|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
20-05-2008, 21.45.41 | #1 |
Senior Member
Registrato: 22-01-2001
Messaggi: 304
|
Trojan Trojan Trojan ! Bagle etc... Help me please !
quando mi capitano problemi torno sempre alla base wintricks in quanto qua ho quasi sempre trovato risposte ai miei danni. Ho un portatile Dell con Vista, oggi ho aperto come un somaro un file zippato che si e' rivelato contenere dei bei troiani ! Ho anche Avast aggiornato ma non l'ha bloccato. In pratica dovrei aver preso un worm bagle, ho fatto la scansione con avast ha cancellato 8 file infetti, pensavo fosse a posto ma invece nulla; al riavvio avast non si carica ( va solo in mod. provvisoria), e nessun antivirus parte, men che meno i vari hijackthis e Trojan remover. Ho scaricato un antivirus A-SQUARED che funziona e mi ha beccato ( poi cancellati ) i seguenti : - Trojan win32 Vapsup.eyd - Email-worm win32 Bagle.vr Pensando di aver risolto riavvio ma i problemi con gli antivirus restano. Non riesco nemmeno a fare le scansioni online. Se qualcuno sa cosa fare mi aiuti. Grazie p.s. son riuscito a fare un log con un hijackthis modificato che ho trovato qua su wintricks. Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\sttray.exe C:\Program Files\Dell\MediaDirect\PCMService.exe C:\Program Files\Avast4\ashDisp.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\Digital Line Detect\DLG.exe C:\Program Files\Dell\QuickSet\quickset.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Users\Supertraz\Desktop\TrojanRemover-669\TrojanRemover-669.exe C:\Users\SUPERT~1\AppData\Local\Temp\is-98E3B.tmp\TrojanRemover-669.tmp C:\Windows\system32\wuauclt.exe G:\baglegui.com G:\MegaLab.it_HiJack.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it/ig/dell?hl=it&c...it&ibd=6070307 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer fornito da Dell R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: LabelCommand module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - C:\Program Files\LabelCommand\LabelCommand.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [SynTPEnh] "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [ECenter] c:\dell\E-Center\EULALauncher.exe O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [AVP] "C:\Users\Public\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_22-36.exe" O4 - HKCU\..\Run: [WMPNSCFG] "C:\Program Files\Windows Media Player\WMPNSCFG.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [RunSpySweeperScheduleAtStartup] "C:\Windows\system32\msfeedssync.exe" /ScheduleSweep=User_Feed_Synchronization-{C32A1BB8-5C0C-4436-A6B5-9FFB7395D392} O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user') O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Bluetooth.lnk = ? O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe O4 - Global Startup: QuickSet.lnk = ? O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O13 - Gopher Prefix: O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: setup_7.0.0.180_18.05.2008_22-36 - Kaspersky Lab - C:\Users\Public\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_22-36.exe O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe O23 - Service: Sistema Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
___________________________________
www.tormento.it Ultima modifica di supertraz : 20-05-2008 alle ore 21.53.01 |
20-05-2008, 23.56.25 | #2 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
ciao,
premetto che non utilizzo Windows Vista e che non sono mai stato infettato da questa porcheria. Quindi quanto leggerai non è tutta farina del mio sacco a pelo™ (citerò le fonti) Vedo che le hai provate quasi tutte, incluso il tool fornito dalla Kasperky, non avevo mai sentito nominare quel tool Trojan_Remover (che ho trovato e inviato su www.virustotal.com e sembra pulito) E' normale purtroppo che quasi nessun antivirus e firewall non funzionino dopo una infezione con una qualsiasi delle varianti del malefico Beagle. Dovresti procurarti se non lo usi CCleaner (per eliminare il files temporanei cronologia di navigazione etc etc etc) http://www.ccleaner.com/download/bui...wnloading-slim quindi il tool Elibagla (specifico per questo tipo di infezione) http://www.zonavirus.com/datos/desca...5/elibagla.asp in fondo alla pagina clicca dove c'è scritto Descargar ELIBAGLA 1.39 Prova a eseguirlo per vedere se riesce a rimuovere i files nascosti HLDRRR.EXE (N.B questo processo dovrebbe essere visibile dal Task Manager) , SROSA.SYS che si trovano anche nel registro di configurazione nelle chiavi che potresti tentare di eliminare manualmente: HKLMSYSTEM\CurrentControlSet\Services\srosa HKLMSYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROS A le infezioni dovrebbero trovarsi in queste directory nascoste C:\WINDOWS\system32\drivers\hldrrr.exe C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\wintems.exe e qui C:\WINDOWS\system32\drivers\down una serie di eseguibili random scarica anche l'antirookit della F-secure (sperando che funzioni) da qui ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe da qui invece: http://swandog46.geekstogo.com/avenger2/avenger2.html scarichi AVENGER 2 compatibile Vista come funziona lo trovi qui Guida a The Avenger 2 - Megalab.it (R) per la rimozione ti rimando a questo eccellente articolo che trovi qui Rimozione Bagle in Vista - megalab.it (R) fiuuuuuu se ci fosse crazy.cat presente avrebbe presumo risolto quasi immediatamente il tuo problema. In bocca al lupo Ultima modifica di leofelix : 21-05-2008 alle ore 00.07.41 |
21-05-2008, 00.05.21 | #3 |
Senior Member
Registrato: 22-01-2001
Messaggi: 304
|
Gentilissimo ! domani provo poi ti dico.
