luca197519

Dopo Eliminazione Bagle Collegamenti Internet E Lan Saltati

24 messaggi in questa discussione

Innanzitutto un saluto a tutti voi.

Tre giorni fa ho beccato sul mio pc (win xp pro sp2) il worm Bagle. Sintomi: chiusura di ogni tipo di sicurezza (AVG, Zone Alarm, Ad aware) e impossibilità di installare nulla. Inoltre inibita la modalità automatica.

Ho proceduto con una sequenza di passi "infinita":

- disattivazione dei punti di ripristino

- impostato dns con i valori 208.67.222.222 (primario) - 208.67.220.220

- eseguito atf cleaner

- eseguito Malwarebytes Anti-Malware

- Elibagla (anche in modalità provvisoria)

- ComboFix

- Prevx 3.0

Alla fine di tutto il pc riparte senza problema ma quando mi collego ad internet (oppure alla LAN), dopo alcune pagine visualizzate correttamente, firefox carica una pagina completamente bianca con la scritta Completato in basso. La Lan è irrangiungibile, l'antivirus non si aggiorna (Zone Alarm non l'ho reinstallato), però (cosa per me strana) posso utilizzare Outlook normalmente senza problemi.

Sto provando in tutti i modi per me possibili, ma senza risultato.

C'è qualcuno che può gentilmente aiutarmi?

Grazie mille,

Luca

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, in effetti è proprio il malware in questione che crei questi problemi.

Prova ad utilizzare Bagle Ristore che dovrebbe risolvere rapidamente questi inconvenienti.

Facci sapere.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao luca197519, ciao gio!

prima di ogni cosa vorrei essere sicura che il worm è stato debellato o solo messo a dormire,

quindi scarica ed esegui Findykill come descritto a fondo pagina QUI

allega il report, dopo di che procedi alla reinstallazione dei programmi di sicurezza

:P:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Ciao e grazie per i vostri interventi; ora provo con i vostri suggerimenti e vi faccio sapere. Devo farlo in modo un po' laborioso: devo bypassare con il portatile... neanche dovessi fare un'operazione a cuore aperto!!

A dopo,

Luca

P.s. il worm che è stato individuato nei vari passaggi precedenti è la variante Email.Worm.Win32.Bagle.of.

L'operazione è partita con FindyKill... il paziente è sotto i ferri!

Modificato da luca197519

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ok, ora dovresti ripetere la scansione con Findykill selezionando l'opzione 2 per la pulizia dei file infetti trovati

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Ok, ora dovresti ripetere la scansione con Findykill selezionando l'opzione 2 per la pulizia dei file infetti trovati

Procedo con la pulizia.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ora dai una ripulita al sistema con Ccleaner, riavvia il sistema e reinstalla i programmi di sicurezza

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Rieccomi. Ho fatto tutti i passaggi, ma la situazione non è cambiata. Firefox, Explorer, Safari appena riavviato il pc funzionano regolarmente, ma dopo pochi minuti, sembra che carichino la pagina ma:

- Firefox (3.0.5 prima avevo l'ultima versione ma era la stessa cosa) carica una pagina bianca e per lui è completata

- Explorer dopo la fase di connessione appare la schermata "impossibile visualizzare la pagina Web"

- Safari: "non può aprire la pagina"

In compenso Outlook funziona senza nessun problema. E' questo che non capisco! Se la connessione salta, perchè non lo fa con Outlook? Che sia inattacabile... non penso proprio!

Non ho la più pallida idea di come saltarci fuori

Una nota: durante la ricerca e la pulizia con FindyKill, c'è stato qualche secondo di fermo durante la scansione dell'eseguibile di Zone Alarm

P.s. l'Avg funziona normalmente, a parte l'aggiornamento

Dimenticavo un'operazione che ho fatto: alla fine di tutta la sequenza in alto (fin da lì non andava la connessione) ho applicato

XP TCP/IP Repair, ma senza risultati

Ho rieseguito la scansione con Findy Kill ed ecco il log:

############################## | FindyKill V5.002 |

report eliminato

Modificato da angelique

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Non serve ripetere findykill

Non vorrei che fosse qualche impostazione del firewall a bloccare i browser

findykill segnala tracce di questi programmi

# AV : AVG Anti-Virus Free 8.5 [ Enabled | Updated ]

# FW : Norton Internet Worm Protection[ (!) Disabled ]2006

# FW : ZoneAlarm Firewall[ (!) Disabled ]7.0.337.000

# FW : ActiveArmor Firewall[ (!) Disabled ]1.0

Esegui combofix ed allega il report, insieme ad un log di hijackthis

:P:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Provvedo alle scansioni.

Ti ringrazio moltissimo per il tempo che mi stai dedicando!!!!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho provato ad analizzare su internet il log di hijackthis e da quel poco che ne so non mi sembra ci sia qualcosa di anomalo.

L'unica alternativa che mi viene in mente è quella di Zone Alarm: non si avvia né si disinstalla, ma nei processi compare (vector...).

Proverò questa strada confidando nel miracolo!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Prima di tutto Angelique torno a ringraziarti per i tuoi suggerimenti.

Sono fermo... è allucinante! Zone Alarm andrebbe vietato nella maniera più assoluta. Intanto non si scarica il software da Zone Lab: soltanto un misero file di 200 Kb che fa avviare il download del programma ma non va (provato su tre pc differenti)!

RevoUnistaller non riesce a disinstallarlo in tutte le modalità.

Non si installa nemmeno una versione su un sito (affidabile; se avrò il permesso lo dico... non so se rientro in pubblicità occulta!!) che ho trovato perchè mi dice di chiudere il servizio Truevector; allora vado nel gestore dei servizi ma truevector è arrestato di suo, provo a riavviarlo ma compare l'errore 193ocx1. Ma allora mi chiedo questo servizio c'è o non c'è?

Morale della favola sono punto e daccapo. Allego due log di hijackthis: uno fatto nella fase in cui la connessione va e l'altro subito dopo mentre la connesione era solo un ricordo! C'è qualche differenza ma più di questo non so!

eliminato log

Angelique dimmi che non devo piallare l'hd!!!! :)

Modificato da angelique

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, segui queste indicazione e poi dimmi come va:

Ricordati di mettere Hijackthis.exe in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop se vuoi salvare i backup

Con tutte le applicazioni chiuse e disconnesso da internet

Avvia Hijackthis e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programmi\Corel\Corel Graphics 12\Languages\IT\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=062609 serial=DR12WEX-1504397-KTY lang=IT

O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [ulead AutoDetector] C:\Programmi\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programmi\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Elements 5.0\apdproxy.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe"

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Luca_MV\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c

O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe

O4 - Global Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?

O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

***********************************************************

Da Start > esegui > digita:

sc stop vsmon (e dai l'OK)

sc delete vsmon (e dai l'OK)

***************************************************

Assicurati di avere accesso a file e cartelle nascosti

Pannello di controllo-> Opzioni Cartella-> Visualizzazione

metti la spunta su: Visualizza file e cartelle nascoste

Cliccare su Start\Tutti i Programmi\Zone Labs

B) Cliccare con il tasto destro su Uninstal Zone Labs

C) Selezionare "Proprietà"

D) Alla voce "Destinazione" vedrete una voce come: "c:\Programmi\Zone Labs\ZoneAlarm\zauninstexe"

E) aggiungete in fondo la seguente parola: /clean lasciando uno spazio

"C:\Programmi\Zone Labs\ZoneAlarm\zauninstexe" /clean

F) cliccare OK e per salvare il nuovo comando

Eliminate manualmente le seguenti cartelle:

Internet Logs (in C.\Windows)

Zone Labs (in C:\Programmi)

Zone Labs (in C.\Windows\System32)

# Svuotate la cartella TEMP (in C:\Documents and

Settings\LOGIN-NAME\Impostazioni Locali)

# Svuotate la cartella PREFETCH (in C.\Windows)

# Svuotate il Cestino

:P:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Angelique,

ho proceduto, ma quando arrivo ad eliminare il "cancro" zone alarm, mi dice che il disco è protetto da scrittura.

Ho cambiato le proprietà che erano di sola lettura, ho cambiato i permessi con poteri totali, ma nulla di nulla: maledetto il giorno che ho usato Zone Alarm!!!!

Anche con i fix attivati dopo riavvio la situazione è immutata.

Inizio ad avere tentazioni di utilizzare un martello nel modo più selvaggio che si possa pensare: non è possibile un programma del genere! Poi dicono dei virus, ma questo è peggio!

Ma la cosa che non mi spiego è perchè la connessione va per due minuti e basta e contemporaneamente Outlook va tranquillamente: quindi mi viene da pensare che non è tanto la connessione o il Router ethernet (altrimenti la connessione non avrebbe colpito a macchia di leopardo e gli altri pc avrebbero risentito), piuttosto qualcosa che si attiva nei due minuti e quando lo fa, fa dei danni. Ma cosa si attiva? :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho preparato uno script per avenger per cercare di eliminare zone alarm dal sistema

Scarica the Avenger

http://swandog46.geekstogo.com/avenger.zip

Lo salvi in una cartella, scompatti il file .zip

Individua avenger.exe, lo avvii

Inserisci questo script nel box bianco

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Windows\System32\Zone Labs

C:\Windows\System32\vsconfig.xml

C:\Windows\System32\vsxml.dll

C:\Windows\System32\vsregexp.dll

C:\Windows\System32\vsdata.dll

C:\Windows\System32\vsdata95.vxd

C:\Windows\System32\vsdatant.sys

C:\Windows\System32\vsmonapi.dll

C:\Windows\System32\vspubapi.dll

C:\Windows\System32\vsinit.dll

C:\Windows\System32\vsutil.dll

C:\Windows\System32\vswmi.dll

C:\Windows\System32\zlcommdb.dll

C:\Windows\System32\zlcomm.dll

C:\Windows\System32\zllictbl.dat

C:\Windows\System32\zpeng24.dll

C:\Windows\System32\vsnetutils.dll

C:\Windows\System32\zlparser.dll

C:\Windows\System32\zoneband.dll

folders to delete:

C:\WINDOWS\temp

C:\WINDOWS\Tasks

c:\Programmi\Zone Labs

C:\Windows\Internet Logs

C:\Windows\System32\Zone Labs

registry keys to delete:

HKEY_LOCAL_MACHINE\Software\Zone Labs

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\vsmon

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\vsdatant

HKEY_CLASSES_ROOT\ZAMailSafe

HKEY_CURRENT_USER\Software\Zone Labs

HKEY_USERS\.DEFAULT\Software\Zone Labs

HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall

Clicca su Execute

Il pc dovrebbe riavviarsi (se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

Ripulisci il sistema con CCleaner e Wise registry cleaner

Se neanche questo funziona prova a resettare il router, dopo di che io mi fermo, :)

se non risolvi in nessun modo, non rimane che formattare

:P:P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Angelique!!!!!

Ho fatto tutto come da copione; risultato: la connessione sembra andare a dovere!! :)

Non posso fare altro che ringraziarti tantissimo i tuoi consigli: hai compiuto un miracolo!

Non so come poter ricambiare la cortesia. Spero che questa discussione possa essere d'aiuto come lo è stato per me.

Grazie ancora.

