Condividi:        

wintasm : blocco antivirus, modalità provvisoria, rete ...

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

wintasm : blocco antivirus, modalità provvisoria, rete ...

Postdi Kraken » 20/05/08 09:21

Stamattina mi sono ritrovato con Antivir, Zone Alarm e Spybot disabilitati all'avvio del sistema. Nella lista dei processi attivi ho notato il wintasm...

Hijackthis non parte, Avenger nemmeno, la CPU è utilizzata costantemente al 100% e se provo ad avviare in modalità provvisoria il pc si riavvia.

Ho provato a fare una scansione online con F-Secure : il database viene corrotto appena scaricato.
Ho provato una scansione online con Panda, ma il pc si è disconnesso prima di finire il download (anche con F-Secure è successo 2 volte). Ora ci riprovo.

Spero che possiate aiutarmi, tutte le soluzioni che ho trovato online non erano applicabili; il pc è dell'ufficio e non si può nemmeno formattare...
Kraken
Utente Junior
 
Post: 31
Iscritto il: 04/03/06 23:24

Sponsor
 

Re: wintasm : blocco antivirus, modalità provvisoria, rete ...

Postdi Kraken » 20/05/08 10:35

Sto seguendo la prima procedura indicata sul thread "Possibile worm Bagle", ma elmoalato viene chiuso dopo qualche secondo dall'avvio.

---

Sono riuscito a farlo partire dopo aver fatto la scansione con Elibagla, ma mi ha dato errori riguardo al file cleanup.bat ed al log, quindi non ho nemmeno la conferma che abbia fatto qualcosa...

Ora al posto di wintesm.exe c'è flec006.exe

Ecco il log di una seconda scansione di Elibagla


Tue May 20 10:47:15 2008
EliBagle v11.38 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

Tue May 20 10:57:58 2008
EliBagle v11.38 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.38
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\USER\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\USER\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Tue May 20 10:59:11 2008
EliBagle v11.38 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 4907
Nº Total de Ficheros: 57465
Nº de Ficheros Analizados: 9869
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Tue May 20 11:24:46 2008
EliBagle v11.38 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.38
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\USER\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Tue May 20 11:24:58 2008
EliBagle v11.38 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 4907
Nº Total de Ficheros: 57272
Nº de Ficheros Analizados: 9869
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Kraken
Utente Junior
 
Post: 31
Iscritto il: 04/03/06 23:24

Re: wintasm : blocco antivirus, modalità provvisoria, rete ...

Postdi Luke57 » 20/05/08 11:28

Ciao, ti mutuo questa ottma procedura escogitata dal forum di wininiziao (DucaBianco)
Elimina elibagla
Scarica questi programmi e lasciali sul desktop
http://us1.filseclab-res.com/down/twister_en.zip
http://download.bleepingcomputer.com/ol ... oveIt2.exe
http://www.zonavirus.com/datos/descarga ... ibagla.asp

Disattiva ripristino configurazione sistema
disconnetti da internet spegnendo il modem
lancia elibagla(se non dovesse avviarsi insisti riavviando il sistema più volte) e clicca su explorar,terminato riavvia e usa nuovamente elibagla.
Solo dopo aver usato elibagla avvia il S.O modalità provvisoria(dovrebbe funzionare)
Doppio click su OTMoveIT2.exe
Copia/incolla quanto segue nella finestra "Paste List of Files/Folders
to be moved"

Codice: Seleziona tutto
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.
%SystemDrive%\WINDOWS\system32\mdelk.exe.
%SystemDrive%\WINDOWS\system32\wintems.exe.
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp


clicca su MoveIT
Se ti viene proposto il riavvio non farlo e usa nuovamete elibagla,ora riavvia.
La procedura fino qui va fatta tutta disconnesso da internet

Estrai Twister zip Antivirus (è immune da beagle) installalo aggiornalo (IMPORTANTE) scansiona tutto il disco e elimini quello che trova.
Posta infine il log di elibagla C:\InfoSat.txt e di OTMoveIt2 in C:\_OTMoveIt\MovedFiles.

Ora prova a reinstallare il tuo antivirus
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: wintasm : blocco antivirus, modalità provvisoria, rete ...

Postdi Kraken » 20/05/08 15:54

Grazie mille, sto cercando di fare la scansione finale con Twister ma ho qualche problema a finirla in breve tempo.

Ho notato un file anomalo, C:\Documents and Settings\user\ntuser.dat , che a quanto pare parte ad ogni avvio del pc e mi fa sfogliare le cartelle chiedendomi di aprire un programma. Non riesco a cancellarlo nemmeno in modalità provvisoria. Magari alla fine ci riesce Twister.

Grazie ancora : )
Kraken
Utente Junior
 
Post: 31
Iscritto il: 04/03/06 23:24

Re: wintasm : blocco antivirus, modalità provvisoria, rete ...

Postdi Kraken » 22/05/08 09:46

Ho provato 3 volte questa procedura, ma alla fine Twister si blocca sempre quando va a fare la scansione di uno dei files spostati con Moveit: PXR14.tmp . Ho provato a cancellarlo anche in modalità provvisoria, ma mi dice sempre che è utilizzato da un altro programma.

Il file ntuser.dat invece a quanto pare contiene le informazioni sulle installazioni dell'utente, quindi prima ho preso un abbaglio.
Kraken
Utente Junior
 
Post: 31
Iscritto il: 04/03/06 23:24

Re: wintasm : blocco antivirus, modalità provvisoria, rete ...

Postdi Luke57 » 22/05/08 10:23

Ciao, invia i report di otmoveit2 e di elibagla, lasciando perdere, per il momento, lo scan.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: wintasm : blocco antivirus, modalità provvisoria, rete ...

Postdi Kraken » 22/05/08 10:35

ecco il log di otmoveit2 del 20 maggio, ovvero di quando è stato spostato il file
..\documents and settings\user\impostazioni locali\temp\PXR14.tmp
Codice: Seleziona tutto
< %SystemDrive%\WINDOWS\system32\drivers\hidr.exe >
Folder C:\WINDOWS\system32\drivers\hidr.exe not found.
<     %SystemDrive%\WINDOWS\system32\drivers\srosa.sys >
Folder C:\WINDOWS\system32\drivers\srosa.sys not found.
<     %SystemDrive%\WINDOWS\system32\wintems.exe >
Folder C:\WINDOWS\system32\wintems.exe not found.
<     %SystemDrive%\WINDOWS\system32\hldrrr.exe >
Folder C:\WINDOWS\system32\hldrrr.exe not found.
<     %SystemDrive%\WINDOWS\system32\trusted.exe >
Folder C:\WINDOWS\system32\trusted.exe not found.
<     %SystemDrive%\WINDOWS\system32\drivers\pci32.sys >
Folder C:\WINDOWS\system32\drivers\pci32.sys not found.
<     %UserProfile%\Dati applicazioni\hidires\hidr.exe >
Folder C:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe not found.
<     %UserProfile%\Dati applicazioni\hidires\rosa.sys >
Folder C:\Documents and Settings\user\Dati applicazioni\hidires\rosa.sys not found.
<     %UserProfile%\Dati applicazioni\m\list.oct >
Folder C:\Documents and Settings\user\Dati applicazioni\m\list.oct not found.
<     %UserProfile%\Dati applicazioni\m\data.oct >
Folder C:\Documents and Settings\user\Dati applicazioni\m\data.oct not found.
<     %UserProfile%\Dati applicazioni\m\flec006.exe >
Folder C:\Documents and Settings\user\Dati applicazioni\m\flec006.exe not found.
<     %SystemDrive%\system32\re_file.exe >
Folder C:\system32\re_file.exe not found.
<     %SystemDrive%\elist.xpt >
Folder C:\elist.xpt not found.
<     %UserProfile%\Dati applicazioni\hidires\m_hook.sys >
Folder C:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys not found.
<     %SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe >
Folder C:\WINDOWS\system32\drivers\hldrrr.exe not found.
<     %SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_ >
Folder C:\WINDOWS\system32\drivers\hldrrr.ex_ not found.
<     %SystemDrive%\WINDOWS\system32\mdelk.exe >
Folder C:\WINDOWS\system32\mdelk.exe not found.
<     %SystemDrive%\WINDOWS\system32\drivers\mdelk.exe >
C:\WINDOWS\system32\drivers\mdelk.exe moved successfully.
<     %SystemDrive%\WINDOWS\system32\drivers\pci32.sys >
Folder C:\WINDOWS\system32\drivers\pci32.sys not found.
<     %SystemDrive%\WINDOWS\system32\edlm.exe >
Folder C:\WINDOWS\system32\edlm.exe not found.
<     %SystemDrive%\WINDOWS\system32\edlm2.exe >
Folder C:\WINDOWS\system32\edlm2.exe not found.
<     %SystemDrive%\Windows\system32\ldR64.dll >
Folder C:\Windows\system32\ldR64.dll not found.
<     %SystemDrive%\WINDOWS\system32\german.exe >
Folder C:\WINDOWS\system32\german.exe not found.
<     %SystemDrive%\WINDOWS\system32\drivers\srosa.sys. >
Folder C:\WINDOWS\system32\drivers\srosa.sys. not found.
<     %SystemDrive%\WINDOWS\system32\mdelk.exe. >
Folder C:\WINDOWS\system32\mdelk.exe. not found.
<     %SystemDrive%\WINDOWS\system32\wintems.exe. >
Folder C:\WINDOWS\system32\wintems.exe. not found.
<     %SystemDrive%\WINDOWS\system32\1.exe >
Folder C:\WINDOWS\system32\1.exe not found.
<     %SystemDrive%\WINDOWS\exefqd >
Folder C:\WINDOWS\exefqd not found.
<     %SystemDrive%\WINDOWS\exefnd >
Folder C:\WINDOWS\exefnd not found.
<     %SystemDrive%\WINDOWS\exefld >
Folder C:\WINDOWS\exefld not found.
<     %UserProfile%\Dati applicazioni\hidires >
Folder C:\Documents and Settings\user\Dati applicazioni\hidires not found.
<     %UserProfile%\Dati applicazioni\hidn >
Folder C:\Documents and Settings\user\Dati applicazioni\hidn not found.
<     %UserProfile%\Dati applicazioni\m >
C:\Documents and Settings\user\Dati applicazioni\m moved successfully.
<     %SystemDrive%\WINDOWS\System32\drivers\down >
Folder C:\WINDOWS\System32\drivers\down not found.
<     %SystemDrive%\WINDOWS\system32\drivers\downld >
C:\WINDOWS\system32\drivers\downld moved successfully.
<     %SystemDrive%\WINDOWS\temp\ >
Folder C:\WINDOWS\temp\ not found.
<     %UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5 >
C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\YDSJM10T moved successfully.
C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\WFTFMQZ5 moved successfully.
C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\VIJLLD37 moved successfully.
C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\U51QFM90 moved successfully.
C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\SH6Z8LMN moved successfully.
C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\OP2VOLIJ moved successfully.
C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\CTABOTEN moved successfully.
C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\BJLJB9CW moved successfully.
Folder move failed. C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5 scheduled to be moved on reboot.
<     %UserProfile%\Impostazioni locali\Temporary Internet Files >
C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\SC moved successfully.
Folder move failed. C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5 scheduled to be moved on reboot.
Folder move failed. C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files scheduled to be moved on reboot.
<     %UserProfile%\Impostazioni locali\Temp >
C:\Documents and Settings\user\Impostazioni locali\Temp moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 05202008_130613

Files moved on Reboot...
Folder move failed. C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5 scheduled to be moved on reboot.
Folder move failed. C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5 scheduled to be moved on reboot.
Folder move failed. C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files scheduled to be moved on reboot.



elibagla
Codice: Seleziona tutto
     Tue May 20 10:47:15 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

     Tue May 20 10:57:58 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.38
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\USER\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\USER\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

     Tue May 20 10:59:11 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4907
Nº Total de Ficheros:      57465
Nº de Ficheros Analizados: 9869
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

     Tue May 20 11:24:46 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.38
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\USER\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

     Tue May 20 11:24:58 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4907
Nº Total de Ficheros:      57272
Nº de Ficheros Analizados: 9869
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

     Tue May 20 11:37:19 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.38
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\USER\DATI APPLICAZIONI\M\FLEC006.EXE --> Eliminado Bagle

     Tue May 20 11:37:35 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\113421.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\114562.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\135875.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\152078.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\173031.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\175921.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\183203.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\186921.EXE --> Eliminado Bagle

Nº Total de Directorios:   4964
Nº Total de Ficheros:      57963
Nº de Ficheros Analizados: 9893
Nº de Ficheros Infectados: 9
Nº de Ficheros Limpiados:  9

     Tue May 20 11:47:11 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%AppData%\M"

     Tue May 20 11:47:13 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4961
Nº Total de Ficheros:      58108
Nº de Ficheros Analizados: 9882
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

     Tue May 20 12:12:34 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

     Tue May 20 12:12:39 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

     Tue May 20 12:12:44 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

     Tue May 20 12:14:46 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.38
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\USER\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

     Tue May 20 12:14:56 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4906
Nº Total de Ficheros:      57790
Nº de Ficheros Analizados: 9862
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

     Tue May 20 12:37:36 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.38
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\USER\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

     Tue May 20 12:37:40 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4877
Nº Total de Ficheros:      57177
Nº de Ficheros Analizados: 9858
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

     Tue May 20 12:49:19 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.38
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\USER\DATI APPLICAZIONI\M\FLEC006.EXE --> Eliminado Bagle

     Tue May 20 12:49:47 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\145546.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\184406.EXE --> Eliminado Bagle

Nº Total de Directorios:   4938
Nº Total de Ficheros:      57878
Nº de Ficheros Analizados: 9877
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados:  3

     Tue May 20 13:06:44 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

     Tue May 20 13:06:46 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4950
Nº Total de Ficheros:      57884
Nº de Ficheros Analizados: 9874
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

     Tue May 20 13:31:53 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

     Tue May 20 13:31:54 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4966
Nº Total de Ficheros:      57906
Nº de Ficheros Analizados: 9877
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

     Wed May 21 16:37:11 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v11.38
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

     Thu May 22 08:55:04 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.38
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

     Thu May 22 08:55:37 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Muestras\SROSA.SYS.MUESTRA ELIBAGLE V11.38 --> Eliminado Bagle (rootkit)

Nº Total de Directorios:   4888
Nº Total de Ficheros:      57510
Nº de Ficheros Analizados: 9837
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

     Thu May 22 09:20:17 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.38
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

     Thu May 22 09:21:03 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4935
Nº Total de Ficheros:      58209
Nº de Ficheros Analizados: 9853
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

     Thu May 22 09:42:06 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

     Thu May 22 09:42:09 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4935
Nº Total de Ficheros:      58214
Nº de Ficheros Analizados: 9843
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

     Thu May 22 10:13:45 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

     Thu May 22 10:13:47 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4935
Nº Total de Ficheros:      58218
Nº de Ficheros Analizados: 9843
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

     Thu May 22 10:31:07 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

     Thu May 22 10:31:08 2008
EliBagle v11.38  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4945
Nº Total de Ficheros:      58222
Nº de Ficheros Analizados: 9844
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Kraken
Utente Junior
 
Post: 31
Iscritto il: 04/03/06 23:24

Re: wintasm : blocco antivirus, modalità provvisoria, rete ...

Postdi Kraken » 26/05/08 11:44

Sembra che abbia risolto ripetendo tutto il procedimento, usando il seguente script con Elmoalato (Avenger) e poi lanciando Twister per la scansione definitiva. Ho trovato lo script sul forum di p2p Italia, dovrebbe essere un generico script contro il bagle. Grazie mille per l'aiuto : )

Codice: Seleziona tutto
Drivers to disable:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe

Files to delete:
C:\_OTMoveIt\MovedFiles\05202008_130613\Documents and Settings\user\Impostazioni locali\Temp\PXR14.tmp
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.XXX
%SystemDrive%\WINDOWS\system32\mdelk.exe.XXX
%SystemDrive%\WINDOWS\system32\wintems.exe.XXX
%SystemDrive%\WINDOWS\system32\1.exe

Folders to delete:
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run |drv_st_key

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Kraken
Utente Junior
 
Post: 31
Iscritto il: 04/03/06 23:24

Re: wintasm : blocco antivirus, modalità provvisoria, rete ...

Postdi Luke57 » 26/05/08 14:31

Ciao, OK.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10


Torna a Sicurezza e Privacy


Topic correlati a "wintasm : blocco antivirus, modalità provvisoria, rete ...":

problema blocco note
Autore: carlin
Forum: Software Windows
Risposte: 7

Chi c’è in linea

Visitano il forum: Nessuno e 106 ospiti