PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: Trojan Toosrr.SRR

Altre pagine della discussione:




luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.417 - Postato: 28/Gennaio/2008 alle 13:17


Ovviamente mentre fa una lentissima scansione on line è ovvio che non sono riuscito a fare alcunche' in modalità provvisoria...... (non so se eliminando prima la configurazione di ripristino di sistema si possa agire dopo in modalità provvisoria ?) 


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 78.421 - Postato: 28/Gennaio/2008 alle 13:41


Ciao... Prisca85 ha individuato il problema... si tratta di bagle...
Per ripristinare la modalità provvisoria... scarica il files .zip che trovi
a questa pagina:

http://www.megalab.it/download.php?id=349

Al suo interno troverai un file .reg, sul quale devi fare doppio clic... ed accettare
la modifica al registro...
Per il resto potresti provare un tool per la rimozione... e se non riesce
(in caso di ultime varianti non supportate) si può eliminare manualmente...
Scarica questo tool: link...
Lo scarichi... chiudi tutti i programmi che hai in background... specie... antivirus...
(alcuni antivirus lo identificano come trojan... ma è un falso positivo)
lo fai partire... e clicca su Explorar (Salir è per chiuderlo...) badando che
ci sia il segno di spunta in Eliminar Ficheros Automaticamente...
(fai la scansione su ogni disco...)
Dopo la scansione segnati se ti ha disinfettato qualche file... e quale...
Fai ripartire..., vedi che anche questo tool produce un log... infosat.txt (dovresti
trovarlo in c)
Fallo anche in modalità provvisoria... se in modalità normale non va...
Inoltre... alla seguente discussione... trovi le indicazioni, della stessa
Prisca85, per la rimozione:

http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=9934

In bocca al lupo... e facci sapere come è andata.
Ciao


Modificato da prgn - 28/Gennaio/2008 alle 13:52



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.426 - Postato: 28/Gennaio/2008 alle 14:52


Scusami ricapitolando sicm ovviamente non ho mai fatto nulla del genere :
A) continuo la scansione on line come indicato o non è piu' necessaria??( ci mettera' altre 7 ore circa considerando che dopo 2 ore so appena al 19% e mi rallenta tutto onde per cui non posso fare null'altro se c'è la scansione on line ) Interrompo o continuo ???Se è necessaria la finisco poi posto
B) La scansione con Hijack la debbo fare dopo la scansione on line oppure  direttamente ora  La tralascio o la faccio o stesso?
C) Faccio direttamente come hai consigliato tu e rimando la scansione oline in caso di esito negativo oeventualmente con calma dopo?????? vivamente se il tool non riesce neppure in modalita' provvisoria faro' sapere....  ma debbo capire prima l'odine cronologico delle operazioni e la loro priorita' 


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 78.431 - Postato: 28/Gennaio/2008 alle 16:09


Senti... hijackthis... per adesso non farlo... hai individuato bagle...
ed occupiamoci di lui... poi... farai altre verifiche per verificare se c'è anche altro...
Le scansioni online... sono utili... ma se ti richiedono tutte queste ore... non
so se ti convengano...
Quindi... ti dico cosa farei io... in primo luogo... userei il tool che ti ho indicato...
e mi segnerei tutti i risultati... o comunque seguirei le indicazioni che
 Prisca da nel post che ti ho indicato...
Dopo di che... passerei ad un tool standalone... per la scansione del pc...
tipo Sysclean (lo scarichi..., scarichi anche il pattern aggiornato..., li metti
tutti e due in una cartella... e decomprimi il pattern... nella stessa cartella...
e fai partire sysclean dalla modalità provvisoria...) che sarebbe efficace
anche contro alcune varianti di bagle.
Purtroppo bagle ha molte varianti... e non sempre i tool sono efficaci...
Comunque... prova e facci sapere
Ciao

Ps: come pattern... devi scaricare il file con prefisso lpt



Modificato da prgn - 28/Gennaio/2008 alle 16:12



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



prisca85
Senior Senior
prisca85
Senior Senior
prisca85
Senior
Senior

Avatar


Iscritto dal : 19/Aprile/2005
Da: Italy
Status: Offline
Posts: 1.485
Riporta il testo di: prisca85 Rispondibullet Topic: Post n° 78.439 - Postato: 28/Gennaio/2008 alle 18:21


ciao luigi, il bagle e' una brutta bestiaccia da eliminareAngry. dimenticando anche un solo file, te lo ritrovi sempre al riavvio.
in quella discussione che ha linkato prgn, fai attenzione che perla aveva Windows ME, pero' molte cose valgono lo stesso su Win xp. per sapere meglio cosa fare, ti consiglio di leggere e stamparti le guide che ho messo all'inizio del mio post in quella discussione. in piu' questa dovrebbe essere una guida per la nuova variante.