Allego qui il log di Avenger:

//////////////////////////////////////////
 Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sat Jun 27 00:56:34 2009

00:56:13: Error: Invalid registry syntax in command:
"HKEY_CLASSES_ROOT\ZAMailSafe"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line.  (Registry key deletion mode)  
00:56:24: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\Software\Zone Labs"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line.  (Registry key deletion mode)  
00:56:26: Error: Invalid registry syntax in command:
"HKEY_USERS\.DEFAULT\Software\Zone Labs"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line.  (Registry key deletion mode)  


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\ZoneLabs\vsmon.exe" deleted successfully.

Error:  file "C:\Windows\System32\Zone Labs" not found!
Deletion of file "C:\Windows\System32\Zone Labs" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 --> the object does not exist

File "C:\Windows\System32\vsconfig.xml" deleted successfully.
File "C:\Windows\System32\vsxml.dll" deleted successfully.
File "C:\Windows\System32\vsregexp.dll" deleted successfully.
File "C:\Windows\System32\vsdata.dll" deleted successfully.

Error:  file "C:\Windows\System32\vsdata95.vxd" not found!
Deletion of file "C:\Windows\System32\vsdata95.vxd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 --> the object does not exist

File "C:\Windows\System32\vsdatant.sys" deleted successfully.
File "C:\Windows\System32\vsmonapi.dll" deleted successfully.
File "C:\Windows\System32\vspubapi.dll" deleted successfully.
File "C:\Windows\System32\vsinit.dll" deleted successfully.
File "C:\Windows\System32\vsutil.dll" deleted successfully.
File "C:\Windows\System32\vswmi.dll" deleted successfully.
File "C:\Windows\System32\zlcommdb.dll" deleted successfully.
File "C:\Windows\System32\zlcomm.dll" deleted successfully.
File "C:\Windows\System32\zllictbl.dat" deleted successfully.
File "C:\Windows\System32\zpeng24.dll" deleted successfully.

Error:  file "C:\Windows\System32\vsnetutils.dll" not found!
Deletion of file "C:\Windows\System32\vsnetutils.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 --> the object does not exist


Error:  file "C:\Windows\System32\zlparser.dll" not found!
Deletion of file "C:\Windows\System32\zlparser.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 --> the object does not exist


Error:  file "C:\Windows\System32\zoneband.dll" not found!
Deletion of file "C:\Windows\System32\zoneband.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 --> the object does not exist

Folder "C:\WINDOWS\temp" deleted successfully.
Folder "C:\WINDOWS\Tasks" deleted successfully.
Folder "c:\Programmi\Zone Labs" deleted successfully.
Folder "C:\Windows\Internet Logs" deleted successfully.

Error:  folder "C:\Windows\System32\Zone Labs" not found!
Deletion of folder "C:\Windows\System32\Zone Labs" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 --> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\vsmon" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\vsdatant" deleted successfully.

Error:  could not query size of registry value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs"
Replacement with dummy of registry value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 --> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\Software\Zone Labs" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

:)

Complimenti, avevo lo stesso problema e mi è servito moltissino leggendo questa pagina, grazie!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Benvenuto/a!
:) Ciao e Benvenuto/a nel forum, volta-forever.

Perché non personalizzi la tua presenza in WinInizio aggiungendo una firma e un'immagine al tuo profilo personale ? se non sai come fare, clicca qui.

Se sei una ragazza e vuoi essere aggiunta al gruppo delle WinGirls non dovrai fare altro che presentarti in questo thread o contattare un membro dello staff; se invece hai meno di 18 anni potresti far parte degli Juniores, per farlo presentati qui o contatta un membro dello staff.

Il gruppo WinGirls e Juniores offrono alcuni vantaggi speciali, scoprili nell'apposito thread di presentazione!

Ricordati, infine, che un titolo appropriato per dare visibilità alle tue nuove discussioni è essenziale: chiamare una discussione "Aiuto" o "Consiglio" non permette di capire subito la tua richiesta e rende più difficili le ricerche per gli altri utenti.

Link utili:

- Regolamento
- Netiquette
- Glossario
- Thread di Benvenuto
- Guida all'uso di WinInizio

Grazie! :P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora