Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Non va più: Rootkit.Bagle e Trojan. Agent
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Bavarello
Eroe
Eroe


Registrato: 27/08/07 09:37
Messaggi: 46
Residenza: Bergamo
MessaggioInviato: 20 Apr 2009 07:19    Oggetto: Non va più: Rootkit.Bagle e Trojan. Agent Rispondi citando
Ciao Ragazzi,

chiedo soccorso. Non va neanche in modalità provvisoria (schermo Blu) fer fare il Clean di SmitfraudFix.

va solo:

Malwarebytes' Anti-Malware 1.36
Versione del database: 2007
Windows 5.1.2600 Service Pack 3

20/04/2009 00:39:18
mbam-log-2009-04-20 (00-39-11).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 96476
Tempo trascorso: 10 minute(s), 40 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 3
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> No action taken.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe (Rootkit.Bagle) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit (Rootkit.Bagle) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Rootkit.Bagle) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\winupgro.exe (Trojan.Agent) -> No action taken.

A-squared Anti-Dialer


Grazie
Giovanni
Top
Profilo Invia messaggio privato
Bavarello
Eroe
Eroe


Registrato: 27/08/07 09:37
Messaggi: 46
Residenza: Bergamo
MessaggioInviato: 20 Apr 2009 07:42    Oggetto: Rispondi citando
Sono riuscito ad avere anche questo:


SmitFraudFix v2.411

Scan done at 23:57:13.67, 19/04/2009
Run from E:\Prestazioni\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
D:\WINDOWS\system32\inetsrv\inetinfo.exe
D:\Programmi\Java\jre6\bin\jqs.exe
D:\Programmi\File comuni\LogiShrd\LVCOMSER\LVComSer.exe
D:\Programmi\File comuni\LogiShrd\LVMVFM\LVPrcSrv.exe
D:\Programmi\MagicTune Premium\MagicTuneEngine.exe
C:\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\SearchIndexer.exe
D:\Programmi\File comuni\LogiShrd\LVCOMSER\LVComSer.exe
D:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programmi\MagicTune Premium\MagicTune.exe
D:\WINDOWS\system32\cmd.exe
D:\WINDOWS\explorer.exe
D:\WINDOWS\system32\SearchProtocolHost.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» D:\
»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Gianni.CASA-101BF4991E
»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\GIANNI~1.CAS\IMPOST~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Gianni.CASA-101BF4991E\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\GIANNI~1.CAS\PREFER~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» D:\Programmi
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!
04Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="D:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» DNS
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End

Tutte le altre applicazione mi da errore: xxxx...non è un'applicazione di Win32 valida.


Ho scaricato EliBaglA cambiando il nome prima di scaricarlo in EliBaglAgio però non parte perchè mi dice con un messaggio in spagnolo che non è freeware.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 20 Apr 2009 09:12    Oggetto: Rispondi citando
Ciao Bavarello, Ciao

Segui le istruzioni di questo topic per postare il log di combofix.

Con MBAM non sei riuscito a effettuare la pulizia?

L'ultima modifica di bdoriano il 20 Apr 2009 09:13, modificato 1 volta
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
MessaggioInviato: 20 Apr 2009 09:13    Oggetto: Rispondi citando
1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

2) Svuota del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

3) Scarica ed installa Hijackthis: clicca qui per il download

4) lancia Hthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

5) scarica Combofix: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, l'exe che hai scaricato
● accedi al sistema in modalità provvisoria con un account con privilegi di Amministraore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione

Note: durante la scansione:
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)
senza eseguire altre operazioni sul Computer, lascia che Combofix porti a termine la scansione
● verrà creato un file log in Disco Locale C: dal nome combofix.txt
Riavvia il sistema in modalità normale ed allega il log rilasciato

Per allegare i log che ti verranno richiesti utilizza questo servizio di upload: clicca qui per wikisend pubblicando, nella discussione, il link che verrà rilasciato dopo il caricamento.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 20 Apr 2009 09:16    Oggetto: Re: Non va più: Rootkit.Bagle e Trojan. Agent Rispondi citando
Ciao River, Ciao

Non credo che riesca proprio a entrare in modalità provvisoria:
Bavarello ha scritto:
Non va neanche in modalità provvisoria (schermo Blu) fer fare il Clean di SmitfraudFix.

Conviene fare una prima passata in modalità normale e "aggiustare" le chiavi del registro disabilitate.
Dopodiché, si può procedere con le pulizie di fino.

Buon lavoro. Wink
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
MessaggioInviato: 20 Apr 2009 09:23    Oggetto: Re: Non va più: Rootkit.Bagle e Trojan. Agent Rispondi citando
bdoriano ha scritto:
Ciao River, Ciao Non credo che riesca proprio a entrare in modalità provvisoria ...

Ciao Bd Wink ..... Rolling Eyes mi era sfuggito il particolare.
Citazione:
SmitFraudFix v2.411
Scan done at 23:57:13.67, 19/04/2009
Run from E:\Prestazioni\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

A questo punto suggerirei di seguire la mia procedura fino al punto 5) eseguendo, però, Combofix in modalità normale, come suggerito da te.
Top
Profilo Invia messaggio privato
Bavarello
Eroe
Eroe


Registrato: 27/08/07 09:37
Messaggi: 46
Residenza: Bergamo
MessaggioInviato: 20 Apr 2009 16:23    Oggetto: Rispondi citando
Grazie ragazzi Very Happy

è stata dura questa volta ....molto dura.

Con Combo non so come sono riuscito fare un pò di pulizia (quando ho fatto il download lo rinominato Giofix) solo cosi è partito...dopo un po si è bloccato, ho resettato ed ho fatto in tempo a lanciare, prima che il virus bloccava tutto,
Srumento di rimozione malware di aprile 2009 di Microsoft


---------------------------------------------------------------------------------------

Microsoft Windows Malicious Software Removal Tool v2.9, April 2009
Started On Mon Apr 20 10:26:34 2009

Extended Scan Results
----------------
->Scan ERROR: resource file://D:\Programmi\a-squared Anti-Dialer\a2service.exe (code 0x0000000D (13))
Found malware: Trojan:WinNT/Bagle.gen in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\wfsintwq.sys
->Scan ERROR: resource file://E:\Prestazioni\HijackThis.exe (code 0x0000000D (13))
->Scan ERROR: resource file://E:\Prestazioni\HijackThis.exe (code 0x0000000D (13))
->Scan ERROR: resource file://D:\hiberfil.sys (code 0x00000020 (32))
->Scan ERROR: resource file://D:\pagefile.sys (code 0x00000020 (32))
Found malware: Worm:Win32/Bagle.gen!C in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\1058984.exe
Found malware: Worm:Win32/Bagle.gen!encrypted in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\1174859.exe
Found malware: Worm:Win32/Bagle.gen!C in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\1185156.exe
Found malware: Worm:Win32/Bagle.gen!C in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\1387187.exe
Found malware: Worm:Win32/Bagle.gen!C in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\170875.exe
Found malware: Worm:Win32/Bagle.gen!C in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\292078.exe
Found malware: Worm:Win32/Bagle.gen!C in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\313937.exe
Found malware: Worm:Win32/Bagle.gen!C in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\399203.exe
Found malware: Worm:Win32/Bagle.gen!encrypted in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\407546.exe
Found malware: Worm:Win32/Bagle.gen!C in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\416640.exe
Found malware: Worm:Win32/Bagle.gen!C in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\454250.exe
Found malware: Worm:Win32/Bagle.gen!C in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\507734.exe
Found malware: Worm:Win32/Bagle.gen!encrypted in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\511406.exe
Found malware: Worm:Win32/Bagle.gen!C in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\519656.exe
Found malware: Worm:Win32/Bagle.gen!encrypted in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\656437.exe
Found malware: Worm:Win32/Bagle.gen!C in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\665453.exe
Found malware: Worm:Win32/Bagle.gen!C in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\668234.exe
Found malware: Worm:Win32/Bagle.gen!C in file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\700031.exe
->Scan ERROR: resource file://D:\Documents and Settings\Gianni.CASA-101BF4991E\Impostazioni locali\Temp\a2temp\a2upd.exe (code 0x0000000D (13))
->Scan ERROR: resource file://D:\Programmi\a-squared Anti-Dialer\a2service.exe (code 0x0000000D (13))
->Scan ERROR: resource file://D:\Programmi\a-squared Anti-Dialer\a2upd.exe (code 0x0000000D (13))
Found malware: Trojan:WinNT/Bagle.gen in file://D:\Qoobox\Quarantine\D\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\_wfsintwq_.sys.zip->wfsintwq.sys
Found malware: Worm:Win32/Bagle.gen!C in file://D:\System Volume Information\_restore{E66C2F19-0889-4FBD-AAF5-C9DD2D09F13B}\RP2\A0000122.exe
->Scan ERROR: resource file://E:\Prestazioni\avenger.exe (code 0x0000000D (13))
->Scan ERROR: resource file://E:\Prestazioni\ComboFixGIO.exe (code 0x0000000D (13))
->Scan ERROR: resource file://E:\Programmi\IVAO\IvAp v2\setup\FSUIPC4.exe (code 0x0000000D (13))
->Scan ERROR: resource file://E:\System Volume Information\_restore{E66C2F19-0889-4FBD-AAF5-C9DD2D09F13B}\RP2\A0000123.exe (code 0x0000000D (13))
->Scan ERROR: resource file://E:\System Volume Information\_restore{E66C2F19-0889-4FBD-AAF5-C9DD2D09F13B}\RP2\A0000124.exe (code 0x0000000D (13))

