| Precedente :: Successivo |
| Autore |
Messaggio |
risenslayer
Eroe
Registrato: 06/09/07 02:49
Messaggi: 46
|
 Inviato: 05 Giu 2008 22:22 Oggetto: Probabile virus BAGLE... |
 |
|
Ciao a tutti, sono qui di nuovo per chiedere il vostro aiuto perchè devo essere stato infettato di nuovo da un virus BAGLE... 
Mi si è disattivato l'antivirus (KasperSky), ora non riesco ad installare nessun'altro antivirus e il pc è molto lento.
Ho Windows Xp (Service Pack 2) e tra i programmi in esecuzione ho notato questi due programmi piuttosto sospetti:
111671.exe e flec006.exe!!!
In più quando accendo il pc mi si apre questa finestra...
... se la chiudo o su clicco "annulla" dopo poco tempo mi esce una pagina blu di errore e mi si spegne il pc, se invece la lascio aperta non succede ulla e la pagina blu non appare... 
Sapete dirmi di cosa si tratta e se ci sia un soluzione possibile al problema?
Ho provato a far partire HiJackThis e Combofix per postare i log ma non si aprono dicendo che sono "un'applicazione di win32 non valida"!
Però sono riuscito a fare la scansione con Elibagla e questo è il risultato:
Thu Jun 05 22:12:39 2008
EliBagle v11.44 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Thu Jun 05 22:13:53 2008
EliBagle v11.44 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Thu Jun 05 22:14:27 2008
EliBagle v11.44 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Thu Jun 05 22:25:57 2008
EliBagle v11.44 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Thu Jun 05 22:26:31 2008
EliBagle v11.44 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 5895
Nº Total de Ficheros: 75220
Nº de Ficheros Analizados: 8333
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0 |
|
| Top |
|
 |
risenslayer
Eroe
Registrato: 06/09/07 02:49
Messaggi: 46
|
| Inviato: 05 Giu 2008 23:12 Oggetto: ... |
|
|
Ho fatto la scansione con KasperSky Online Scannere e questo è il file risultante...
http://www.freefilehosting.net/download/3i4bj
Grazie mille in anticipo per l'aiuto!!! |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
|
| Top |
|
|
risenslayer
Eroe
Registrato: 06/09/07 02:49
Messaggi: 46
|
| Inviato: 06 Giu 2008 20:27 Oggetto: |
|
|
Hey ciao, grazie mille per la risposta...
Ecco il file log di SystemScan:
http://wikisend.com/download/539952/report.txt
Ciao ciao. |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 06 Giu 2008 23:35 Oggetto: |
|
|
Apri il blocco note, copia ed incolla le scritte in rosso:
| Citazione: | Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\Software\MuleAppData1]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"german.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"mule_st_key"=-
|
Salva il file col nome di fix.reg in C:\ (IMPORTANTE!)
Apri SystemScan>Clicca su "Removal Script".
Allinterno del box bianco copia ed incolla i valori riportati qui sotto in rosso:
| Citazione: | Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Files to delete:
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\drivers\mdelk.exe
c:\WINDOWS\system32\drivers\srosa.sys
c:\WINDOWS\system32\mdelk.exe
Folders to delete:
C:\Documents and Settings\Roberto\Dati applicazioni\m
c:\WINDOWS\system32\drivers\downld
programs to launch on reboot:
c:\fix.reg
|
ora clicca su "Proceed with removal" e poi su OK.
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente
Portati in C:\ postami il contenuto del log generato da Avenger (avenger.txt) allega un nuovo report di SystemScan
Grazie. |
|
| Top |
|
|
risenslayer
Eroe
Registrato: 06/09/07 02:49
Messaggi: 46
|
| Inviato: 08 Giu 2008 13:26 Oggetto: |
|
|
Grazie mille per l'aiuto 
Ho fato esattamente come hai detto e questo è il log di Avenger:
http://wikisend.com/download/947616/ReportAvenger.txt
Dopo aver cliccato su "proceed with removal" si è riavviato il pc e è partito in automatico Elibagla e questo è il suo log:
http://wikisend.com/download/490098/ReportElibagla.txt
Dopo il riavvio ho rifatto la scansione con SymantecScan e questo è il log:
http://wikisend.com/download/490182/ReportSymanecScan.txt
Ciao e ancora grazie mille!!! |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 08 Giu 2008 17:44 Oggetto: |
|
|
Ancora c'è dell'altro....
| Citazione: | ===================== MASTER BOOT RECORD =====================
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x6fc3dbf size 0x1ca !
copy of MBR has been found in sector 62 !
|
Scarica Stealth MBR rootkit detector
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
1 - Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
A questo punto sempre da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto per il controllo*
Esempio di MBR correttamente ripristinato:
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x13 hook detected !
malicious code @ sector 0x12a14c00 size 0x1ca !
copy of MBR has been found in sector 62 !
original MBR restored successfully !
3 - Riavviate il PC in modalità normale
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto per il controllo*
Esempio di MBR corretto:
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
drweb_Cureit
Caratteristiche: non necessita di installazione
Doppio click su CureIt - cliccate su Avvia - alla domanda Avvia ora il controllo? cliccate su OK
In questa modalità Express Scan vengono controllati solo i seguenti oggetti:
* Random access memory
* Settori di Boot di tutti i dischi
* Ogetti di Startup
* Disco di Boot e cartella principale
* Cartella principale del disco di installaizone di Windows
* Cartella di Sistema di Windows
* Cartella documenti Utente ("Documenti")
* Cartella temporanea di Sistema
* Usa la cartella temporanea
Al termine di questa fase cliccate su Completa scansione e avviate cliccando sul triangolino verde
Gli eventuali malware rilevati è preferibile metterli in quarantena cliccando sul tasto Sposta
Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb |
|
| Top |
|
|
daysleeper
Semidio
Registrato: 25/04/08 00:01
Messaggi: 371
|
| Inviato: 08 Giu 2008 18:47 Oggetto: |
|
|
| quella che hai beccato è l'ultima varinate del bagle.... |
|
| Top |
|
|
risenslayer
Eroe
Registrato: 06/09/07 02:49
Messaggi: 46
|
| Inviato: 10 Giu 2008 00:35 Oggetto: |
|
|
Hey ciao, grazie per l'ennessima risposta!!
Purtroppo qualcosa non dev'essere andato a buon fine...
Ho fatto partire mbr.exe in modalità provvisoria e questo è il risultato:
| Codice: | Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x6fc3dbf size 0x1ca !
copy of MBR has been found in sector 62 ! |
... che purtroppo non è uguale a quello che hai riporato come esempio corretto:
| Codice: | Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x13 hook detected !
malicious code @ sector 0x12a14c00 size 0x1ca !
copy of MBR has been found in sector 62 !
original MBR restored successfully ! |
Ho fatto partire mbr.exe anche in modalità normale:
| Codice: | Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x6fc3dbf size 0x1ca !
copy of MBR has been found in sector 62 ! |
... e anche qesto differisce dall'esempio corretto che hai riportato tu:
| Codice: | Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK |
Questo invece è il risultato della scansione di CureIt: |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 10 Giu 2008 17:59 Oggetto: |
|
|
L'ultimo codice che hai riportato è corretto...
| risenslayer ha scritto: |
Questo invece è il risultato della scansione di CureIt: |
Dov'è?... 
Fai girare anche questo:
FixMebroot
Compatibile: Windows XP
Caratteristiche: non necessita di installazione
Doppio click su FixMebroot.exe - cliccare su I Accept - cliccare su Start e seguire le istruzioni
Al termine della scansione verrà creato sul Desktop il log FixMebroot.log da allegare per il controllo* |
|
| Top |
|
|
risenslayer
Eroe
Registrato: 06/09/07 02:49
Messaggi: 46
|
| Inviato: 10 Giu 2008 23:38 Oggetto: |
|
|
| Citazione: | | L'ultimo codice che hai riportato è corretto... |
Vedendoli così pensavo che entrambi i log fossero diversi dagli esempi corretti che avevi postato tu, sia in modalità provvisoria che in modalità normale 
| Citazione: | Dov'è?...  |
Oops... mi ero dimenticato di mettere il link al log di CureIt, eccolo:
http://wikisend.com/download/483356/CureIt.log
| Citazione: | | Fai girare anche questo: FixMebroot |
Ecco il link:
http://wikisend.com/download/483368/FixMebroot.log
Grazie mille |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 10 Giu 2008 23:58 Oggetto: |
|
|
Miiii, quant'era lungo il log di Cureit  quasi impossibile analizzarlo tutto;
meno male che c'era il riepilogo;
adesso collegati a Kaspersky online scanner e procedi con la scansione estesa del PC... |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 11 Giu 2008 11:01 Oggetto: |
|
|
Piccola correzione....
Fai un log aggiornato di Systemscan, perchè c'è qualcosa su MSN... |
|
| Top |
|
|
risenslayer
Eroe
Registrato: 06/09/07 02:49
Messaggi: 46
|
| Inviato: 15 Giu 2008 18:32 Oggetto: |
|
|
Hey ciao, ancora grazie mille per il tuo aiuto.
Ho fatto la scansione con KasperSky Online Antivirus e questo è il log:
http://wikisend.com/download/487138/KasperSkyOnlineAntivirus.html
Ho fatto anche la scansione con SymantecScan e questo è il log:
http://wikisend.com/download/486140/SystemScan.txt
Strano però che proprio MSN abbia dei problemi, sono mesi che non viene aperto e non ha nessuna attività, strano che sia sia infettato! |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 15 Giu 2008 19:41 Oggetto: |
|
|
Purtroppo ho interpretato male i primi logs e me ne scuso;
devi ripetere questi passi: (attenzione al comando indicato in grassetto perchè temo tu non l'abbia eseguito correttamente, dopo penseremo a MSN):
| Sante62 ha scritto: | Ancora c'è dell'altro....
| Citazione: | ===================== MASTER BOOT RECORD =====================
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x6fc3dbf size 0x1ca !
copy of MBR has been found in sector 62 !
|
Scarica Stealth MBR rootkit detector
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
1 - Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
A questo punto sempre da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto per il controllo*
Esempio di MBR correttamente ripristinato:
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x13 hook detected !
malicious code @ sector 0x12a14c00 size 0x1ca !
copy of MBR has been found in sector 62 !
original MBR restored successfully !
3 - Riavviate il PC in modalità normale
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto per il controllo*
Esempio di MBR corretto:
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
drweb_Cureit
Caratteristiche: non necessita di installazione
Doppio click su CureIt - cliccate su Avvia - alla domanda Avvia ora il controllo? cliccate su OK
In questa modalità Express Scan vengono controllati solo i seguenti oggetti:
* Random access memory
* Settori di Boot di tutti i dischi
* Ogetti di Startup
* Disco di Boot e cartella principale
* Cartella principale del disco di installaizone di Windows
* Cartella di Sistema di Windows
* Cartella documenti Utente ("Documenti")
* Cartella temporanea di Sistema
* Usa la cartella temporanea
Al termine di questa fase cliccate su Completa scansione e avviate cliccando sul triangolino verde
Gli eventuali malware rilevati è preferibile metterli in quarantena cliccando sul tasto Sposta
Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb |
|
|
| Top |
|
|
risenslayer
Eroe
Registrato: 06/09/07 02:49
Messaggi: 46
|
| Inviato: 15 Giu 2008 23:24 Oggetto: |
|
|
Ciao, non preoccuparti... Non devi scusarti se hai mal interpretato, può capitare a tutti e io non saprei neanche come muovermi per cui mi stai dando un grande aiuto e non hai nulla di cui scusarti
Ho fatto esattamente come hai detto e sono sicuro di aver digitato il comando correttamente (C:\mbr.exe -f) ma non è cambiato nulla:
Questo è il risultato in modalità provvisoria (ancora non corretto) 
| Codice: | Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x6fc3dbf size 0x1ca !
copy of MBR has been found in sector 62 ! |
Mentre questo è il risultato in modalità normale (anche questo non corretto) 
| Codice: | Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x6fc3dbf size 0x1ca !
copy of MBR has been found in sector 62 ! |
Ora sto facendo la scansione con CureIt 
http://wikisend.com/download/481744/CureIt.log |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 16 Giu 2008 09:35 Oggetto: |
 |
|
Per quanto riguarda il Mater Boot ora dovrebbe essere a posto comunque anche se non so perchè continua a segnalarlo...
Cureit evidenzia un adware:
| Citazione: | | c:\programmi\shoppingreport\bin\2.5.0\shoppingreport.dll |
ti consiglierei di cancellarlo;
Crea un file di testo con le seguenti istruzioni:
| Citazione: | File::
C:\WINDOWS\SYSTEM32:MSNSRVE.EXE
Registry::
[-HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ApprovedByRegRun2\AntiRepl\2] |
Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:
Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro. 
Posta i logs aggiornati di combofix e di hijackthis
Ora vediamo cosa ci dice la scansione con Kaspersky quindi procedi... |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
