Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

RISOLTO!

Topic: [RISOLTO] programmi di sicurezza bloccati

(

Topic Chiuso)

Altre pagine della discussione:

taddeusbrakko
Apprendista

Iscritto dal : 23/Settembre/2005
Status: Offline
Posts: 118

Topic: Post n° 89.988 - Postato: 23/Giugno/2009 alle 12:15

salve a tutti
da stamattina ho ravvisato questo problema

il mio antivirus (panda is 2009) non parte all'avvio
qualsiasi programma di sicurezza (spybot, ccleaner, revo uninstaller) non parte
o meglio
osservando processexplorer mentre tento di avviare un programma
il nome del file compare, diventa subito rosso e scompare come se il programma venisse aperto e chiuso immediatamente

non potendo fare altro ho lanciato un analisi on line (pandaactivescan 2.0): in tre ore ha rilevato 269 file infetti, 3 sospetti ed è solo al 18% dell'analisi (normalmente impiega meno di un'ora)

qualcuno sa darmi qualche indicazione?
continuo con l'analisi on line o meglio lasciar perdere?
in ogni caso poi come faccio a liberarmi dei file infetti se sono così tanti?

come avrò fatto a beccarmi tale rogna, giacché sono diversi giorni che non scarico niente?

ps. dimenticavo le caratteristiche del pc: pentium IV 3.2 ghz 2G ram; winxp pro sp3

fletto i muscoli e sono nel vuoto

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 89.998 - Postato: 24/Giugno/2009 alle 00:52

Provato a farli partire da modalità provvisoria?
Prova a scaricare questo tool:

http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

e tanta di farlo andare in modalità provvisoria
Riporta i file infetti che ti sono stati trovati... (compreso il nome del malware
e il nome e percorso del file infetto... naturalmente se si tratta di una sfilza
di file simili... infetti dallo stesso malware.. riportane solo uno...)
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 89.999 - Postato: 24/Giugno/2009 alle 00:58

PS: se i files son tanti... dovrebbe esserci il modo di salvare il report...
Potresti mandarlo su di un sito fi file hosting... e poi postare il link...

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

taddeusbrakko
Apprendista

Iscritto dal : 23/Settembre/2005
Status: Offline
Posts: 118

Topic: Post n° 90.004 - Postato: 24/Giugno/2009 alle 10:15

orbene
nelle ultime 24 ore ho provato un po' di tutto Geek

nell'ordine
combofix
(con più di qualche problema a causa della presenza di panda is 09 che non stava girando secondo task manager ma combofix rilevava come attivo)
malwarebytes'antimalware
ccleaner
a questo punto sono riuscito a disinstallare panda is 09
nuovo giro di combofix
nuovo giro di malwarebytes'am
reinstallato panda internet security 2009 e fatto un passaggio a tutto il pc e uno al disco fisso

nel frattempo ho avuto un po' di problemi collaterali:
non sono riuscito ad entrare in modalità provvisoria né premendo f8, né dopo aver selezionato /safeboot in utilità configurazione sistema --> il pc si avviava e mi dava le opzioni per l'avvio in modalità provvisoria ma qualsiasi opzione scegliessi ricaricava e tornava lì Confused

disinstallazioni e reinstallazioni un po' problematiche pur usando revo uninstaller, compresa quella di firefox che non voleva saperne di restare il browser predefinito Confused

ho perso processexplorer Confused

adesso forse ne sono uscito, ma forse è meglio qualche altra prova e qualche scansione online

questo quello che è uscito dal report evitando ripetizioni

Virus rilevato: Generic Trojan

Virus rilevato: Trj/CI.A

Virus rilevato: W32/Bagle.RC.worm

Virus rilevato: W32/Bagle.VB.worm

Virus rilevato: Trj/Flux.DU

fletto i muscoli e sono nel vuoto

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 90.045 - Postato: 27/Giugno/2009 alle 00:19

Bagle appunto attacca gli antivirus... Nel corso del tempo si son susseguite
varie versioni... e vari tools specifici... Io ti consiglio di passarne qualcuno...
Scarica questo tool: link...
Lo scarichi... chiudi tutti i programmi che hai in background... specie... antivirus...
lo fai partire... e clicca su Explorar (Salir è per chiuderlo...) badando che
ci sia il segno di spunta in Eliminar Ficheros Automaticamente...
In c: cerca il file infosat.txt e postane il contenuto...
Dovresti anche eliminare il ripristino configurazione di sistema.. in quanto
il malware potrebbe essersi annidato anche la..
Per ripristinare la modalità provvisoria in xp.. potresti usare il file .reg che
puoi scaricare dalla seguente pagina web: http://www.megalab.it/3250/safeboot
All'interno dell'archivio .zip trovi un file .reg che va installato con un doppio clic...
(contiene il backup delle chiavi di registro per ripristinare la modalità provvisoria..)
Dopo fatto questo faremo ulteriori verifiche...
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

taddeusbrakko
Apprendista

Iscritto dal : 23/Settembre/2005
Status: Offline
Posts: 118

Topic: Post n° 90.052 - Postato: 27/Giugno/2009 alle 14:58

sembra a posto

(27-6-2009 9:16:27)
EliBagle v12.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Junio del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%AppData%\Drivers"

    (27-6-2009 9:16:39)
EliBagle v12.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Junio del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios:   9288
Nº Total de Ficheros:      75443
Nº de Ficheros Analizados: 16999
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

fletto i muscoli e sono nel vuoto

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 90.055 - Postato: 27/Giugno/2009 alle 21:15

Hai ripristinato la modalità provvisoria con il file che ti ho indicato?
Fai fare una scansione a hijackthis e posta il log, fai fare una scansione a gmer
e posta il log (per prendere il log di gmer... fai partire il programma... e
dalla finestra di partenza, cioè nella cartella rootkit del programma stesso...,
clicca su Scan... e quando ha finito... clicca sul tasto Copy...
Incolla quello che hai appena copiato... in un post... facendo attenzione che
il log, dopo averlo postato, ci sia tutto....) Se il log di Gmer dovesse essere
molto grande.. potresti usare un servizio di file hosting.. e dopo aver fatto
l'upload del file.. indicarne il link...
Gia di suo gmer dovrebbe avvertirti se bagle è ancora presente... (avvertimento...
e voci indicate in rosso..) Comunque tu posta i log
Ciao

PS: Hijackthis, gmer

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

taddeusbrakko
Apprendista

Iscritto dal : 23/Settembre/2005
Status: Offline
Posts: 118

Topic: Post n° 90.068 - Postato: 29/Giugno/2009 alle 08:08

sì, ho ripristinato la modalità provvisoria, grazie!

appena posso faccio le altre due analisi e posto i log

fletto i muscoli e sono nel vuoto

taddeusbrakko
Apprendista

Iscritto dal : 23/Settembre/2005
Status: Offline
Posts: 118

Topic: Post n° 90.122 - Postato: 04/Luglio/2009 alle 11:49

http://www.mediafire.com/?sharekey=5633ed9050290565c2b435915e8821d7e04e75f6e8ebb871

ho caricato qui i log di hijack e gmer
(io non sono capace di interpretarli)

fletto i muscoli e sono nel vuoto

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 90.138 - Postato: 05/Luglio/2009 alle 00:43

A me sembra abbastanza pulito... Comunque ti indico un articolo su bagle:

http://www.megalab.it/2657/bagle-un-worm-che-attacca-gli-antivirus

Adesso ti tocca solo controllare se alcuni servizi sono attivi.. (tipo ad esempio
quello del firewall... comunque trovi tutto detto nell'articolo...) e se ci sono
ancora quei file infetti sul pc..
Comunque puoi anche scaricarti avenger e far passare gli script che sono
a corredo dell'articolo...
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] programmi di sicurezza bloccati

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] programmi di sicurezza bloccati

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !