Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

RISOLTO!

Topic: [RISOLTO] Aiuto log GMER: bagle

(

Topic Chiuso)

Altre pagine della discussione:

Stefano
Apprendista

Iscritto dal : 21/Maggio/2010
Da: Italy
Status: Offline
Posts: 37

Topic: Post n° 94.904 - Postato: 21/Maggio/2010 alle 09:22

Ciao a tutti ho avuto problemi di malware sul pc e ho usato Norman, Mbam e Kaspersky che hanno rimosso parecchi problemi.

Per sicurezza ho fatto girare GMER ma non so interpretarne il log che riporto qui.

Potete dirmi x favore se questo log evidenzia dei problemi?

GMER 1.0.15.15281

*** LOG EDITATO, non ci sono voci infette

Modificato da prgn - 26/Maggio/2010 alle 18:12

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 94.905 - Postato: 21/Maggio/2010 alle 09:41

Ciao, benvenuto :)
non vedo voci infette nel log che hai postato.
Se vuoi possiamo dare un'occhiata ai problemi che hai riscontrato e ti hanno eliminato gli altri software...
Ricordi i file infetti, dove sono stati rinvenuti ed il relativo malware rilevato? (potresti controllare i log prodotti dai software che hai indicato)
Hai ricordato di disattivare il ripristino configurazione di sistema (per poi riattivarlo dopo l'eliminazione dei problemi)?
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Stefano
Apprendista

Iscritto dal : 21/Maggio/2010
Da: Italy
Status: Offline
Posts: 37

Topic: Post n° 94.909 - Postato: 21/Maggio/2010 alle 10:18

Grazie per la risposta!!

Sì il ripristino era disabilitato.

Prima ho ripristinato la modalità provvisoria modificando il registro con safeboot.

Poi i programmi hanno girato in modalità provvisoria.

Di seguito alcuni log:

Symantec Trojan.Mebroot Removal Tool 1.0.1

*** LOG EDITATO, nessun oggetto rilevato

Logfile of Trend Micro HijackThis v2.0.2

*** LOG EDITATO, nessuna voce infetta

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer,

*** LOG EDITATO, nessun oggetto rilevato

System disinfection for W32/Bagle

Data Version 1.13

System scan started at 14:29 on 17 May 2010

Checking for W32/Bagle in memory

Checking for files affected by W32/Bagle

Checking for registry keys affected by W32/Bagle

Deleted registry key HKCU\software\datetime4

System scan finished at 14:56 on 17 May 2010

Registry keys affected : 1
Registry keys changed : 1

*** LOG EDITATO, rimangono le voci importanti

Modificato da prgn - 26/Maggio/2010 alle 18:16

Stefano
Apprendista

Iscritto dal : 21/Maggio/2010
Da: Italy
Status: Offline
Posts: 37

Topic: Post n° 94.913 - Postato: 21/Maggio/2010 alle 11:24

Ciao invio il log dell'ultimo programma che ho usato:
############################## | FindyKill V5.043 |

*** LOG EDITATO, rimangono le voci importanti

################## | Infected File |

Deleted ! C:\Muestras
Deleted ! C:\Documents and Settings\W7\Dati applicazioni\drivers\downld
Deleted ! C:\Documents and Settings\W7\Dati applicazioni\drivers

################## | Registry |

Deleted ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
Deleted ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
Deleted ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
Deleted ! [HKCU\Software\bisoft]
Deleted ! [HKCU\Software\MuleAppData]
Deleted ! [HKCR\ed2k]
Deleted ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]

*** LOG EDITATO, rimangono le voci importanti

End of Report # FindyKill V5.043 !

Modificato da prgn - 26/Maggio/2010 alle 18:22

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 94.915 - Postato: 21/Maggio/2010 alle 14:17

Ciao, ho visto che sei stato infettato da bagle... Leggi il seguente articolo che ti spiega un po' di cosa si tratta:

http://www.megalab.it/3724/il-worm-bagle-nuova-infezione-e-metodi-di-rimozione

Poichè disabilita i software di sicurezza.. questi, dopo la rimozione, andrebbero rimossi e reinstallati... quando è possibile.. altrimenti bisogna comunque verificarne il perfetto funzionamento.
Inoltre apporta alcuni cambiamenti al sistema... usa il seguente tool per ripararli: http://www.megalab.it/4089/bagle-restore
(anche se comunque i software che hai utilizzato dicono che tutto è a posto)

Ho visto che hai usato dei tools specifici come EliBaglA, ti ha trovato l'infezione? Ti ha eliminato i files infetti? Hai provato ad usarlo più volte?

Nel log di gmer, come di ho detto prima, comunque non son presenti le voci relative al rootkit.. quindi, sotto questo punto di vista, siamo tranquilli...
quello che ti conviene fare adesso (sempre se hai già verificato più volte con i tool specifici per il tipo di infezione) è una scansione approfondita del sistema... per eliminare eventuali altri file rimasti

Per scansione approfondita intendo una scansione particolare... quasi tutti gli antivirus la permettono... (naturalmente da scegliere nelle impostazioni)
se non sai come effettuarla.. potresti installare momentaneamente avira antivir free... e, nella configurazione, impostare, rispetto la scansione, la scansione di "tutti i files". (in questo modo l'antivirus scansionerà tutti i files presenti nel sistema a prescindere dal tipo di file o dalle impostazioni)

Dopo aver fatto la scansione ed eliminato i file infetti... puoi anche disinstallare avira antivir.. se usi altri antivirus.

Purtroppo ci sono varie versione di bagle e non si può dare, senza avere indicazioni precise, una guida per la rimozione e verifica manuale..

Facci sapere se i programmi rilevano ancora problemi.. o se li noti tu usando il pc.., se tutto è ok riattiva il ripristino configurazione di sistema.. e fai una pulita del sistema con ccleaner.. (la modalità di pulizia da effettuare ed il link per scaricarlo li trovi al seguente link: http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=4407&PN=1 )

Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Stefano
Apprendista

Iscritto dal : 21/Maggio/2010
Da: Italy
Status: Offline
Posts: 37

Topic: Post n° 94.927 - Postato: 21/Maggio/2010 alle 17:56

Appena posso farò le cose che mi hai indicato.

Ciao e grazie 1000.

RAVEN
Moderatore

Iscritto dal : 04/Settembre/2001
Da: Italy
Status: Offline
Posts: 16.253

Topic: Post n° 94.928 - Postato: 21/Maggio/2010 alle 18:29

ricordiamoci di lasciare solo il necessario dei log ragazzi

Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

SOSTIENICI

Stefano
Apprendista

Iscritto dal : 21/Maggio/2010
Da: Italy
Status: Offline
Posts: 37

Topic: Post n° 94.976 - Postato: 24/Maggio/2010 alle 11:34

Ciao per ora ho fatto girare EliBaglA da C: due volte in modalità provvisoria includendo i file zip e la prima volta mi ha eliminato un file infetto.

Tra l'altro mentre gira mi dice Accesso negato alla cartella "C:\WINDOWS\system32\? (16)" e alla cartella "C:\WINDOWS\system32\????} (16)" io dico OK e lui finisce subito la scansione.

Allego il log:

(24-5-2010 07:21:58 (GMT))
EliBagle v13.90 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Mayo del 2010)
----------------------------------------------
Lista de Acciones (por Acción Directa):

(24-5-2010 07:30:48 (GMT))
EliBagle v13.90 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Mayo del 2010)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\WINDOWS\system32\drivers\UTEZNJA4.SYS --> Eliminado Bagle(rootkit)

*** LOG EDITATO, rimangono le voci importanti

Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Secondo log:

EliBagle v13.90 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Mayo del 2010)

Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

*** LOG EDITATO, nessun oggetto rilevato

Modificato da prgn - 26/Maggio/2010 alle 18:27

Stefano
Apprendista

Iscritto dal : 21/Maggio/2010
Da: Italy
Status: Offline
Posts: 37

Topic: Post n° 94.977 - Postato: 24/Maggio/2010 alle 13:32

Postato: 21/Maggio/2010 alle 18:29

ricordiamoci di lasciare solo il necessario dei log ragazzi

RAVEN
Moderatore

Iscritto dal : 04/Settembre/2001
Da: Italy
Status: Offline
Posts: 16.253

Topic: Post n° 94.981 - Postato: 24/Maggio/2010 alle 15:48

perdonami stefano, era un messaggio per i moderatori non per te, tu è normale che metti tutto il log

Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

SOSTIENICI

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] Aiuto log GMER: bagle

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] Aiuto log GMER: bagle

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !