Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 28-03-2008, 22.43.52   #1
k501
Hero Member
 
L'avatar di k501
 
Registrato: 25-10-2002
Loc.: Vicenza
Messaggi: 827
k501 promette bene
win32.bagle.cu

Ciao!
Ho beccato questo simpatico animaletto... Si tratta di un verace rootkit, molto difficile da rimuovere. E' riuscito a disabilitare i drivers audio, parte dell'applicativo della scheda video (tanto che l'iconcina vicino all'orologio di sistema era sparita) e mi impediva il collegamento ad internet. Ebbene, con comandi da console (software come avenger o simili vanno in errore a causa dell'infezione) ho eliminato:

%System%\drivers\srosa.sys
%System%\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe

e questa directory:

C:\WINDOWS\system32\drivers\down

Ed inoltre ho ripulito anche il registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA
E naturalmente le voci hidrrr.exe e hidr.exe

Fatto questo l'audio ha ripreso "voce", l'icona video riapparsa e riesco a collegarmi e navigare in internet (non mi sento molto tranquillo...). Ora vorrei fare una scansione con i classici antivirus in circolazione, ma non ne funziona neppure uno! Non riesco a utilizzare neanche software come Gmer, avenger, icesword e altro. il messaggio comune di errore "non una applicazione valida win32". Pertanto certo che rimasta qualche traccia in giro... Ma dove? E sopratutto cosa dovrei cercare ancora?
Se avete idee o suggerimenti vi ringrazio in anticipo.
Ciao
k501 non  collegato   Rispondi citando
Vecchio 29-03-2008, 00.38.34   #2
Sergio Neddi
Gold Member
Top Poster
 
L'avatar di Sergio Neddi
 
Registrato: 07-04-2000
Loc.: Padova-Vicenza
Messaggi: 4.814
Sergio Neddi promette bene
Il bagle scassa fisicamente gli eseguibili che poi danno quel messaggio.
Se li avevi gi nel PC pirma dell'infezione dovrai sostituirli con puliti, se li hai inseriti dopo e ti danno quell'errore probabilmente hai ancora qualche pezzo di schifezza in circolazione che li scassa.
Ci sono dei tool di rimozione, prova con questo: http://www.sophos.it/support/cleaners/baglegui.com
___________________________________

Con il PC risolvo molti problemi che prima non avevo. - Coltiva Linux che Windows si pianta da solo!
Sergio Neddi non  collegato   Rispondi citando
Vecchio 29-03-2008, 08.27.23   #3
crazy.cat
Gold Member
Top Poster
 
L'avatar di crazy.cat
 
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
crazy.cat promette bene
Almeno uno dei file in esecuzione automatica infetto, anche se hai eliminato i file che hai scritto, ti rimane quell'unico vermicello che ti ricrea l'infezione.
L'unico metodo consigliato di fare la scansione online sul sito della kaspersky, dopo quando sai tutti i file infetti si usa avenger "modificato"
(questa la versione nuova per Vista)
http://www.wikifortio.com/634658/Tools-Anti-Bagle.zip
(qui c' la versione vecchia per xp)
http://www.wikifortio.com/630243/AntiBagle.zip

Conoscendo bene come affrontare la bestiaccia non cos difficile farla fuori.

Hai lasciato fuori mdelk.exe e ultimamente aggiunge anche 1.exe.
Qualche file potrebbe anche non esserci, ma non importa.

Questo lo script, ci aggiungi gli altri file infetti che trova Kaspersky.

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\trusted.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\1.exe

folders to delete:
c:\WINDOWS\system32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRO SA

i tools di rimozione a cominciare dall'elibagla servono a poco o niente.
___________________________________

Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare.
crazy.cat non  collegato   Rispondi citando
Vecchio 30-03-2008, 08.48.18   #4
k501
Hero Member
 
L'avatar di k501
 
Registrato: 25-10-2002
Loc.: Vicenza
Messaggi: 827
k501 promette bene
Grazie ragazzi dell'aiuto e i consigli dati! Ora provo con i tools.
Sergio, purtroppo ho provato con i tools nuovi e non gi presenti nel pc, quindi, come dici, ne rimasta qualche traccia.
k501 non  collegato   Rispondi citando
Vecchio 31-03-2008, 10.38.46   #5
k501
Hero Member
 
L'avatar di k501
 
Registrato: 25-10-2002
Loc.: Vicenza
Messaggi: 827
k501 promette bene
Fatto! Si trattava proprio di mdelk.exe e 1.exe.
Sono riuscito ad eliminarli con la procedura di Crazy.cat! E meno male... Ahime i tools non hanno individuato nulla...
k501 non  collegato   Rispondi citando
Vecchio 31-03-2008, 21.50.51   #6
Sergio Neddi
Gold Member
Top Poster
 
L'avatar di Sergio Neddi
 
Registrato: 07-04-2000
Loc.: Padova-Vicenza
Messaggi: 4.814
Sergio Neddi promette bene
Ma vaffan-tool! Meno male che hai risolto!
___________________________________

Con il PC risolvo molti problemi che prima non avevo. - Coltiva Linux che Windows si pianta da solo!
Sergio Neddi non  collegato   Rispondi citando
Vecchio 31-03-2008, 23.06.42   #7
daniel_paqa
Newbie
 
Registrato: 31-03-2008
Messaggi: 9
daniel_paqa promette bene
avg
daniel_paqa non  collegato   Rispondi citando
Vecchio 31-03-2008, 23.14.55   #8
daniel_paqa
Newbie
 
Registrato: 31-03-2008
Messaggi: 9
daniel_paqa promette bene
ciao! sono un nuovo membro.vorrei la vostra op.su un problema:mi sparito il driver di controller memoria di massa e nonostante tutto il pc funziona normalmente,apparte qualche errore comprensibile(vista home premium 32 bit ,cazzata),come faccio ad individuarlo perche non mi da nessun dato del driver.inoltre ho provato col cd d"istallazione ma non lo trova.volevo scaricarlo per essere sicuro poi dopo.aspetto la vostra collaborazine
daniel_paqa non  collegato   Rispondi citando
Vecchio 01-04-2008, 09.30.58   #9
k501
Hero Member
 
L'avatar di k501
 
Registrato: 25-10-2002
Loc.: Vicenza
Messaggi: 827
k501 promette bene
Quota:
Inviato da Sergio Neddi
Ma vaffan-tool! Meno male che hai risolto!
Macch risolto!
Ieri sera mi son accorto che ancora qualcosa non andava... Ho rifatto una scansione online con kaspersky, ed ha trovato un unico file infetto in system32 (non dentro drivers). Il file in questione wintems.exe.del
Si, avete capito bene, con altra estensione, .del appunto. Quindi sono riuscito a rimuoverlo killando explorer e da console, perch neanche Avenger con il riavvio era riuscito ad eliminarlo.
Sembra tutto a posto, e invece no! Stessi problemi, hijackthis, icesword, gmer vanno in errore ancora. Messo in scansione ancora kaspersky non trova altro. Adirittura gmer manda in crash il pc. C' ancora qualcos'altro, dannazione! Insieme al file wintems.exe.del trovata ed eliminata ancora una volta la directoy "down". Gli altri files ed eseguibili che mi avete consigliato di eliminare non ci son pi... Non so cos'altro cercare, a questo punto.
Idee?
grazie, ancora
k501 non  collegato   Rispondi citando
Vecchio 01-04-2008, 09.33.00   #10
k501
Hero Member
 
L'avatar di k501
 
Registrato: 25-10-2002
Loc.: Vicenza
Messaggi: 827
k501 promette bene
Quota:
Inviato da daniel_paqa
ciao! sono un nuovo membro.vorrei la vostra op.su un problema:mi sparito il driver di controller memoria di massa e nonostante tutto il pc funziona normalmente,apparte qualche errore comprensibile(vista home premium 32 bit ,cazzata),come faccio ad individuarlo perche non mi da nessun dato del driver.inoltre ho provato col cd d"istallazione ma non lo trova.volevo scaricarlo per essere sicuro poi dopo.aspetto la vostra collaborazine
Ciao Daniel e benvenuto.
Fai la stessa procedura che ha consigliato anhe a me cray cat: scansione online con kaspersky e salva il log da qualche parte in locale, poi postaci la lista di quello che ha trovato.
k501 non  collegato   Rispondi citando
Vecchio 01-04-2008, 10.32.59   #11
crazy.cat
Gold Member
Top Poster
 
L'avatar di crazy.cat
 
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
crazy.cat promette bene
Quota:
Inviato da k501
Ciao Daniel e benvenuto.
Fai la stessa procedura che ha consigliato anhe a me cray cat: scansione online con kaspersky e salva il log da qualche parte in locale, poi postaci la lista di quello che ha trovato.
non credo sia un problema di Bagle quello di daniel.
E' meglio se apre una discussione separata nella sezione windows specificando il suo modello di pc e cosa gli manca.


X k501
Mi sa che hai beccato un nuovo bagle, siamo in periodo di mutazione del virus.
L'antivirus non ti funziona pi adesso?

Prova questo a vedere se sbuca qualche nuovo rootkit
http://seem.about.free.fr/rel/Seem_v4.1b.en.zip

Hai provato a rifare lo script con avenger?
___________________________________

Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare.
crazy.cat non  collegato   Rispondi citando
Vecchio 01-04-2008, 11.13.34   #12
k501
Hero Member
 
L'avatar di k501
 
Registrato: 25-10-2002
Loc.: Vicenza
Messaggi: 827
k501 promette bene
Quota:
Inviato da crazy.cat
non credo sia un problema di Bagle quello di daniel.
E' meglio se apre una discussione separata nella sezione windows specificando il suo modello di pc e cosa gli manca.


X k501
Mi sa che hai beccato un nuovo bagle, siamo in periodo di mutazione del virus.
L'antivirus non ti funziona pi adesso?

Prova questo a vedere se sbuca qualche nuovo rootkit
http://seem.about.free.fr/rel/Seem_v4.1b.en.zip

Hai provato a rifare lo script con avenger?
Fatto e rifatto lo scrpit con Avenger pi volte, con quello che mi hai linkato tu perch quello che ho io non funzia!
Ma kaspersky non rileva solo bagle, a quanto pare. Pensavo fosse una soluzione ideale se per caso anche a lui non gira hijackthis o simili (per questo dovremmo chiederglielo...)
Scarico anche questo e stasera vediamo se riesce a far qualcosa...
Grazie
k501 non  collegato   Rispondi citando
Vecchio 01-04-2008, 11.27.29   #13
crazy.cat
Gold Member
Top Poster
 
L'avatar di crazy.cat
 
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
crazy.cat promette bene
Ma sullo script che ti avevo detto io, hai aggiunto gli altri file infetti che ha trovato lo scan di kasperky?
___________________________________

Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare.
crazy.cat non  collegato   Rispondi citando
Vecchio 01-04-2008, 11.37.16   #14
exion
Guest
 
Messaggi: n/a
Contro i virus pi recenti e contro i rootkit, i tradizionali antivi-virus stanno diventando molto velocemente obsoleti e inutili.

La stessa Microsoft ritiene che sia preferibile, una volta accertata l'infenzione, masterizzare la workstation e ripristinarla a partire da una immagine di backup.

Personalmente penso che ci sia una soluzione alternativa, che per non piace a Microsoft per una questione di licenze.

L'unico sistema efficace, sicuro al 100%, conservativo e relativamente veloce (da 45mn 1h30) per rimuovere questi virus, una scansione con antivirus aggiornato a partire da un sistema pulito. Il che significa o una seconda installazione di Windows in un'altra cartella (ad esempio \WINAV) o l'avvio del sistema con un live CD (ad esempio UBCD for Windows).

Tutti gli altri sistemi, se lanciati all'interno del Windows gi infetto, sono destinati o a fallire oppure a richiedere giorni di lavoro e scansioni per venire a capo dell'infezione.
  Rispondi citando
Vecchio 01-04-2008, 12.49.12   #15
k501
Hero Member
 
L'avatar di k501
 
Registrato: 25-10-2002
Loc.: Vicenza
Messaggi: 827
k501 promette bene
Quota:
Inviato da crazy.cat
Ma sullo script che ti avevo detto io, hai aggiunto gli altri file infetti che ha trovato lo scan di kasperky?
Certo che s! ed ha funzionato.
L'unico intoppo stato appunto wintems.exe.del, scoperto ieri sera che fino a prima non era presente!
k501 non  collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
Il codice HTML OFF

Vai al forum

Orario GMT +2. Ora sono le: 21.09.12.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright Jelsoft Enterprises Limited.