le operazioni che farei io, in questa cronologia, e cercando di riavviare il meno possibile sono:
- in modalita' normale scaricati e installa tutti i tools che ti potranno servire indicati nelle varie guide: Elibagla, antirootkit di panda, quello segnalato da prgn sysclean, Gmer, il tool per riparare la modalita' provvisoria, avenger, e Ccleaner (o ATF cleaner), ecc.
- disattivare il ripristino configurazione (importantissimo, se no ti ritorna sempre)
- far fare tutte le scansioni possibili con i vari tools che hai scaricato o che funzionano ancora, segnarti o salvarti tutti i resoconti dei vari files che trovano (richiedera' tempo e pazienza, ma meglio fare tutto insieme che ritrovarti con il virus ad ogni avvio).
-passare CCleaner (togliendo la spunta da opzioni>avanzate "cancella files in Win Temp solo se piu' vecchi di 48 ore"), o ATF cleaner, oppure cancellare manualmente tutti i files nella temp di windows e di IE. se ti rimane un file temporaneo infetto, al riavvio ti ritrovi tutto daccapo.
-usare lo script di avenger(lo trovi nella guida dell'ultima variante che ti ho segnato). importantissimo!!!molte voci puoi cancellarle manualmente, se non funziona (a me per esempio avenger non funzionava) sia dalle cartelle che entrando nel registro (start>esegui>regedit>ok).
-quando userai Gmer, se ti segnalera' dei files in rosso, eliminali con iltasto destro. sono purtroppo files nascosti che non potrai cancellare manualmente. come ho spiegato anche a perla potrai usare anche un tool come killbox.
-usa il file per riparare la modalita' provvisoria, poi vai in modalita' provvisoria e controlla di avere sempre il ripristino di configurazione disattivato.
-ripassa tutti i tools (l'elibagla in primis), controlla che non ci siano piu' i files infetti nelle cartelle, in esecuzione (processi nel task manager) e soprattutto nel registro di sistema
-riavvia in modalita' normale, riattiva il ripristino, prova a riscaricarti i software antivirus, ecc e vedere se si installano.
- fai comunque la scansione online con Kasperky, anche se ci mette 7 ore, perche' purtroppo come problematica, il virus puo' infettare un file a casaccio nella lista di processi attivi al momento che viene eseguito. questo processo e' leggittimo, ma viene colpito dal virus. e, almeno per me, l'ho individuato grazie alla scansione online.

facci sapere


Modificato da prisca85 - 28/Gennaio/2008 alle 18:24



live right now, just be yourself..it doesn't matter if it's good enough for someone else



luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.460 - Postato: 28/Gennaio/2008 alle 23:09


Ok grazie cerchero' di fare tutto La scansine on-line dopo sette ore era al 60% Ho smessoperche' mi impediva di fare qualunque altra cosa e ho deciso di rifarla dopo la pulizia per essere certo di aver tolto tutto  ; mi ha trovato file infetti he ho cancellato ( addirittura quello sippato  che originava ail virus che chissa' perche' miero dimenticato di eliminare nel panico ) e un exe di un programma at notes che utilizzavo da tempo Dovro' ricontrollarlo bene ( tra l'altro è uno di quelli che è scomparso e che tengo salvato su un dvd e uso sempre per lavoro - sarebbero i notes gialli che ti avvertono degli appuntamenti e ora non so se si è infettato dopo o era cosi' gia' sul dvd.....) ; comunque la scansione on line è lentissima ( io ho solo 12 giga occupati ) ma non ha nulla a che vedere ocn la scansione di altri programmi antivirus....va in profondità Avast non aveva mai rilevato qui file infetti ad esempio! Vi faro' sapere .....sto utilizzando i tool non in modalita' provvisoria come ho letto ma ho prima eliminato il ripristino di configurazione  Postero' i risultati della prima scansione con elbagla ....grazie mille!  Se anche non dovessi riuscirci ho formattato altre volte solo che questa volta non voglio arrendermi prima di lottare!!!!!!!!!!


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.462 - Postato: 28/Gennaio/2008 alle 23:13


Ecco il bagla rilevato da eliBagla :
MDELK.EXE


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.464 - Postato: 28/Gennaio/2008 alle 23:19


Domanda: ma accesso denegado significa che dovrei farlo in modalita' provvisoria????????????o che non si è eliminato nulla'???

 

   Mon Jan 28 22:51:06 2008
EliBagle v10.92  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.92
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

   Mon Jan 28 22:54:46 2008
EliBagle v10.92  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   5569
Nº Total de Ficheros:      39030
Nº de Ficheros Analizados: 3751
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Exploración Detenida por el Usuario.

   Mon Jan 28 22:59:52 2008
EliBagle v10.92  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.92
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

   Mon Jan 28 23:00:05 2008
EliBagle v10.92  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   6914
Nº Total de Ficheros:      55450
Nº de Ficheros Analizados: 10262
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0



luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.465 - Postato: 28/Gennaio/2008 alle 23:40


Ok leggendo le guide credo di aver capito che il file wintems.exe non puo' essere elminato con elibagla e che lo si deve eliminare con Killbox....al contrario BAN_LIST è stato eliminato da EliBagla ....


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.473 - Postato: 29/Gennaio/2008 alle 12:15


Mi sembra sia importante: mentre sto facendo la scnsione e pulizia con il tool di trend micro sysclea ( avendo prima fatto e poi postato elibagle )  ho notato la scritta:
C:\Muestras\HLDDRR.EXE.Muestra EliBagle v10.92->Found Virus WORM SPYBOT HW 1 action move  move failed 2 action delete DELETED
Ma elibagle da me scaricato sarebbe uno spybote con worm=????? E' possibile??????????????????????????????????????????????????


Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,047 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni