Olimpo Informatico

[fabbio]

in un topic ho letto che system scan è il sistema estremo per rimuovere virus....ho il bagle.....ho seguito le info ....postato il report a filehosting....ricevuto un file ....che devo fare?????

Grazie per l'attenzione

[fabbio]

Grazie per l'attenzione!!!!


Wed Mar 12 13:32:11 2008
EliBagle v11.12 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Wed Mar 12 13:32:14 2008
EliBagle v11.12 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1015509250.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1030251953.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1045436843.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1060412703.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\106156.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\107108453.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\107111906.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1075127859.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\107578890.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1089807500.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1104479109.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1119215468.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1133907859.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1163313812.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1177994562.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1192735593.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1207439718.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\12086203.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\121750531.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\121753703.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1266220718.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1295673437.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1310356250.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1325183984.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1355265812.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\136928656.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1384897953.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1399672812.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1414418656.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1443790234.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1458493343.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14636359.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1473214000.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14855343.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14860687.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1502604984.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\15073656.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1517284609.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1531964046.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1546649234.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1561356906.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1576623250.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1606411968.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1621112828.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\182083281.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\197091031.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\212233437.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\226847031.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\256140062.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\286011187.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\29605687.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\29669343.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\29689656.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\301055562.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\315917156.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\33875468.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\33878671.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\345793796.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\360486890.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\390627968.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\405245828.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\419918031.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\449583187.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\464259687.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\479328406.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\48526593.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\49421.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\494539062.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\509983937.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\52406.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\525407250.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\55125.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\55406.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\55703.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\560051484.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\58812.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\59000.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\590540812.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\59066031.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\61093.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\624044593.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\63150656.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\63153515.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\66250.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\671931921.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\69906.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\701801875.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\71312.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\716475078.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\73938453.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\746275000.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\76336656.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\76371390.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\776198750.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\77800453.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\78546.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\80296.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\806107500.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\82859.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\836046968.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\851564234.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\881513468.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\911649890.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\92413265.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\92417343.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\92893000.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\956321968.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\96359.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\985926171.EXE --> Eliminado Bagle

Nº Total de Directorios: 2554
Nº Total de Ficheros: 31681
Nº de Ficheros Analizados: 6504
Nº de Ficheros Infectados: 110
Nº de Ficheros Limpiados: 110

ComboFix 08-03-10.1 - fabio 2008-03-12 14.03.14.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.298 [GMT 1:00]
Eseguito da: C:\Documents and Settings\fabio\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino

edit by bdoriano: log eliminato perché incompleto. I logs vanno caricati su FreeFileHosting come indicato qui.

[fabbio]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.17.43, on 12/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BA756A1-42DD-43E0-B219-B48C6C46AA39}: NameServer = 192.168.1.1
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4943 bytes

[Sante62]

Ciao fabbio
Systemscan non è un antivirus ma un scanner che da importanti informazioni; eventualmente lo useremo dopo;
quì trovi le istruzioni su come caricare i logs;

per il Bagle scarica e avvia EliBAgla tramite questa guida
Guarda anche
questa discussione
relativa a Combofix, e fai la scansione del PC postando il risultato come indicato.

[bdoriano]

Ciao fabbio,

ll log di combofix è incompleto. Ri-postalo caricandolo su FreeFileHosting come indicato qui.

Dopo aver ri-postato il log di combofix, fai queste scansioni con GMER (sono 2: autostart e rootkit) e posta i logs su FreeFileHosting come indicato qui.

PS: ho riunito le due discussioni per evitare dispersione.

[fabbio]

Grazie tante per l'attenzione....ecco i log

InfoSat8.txt

ComboFix32.txt

rootkitgmer.txt

autostartgmer1.txt

[Sante62]

Fai la scansione con Systemscan e posta il log generato come
indicato quì;

inoltre pare tu non abbia ne antivirus ne firewall;

comincia anche a installarli; per il firewall vedi questa discussione;

[fabbio]

razie per l'aiuto...ho installato avg antivirus free e avg spyware free.....il firewall non è installato perchè ora sono dietro ad un router....dici di installarlo lo stesso ???GRAZIE

reportsystemscan.txt

[Sante62]

Io direi di installare il firewall ugualmente, non dovrebbe crearti problemi;

Per quanto riguarda il log, vedo qualcosa nei file temp, ma non è niente di grave;

utilizza CCleaner; Avvialo e clicca su opzioni->Avanzate, e togli la spunta da "elimina file solo se più vecchi di 48 ore"
Utilizza l'opzione Pulizia e poi clicca su Analizza; alla fine clicca su Avvia Pulizia. Fai la stessa cosa con l'opzione Trova problemi; eliminerà una serie di chiavi di registro inutili.

Avvia Hijackthis, seleziona questa riga e clicca su fix Checked:

[fabbio]

Grazie ancora

[URL="http://www.freefilehosting.net/files/3efag"]kaspereport.html[/URL]

[Sante62]

E' infettata solo la cartella di ripristino di sistema;

per ripulirla disattiva il ripristino di sistema e poi riattivalo, così dovresti essere a posto;

nel caso fai questa operazione più volte nell'arco di qualche settimana;

se riscontri altri problemi riferisci pure....