l'ho eseguito in scansione completa..a ora riprovo..comunque a parte avira sembra che vada tutto ok..

EDIT: ma è normale che MBAM sia così pesante come programma?

EDIT2: Log MBAM:http://www.fileqube.com/file/mNVveauth177964

cancella questi due file:

Codice:

[b] c:\programmi\binarysense\hddlife 3\hddlifepro.exe	[PX5: 3BC96CD20004D7A7100924CE09ACB700AE6DE153]	Malware Group: High Risk Worm
[b] c:\documents and settings\andrea\documenti\downloads\[pc - ita] hdd lifepro 3.1.157\crack\hddlifepro.exe	[PX5: 3BC96CD20004D7A7100924CE09ACB700AE6DE153]	Malware Group: High Risk Worm

che sintomi presenta il pc?

[xcdegasp]

prova a fare un log hijackthis e vediamo quanta roba parte in automatico all'avvio

[marco_81]

mbam non ha rilevato niente.
ecco il log: http://www.fileqube.com/file/PJNDpuWqk178153

combofix invece:
http://www.fileqube.com/file/Boonsmt178154

il pc non lo conosco perchè non è mio, ma nonostante la poca ram (256 mb) non mi sembra ancora normale. alterna momenti di fluidità, ad altri in cui sembra impiantato.

altro particolare. 6 file che dalle scansioni antivirus sembrano essere presenti nella penna, non si riescono a vedere (nonostante la visualizzazione dei file nascosti sia attiva)

mentre aspetto vostri suggerimenti, faccio una scansione completa con avira

[Chill-Out]

Quote:

Originariamente inviato da marco_81

mbam non ha rilevato niente.
ecco il log: http://www.fileqube.com/file/PJNDpuWqk178153

combofix invece:
http://www.fileqube.com/file/Boonsmt178154

il pc non lo conosco perchè non è mio, ma nonostante la poca ram (256 mb) non mi sembra ancora normale. alterna momenti di fluidità, ad altri in cui sembra impiantato.

altro particolare. 6 file che dalle scansioni antivirus sembrano essere presenti nella penna, non si riescono a vedere (nonostante la visualizzazione dei file nascosti sia attiva)

mentre aspetto vostri suggerimenti, faccio una scansione completa con avira

Marco non hai eseguito correttamente lo Script qui indicato devi copiare ed incollare tutto quello che è all'interno del Quote

Quote:

Folder::
C:\WINDOWS\temp
C:\WINDOWS\Tasks

[marco_81]

l'intenzione era quella. avrò sbagliato. perdon. rimedio adesso. grazie

[marco_81]

ecco il lo di combofix:

http://wikisend.com/download/567492/ComboFix.txt

guardando di sfuggita, mi sembra identico a quello di prma. ma mi fido di più del tuo occhio

[Chill-Out]

Quote:

Originariamente inviato da marco_81

ecco il lo di combofix:

http://wikisend.com/download/567492/ComboFix.txt

guardando di sfuggita, mi sembra identico a quello di prma. ma mi fido di più del tuo occhio

C'è qualcosa che non torna.......quindi percorriamo un'altra strada, appena posso ti scrivo lo Script mi ci vuole un pò

[marco_81]

ok, fai pure con calma che adesso esco e quindi ti do tempo fino alle 2.30 - 3
intanto avvio una scansione completa di avira.
grazie ancora e buona serata

[Chill-Out]

Quote:

Originariamente inviato da marco_81

ok, fai pure con calma che adesso esco e quindi ti do tempo fino alle 2.30 - 3
intanto avvio una scansione completa di avira.
grazie ancora e buona serata

Scarica il seguente file
http://wikisend.com/download/871658/CFScript.txt
e trascinalo sullicona di Combofix

[marco_81]

ecco i risultati della scansione di avira:
http://wikisend.com/download/468672/...9-DF0298F9.LOG

e di combofix con lo script datomi:
http://wikisend.com/download/468540/ComboFix.txt

come siamo?

[Chill-Out]

Quote:

Originariamente inviato da marco_81

ecco i risultati della scansione di avira:
http://wikisend.com/download/468672/...9-DF0298F9.LOG

e di combofix con lo script datomi:
http://wikisend.com/download/468540/ComboFix.txt

come siamo?

