Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Possibile worm Bagle

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Re: Possibile worm Bagle

Postdi RoMario » 24/05/08 15:46

Aiutooooooo!!
Luke57 ti prego aiutamiii!!!
Ho già aperto un altro post, però non mi ero reso conto che c'era gia quest'altro, quindi chiedo cortesemente a Dylan o a qualcun'altro mod di eliminare, o quanto meno chiudere, il mio topic.

Dicevo...
Sono in una situazione gravissimaaaa!
Sono stato infetto dal worm bagle...
Ho provato di tutto... sono sfinito.
Dimmi qualcosa per favore... ho il NOD32 come antivirus ma è disattivato per questo worm.
Devo fare una scansione on-line con Kaspersky?
"Happiness only real when shared"
Avatar utente
RoMario
Utente Senior
 
Post: 456
Iscritto il: 13/03/07 21:38
Località: Una baracca sperduta sull'Himalaya

Sponsor
 

Re: Possibile worm Bagle

Postdi RoMario » 24/05/08 15:49

Ok... non avevo visto la seconda pagina in cui qualcuno è nella mia stessa situazione.
Faccio la scansione con Kaspersky e posto il log.
"Happiness only real when shared"
Avatar utente
RoMario
Utente Senior
 
Post: 456
Iscritto il: 13/03/07 21:38
Località: Una baracca sperduta sull'Himalaya

Re: Possibile worm Bagle

Postdi RoMario » 25/05/08 11:32

Ecco qui il log... ho capito da dove mi so beccato il Bagle...

Spero che potrai aiutarmi...
Allegati

[L’estensione txt è stata disattivata e non puó essere visualizzata.]

"Happiness only real when shared"
Avatar utente
RoMario
Utente Senior
 
Post: 456
Iscritto il: 13/03/07 21:38
Località: Una baracca sperduta sull'Himalaya

Re: Possibile worm Bagle

Postdi Luke57 » 25/05/08 15:36

Ciao, ti allego una procedura da seguire.
Allegati

[L’estensione txt è stata disattivata e non puó essere visualizzata.]

Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: Possibile worm Bagle

Postdi niki82 » 25/05/08 16:25

Ciao a tutti, ieri mattina dopo aver scaricato un file da eMule,qualcosa come'HTLM in 7 gg' o 'enhancement XML' , mi è sparito all'improvviso l'antivirus ed è impossibile avviarlo o installare uno nuovo.Mi sa che ho preso anch'io uno Bagle. Dopo vari tentativi alla fine ho fatto anch'io lo scan con kaspersky on line, il risultato è questo(lo messo in un link perché nel allegato non stava).
Vi prego datemi una mano che sto impazzendo!!!
Adesso cosa devo fare?
Grazie mille!!!!

http://www.wikifortio.com/973127/report.html

niki82
niki82
Newbie
 
Post: 3
Iscritto il: 25/05/08 08:58

Re: Possibile worm Bagle

Postdi niki82 » 25/05/08 19:27

Ciao,
vi prego ce qualcuno che mi può aiutare per togliere questo virus???
Per piacere datemi una mano, sto provando di tutto ma senza risultati.
qua vi mando anche il file ottenuto da hijackthis
vi prego non fatemi passare un altra notte insonne!!!
Grazie!
Allegati

[L’estensione log è stata disattivata e non puó essere visualizzata.]

niki82
Newbie
 
Post: 3
Iscritto il: 25/05/08 08:58

Re: Possibile worm Bagle

Postdi RoMario » 25/05/08 19:27

Ciao, grazie per la risposta.
Ma ho un problema.
Quando clicco su Execute, mi da questi errori:
1- Can't open file Cleanup.bat
2- Could not open cleanup batch
3- Can't open C:/avenger
4- Could not log error message to file

Che fare?
"Happiness only real when shared"
Avatar utente
RoMario
Utente Senior
 
Post: 456
Iscritto il: 13/03/07 21:38
Località: Una baracca sperduta sull'Himalaya

Re: Possibile worm Bagle

Postdi niki82 » 26/05/08 10:05

Ciao, grazie del aiuto immediato che mi avete dato!!! :-?
Cmq ho risolto tutto da sola :D e senza tutti quei giri strani che dicevate in giro.
Alla fine ho passato 48 ore infernali, però cè lo fatta!!!
Ah...un consiglio per tutti ;) :
qualsiasi file che scaricate dai siti internet o collegamenti p2p,prima di aprirlo fatte lo scan !!!
Sembra una cavolata pero dopo che passi un fine sett.come lo passato io,
vi assicuro che è una cosa molto saggia da fare.

Buon inizio settimana a Tutti!!! Ciao!
niki82
Newbie
 
Post: 3
Iscritto il: 25/05/08 08:58

Re: Possibile worm Bagle

Postdi RoMario » 26/05/08 12:32

Allora...
visto che avenger mi dava problemi, ho pensato di eliminarli da solo i file. Solo che praticamente non c'è "visualizza file nascosti" nel meù opzioni cartella!!!
Che bas****o sto virus!
Uffa!
Luke57 help me!
"Happiness only real when shared"
Avatar utente
RoMario
Utente Senior
 
Post: 456
Iscritto il: 13/03/07 21:38
Località: Una baracca sperduta sull'Himalaya

Re: Possibile worm Bagle

Postdi RoMario » 26/05/08 13:52

Allora...
ho dato uno sguardo al topic precedente e ho proseguito come hai consigliato a Kraken (o roba simile).
Ho seguito passo passo tutto quanto, ho incollato le stringhe che mi avevi scritto nel file "procedura bagle" nel programma OtMoveIt2.
Ecco cosa mi vien fuori alla fine.

Codice: Seleziona tutto
File/Folder drivers to delete: not found.
File/Folder srosa not found.
File/Folder  not found.
File/Folder  not found.
File/Folder Files to delete: not found.
File/Folder C:\WINDOWS\system32\wintems.exe not found.
File/Folder C:\WINDOWS\system32\drivers\hldrrr.exe not found.
File/Folder C:\WINDOWS\system32\drivers\srosa.sys not found.
File/Folder C:\WINDOWS\system32\drivers\mdelk.exe not found.
File/Folder  not found.


Ah, mi sono bloccato al momento della scansione con Twister, poichè non me lo fa installare, dicendo di fare l'accesso come Amministratore, ma io sono amministratore del pc.
Ho provato anche in modalità provvisoria e non va.

Aspetto risposta.
Mario
C:\Documents and Settings\Mario\Desktop\Incoming prova\Software\Dragon Naturally Speaking version 9.0 crack0.exe moved successfully.
C:\Documents and Settings\Mario\Desktop\Incoming prova\VaRiE MaRiO\GTA Vice City\fifa street for pc full 2006\Audio\wav2raw.exe moved successfully.
C:\Programmi\ESET\infected\S1RFJEBA.NQF moved successfully.
C:\Programmi\Pinnacle\Studio 11\LaunchList2.exe moved successfully.
File/Folder  not found.
File/Folder folders to delete: not found.
File/Folder C:\Documents and Settings\Mario\Impostazioni locali\Temporary Internet Files\Content.IE not found.
C:\Documents and Settings\Mario\Impostazioni locali\Temp\WPDNSE moved successfully.
C:\Documents and Settings\Mario\Impostazioni locali\Temp\Rar$EX01.781 moved successfully.
C:\Documents and Settings\Mario\Impostazioni locali\Temp\pft1561~tmp moved successfully.
C:\Documents and Settings\Mario\Impostazioni locali\Temp moved successfully.
C:\windows\temp moved successfully.
C:\Muestras moved successfully.
C:\WINDOWS\system32\drivers\downld moved successfully.
File/Folder C:\WINDOWS\system32\drivers\down not found.
File/Folder  not found.
File/Folder  not found.
File/Folder registry keys to delete: not found.
< HKLM\SYSTEM\CurrentControlSet\Services\srosa >
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa\\ deleted successfully.
< HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA >
Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\\ .
File/Folder  not found.
File/Folder  not found.
File/Folder Registry values to replace with dummy: not found.
< HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs >
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs\\ not found.


Mentre con Elibagla mi vien fuori questo:

Codice: Seleziona tutto
Mon May 26 14:26:15 2008
EliBagle v11.41  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\_OTMoveIt\MovedFiles\05262008_140911\WINDOWS\system32\drivers\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\_OTMoveIt\MovedFiles\05262008_141550\windows\system32\drivers\downld\4981734.EXE --> Eliminado Bagle
C:\_OTMoveIt\MovedFiles\05262008_141550\windows\system32\drivers\downld\627078.EXE --> Eliminado Bagle
C:\_OTMoveIt\MovedFiles\05262008_141550\windows\system32\drivers\downld\645687.EXE --> Eliminado Bagle
C:\_OTMoveIt\MovedFiles\05262008_141550\windows\system32\drivers\downld\657843.EXE --> Eliminado Bagle
C:\_OTMoveIt\MovedFiles\05262008_141550\windows\system32\drivers\downld\73602796.EXE --> Eliminado Bagle

Nº Total de Directorios:   4763
Nº Total de Ficheros:      67533
Nº de Ficheros Analizados: 9850
Nº de Ficheros Infectados: 6
Nº de Ficheros Limpiados:  6
"Happiness only real when shared"
Avatar utente
RoMario
Utente Senior
 
Post: 456
Iscritto il: 13/03/07 21:38
Località: Una baracca sperduta sull'Himalaya

Re: Possibile worm Bagle

Postdi RoMario » 26/05/08 13:53

Allora...
ho dato uno sguardo al topic precedente e ho proseguito come hai consigliato a Kraken (o roba simile).
Ho seguito passo passo tutto quanto, ho incollato le stringhe che mi avevi scritto nel file "procedura bagle" nel programma OtMoveIt2.
Ecco cosa mi vien fuori alla fine.

Codice: Seleziona tutto
File/Folder drivers to delete: not found.
File/Folder srosa not found.
File/Folder  not found.
File/Folder  not found.
File/Folder Files to delete: not found.
File/Folder C:\WINDOWS\system32\wintems.exe not found.
File/Folder C:\WINDOWS\system32\drivers\hldrrr.exe not found.
File/Folder C:\WINDOWS\system32\drivers\srosa.sys not found.
File/Folder C:\WINDOWS\system32\drivers\mdelk.exe not found.
File/Folder  not found.


C:\Documents and Settings\Mario\Desktop\Incoming prova\Software\Dragon Naturally Speaking version 9.0 crack0.exe moved successfully.
C:\Documents and Settings\Mario\Desktop\Incoming prova\VaRiE MaRiO\GTA Vice City\fifa street for pc full 2006\Audio\wav2raw.exe moved successfully.
C:\Programmi\ESET\infected\S1RFJEBA.NQF moved successfully.
C:\Programmi\Pinnacle\Studio 11\LaunchList2.exe moved successfully.
File/Folder  not found.
File/Folder folders to delete: not found.
File/Folder C:\Documents and Settings\Mario\Impostazioni locali\Temporary Internet Files\Content.IE not found.
C:\Documents and Settings\Mario\Impostazioni locali\Temp\WPDNSE moved successfully.
C:\Documents and Settings\Mario\Impostazioni locali\Temp\Rar$EX01.781 moved successfully.
C:\Documents and Settings\Mario\Impostazioni locali\Temp\pft1561~tmp moved successfully.
C:\Documents and Settings\Mario\Impostazioni locali\Temp moved successfully.
C:\windows\temp moved successfully.
C:\Muestras moved successfully.
C:\WINDOWS\system32\drivers\downld moved successfully.
File/Folder C:\WINDOWS\system32\drivers\down not found.
File/Folder  not found.
File/Folder  not found.
File/Folder registry keys to delete: not found.
< HKLM\SYSTEM\CurrentControlSet\Services\srosa >
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa\\ deleted successfully.
< HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA >
Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\\ .
File/Folder  not found.
File/Folder  not found.
File/Folder Registry values to replace with dummy: not found.
< HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs >
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs\\ not found.


Mentre con Elibagla mi vien fuori questo:

Codice: Seleziona tutto
Mon May 26 14:26:15 2008
EliBagle v11.41  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\_OTMoveIt\MovedFiles\05262008_140911\WINDOWS\system32\drivers\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\_OTMoveIt\MovedFiles\05262008_141550\windows\system32\drivers\downld\4981734.EXE --> Eliminado Bagle
C:\_OTMoveIt\MovedFiles\05262008_141550\windows\system32\drivers\downld\627078.EXE --> Eliminado Bagle
C:\_OTMoveIt\MovedFiles\05262008_141550\windows\system32\drivers\downld\645687.EXE --> Eliminado Bagle
C:\_OTMoveIt\MovedFiles\05262008_141550\windows\system32\drivers\downld\657843.EXE --> Eliminado Bagle
C:\_OTMoveIt\MovedFiles\05262008_141550\windows\system32\drivers\downld\73602796.EXE --> Eliminado Bagle

Nº Total de Directorios:   4763
Nº Total de Ficheros:      67533
Nº de Ficheros Analizados: 9850
Nº de Ficheros Infectados: 6
Nº de Ficheros Limpiados:  6


Ah, mi sono bloccato al momento della scansione con Twister, poichè non me lo fa installare, dicendo di fare l'accesso come Amministratore, ma io sono amministratore del pc.
Ho provato anche in modalità provvisoria e non va.

Aspetto risposta.
Mario
"Happiness only real when shared"
Avatar utente
RoMario
Utente Senior
 
Post: 456
Iscritto il: 13/03/07 21:38
Località: Una baracca sperduta sull'Himalaya

Re: Possibile worm Bagle

Postdi RoMario » 26/05/08 14:18

Scusate per la miriade di post.
Forse ci siamo.
Hoo riprovato con avenger e questa volta non mi ha riscontrato nessun errore.
Anche se nel log (allegato) mi dice che sono inesistenti i file dato che ho gia fatto una cosa simile con OtMoveIt2.
Così, caro Luke, ho continuato a seguire la tua guida (procedura bagle - in qualche psot precedente) e quindi ho rifatto una scansione con Elibagla e ho eliminato i file temporanei con il programma da te citato.

Ora sembra andar tutto bene... che dovrei fare ancora?

Ah, grazie non mille, miliardiiii!!!!
Allegati

[L’estensione txt è stata disattivata e non puó essere visualizzata.]

[L’estensione txt è stata disattivata e non puó essere visualizzata.]

"Happiness only real when shared"
Avatar utente
RoMario
Utente Senior
 
Post: 456
Iscritto il: 13/03/07 21:38
Località: Una baracca sperduta sull'Himalaya

Re: Possibile worm Bagle

Postdi Luke57 » 26/05/08 14:23

Ciao, complimenti per l'iniziativa, penso che tu sia pulito, se i programmi per la sicurezza non funzionassero prova a reistallarli (spesso il malware corrompe in maniera definitiva gli eseguibili).
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: Possibile worm Bagle

Postdi RoMario » 26/05/08 14:28

Evvivaaaaaaa!!!! :D :D :D
Ho installato nuovamente hijackthis ed è tutto ok...
Ora reinstallo il mio caro NOD32 e viaaaa liscio come primaaa!

Grazie a tutti... anche a chi mi ha aiutato indirettamente!!!
E sopratutto a Luke57!!!!!!
Grazie miliardi... ti bastano? :lol:
"Happiness only real when shared"
Avatar utente
RoMario
Utente Senior
 
Post: 456
Iscritto il: 13/03/07 21:38
Località: Una baracca sperduta sull'Himalaya

Precedente

Torna a Sicurezza e Privacy


Topic correlati a "Possibile worm Bagle":


Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti

cron