Extended Scan Removal Results
----------------
Start 'remove' for driver://srosa
Operation succeeded !

Start 'remove' for file://\\?\D:\System Volume Information\_restore{E66C2F19-0889-4FBD-AAF5-C9DD2D09F13B}\RP2\A0000122.exe
Operation succeeded !

Start 'remove' for file://\\?\D:\Qoobox\Quarantine\D\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\_wfsintwq_.sys.zip->wfsintwq.sys
Operation failed (code=0x8026), please use a full antivirus product ! !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\wfsintwq.sys
Operation succeeded !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\700031.exe
Operation succeeded !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\668234.exe
Operation succeeded !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\665453.exe
Operation succeeded !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\656437.exe
Operation succeeded !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\519656.exe
Operation succeeded !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\511406.exe
Operation succeeded !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\507734.exe
Operation succeeded !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\454250.exe
Operation succeeded !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\416640.exe
Operation succeeded !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\407546.exe
Operation succeeded !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\399203.exe
Operation succeeded !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\313937.exe
Operation succeeded !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\292078.exe
Operation succeeded !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\170875.exe
Operation succeeded !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\1387187.exe
Operation succeeded !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\1185156.exe
Operation succeeded !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\1174859.exe
Operation succeeded !

Start 'remove' for file://\\?\D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\downld\1058984.exe
Operation succeeded !


Results Summary:
----------------
Found Trojan:WinNT/Bagle.gen, partially removed.
Found Worm:Win32/Bagle.gen!C and Removed!
Found Worm:Win32/Bagle.gen!encrypted and Removed!

Return code: 7
Microsoft Windows Malicious Software Removal Tool Finished On Mon Apr 20 14:58:56 2009



Malwarebytes' Anti-Malware 1.36 Questo ha sempre funzionato che miracolo

Malwarebytes' Anti-Malware 1.36
Versione del database: 2007
Windows 5.1.2600 Service Pack 3

20/04/2009 09:49:17
mbam-log-2009-04-20 (09-49-11).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 96402
Tempo trascorso: 3 minute(s), 41 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 3
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> No action taken.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe (Rootkit.Bagle) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit (Rootkit.Bagle) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Rootkit.Bagle) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
D:\Documents and Settings\Gianni.CASA-101BF4991E\Dati applicazioni\drivers\winupgro.exe (Trojan.Agent) -> No action taken.

Dopo 5 cinque ore di scansione Embarassed


SmitFraudFix v2.411

Scan done at 15:52:50.34, 20/04/2009
Run from E:\Prestazioni\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

"System"=""


Anche questo alla fine si è svegliato Rolling Eyes

(20-4-2009 13:7:43)
EliBagle v12.46 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.46
a "virus@satinfo.es". Gracias.
D:\DOCUMENTS AND SETTINGS\GIANNI.CASA-101BF4991E\DATI APPLICAZIONI\DRIVERS\WINUPGRO.EXE --> Bagle Renombrado a .VIR
D:\DOCUMENTS AND SETTINGS\GIANNI.CASA-101BF4991E\DATI APPLICAZIONI\DRIVERS\SROSA2.SYS --> Eliminado Bagle(rootkit)
D:\DOCUMENTS AND SETTINGS\GIANNI.CASA-101BF4991E\DATI APPLICAZIONI\DRIVERS\DOWNLD\1133546.EXE --> Eliminado Bagle
D:\DOCUMENTS AND SETTINGS\GIANNI.CASA-101BF4991E\DATI APPLICAZIONI\DRIVERS\DOWNLD\245312.EXE --> Eliminado Bagle
D:\DOCUMENTS AND SETTINGS\GIANNI.CASA-101BF4991E\DATI APPLICAZIONI\DRIVERS\DOWNLD\363656.EXE --> Eliminado Bagle
D:\DOCUMENTS AND SETTINGS\GIANNI.CASA-101BF4991E\DATI APPLICAZIONI\DRIVERS\DOWNLD\469515.EXE --> Eliminado Bagle

(20-4-2009 13:18:50)
EliBagle v12.46 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%AppData%\Drivers"
Restaurada Clave: "SafeBoot\Minimal y Network"

(20-4-2009 13:19:2)
EliBagle v12.46 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "D:\"

Nº Total de Directorios: 8668
Nº Total de Ficheros: 69444
Nº de Ficheros Analizados: 15989
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

(20-4-2009 13:26:24)
EliBagle v12.46 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "D:\"

Nº Total de Directorios: 4521
Nº Total de Ficheros: 28596
Nº de Ficheros Analizados: 2917
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.

(20-4-2009 13:26:46)
EliBagle v12.46 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 1235
Nº Total de Ficheros: 12241
Nº de Ficheros Analizados: 577
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

(20-4-2009 13:27:17)
EliBagle v12.46 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "P:\"

Nº Total de Directorios: 239
Nº Total de Ficheros: 2056
Nº de Ficheros Analizados: 106
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0



Grazie bdoriano, Grazie Riverside.... siete impagabili

adesso sto ripristinando Antivirus e qualcosa altro di tutti quelli installati a protezione solo Malwarebytes' Anti-Malware 1.36 non si fatto influenzare dal virus

tutti glli altri ... non è un'applicazione valida di Win32

Un ultimo solo una domanda; come mai per farlo ripartire in modalità provvisoria ( non c'è stato bisogno) io devo usare F5 e non F8?

Ciao Smile
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
MessaggioInviato: 20 Apr 2009 19:30    Oggetto: Rispondi citando
Bavarello ha scritto:
Un ultimo solo una domanda; come mai per farlo ripartire in modalità provvisoria ( non c'è stato bisogno) io devo usare F5 e non F8?

A volte dipende dal tipo di computer.
Visto che la modalità provvisoria adesso funziona, ripeti la scansione con Combofix in modalità provvisoria ed allega il nuovo log.
E per favore, questa volta i log li alleghi come richiesto, ovvero:
Per allegare i log che ti verranno richiesti utilizza questo servizio di upload: clicca qui per wikisend pubblicando, nella discussione, il link che verrà rilasciato dopo il caricamento.
Top
Profilo Invia messaggio privato
Bavarello
Eroe
Eroe


Registrato: 27/08/07 09:37
Messaggi: 46
Residenza: Bergamo
MessaggioInviato: 20 Apr 2009 21:31    Oggetto: Rispondi citando
Vi chiedo scusa per i log fiume. Rolling Eyes

Forse c'è ancora qualcosa da pulire . Aspetto umilmente il Vostro benestare.