Ripeterei per scrupolo una scansione completa con Avira, ma direi che siamo arrivati in fondo

[YaniraCois]

Questi sono i log di: -BAGLED:

Quote:

Bagle_Remover.exe
Date: 09/03/2009
Time: 14.44.43,56

Quote:

-ELIBAGLA:
Mon Mar 09 14:46:05 2009
EliBagle v12.30 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.30
a "[email protected]". Gracias.
C:\DOCUMENTS AND SETTINGS\YANI\DATI APPLICAZIONI\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\YANI\DATI APPLICAZIONI\DRIVERS\SROSA2.SYS --> Eliminado Bagle(rootkit)

Mon Mar 09 14:46:29 2009
EliBagle v12.30 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.30
a "[email protected]". Gracias.
C:\DOCUMENTS AND SETTINGS\YANI\DATI APPLICAZIONI\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.


-MALWAREBYTES' ANTI-MALWARE:

Malwarebytes' Anti-Malware 1.34
Versione del database: 1826
Windows 5.1.2600 Service Pack 3

09/03/2009 15.19.42
mbam-log-2009-03-09 (15-19-42).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Elementi scansionati: 150909
Tempo trascorso: 27 minute(s), 49 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 2
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s (Rootkit.Bagle) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)


E l'ho rieseguito poichè non elimina un virus, e questo è il log:

Malwarebytes' Anti-Malware 1.34
Versione del database: 1826
Windows 5.1.2600 Service Pack 3

09/03/2009 16.21.08
mbam-log-2009-03-09 (16-21-08).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Elementi scansionati: 142146
Tempo trascorso: 26 minute(s), 17 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> Delete on reboot.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)

Cosa devo fare ora?? La scansione è completa, ha impiegato 26 minuti perchè non ho molti file nel pc poichè ho eseguito la formattazione un mese fa!

[Chill-Out]

Per cortesia leggi bene la Guida in prima pagina, seguila passo passo ed allega i log secondo le modalità indicate, grazie.

[marco_81]

Quote:

Originariamente inviato da Chill-Out

Ripeterei per scrupolo una scansione completa con Avira, ma direi che siamo arrivati in fondo

riecomi in sti giorni ho avuto casini da risolvere... e così avevo trascurato il pc. ecco i log delle 2 scansioni fatte con avira. ne ha fatto una ulteriore per controllare che con la prima avesse eliminato quanto trovato.

http://wikisend.com/download/466490/...9-DF0298F9.LOG

http://wikisend.com/download/884038/...3-37ACDE13.LOG

rimane il dubbio di cosa sia nascosto nella pennina. dalla scansione con avira vede 6 file non infetti. e anche guardando le proprietà risultano occupati 6 file per 1,4 GB. invece guardando il contenuto, anche con la visualizzazione dei file nascosti attiva, non risulata niente.
forse meglio formattarla, ma era per capire.

se il pc risulta pulito, dovrei vedere di ottimizzare un po in modo da velocizzare. e ripristinare l'audio e risolvere i problemi relativi ai messaggi che dicono che ci son problemi con nwiz.exe e nview.dll. che a occhio saran legati alla scheda video.

ripensandoci stavo meno a formatare

[Chill-Out]

Quote:

Originariamente inviato da marco_81

riecomi in sti giorni ho avuto casini da risolvere... e così avevo trascurato il pc. ecco i log delle 2 scansioni fatte con avira. ne ha fatto una ulteriore per controllare che con la prima avesse eliminato quanto trovato.

http://wikisend.com/download/466490/...9-DF0298F9.LOG

http://wikisend.com/download/884038/...3-37ACDE13.LOG

rimane il dubbio di cosa sia nascosto nella pennina. dalla scansione con avira vede 6 file non infetti. e anche guardando le proprietà risultano occupati 6 file per 1,4 GB. invece guardando il contenuto, anche con la visualizzazione dei file nascosti attiva, non risulata niente.
forse meglio formattarla, ma era per capire.

se il pc risulta pulito, dovrei vedere di ottimizzare un po in modo da velocizzare. e ripristinare l'audio e risolvere i problemi relativi ai messaggi che dicono che ci son problemi con nwiz.exe e nview.dll. che a occhio saran legati alla scheda video.

ripensandoci stavo meno a formatare

Il log è pulito, la pennina la puoi formattare, per quanto concerne i messaggi sono legati a Nvidia

[marco_81]

ah perfetto. grazie. adesso vedo di sistemare un po di cose. devo assolutamente allegerirlo perchè con 256 mb di ram è un continuo swap. una vera sofferenza.
se hai consigli, son ben accetti.