Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

RISOLTO!

Topic: [RISOLTO] worm bagle

(

Topic Chiuso)

Altre pagine della discussione:

spjder
Principiante

Iscritto dal : 07/Ottobre/2002
Da: Italy
Status: Offline
Posts: 77

Topic: Post n° 91.310 - Postato: 11/Ottobre/2009 alle 20:54

Ciao a tutti.
Ho letto il precedente post di un utente che aveva il mio stesso problema. Purtroppo non sono riuscito a risolverlo da solo.
Antivirus bloccato, spy boot, ecc.......

spjder
Principiante

Iscritto dal : 07/Ottobre/2002
Da: Italy
Status: Offline
Posts: 77

Topic: Post n° 91.311 - Postato: 11/Ottobre/2009 alle 21:07

(11-10-2009 18:35:27)
EliBagle v12.98 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC003.EXE.Muestra EliBagle v12.98
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\HIDIRES\FLEC003.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.98
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\DRIVERS\SROSA2.SYS --> Eliminado Bagle(rootkit)
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\DRIVERS\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC006.EXE.Muestra EliBagle v12.98
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\114076609.EXE.Muestra EliBagle v12.98
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\DRIVERS\DOWNLD\114076609.EXE --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\114085390.EXE.Muestra EliBagle v12.98
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\DRIVERS\DOWNLD\114085390.EXE --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\57140.EXE.Muestra EliBagle v12.98
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\DRIVERS\DOWNLD\57140.EXE --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\59625.EXE.Muestra EliBagle v12.98
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\DRIVERS\DOWNLD\59625.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\DRIVERS\DOWNLD\64765.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\DRIVERS\DOWNLD\70859.EXE --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\74187.EXE.Muestra EliBagle v12.98
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\DRIVERS\DOWNLD\74187.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

      (11-10-2009 18:37:14)
EliBagle v12.98 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios:   4047
Nº Total de Ficheros:      35802
Nº de Ficheros Analizados: 7121
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

      (11-10-2009 18:40:58)
EliBagle v12.98 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "D:\"

Nº Total de Directorios:   810
Nº Total de Ficheros:      9069
Nº de Ficheros Analizados: 407
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

      (11-10-2009 18:41:20)
EliBagle v12.98 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "F:\"

Nº Total de Directorios:   7034
Nº Total de Ficheros:      68641
Nº de Ficheros Analizados: 10163
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 91.314 - Postato: 11/Ottobre/2009 alle 23:57

Ciao.. senti... facciamo una scansione con Gmer e posta anche un log di hijackthis
inoltre scarica il file .reg che trovi in questa pagina: http://www.megalab.it/3250/safeboot
Ti servirà per ripristinare la modalità provvisoria... (nel caso bagle l'abbia eliminata)
Quindi
Fai fare una scansione a hijackthis e posta il log, fai fare una scansione a gmer
e posta il log (per prendere il log di gmer... fai partire il programma... e
dalla finestra di partenza, cioè nella cartella rootkit del programma stesso...,
clicca su Scan... e quando ha finito... clicca sul tasto Copy...
Incolla quello che hai appena copiato... in un post... facendo attenzione che
il log, dopo averlo postato, ci sia tutto....) Se il log di Gmer dovesse essere
molto grande.. potresti usare un servizio di file hosting.. e dopo aver fatto
l'upload del file.. indicarne il link...
Gia di suo gmer dovrebbe avvertirti (avvertimento... e voci indicate in rosso..)
Comunque tu posta i log
Ciao

PS: Hijackthis, gmer (sito per file hosting: mediafire.com)

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

spjder
Principiante

Iscritto dal : 07/Ottobre/2002
Da: Italy
Status: Offline
Posts: 77

Topic: Post n° 91.329 - Postato: 12/Ottobre/2009 alle 17:07

ok, nel frattempo girando in rete ho trovato qualche soluzione, il reboot in provvisorio sembra funzionare, gli antivirus no...

http://www.mediafire.com/?sharekey=c4dad06e6965ff83af924764f9977b1d19e8952c20b53c3892595bc19e6628dc

spjder
Principiante

Iscritto dal : 07/Ottobre/2002
Da: Italy
Status: Offline
Posts: 77

Topic: Post n° 91.338 - Postato: 12/Ottobre/2009 alle 19:17

Ho effettuato una scansione ieri con findkill, ha trovato i file infetti e li ha rimossi. questo passaggio sembra aver ristabilito la possibilità di riavviare in modalità provvisoria.
Ho scaricato e installato kaspersky virus removal tool e alla prima scansione ha rilevato e riparato/cancellato molti file infetti.

I log che mi hai chiesto sono stati effettuati dopo queste operazioni.

Attualmente il tool di kaspersky non rileva nessun file infetto sul disco C:, in startup objects e in disc boot sector. Ora procedo con la scansione degli altri dischi rigidi.

Avast e spybot non funzionano ancora, dandomi che i file non sono applicazioni valide per win32. Probabilmente, parlo da ignorante, li dovrò reinstallare, ma prima di procedere vorrei avere consensi.

Grazie!

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 91.341 - Postato: 12/Ottobre/2009 alle 19:27

Postato originariamente da spjder

I log che mi hai chiesto sono stati effettuati dopo queste operazioni.

Si.. infatti notavo l'assenza dei file infetti...
Sarebbe importante se potessi indicare tutto quello che ti hanno cancellato
i programmi che hai usato... (file e cartelle.. e relative minacce rilevate)
Si... di sicuro i software di sicurezza che non vanno più vanno reinstallati
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

spjder
Principiante

Iscritto dal : 07/Ottobre/2002
Da: Italy
Status: Offline
Posts: 77

Topic: Post n° 91.342 - Postato: 12/Ottobre/2009 alle 19:42

http://www.mediafire.com/?sharekey=c4dad06e6965ff83af924764f9977b1dce97f1211e11e3c3a9a26c4ed87536eb

questi sono i log dei programmi che ho usato.
C'era anche quello di kaspersky ma devo averci sovrascritto quello che ho già postato.

Posso ritenermi salvo da infezioni???
Se si, reinstallo antivirus e quant'altro.

Grazie infinite.

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 91.350 - Postato: 13/Ottobre/2009 alle 00:59

Guarda... nei log di gmer e hijackthis non ci son tracce di infezioni...
Comunque qualche file infetto potrebbe esserci ancora... tra l'altro dai log delle
scansioni non si può dire tanto.. visto che non son tutti... da elibagle si evince
che non tutto è stato tolto... ma poi non ci son tracce nei successivi scan a verifica...
Dal log di elibagle si notano molti file individuati e con la dicitura "Acceso Denegado"
che signifca accesso negato... questi file vanno verificati... inoltre io lo passerei
anche da modalità provvisoria...
Per una cancellazione sicura ti conviene usare avenger (se non sbaglio l'ho notato
in un log... quindi dovresti averlo) e per capire se nel tuo ripulire il pc hai fatto qualche
errore ti indico una guida sul malware:

http://www.megalab.it/2657/bagle-un-worm-che-attacca-gli-antivirus

Comunque, ripeto... elibagle va passato anche in modalità provvisoria.

Nell'articolo troverai anche alcuni script da dare in pasto ad avenger .. potresti
aggiungere il percorso dei file che ti da con accesso negato... ad esempio...

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

in files to delete (files da cancellare) basta aggiungere:

C:\WINDOWS\SYSTEM32\WINTEMS.EXE

Quindi l'eventuale script per cancellare il file wintems.exe sarà:

Files to delete:
C:\WINDOWS\SYSTEM32\WINTEMS.EXE

Naturalmente per ogni tipologia di comando (files to delete, folders to delete... ecc.ecc.)
potrai indicare più cose da cancellare... (messe una dopo l'altra... vedi la guida
al programma che ti ho linkato...)

Facci sapere come è andata e se qualcosa non è chiara...

Comunque ti confermo che dai log di gmer e hijackthis non si vede nulla di infetto

Ciao

Modificato da prgn - 13/Ottobre/2009 alle 01:03

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

spjder
Principiante

Iscritto dal : 07/Ottobre/2002
Da: Italy
Status: Offline
Posts: 77

Topic: Post n° 91.352 - Postato: 13/Ottobre/2009 alle 06:30

Bene allora, seguirò passo passo i tuoi consigli e le tue indicazioni.
Appena effettuate posterò i file log, così da poter verificare insieme e in caso di esito positivo, chiudere il post.

Nel frattempo ti ringrazio molto per la disponibilità, che a onor del vero, ho sempre trovato in tutti questi anni su questo forum.

grazie ancora e ciao.

spjder
Principiante

Iscritto dal : 07/Ottobre/2002
Da: Italy
Status: Offline
Posts: 77

Topic: Post n° 91.378 - Postato: 14/Ottobre/2009 alle 17:23

ok ha fatto una scansione con elibagle in modalità provvisoria, e non contento ne ho fatta un'altra con findkill.
Dal log di elibagle non si nota niente, quello di findkill a me un pò oscuro, mi da alcune chiavi di registro infette e cancellate.

Ecco i log

http://www.mediafire.com/?sharekey=c4dad06e6965ff83af924764f9977b1d6ae11aa24b93a60764328c9cace34742

Se è tutto ok chiudi pure la discussione.
Grazie e ciao!

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] worm bagle

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] worm bagle

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !