Win Bagle.hi Mi Ha "scassato"antivirus E Antispyware

[formula]

Ciao a tutti.....e buon anno!

Racconto la mia "avventura" in modo che qualcuno possa darmi qualche consiglio!

domenica sera dentro un programma c'era un virus o meglio un trojan..che astutamente il mio kaspersky mi ha rilevato! il fatto che mi diceva che era impossibile eliminarlo...ma di ignorarlo..e di fare il rollback(ma che caspita è?)ho fatto cosi....!dopo un oretta mi accorgo che l'antivirus è piantato..nn me lo apre piu....controllo antispyware avg e niente, bloccato anche lui, tento di aprire il windows defender( installato tempo fa....perche consigliato da un amico), ma bloccato anche quello! entro in panico provo a reisttallare kaspersky...ma niente ..provo la versione 7..ma nulla..provo con la 6 (che ho nel pc), ma ancora nulla! provo a rispristinare ad uno con un punto di ripristino di 2 giorni fa..ma mi dice ..impossibile! quando stavo per abbandonare ogni speranza....apro revo unistaller(spero lo conosciate) e in strumenti c'era microsot windows malicuis software removal tool, che ricordo si scarica con gli aggiornamenti, ma non avevo mai usato!provo..ed inizia a scansionare..dopo un 45 miniti mi trova 3 file infetti ma poi all'unltimo me ne evidenzia solo uno....trojan: win nt/bagle.gen...e relativamnete a questo mi dice "rimozione parziale" e di riavviare il pc!faccio cosi...riprovo a reisttalre kaspesky 6 ma questa volta non gli "dico di utilizzare i vecchi database ...e magia ora funziona...aggiorno subito ! poi reistalla sia avg che windows defender e ok anche questi! ora sto facendo la scansione completa con kaspersky...e al 50% circa e per ora mi ha rilevato 4 "oggetti"rilevato: un programma trojan Trojan-Downloader.Win32.Bagle.hi Il file: C:\System Volume Information\_restore{98DF0744-E9D0-4D5D-BAFF-085C137ADB1B}\RP892\A0199137.exe, rilevato: un programma trojan Trojan-Downloader.Win32.Bagle.hi Il file: C:\System Volume Information\_restore{98DF0744-E9D0-4D5D-BAFF-085C137ADB1B}\RP892\A0198112.exe, rilevato: un programma trojan Trojan-Downloader.Win32.Bagle.hi Il file: C:\System Volume Information\_restore{98DF0744-E9D0-4D5D-BAFF-085C137ADB1B}\RP892\A0199111.exe, rilevato: un programma trojan Trojan-Downloader.Win32.Bagle.hi Il file: C:\System Volume Information\_restore{98DF0744-E9D0-4D5D-BAFF-085C137ADB1B}\RP892\A0199112.exe! Ho capito che tutto cio ha a che fare con i ripristini creati giusto! spero alla fine della scansione kasperr..me li elinìmini..sennò che devo fare?

[$angelique!?]

[ben]formula[/ben]

Ciao formula

Disabilita il Ripristino di configurazione su tutte le unità;

(nota che questo ELIMINERA' TUTTI i punti di ripristino, ed eventuali virus in esso contenuti..)

Scarica ELIBAGLA

Assicurati che la casella Eliminar Ficheros Automaticamente sia spuntata e clicca su Explorar

Posta il log C:\InfoSat.txt

Il download lo trovi in fondo alla pagina:

)

Scarica FindAWF da qui:

http://noahdfear.geekstogo.com/FindAWF.exe

lo avvii, si apre una finestra dos, premi il tasto 1 e poi invio.

Posta il log generato dal programma.

posta anche un log di Hijackthis >>> http://forum.wininizio.it/index.php?showtopic=21584

Riabilita il ripristino configurazione di sistema almeno sull'unità dove hai installato il sistema operativo (solitamente il disco C:\)

[formula]

Allora ho appena terminato la scansione con kaspersky e oltre quei 4 oggetti mi ha rilevato ed eliminato un file Windows/sistem32 drivers/hldrrr.exe!posso stare tranquillo o devo neccesariamnete fare quaella procedura che mi hai consigligliato...non vorrei incasinarmi!

[$angelique!?]

I miei sono consigli non obblighi

Questo file

Windows/sistem32 drivers/hldrrr.exe

è tipico di un'infezione da Worm Bagle

e questo è il tool di rimozione:

Scarica ELIBAGLA

Assicurati che la casella Eliminar Ficheros Automaticamente sia spuntata e clicca su Explorar

Posta il log C:\InfoSat.txt

Per le infezioni trovate da Kaspesky in C:\System Volume Information\_restore

l'unico sistema per eliminarle è questo:

Disabilita il Ripristino di configurazione su tutte le unità;

(nota che questo ELIMINERA' TUTTI i punti di ripristino, ed eventuali virus in esso contenuti..)

Questi due invece...

Scarica FindAWF da qui:

http://noahdfear.geekstogo.com/FindAWF.exe

lo avvii, si apre una finestra dos, premi il tasto 1 e poi invio.

Posta il log generato dal programma.

posta anche un log di Hijackthis >>> http://forum.wininizio.it/index.php?showtopic=21584

...sono dei controlli in più...perchè sono molto scrupolosa

[formula]

ho provato a fare la scansione con EliBaglA..ma la scansione dura pochissimo..e poi si kiude il programma...come mai?

[Luke57]

ho provato a fare la scansione con EliBaglA..ma la scansione dura pochissimo..e poi si kiude il programma...come mai?

Ciao, vai a vedere se la scansione ha prodotto questo file:

C:\InfoSat.txt

[formula]

Si in effetti lo ha creato ..ma nn ce scritto nulla..e ripeto la scansione dura poco

InfoSat.txt

[Luke57]

Ciao, non conosco il motivo della mancata scansione ; scarica ComboFix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Disconettiti da internet

disattiva l'antivirus

Avvia il file ComboFix.exe

Digita 1 per avviare il tool

Segui le istruzioni e alla fine verrà generato un log (non fare altre manovre con il computer fino a che il tool sarà al lavoro).

Riavvia il pc, collegati e allega il log rilasciato dal programma:

C:\combofix.txt

[formula]

luke..eccoti i due log..per sicurezza ne ho fatto 2....di combofix! puoi spiegarmi che cosa ha contriollato...e se ce qualcosa che non va?

ComboFix0.txt

ComboFix1.txt

[Luke57]

Ciao, scaricA The Avenger

http://swandog46.geekstogo.com/avenger.zip

Poi avvia il file Avenger.exe. (applicazioni chiuse e antivirus disattivato)

Seleziona l'opzione Input Script Manually, clicca sulla lente di ingrandimento e all'interno dello spazio bianco copia ed incolla questo script:

Files to delete:

C:\WINDOWS\system32\SpoonUninstall.exe

C:\Documents and Settings\io\Dati applicazioni\GDIPFONTCACHEV1.DAT

C:\Documents and Settings\io\Dati applicazioni\ezpinst.exe

registry keys to delete:

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

HKLM\SYSTEM\CurrentControlSet\Services\IPRIP

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPRIP

Clicca sul pulsante Done

Adesso clicca sul semaforo con la luce verde

Rispondi prima ok e poi yes

Il pc si dovrebbe riavviare,se non si riavvia,riavvialo manualmente

Al riavvio collegati e allega il file C:\Avenger.txt

Ti allego anche un file per il ripristino della modalità provvisoria disattivato dal virus. Estrai il file .reg,, ci clicchi e rispondi sì alla richiesta di unirsi al registro di sistema.

SafeBoot.zip

[formula]

Ciao.....allora....ma in fondo che mi stai facendo fare?

C:\WINDOWS\system32\SpoonUninstall.exe...ho visto che è riferito ad un programma di latino che serve a mio fratello.GDIPFONTCACHEV1...che cosa sarebbe?ezpinst...è in exe.se non sbaglio...puoi dirmi..che cosa sto cancellando....non vorrei fare ulterioriori casini!

grazie.....

[formula]

ah dimenticavo, ho..controllato nel registro..le altre cose..ma nn ho trovato nessuna delle voci che hai detto ..come mai?

[Luke57]

ah dimenticavo, ho..controllato nel registro..le altre cose..ma nn ho trovato nessuna delle voci che hai detto ..come mai?

Ciao, capisco che sei un tipo sospettoso, ma se vuoi un aiuto ti devi anche fidare di chi scandaglia il web per cercare notizie sui file sconosciuti che alloggiano nel tuo computer. Se non vuoi eliminare quei files, sei naturalmente liberissimo di non farlo, io però abbandono il campo perchè essere continuamente sotto esame non mi va più di tanto, perdonami ma è un mio difetto.

Il bagle, di cui sei affetto (non lo dico io, ma la logica) mette servizi e processi nascosti in quanto usa tecniche di rootkit. Quei servizi li ho rilevati dal report di combofix.

Dallo stesso report ho visto che sei disinibito all'uso della modalità provvisoria, ho scaricato e allegato un file apposito per il ripristino di tale funzionalità.

[Duca Bianco]

Quoto quanto detto da Luke57, siamo qui a dare consigli...

luke57 è uno dei più bravi esperti di sicurezza informatica in rete... e rende disponibili a tutti le sue conoscenze :omaggi:

[formula]

ok..ora faccio tutto quello che hai suggerito ed allego ilil file C:\Avenger.txt giusto?

[formula]

luke eccoti il log che mi hai richiesto! ora che devo fare! intanto ti kiedo cancello combofx e i log creati? cancello anche avenger e il relativo log? anche safeboot immagino?ho natotato che in C ce una cartella chaiamta qoobox....che devo farci?

attendo...grazie

avenger.txt

[Luke57]

@ Duca Bianco

Grazie per le tue parole di stima, veramente troppo gentile e troppo....buono

@ Formula

Qoobox è la quarantena di combofix, puoi eliminarla. I programmi puoi eliminarli se vuoi, al limite fai una scansione con kaspersky.

[Steve75]

ciao

prova a ripetere anche lo scan con Elibagla

[formula]

allora elimino tutto quello che mi hai detto! dai quel log...che hai dedotto?ok...dopo aro una scansione con il mio kaspersky!a proposito quando l'ho reistallato non ho detto di "ricaricare"le vecchie "signature"(si sembra che si kiamino cosi!)...ora quelle dovrei eliminarle..si ma da dove? Ho inoltre notato che si è disabilitato il ripristino come faccio a riattivalo...penso sia utile!

Per steve..ho porvato con elibagla...ma ho notato che si blocca in prossimita di una cartella dove ho un po di immagini di giochi..potrebbe dipendere che hanno una grande dimensione?

[Steve75]

ciao

allora;

per prima cosa devo chiederti di evitare il linguaggio sms (grazie)

per quanto riguarda elibagla potrebbe essere anche come dici, ma non posso assicurartelo....

comunque attualmente che problemi riscontri?

hai eseguito tutto quello che ti é stato consigliato ?

[formula]

Si scusami! In ogni caso ho fatto tutto quello che mi "avete" consigliato! Ho notato che si è disattivato il ripristino configurazione, come mai? Come devo fare per riattivarlo?Per quanto riguarda problemi non ne ho di evidenti! c'e qualcosa che posso controllare ulteriormente?

[Steve75]

ok, per riattivare il ripristino fai l'operazione inversa che hai fatto per disattivarlo

disattiva/attiva il ripristino configurazione di sistema