Grazie davvero :-)
___________________________________
www.tormento.it |
21-05-2008, 00.13.02 | #4 | |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
Quota:
Se riesci nell'intento dopo fossi in te invece di AVAST installerei AVIRA Antivirus free 8.1 o meglio approfitterei di questa offerta promozionale per ottenere AVIRA antivirus PREMIUM gratis per 6 mesi (prima che scada) http://forum.wintricks.it/showthread.php?t=132627 |
|
21-05-2008, 00.36.04 | #5 |
Senior Member
Registrato: 22-01-2001
Messaggi: 304
|
Ciao,
ho gia' fatto qualcosina ma Elibagla non funziona, cioe' parte e dopo poco si chiude. Cercando sul sito che i hai dato ho trovato kaspersky virus tool, scaricato ma non parte nemmeno questo. Adesso provo a cancellare i file manualmente speriamo bene ! Grazie
___________________________________
www.tormento.it |
21-05-2008, 00.46.22 | #6 | |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
Quota:
ma sei proprio sicuro che non riesci a collegarti a http://www.kaspersky.com/virusscanner e una volta rilevati i file infetti eliminarli confezionando uno script per AVENGER? se proprio non riesci a fare la scansione on line (è lunga e non rimuove ma la Kasperky trova tutte le infezioni ) qui sotto trovi la normale procedura in ogni caso Procedura normale by Megalab.it (R) |
|
21-05-2008, 09.24.41 | #7 | |
Gold Member
Top Poster
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
|
Quota:
La bestiaccia bagle è mutata un altra volta (Piccola nota, uno degli autori/modificatori del virus ci ha anche contattati...), se riesci ad usare una delle versioni di avenger anche quelle modificate, più sotto trovi lo script da usare, a cui devi aggiungere uno o due dei file che hai in esecuzione automatica che potrebbero essere stati infettati ed aver assunto l'icona di una croce rossa, bisogna che li cerchi nel pc. Se avenger non funziona puoi provare con omoveit che permette di cancellare almeno i file infetti. Se proprio non funziona niente dei programmi, bisogna accedere da un cd live di boot e rimuovere a mano i file infetti. Dopo aver rimosso questi file dovrebbe ricominciare a funzionare qualcosa e permetterti uno scan online o di poter reinstallare un antivirus (che dovrai riscaricare quasi sicuramente) per poter completare la pulizia. Files to delete: C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\drivers\hldrrr.exe C:\WINDOWS\system32\mdelk.exe C:\WINDOWS\system32\drivers\mdelk.exe Folders to delete: C:\WINDOWS\system32\drivers\downld %UserProfile%\Dati Applicazioni\m Registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRO SA
___________________________________
Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare. |
|
21-05-2008, 09.38.36 | #8 | |
Senior Member
Registrato: 21-03-2008
Loc.: From Lugano (CH)...finally!
Messaggi: 330
|
Quota:
|
|
21-05-2008, 09.42.24 | #9 |
Senior Member
Registrato: 22-01-2001
Messaggi: 304
|
Ciao,
provando a fare la scansione online con kaspersky mi dice che non riesco a utilizzare i controlli activex a causa delle impostazioni di protezione. Sono cmq connesso come amministratore non capisco cosa fare !
___________________________________
www.tormento.it |
21-05-2008, 09.50.43 | #10 |
Senior Member
Registrato: 22-01-2001
Messaggi: 304
|
Grz Crazy, ma copio quelle stringhe che hai scritto tu qua sopra e le copio in avenger2 ?
Allego il file scansionato con gmer http://www.megafileupload.com/en/fil...lelog-log.html Grazie per l'aiuto !
___________________________________
www.tormento.it |
21-05-2008, 10.38.55 | #11 | |
Gold Member
Top Poster
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
|
Quota:
Disattiva il ripristino della configurazione su tutti i dischi poi riavvia il pc Se Avenger ti dice che lo script non è valido, cancella e riscrivi a mano la prima riga Files to delete: e riesegui lo script. Estrailo in una cartella a tua scelta Esegui il file avenger.exe con la figura di una spada Ora incolla queste righe nella box bianca che si è aperta: Codice:
Files to delete: C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\drivers\hldrrr.exe C:\WINDOWS\system32\mdelk.exe C:\WINDOWS\system32\drivers\mdelk.exe Folders to delete: C:\WINDOWS\system32\drivers\downld %UserProfile%\Dati Applicazioni\m Registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA Togli il segno di spunta dalla voce Scan for Rootkits Premi il pulsante Execute Rispondi di Si alle due richieste di Avenger Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà. Dopo prova a reinstallare subito l'antivirus e cancella la cartella c:\avenger. Per gli scan online dovresti provare ad abbassare le impostazioni degli activex e dirgli di accettarli, potresti averli impostati su disattivati (a meno che non sia frutto anche questo della nuova mutazione). Controlla anche se visualizzi i file nascosti e di sistema e se riesci a partire in modalità provvisoria.
___________________________________
Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare. |
|
21-05-2008, 10.54.21 | #12 |
Senior Member
Registrato: 22-01-2001
Messaggi: 304
|
Fatto, e' uscito questo :
Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows Vista ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found! Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\wintems.exe" not found! Deletion of file "C:\WINDOWS\system32\wintems.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\drivers\hldrrr.exe" not found! Deletion of file "C:\WINDOWS\system32\drivers\hldrrr.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\mdelk.exe" not found! Deletion of file "C:\WINDOWS\system32\mdelk.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\system32\drivers\mdelk.exe" deleted successfully. Folder "C:\WINDOWS\system32\drivers\downld" deleted successfully. Error: folder "C:\Users\Supertraz\Dati Applicazioni\m" not found! Deletion of folder "C:\Users\Supertraz\Dati Applicazioni\m" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" not found! Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SR OSA" deleted successfully. Completed script processing. ******************* Finished! Terminate.
___________________________________
www.tormento.it |
21-05-2008, 12.03.53 | #13 |
Gold Member
Top Poster
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
|
Non sembra aver trovato tutto......hai provato a reinstallare l'antivirus?
Avevi controllato i file in esecuzione automatica? Se hai dei dubbi su qualche file di quelli in esecuzione li puoi far provare sul sito www.virustotal.com per vedere se sono infetti.
___________________________________
Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare. |
21-05-2008, 12.11.50 | #14 |
Senior Member
Registrato: 22-01-2001
Messaggi: 304
|
Ciao,
ho reinstalloto e ho messo Antivir premium consigliato dall'amico qua sopra ( grazie al tuo post) e sta facendo la scansione. In modalita' provvisoria parte. Non so come fare per i programmi in esecuzione automatica. Oggi ti dico cos'ha beccato l'antivirus Grazie
___________________________________
www.tormento.it |
21-05-2008, 14.52.50 | #15 |
Gold Member
Top Poster
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
|
se hai reinstallato l'antivirus sei già a buon punto, meglio così.
___________________________________
Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare. |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
Virus bagle informazioni | Anaconda | Sicurezza&Privacy | 8 | 29-01-2009 11.53.28 |
Emule e low id | nemesis | Software applicativo | 20 | 06-04-2006 12.55.50 |
Nuovo Trojan | Billow | Archivio News Web | 4 | 12-01-2006 08.59.30 |
In arrivo nuove varianti di Bagle e Sober | handyman | Sicurezza&Privacy | 0 | 21-04-2005 23.04.51 |
New Bagle Variants Running Wild on Net | Giorgius | Sicurezza&Privacy | 2 | 02-03-2005 00.58.35 |