drmaurinho

Rimozione Bagle

20 messaggi in questa discussione

Salve a tutti, non so se qualcuno può darmi una mano...

Brevemente, qualche giorno fa dopo aver inserito una pen usb per scaricare alcuni dati, il mio pc ha iniziato a fare i capricci, soprattutto con uTorrent, quindi ho provato a disistallarlo e ristallarlo ma compariva il messaggio "Impossibile installare, questa è una applicazione Win32 non valida".

Ho letto allora alcune discussioni su questo forum ed ho scaricato Combofix, l'ho fatto lavorare e sembra che tutto sia tornato alla normalità, però non capisco niente del file log che è stato creato alla fine della scansione...

Lo allego a questo messaggio e chiedo un parere a voi che siete sicuramente più esperti di me; sono stati rimossi gli eventuali Bagle?

Devo cambiare antivirus? Quali altre operazioni sono necessarie?

Grazie!

log.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao.

Start - Esegui e digita:

notepad.exe

● clicca su Ok

● copia ed incolla le righe qui sotto, senza saltarne nessuna:

File::
c:\windows\system32\3.tmp

Folder::
c:\windows\Tasks

Registry::
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

● le incolli all'interno dell'editor di testo Notepad

● clicca in alto su File

● nel menù che vedi scegli Salva con nome

● controlla che in alto, dove c'è scritto Salva in, sia selezionato Desktop

● in Nome file se trovi selezionato .txt lo cancelli, e scrivi CFScript.txt

● clicca Salva

● adesso, sul Desktop, trovi il file di testo

● con il tasto sinistro del mouse, lo trascini sopra l'icona di Combofix, lo rilasci, e parte la scansione di Combofix

non toccare più ne' mouse ne' tastiera, finché non è finita

● se il sistema non si riavvia da solo, riavvialo tu

● a questo punta allega il log di Combofix

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Start - Esegui e digita:

notepad.exe

● clicca su Ok

● copia ed incolla le righe qui sotto, senza saltarne nessuna:

File::

c:\docume~1\Mauro\IMPOST~1\Temp\cf8265e3.nmc\nse\bin\unhookmbrs.sys

c:\docume~1\Mauro\IMPOST~1\Temp\cf8265e3.nmc\nse\bin\ndiskio.sys

Registry::

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]

"ImagePath"="\??\c:\windows\system32\3.tmp"

● le incolli all'interno dell'editor di testo Notepad

● clicca in alto su File

● nel menù che vedi scegli Salva con nome

● controlla che in alto, dove c'è scritto Salva in, sia selezionato Desktop

● in Nome file se trovi selezionato .txt lo cancelli, e scrivi CFScript.txt

● clicca Salva

● adesso, sul Desktop, trovi il file di testo

● con il tasto sinistro del mouse, lo trascini sopra l'icona di Combofix, lo rilasci, e parte la scansione di Combofix

non toccare più ne' mouse ne' tastiera, finché non è finita

● se il sistema non si riavvia da solo, riavvialo tu

● a questo punto, allega il log di Combofix

Come va il PC?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

...ecco l'ultimo log...

Il pc sembra andare bene, funziona tutto...ma c'era il bagle o qualche altro virus?

Com'è la prognosi?

log3.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Per il momento auguri di buon Natale e grazie a chi sta cercando di aiutarmi!!!

Perdonate le mie lacune informatiche, appena ho un pò di tempo scarico gli altri tool di rimozione e vi allego i log...

AUGURI!!!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, rieccomi di nuovo alla carica...

Allora, ho seguito tutta la guida base alla disinfezione rapida raccomandatami da Mr 4011, in breve ho eseguito:

Ccleaner - Norman malware cleaner - MalwareBytes - Advanced Systemcare - scansione Online con Bitdefender - Hijackthis.

In effetti c'erano diverse schifezze, ma nessuna traccia di Bagle...

Allego i log per chiunque volesse dargli una occhiata e farmi sapere se sono a posto così!

Grazie di nuovo, buon Anno Nuovo a tutti!!!!

NFix_2010-12-24_17-14-17.log

mbam-log-2010-12-26 (12-14-45).txt

hijackthis.log

scan bitdefender.html

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

drmaurinho trovo che l'installazione di Internet Explorer 8.0 per Windows XP sia cosa da farsi subito, su quel pc. Anche se usi un altro Browser.

Ed in seguito, anche tutti gli aggiornamenti di sicurezza necessari.

In seconda battuta, ti suggerirei di fare 2 cose:

1: Far analizzare da VirusTotal il file "C:\WINDOWS\PixArt\PAC207\Monitor.exe" presente sul tuo pc.

Nel caso in cui sia infetto...

2: Rimuovere tramite "Fix checked" le seguenti voci di HiJackThis

O3 - Toolbar: (no name) - {bd0e4d83-654e-4213-965b-fcbe887061f4} - (no file)
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [PAC207_Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe

Le ultime 2, ovviamente, possono essere ignorate se VirusTotal classifica come "sano" il file che ti ho suggerito di controllare.

Hai un antivirus Symantec Endpoint o Symantec Corporate sul tuo PC?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao. Segui gli ottimi consigli di Pike, e aggiornaci sulla situazione.

P.S. Potresti fare questo controllino aggiuntivo all'MBR?

Scarica Stealth MBR rootkit detector: http://www2.gmer.net/mbr/mbr.exe

● mettilo direttamente nella Directory C:\

riavvia il sistema in Modalità Provvisoria: http://windows.microsoft.com/it-IT/windows-vista/Start-your-computer-in-safe-mode

● Start - Esegui - digita C:\mbr.exe e clicca su OK

● la scansione dura 1 secondo

● recati in C:/ e allega il file mbr.txt per un controllo

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Pike, ancora non ho aggiornato Internet Explorer...!

Ho effettuato l'analisi del file che mi hai evidenziato e non è risultato infetto;

ho fixato l'altro file:

O3 - Toolbar: (no name) - {bd0e4d83-654e-4213-965b-fcbe887061f4} - (no file)

Sul Pc è installato Symantec Endpoint.

grazie e a presto!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, ho effettuato il controllo che mi hai richiesto e ti allego il file.

Mi sembra vada tutto bene...che cosa ne pensi?

Di nuovo grazie, fammi sapere il tuo parere...

mbr.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

E invece non mi piace, questo log.

Recati in C:/ e cestina il file mbr.txt

● Start - Esegui - digita C:\mbr.exe -f

● clicca su OK

NB - C'è uno spazio vuoto tra "C:\mbr.exe" e "-f"

● recati in C:/ e allega il file mbr.txt per un ulteriore controllo

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Va bene, Sembra tutto a posto.

Esegui la procedura descritta, per guadagnare spazio su disco e migliorare le prestazione del sistema.

1) Disattiva il Ripristino Configurazione Di Sistema, e tienilo disattivato sino alla risoluzione del problema

Procedura per Windows XP:

● clicca sul pulsante Start

● tasto destro del mouse sull' icona Risorse del Computer

● seleziona la voce Proprietà

● apri la scheda Ripristino configurazione di sistema

● spunta la voce Disattiva Ripristino configurazione di sistema

● conferma la modifica, con Applica e, poi OK

Procedura per Windows Vista e Seven:

● clicca sul pulsante Start

● tasto destro del mouse sull' icona Risorse del Computer

● seleziona la voce Proprietà

● apri la scheda Protezione sistema

● spunta la voce Disattiva Ripristino configurazione di sistema

● conferma la modifica, con Applica e, poi OK

2) Scarica ATF Cleaner: http://www.atribune.org/ccount/click.php?id=1

● avvia il tool con un doppio click

● seleziona la casella Select All

● clicca sul pulsante Empty selected

● aspetta l'avviso Done Cleaning

(se usi Opera o Firefox, esegui la loro pulizia, cliccando sul tab in alto)

● una volta concluse le operazioni, chiudi il programma

3) Scarica ed installa CCleaner: http://www.piriform.com/ccleaner/download

Nota - durante l'installazione:

non consentire l'installazione di componenti aggiuntivi (Toolbar e programmi vari) esterni al programma

Una volta installato, esegui queste operazioni:

● lancia il programma, nel menù di sinistra portati alla voce Opzioni

● nella finestra successiva clicca su Impostazioni

● spunta la voce Tipo cancellazione: Sicura (lenta) e nel menù a tendina seleziona la voce DOD 5220.22-M (3 passaggi)

Configuralo, per una pulizia più accurata, in questo modo:

● clicca su Avanzate

● togli la spunta alla voce Cancella file in Windows Temp solo se più vecchi di 24 ore

● alla voce Pulizia nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori Aggiornamenti di Windows

● clicca, in basso a destra, sul bottone Avvia pulizia, per avviare la pulizia dei file temporanei

● finita la scansione, nel menù a sinistra, clicca sulla voce Registro e controlla che tutte le voci siano spuntate, eccetto Estensioni file non usate

● clicca sul tasto Trova Problemi, per avviare la pulizia delle voci di registro corrotte e danneggiate

● al termine della scansione clicca sulla voce Ripara selezionati... e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

● una volta terminate le operazioni, chiudi il programma

4) Scarica TFC by OldTimer: http://oldtimer.geekstogo.com/TFC.exe

● posiziona il tool sul Desktop

chiudi tutti i programmi attivi

● avvia TFC by OldTimer, clicca su Start

● al termine della scansione ti chiederà di riavviare il sistema

● clicca Ok

● una volta terminate le operazioni, chiudi il programma

5) Svuota del suo contenuto la cartella Prefetch, seguendo questa semplice procedura:

● clicca su Start

● clicca su Risorse del Computer

● clicca su Disco locale C:

● cerca, all’interno delle cartelle che saranno visualizzate, la cartella Windows, aprila e individua la cartella Prefetch

● aprila ed elimina tutte le voci conservate al suo interno, tranne il file Layout.ini ( non eliminare la cartella)

6) Lancia Hijackthis e pulisci gli Alternate Data Streams in questo modo:

● clicca sulla voce Open the misc tool section

● clicca su Open ads spy

togli la spunta alla voce Quick scan (windows base folder only)

● clicca su Scan

● attendi pazientemente il termine della scansione

● se venissero rilevati ADS, spunta tutte le caselline, senza alcuna paura, e clicca su Remove selected

7) Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe

● posiziona il tool sul Desktop

chiudi tutti i programmi attivi

● doppio click per eseguirlo

● clicca su CleanUp

● ti chiederà di riavviare il sistema

● clicca Yes

Note - al termine della procedura:

allega un nuovo log di Hijackthis

● comunica come funziona il sistema, e quali problemi riscontri (cerca di essere il più dettagliato possibile)

● il punto 6) della procedura descritta, devi seguirlo solamente se il File System del tuo disco fisso è NTFS

● il punto 7) della procedura descritta, devi seguirlo solamente se hai usato ComboFix

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, perdono per il ritardo nella risposta, non ho utilizzato molto il pc in questi giorni...

Intanto ti allego il log di Hijack, per il resto mi sembra che funzioni tutto abbastanza bene;

l'unica stranezza è che ho un hard disk esterno da 250 Gb che ha ancora circa 79 Gb disponibili, ma se cerco di spostarci alcuni file piuttosto grandi (intorno ai 4 Gb), ricevo un messaggio che mi dice che non c'è spazio sufficiente e devo eliminare qualcosa, altrimenti non posso trasferire il file...boh!

A presto...

hijackthis1.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

drmaurinho, non è che il tuo hd da 250GB è formattato Fat32? Spiegherebbe perchè i file oltre i 4gb non li riesce a ricevere.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

...bella osservazione, è proprio così!

Posso risolvere senza dover formattare tutto? Comunque la cosa non mi crea grandissimi problemi...

Dell'ultimo log che mi dite?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Dall'ultimo log si evince che è tutto a posto.

Se non noti problemi, la discussione si puo' chiudere qui, visto che a quanto pare di infezioni non ne hai.

Il tuo altro problema, postalo in una altra sezione del forum, in quanto non riguarda la sicurezza informatica.

Ciao! thumbsup5.gif

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

OK perfetto!

Grazie mille a tutti per i preziosi suggerimenti...:clapping:

Alla prossima (speriamo non per altre infezioni!) :clapping1:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora