Sicurezza & Privacy
Il forum é stato trasferito su un nuovo dominio. Novità e tanto altro vi aspettano al nuovo indirizzo del forum, www.sicurezzaeprivacy.net/forum.

Grazie , Lo staff.



Bagle tostissimo

Vedere l'argomento precedente Vedere l'argomento seguente Andare in basso

Bagle tostissimo

Messaggio  Stefano 62 il Ven Mag 08, 2009 5:34 pm

Vi ringrazio di cuore per l'aiuto che potrete darmi. Mi sono beccato un Bagle "versione croce rossa su sfondo bianco".Sul sistema xp-svs pack3 era montato un antivirus Avast che non lo ha rilevato e lo ha fatto passare. Sto combattendo da una settimana e sono ad un punto morto. Per prima cosa ho installato Linux nella stessa macchina per poter prendere possesso del PC visto che XP era inutilizzabile: Da Linux ho fatto partire un avast che mi ha ripulito da 2 Trojan di tipo Bagle. Ma la faccenda non era risolta anzi, tra i problemi rimasti win lento in esplora risorse, impossibilità di avviare IE7 e safe mode di boot ini inibito (poi magari c'è altro che non ho visto) allora ho fatto un ATFcleaner poi un Malwarebyte, un elibagla ed infine un combofix; malwarebyte mi ha ripulito da 19 minacce, combofix ha sistemato qualcosa ma sostanzialmente i problemi rimangono, ho avviato un kaspersky tool removal che mi trovato ed eliminato ulteriori 5 trojan, ancora un passettino avanti ma il Pc non era ancora a posto, nel senso che i citati problemi restavano, eppure elibagla e findykill non trovavano più traccia di bagle, allora ho lanciato l'antiroot kit beta version di Avira e mi ha stanato delle chiavi di registro nascoste e bloccate chiedendomi se le volevo mettere in quarantena, mi sono preso 5 minuti per verificare online sull'altro pc sano se facevo bene, nel mentre il PC infetto è andato in crash si è riavviato e dal quel momento tutti i programmi antirootkit sono inibiti, fanno lo scan ma non possono eliminare (pazzesco), ho la sensazione che molto del problema sia lì, il log di findykill mi elenca una lunga serie di file corrotti che dovrebbero essere reinstallati dentro la directory di windows che forse è il problema di IE7 che non va mentre il log di Combofix vede queste chiavi di registro bloccate e invisibili ma non riesce a farle fuorie, come supporto ho il PC muletto sano da cui sto scrivendo, come connessione ho una chiavetta HSDPA. Mi spiace essere stato lungo ma dovevo chiarire la dinamica. Grazie attendo una risposta e buon week end a tutti

Stefano 62

Numero di messaggi : 4
Data d'iscrizione : 08.05.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: Bagle tostissimo

Messaggio  Torukk il Ven Mag 08, 2009 6:13 pm

Ciao Stefano e benvenuto, innanzitutto vediamo cosa dice findykill...
Disinstalla il findykill che hai già scaricato, riscaricalo da qui e usalo come descritto qui eseguendo l'opzione 2.

Posta poi il log che troverai in c:\findykill.txt


Torukk
Moderatore
Moderatore

Numero di messaggi : 204
Data d'iscrizione : 06.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: Bagle tostissimo

Messaggio  Steve75 il Ven Mag 08, 2009 9:49 pm

Benvenuto anche da parte mia...

comincia a seguire i consigli di torukk e vedrai che lo facciamo fuori

PS:. se vuoi presentarti al forum, fai un salto nella sezione " Benvenuto nuovo utente "



Steve75
Admin
Admin

Numero di messaggi : 614
Data d'iscrizione : 11.05.08

Vedere il profilo dell'utente http://pc-security.forumattivo.com

Tornare in alto Andare in basso

Re: Bagle tostissimo

Messaggio  EsseCi il Sab Mag 09, 2009 11:36 pm

Steve75 ha scritto:Benvenuto anche da parte mia...

comincia a seguire i consigli di torukk e vedrai che lo facciamo fuori

PS:. se vuoi presentarti al forum, fai un salto nella sezione " Benvenuto nuovo utente "



_________________
(SC)
.(#)

EsseCi
Moderatore
Moderatore

Numero di messaggi : 312
Data d'iscrizione : 05.02.09
Età : 48
Località : Bariola

Vedere il profilo dell'utente http://www.sysexdb.com

Tornare in alto Andare in basso

Log

Messaggio  Stefano 62 il Dom Mag 10, 2009 9:48 pm

Ciao a tutti
vi posto il Log elaborato da findykill (ps. la versione scaricata su vs link è un pò diversa..c'è anche la scelta della lingua ed altre migliorie)
NON SEMBRANO ESSERCI FILE INFETTI ma una montagna di file corrotti da reinstallare. Certo che ne ha fatto di danno.. proporrei di ribattezzare il virus "butcher" altro che bagle... What a Face

Domanda: Relativamente ai file della directory di windows potrei copiare i file sani dall'altro pc che pure lui ha un servicepack 3 ????
Attendo vostri pareri Ciao e Buona serata Shocked

Codice:

############################## [ FindyKill V4.728 ]

# User : PrudentBear (Administrators) # TOSHIBA
# Update on 03/05/09 by Chiquitine29
# Start at: 20.29.16 | 10/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Core(TM)2 CPU        U7700  @ 1.33GHz
# Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled

# C:\ # Disco rigido locale # 149,05 Go (73,52 Go free) # NTFS
# D:\ # Disco CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS
# E:\ # Disco CD-ROM
# F:\ # Disco rimovibile # 982,72 Mo (979,17 Mo free) [PHOENIX] # FAT
# G:\ # Disco rimovibile

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\TAMSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ThpSrv.exe
C:\WINDOWS\system32\CNAC4RPK.EXE
C:\Programmi\TOSHIBA\TME3\Tmesrv31.exe
C:\WINDOWS\system32\TODDSrv.exe
c:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe

################## [ Infected Files \ Folders ]

Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-02153107.pf 

################## [ Infected Temp Files ]


################## [ Registry / Infected keys ]


################## [ Cleaning Removable drives ]

(!) Not deleted ! D:\autorun.inf

################## [ Registry / Mountpoint2 ]

# -> Not found ! 

################## [ States / Restarting of services ] 

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3 
# EapHost -> # Type of startup =2 
# Ip6Fw -> # Type of startup =2 
# SharedAccess -> # Type of startup =2 
# wuauserv -> # Type of startup =2 
# wscsvc -> # Type of startup =2 

################## [ Searching Other Infections ]

# -> Nothing found.
 
################## [ Corrupted files # Re-Installation required ]
 
C:\Programmi\Creative\Creative WebCam Notebook\WebCam Monitor\Monitor.exe
C:\Programmi\Glary Utilities\uninstaller.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\Programmi\Spybot - Search & Destroy\blindman.exe
C:\Programmi\Spybot - Search & Destroy\Update.exe
C:\WINDOWS\$hf_mig$\KB873339\update\update.exe
C:\WINDOWS\$hf_mig$\KB885835\update\update.exe
C:\WINDOWS\$hf_mig$\KB885836\update\update.exe
C:\WINDOWS\$hf_mig$\KB886185\update\update.exe
C:\WINDOWS\$hf_mig$\KB887472\update\update.exe
C:\WINDOWS\$hf_mig$\KB888113\update\update.exe
C:\WINDOWS\$hf_mig$\KB888302\update\update.exe
C:\WINDOWS\$hf_mig$\KB890046\update\update.exe
C:\WINDOWS\$hf_mig$\KB890175\update\update.exe
C:\WINDOWS\$hf_mig$\KB890859\update\update.exe
C:\WINDOWS\$hf_mig$\KB891781\update\update.exe
C:\WINDOWS\$hf_mig$\KB893066\update\update.exe
C:\WINDOWS\$hf_mig$\KB893756\update\update.exe
C:\WINDOWS\$hf_mig$\KB894391\update\update.exe
C:\WINDOWS\$hf_mig$\KB896358\update\update.exe
C:\WINDOWS\$hf_mig$\KB896422\update\update.exe
C:\WINDOWS\$hf_mig$\KB896423\update\update.exe
C:\WINDOWS\$hf_mig$\KB896424\update\update.exe
C:\WINDOWS\$hf_mig$\KB896428\update\update.exe
C:\WINDOWS\$hf_mig$\KB898461\update\update.exe
C:\WINDOWS\$hf_mig$\KB899587\update\update.exe
C:\WINDOWS\$hf_mig$\KB899589\update\update.exe
C:\WINDOWS\$hf_mig$\KB899591\update\update.exe
C:\WINDOWS\$hf_mig$\KB900485\update\update.exe
C:\WINDOWS\$hf_mig$\KB900725\update\update.exe
C:\WINDOWS\$hf_mig$\KB901017\update\update.exe
C:\WINDOWS\$hf_mig$\KB901214\update\update.exe
C:\WINDOWS\$hf_mig$\KB904706\update\update.exe
C:\WINDOWS\$hf_mig$\KB904942\update\update.exe
C:\WINDOWS\$hf_mig$\KB905414\update\update.exe
C:\WINDOWS\$hf_mig$\KB905749\update\update.exe
C:\WINDOWS\$hf_mig$\KB908519\update\update.exe
C:\WINDOWS\$hf_mig$\KB908531\update\update.exe
C:\WINDOWS\$hf_mig$\KB910437\update\update.exe
C:\WINDOWS\$hf_mig$\KB911280\update\update.exe
C:\WINDOWS\$hf_mig$\KB911562\update\update.exe
C:\WINDOWS\$hf_mig$\KB911567\update\update.exe
C:\WINDOWS\$hf_mig$\KB911927\update\update.exe
C:\WINDOWS\$hf_mig$\KB912919\update\update.exe
C:\WINDOWS\$hf_mig$\KB914388\update\update.exe
C:\WINDOWS\$hf_mig$\KB914389\update\update.exe
C:\WINDOWS\$hf_mig$\KB915865\update\update.exe
C:\WINDOWS\$hf_mig$\KB916595\update\update.exe
C:\WINDOWS\$hf_mig$\KB917159\update\update.exe
C:\WINDOWS\$hf_mig$\KB917344\update\update.exe
C:\WINDOWS\$hf_mig$\KB917422\update\update.exe
C:\WINDOWS\$hf_mig$\KB917537\update\update.exe
C:\WINDOWS\$hf_mig$\KB917953\update\update.exe
C:\WINDOWS\$hf_mig$\KB918118\update\update.exe
C:\WINDOWS\$hf_mig$\KB918439\update\update.exe
C:\WINDOWS\$hf_mig$\KB919007\update\update.exe
C:\WINDOWS\$hf_mig$\KB920214\update\update.exe
C:\WINDOWS\$hf_mig$\KB920670\update\update.exe
C:\WINDOWS\$hf_mig$\KB920683\update\update.exe
C:\WINDOWS\$hf_mig$\KB920685\update\update.exe
C:\WINDOWS\$hf_mig$\KB920872\update\update.exe
C:\WINDOWS\$hf_mig$\KB921398\update\update.exe
C:\WINDOWS\$hf_mig$\KB921503\update\update.exe
C:\WINDOWS\$hf_mig$\KB921883\update\update.exe
C:\WINDOWS\$hf_mig$\KB922582\update\update.exe
C:\WINDOWS\$hf_mig$\KB922616\update\update.exe
C:\WINDOWS\$hf_mig$\KB922819\update\update.exe
C:\WINDOWS\$hf_mig$\KB923414\update\update.exe
C:\WINDOWS\$hf_mig$\KB923561\update\update.exe
C:\WINDOWS\$hf_mig$\KB923694\update\update.exe
C:\WINDOWS\$hf_mig$\KB923980\update\update.exe
C:\WINDOWS\$hf_mig$\KB924191\update\update.exe
C:\WINDOWS\$hf_mig$\KB924270\update\update.exe
C:\WINDOWS\$hf_mig$\KB925486\update\update.exe
C:\WINDOWS\$hf_mig$\KB925902\update\update.exe
C:\WINDOWS\$hf_mig$\KB926255\update\update.exe
C:\WINDOWS\$hf_mig$\KB926436\update\update.exe
C:\WINDOWS\$hf_mig$\KB927779\update\update.exe
C:\WINDOWS\$hf_mig$\KB927802\update\update.exe
C:\WINDOWS\$hf_mig$\KB927891\update\update.exe
C:\WINDOWS\$hf_mig$\KB928255\update\update.exe
C:\WINDOWS\$hf_mig$\KB928843\update\update.exe
C:\WINDOWS\$hf_mig$\KB929123\update\update.exe
C:\WINDOWS\$hf_mig$\KB929969\update\update.exe
C:\WINDOWS\$hf_mig$\KB930178\update\update.exe
C:\WINDOWS\$hf_mig$\KB930916\update\update.exe
C:\WINDOWS\$hf_mig$\KB931261\update\update.exe
C:\WINDOWS\$hf_mig$\KB932823-v3\update\update.exe
C:\WINDOWS\$hf_mig$\KB935448\update\update.exe
C:\WINDOWS\$hf_mig$\KB935839\update\update.exe
C:\WINDOWS\$hf_mig$\KB935840\update\update.exe
C:\WINDOWS\$hf_mig$\KB936021\update\update.exe
C:\WINDOWS\$hf_mig$\KB936357\update\update.exe
C:\WINDOWS\$hf_mig$\KB937894\update\update.exe
C:\WINDOWS\$hf_mig$\KB938127-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB938464\update\update.exe
C:\WINDOWS\$hf_mig$\KB938828\update\update.exe
C:\WINDOWS\$hf_mig$\KB938829\update\update.exe
C:\WINDOWS\$hf_mig$\KB941202\update\update.exe
C:\WINDOWS\$hf_mig$\KB941568\update\update.exe
C:\WINDOWS\$hf_mig$\KB941644\update\update.exe
C:\WINDOWS\$hf_mig$\KB941693\update\update.exe
C:\WINDOWS\$hf_mig$\KB942615-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB942763\update\update.exe
C:\WINDOWS\$hf_mig$\KB943055\update\update.exe
C:\WINDOWS\$hf_mig$\KB943485\update\update.exe
C:\WINDOWS\$hf_mig$\KB944533-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB944653\update\update.exe
C:\WINDOWS\$hf_mig$\KB945553\update\update.exe
C:\WINDOWS\$hf_mig$\KB946026\update\update.exe
C:\WINDOWS\$hf_mig$\KB946648\update\update.exe
C:\WINDOWS\$hf_mig$\KB947864-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB948590\update\update.exe
C:\WINDOWS\$hf_mig$\KB948881\update\update.exe
C:\WINDOWS\$hf_mig$\KB950749\update\update.exe
C:\WINDOWS\$hf_mig$\KB950759-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB950760\update\update.exe
C:\WINDOWS\$hf_mig$\KB950762\update\update.exe
C:\WINDOWS\$hf_mig$\KB950974\update\update.exe
C:\WINDOWS\$hf_mig$\KB951066\update\update.exe
C:\WINDOWS\$hf_mig$\KB951072-v2\update\update.exe
C:\WINDOWS\$hf_mig$\KB951376\update\update.exe
C:\WINDOWS\$hf_mig$\KB951376-v2\update\update.exe
C:\WINDOWS\$hf_mig$\KB951698\update\update.exe
C:\WINDOWS\$hf_mig$\KB951748\update\update.exe
C:\WINDOWS\$hf_mig$\KB951978\update\update.exe
C:\WINDOWS\$hf_mig$\KB952004\update\update.exe
C:\WINDOWS\$hf_mig$\KB952287\update\update.exe
C:\WINDOWS\$hf_mig$\KB952954\update\update.exe
C:\WINDOWS\$hf_mig$\KB953838-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB953839\update\update.exe
C:\WINDOWS\$hf_mig$\KB954211\update\update.exe
C:\WINDOWS\$hf_mig$\KB954459\update\update.exe
C:\WINDOWS\$hf_mig$\KB954600\update\update.exe
C:\WINDOWS\$hf_mig$\KB955069\update\update.exe
C:\WINDOWS\$hf_mig$\KB955839\update\update.exe
C:\WINDOWS\$hf_mig$\KB956390-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB956391\update\update.exe
C:\WINDOWS\$hf_mig$\KB956572\update\update.exe
C:\WINDOWS\$hf_mig$\KB956802\update\update.exe
C:\WINDOWS\$hf_mig$\KB956803\update\update.exe
C:\WINDOWS\$hf_mig$\KB956841\update\update.exe
C:\WINDOWS\$hf_mig$\KB957095\update\update.exe
C:\WINDOWS\$hf_mig$\KB957097\update\update.exe
C:\WINDOWS\$hf_mig$\KB958215-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB958644\update\update.exe
C:\WINDOWS\$hf_mig$\KB958687\update\update.exe
C:\WINDOWS\$hf_mig$\KB958690\update\update.exe
C:\WINDOWS\$hf_mig$\KB959426\update\update.exe
C:\WINDOWS\$hf_mig$\KB960225\update\update.exe
C:\WINDOWS\$hf_mig$\KB960714-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB960715\update\update.exe
C:\WINDOWS\$hf_mig$\KB960803\update\update.exe
C:\WINDOWS\$hf_mig$\KB961260-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB961373\update\update.exe
C:\WINDOWS\$hf_mig$\KB963027-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB967715\update\update.exe
C:\WINDOWS\ServicePackFiles\i386\sysinfo.exe

################################### [ Cracks / Keygens / Serials ]

# -> Nothing found ! 

################## [ ! End of Report # FindyKill V4.728 ! ]

Stefano 62

Numero di messaggi : 4
Data d'iscrizione : 08.05.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: Bagle tostissimo

Messaggio  Steve75 il Dom Mag 10, 2009 10:47 pm

ok, i programmi da reinstallare sono;
C:\Programmi\Creative
C:\Programmi\Glary Utilities
C:\Programmi\Lavasoft\Ad-Aware
C:\Programmi\Spybot - Search & Destroy

d'altronde ti consiglierei di disinstallare completamente Spybot e Adware (ormai obsoleti) e sostituirli con MalwareByte's Antimalware
, che dopo aver scaricato e installato, ti consiglio di aggiornarlo e fare uno scan completo del sistema.
Posta il suo log

Per gli altri file corrotti, non sono file vitali, al limite c'é ne occupiamo dopo , a pc pulito




Steve75
Admin
Admin

Numero di messaggi : 614
Data d'iscrizione : 11.05.08

Vedere il profilo dell'utente http://pc-security.forumattivo.com

Tornare in alto Andare in basso

Re: Bagle tostissimo

Messaggio  Contenuto sponsorizzato Oggi a 3:25 am


Contenuto sponsorizzato


Tornare in alto Andare in basso

Vedere l'argomento precedente Vedere l'argomento seguente Tornare in alto


 
Permesso di questo forum:
Non puoi rispondere agli argomenti in questo forum