ComboFix.txt

Ciao, Grazie!!!

Giovanni
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
MessaggioInviato: 20 Apr 2009 23:26    Oggetto: Rispondi citando
Bavarello ha scritto:
Forse c'è ancora qualcosa da pulire .

Più che forse ..... direi che è certo Confused

Riesegui questi passaggi per favore:

Riverside ha scritto:
1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

2) Svuota del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

3) Scarica ed installa Hijackthis: clicca qui per il download

4) lancia Hthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected


Ovviamente, se hai già scaricato ed installato Hijackthis non lo devi reinstallare.
Dimmi quando hai terminato ed andremo avanti.
Top
Profilo Invia messaggio privato
Bavarello
Eroe
Eroe


Registrato: 27/08/07 09:37
Messaggi: 46
Residenza: Bergamo
MessaggioInviato: 21 Apr 2009 13:53    Oggetto: Rispondi citando
Ciao Riverside,

- disattivato il Ripristino configurazione
- pulita la cartella manualmente ( ho anche installato ATF-Cleaner).
- appena finita la scansione con HKThis; come faccio a riconoscere gli ADS?

Mi ha dato tutti gli indirizzi di collegamento ai siti internet salvati in Preferiti

oltre a questi:

D:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\TEMP : DFC5A2B2 (126 bytes)
D:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\TEMP : DFC5A2B2 (126 bytes)
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
MessaggioInviato: 21 Apr 2009 14:01    Oggetto: Rispondi citando
Bavarello ha scritto:
come faccio a riconoscere gli ADS?

Non devi preoccuparti, li riconosce lui: quindi elimina tutto quello che viene rilevato (non perdi nulla tranquillo).

Quando hai finito, allega un log di Hijackthis, per favore.

P.S.: il Ripristino configurazione di sistema lascialo disabilitato fino a quando non avremo risolto la questione.
Top
Profilo Invia messaggio privato
Bavarello
Eroe
Eroe


Registrato: 27/08/07 09:37
Messaggi: 46
Residenza: Bergamo
MessaggioInviato: 21 Apr 2009 14:19    Oggetto: Rispondi citando
..ecco fatto

hijackthis.log

pulito Laughing Grazie
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
MessaggioInviato: 21 Apr 2009 14:58    Oggetto: Rispondi citando
Bavarello ha scritto:
..ecco fatto ... hijackthis.log .... pulito :lol

Sicuro?.
Alcune domande, prima di proseguire:
1) IE 8 è la versione definitiva oppure la versione Beta?
2) come mai il sistema operativo è installato in D:?
3) E: è una seconda partizione o un secondo disco?
4) Avira lo utilizzi nella configurazione di default?
5) se hai una connessione Adsl mi spieghi a cosa serve aver installato un Antidialer (a-squared Anti-Dialer)?
Top
Profilo Invia messaggio privato
Bavarello
Eroe
Eroe


Registrato: 27/08/07 09:37
Messaggi: 46
Residenza: Bergamo
MessaggioInviato: 21 Apr 2009 15:21    Oggetto: Rispondi citando
Embarassed

1) Internet 8.0.6001.18702 Versione di Aggiornamento: 0
2) Tempo fa ( un influenza da virus precedente) dovendo riinstallare tutto il C:\ era diventato D:\
3) Ho tre dischi rigidi montati. Ed anche partizionati e fanno in totale 6 dischi fissi Rolling Eyes
4) Credo di si... ho seguito quel tread (un file MSWord)che lei ha fatto sul forum sulle impostazioni da seguire.

21/04/2009 11:25 [Guard] Service started
Service started.
Version of service: 9.0.1.26
Version of Engine: 8.2.0.148
Version of VDF: 7.1.3.79

Upd-2009-04-20-21-17-14.log

5) Giusto... avendo la connessione ADSL sono immune da dialer. Quindi lo posso eliminare.

Grazie Riverside ... sempre acuto sei. Very Happy
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
MessaggioInviato: 21 Apr 2009 15:48    Oggetto: Rispondi citando
Bavarello ha scritto:
... avendo la connessione ADSL sono immune da dialer. Quindi lo posso eliminare.

Esatto, disinstallalo (ricorda di cessarne, prima, l'esecuzione dalla icona presente sulla traybar) e poi, da Installazione Applicazioni disinstalla anche:
1) tutte le eventuali toolbar installate
2) Adobe Reader
3) Adobe Flash Player
4) tutte le vesioni presenti di JavaSun

Una volta eseguite le disinstallazioni, scarica ed installa CCleaner:
clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Al termine, riavvia il sistema e verifica (e fai sapere) se i servizi che ti elenco sotto siano, o meno, regolarmente avviati, quindi:
Start
Esegui
nella casella di dialogo digita services.msc e conferma con OK
I servizi che devi controllare sono i seguenti:

> Avvisi
> Centro sicurezza PC
> Aggiornamenti automatici
> Connessioni di rete
> Zero Configuration reti senza fili
> Windows Firewall
> Condivisione connessione Internet (ICS)

P.S.: per favore, evita di allegare log che non ti richiedo.
Top
Profilo Invia messaggio privato
Bavarello
Eroe
Eroe


Registrato: 27/08/07 09:37
Messaggi: 46
Residenza: Bergamo
MessaggioInviato: 21 Apr 2009 17:18    Oggetto: Rispondi citando
I servizi che devi controllare sono i seguenti:

> Avvisi Disabilitato
> Centro sicurezza PC Avviato Automatico
> Aggiornamenti automatici Automatico
> Connessioni di rete Avviato Manuale
> Zero Configuration reti senza fili Automatico
> Windows Firewall/> Condivisione connessione Internet (ICS)
Avviato Automatico

Question
Ho notato anche che c'è a-squared Anti-Dialer Service Automatico
...è possibile toglierlo anche da qui?
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
MessaggioInviato: 21 Apr 2009 21:26    Oggetto: Rispondi citando
Bavarello ha scritto:
I servizi che devi controllare sono i seguenti:

> Avvisi Disabilitato
> Centro sicurezza PC Avviato Automatico
> Aggiornamenti automatici Automatico
> Connessioni di rete Avviato Manuale
> Zero Configuration reti senza fili Automatico
> Windows Firewall/> Condivisione connessione Internet (ICS)
Avviato Automatico

Perfetto: allega un nuovo log di Hijackthis, per piacere.
Top
Profilo Invia messaggio privato
Bavarello
Eroe
Eroe


Registrato: 27/08/07 09:37
Messaggi: 46
Residenza: Bergamo
MessaggioInviato: 21 Apr 2009 22:23    Oggetto: Rispondi citando
...eccolo

hijackthis.log
Glub
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
MessaggioInviato: 21 Apr 2009 22:36    Oggetto: Rispondi
Bavarello ha scritto:
Ho notato anche che c'è a-squared Anti-Dialer Service Automatico ..... è possibile toglierlo anche da qui?

Dal log non vedo quel servizio disabilitato: lo hai disabilitato tu?

Rilancia Hijackthis, spunta le caselline a fianco delle voci che ti indico sotto; una volta spuntate tutte le voci, chiudi tutte le finestre di internet aperte e clicca sul tasto FixChecked.
Queste le voci:

O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programmi\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programmi\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [StartCCC] "D:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programmi\Java\jre6\bin\jusched.exe"

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

Una volta fixate le voci, riavvia il sistema ed allega un nuovo log di Hijackthis

Questo passaggio che ti avevo suggerito, lo hai eseguito?:

Citazione:
1) tutte le eventuali toolbar installate
2) Adobe Reader
3) Adobe Flash Player
4) tutte le vesioni presenti di JavaSun

Una volta eseguite le disinstallazioni, scarica ed installa CCleaner:
clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi