Il Bagle Mi Ha Disabilitato La Connessione Wireless

[piuma]

Ciao ragazzi,

ho seguito le altre vostre discussioni sui problemi dati dal Bagle. Mi aveva ovviamente disabilitato Antivir, poi vari programmini e la connessione wireless...

Ho seguito i vostri consigli e quindi per primo ho scaricato Elibagle e avviato.

Poi Avenger e Combofix.

Sono riuscita a reinstallare Antivir.

Ma ancora non ci siamo, sigh!

Ho anche fatto lo scan con GMER.

Ma il mio Sony Vaio, non mi permette di avere il classico desktop sfondo di default con il logo, nonchè mi chiede il cd rom di installaz. di office 2003 per eseguire vari programmini, e non riesco più a ripristinare la connessione Wireless per Internet.

Allego i logs, perchè ho davvero bisogno di un parere tecnico.

Non so più cosa fare, allego anche hijackthis log, e spero che possiate aiutarmi :sigh:

ComboFix.txt

InfoSat.txt

GMER_Autostart_scan.txt

GMER_Rootkit_scan.txt

hijackthis.log

[Luke57]

Ciao, scarica avenger sul desktop

http://swandog46.geekstogo.com/avenger.zip

Decomprimi l'archivio

Avvia il file avenger.exe

Seleziona l'opzione "Input Script Manually"

Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"

All'interno del box bianco,copia e incolla le scritte seguenti:

files to delete:

C:\WINDOWS\system32\drivers\hldrrr.exe

C:\WINDOWS\zzzip.exe

C:\WINDOWS\rrrar.exe

C:\Documents and Settings\manuela palma\Dati applicazioni\m\data.oct

C:\Documents and Settings\manuela palma\Dati applicazioni\m\flec006.exe

folders to delete:

C:\WINDOWS\system32\drivers\down

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Clicca sul pulsante Done

Clicca sull'icona del semaforo verde

Rispondi ok e poi yes.

Il pc dovrebbe riavviarsi da solo, se così non fosse riavvialo manualmente.

Allega poi il log generato da avenger, lo trovi in C:\avenger.txt è un file di testo.

Inoltre apri il registro di sistema (start>esegui>regedit (lo digiti nello spazio)>OK

Cliccando sul segno + accanto alle singole voci segui questo percorso:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

click sulla cartella Run

se all'interno trovi questo valore:

""mule_st_key"="C:\Documents and Settings\manuela palma\Dati applicazioni\m\flec006.exe"

click tasto dx su di esso e scegli Elimina.

[piuma]

Ciao Luke57,

stamani ho riacceso il pc ed era partito anche lo spyware terminator.

Poi ho utilizzato Avenger, il pc si è riavviato da solo,

ma nel registro quella voce "mule_st_key" non c'è....in effetti mi sembra di averla cancellata ieri notte tra le tante cose che ho tentato.

Sotto Run però trovo C:\Windows\sistem32\ctfmon.exe...è regolare?

Adesso ti allego il txt di Avenger, mentre lo Spyware è riapparso, ma internet wireless è inibito e lo sfondo del desktop è tutto blu.(VAIO wallpepar non c'è più.

Magari adesso mando in esecuzione l'Antivir.

Dimenticavo, non so se adesso il punto di ripristino funzioni....non ho provato.

Aspèetto il tuo parere.

avenger1.txt

[Luke57]

Ciao, vai qui:

http://forum.wininizio.it/index.php?showto...377700&st=0&

ci sono suggerimenti per come ripristinare i servizi interrotti dasl malware.

Posta nuovo report di combofix.

[piuma]

Ciao, sono stata nella sezione con i consigli di Kuma, ma purtroppo non sono riuscita a riavviare il servizio zero configuration rete senza fili, in quanto mi da errore 1068.

Ti allego il nuovo combofix txt.

Antivir mi ha trovato altre irregolarità, e così pure il Lavasoft Ad-aware, e mi sembra di averle eliminate, infatti il sophos non ha rilevato nulla.

Non so che fare.

ComboFix2.txt

[Luke57]

Ciao, guarda che cosa si trova all'interno di questa cartella, poi non trovo altra traccia del bagle

C:\Documents and Settings\manuela palma\Dati applicazioni\m

[piuma]

Luke, avevi ragione...era un file zeppo di cartelle compresse su ogni possibile argomento. Ho eliminato tutto.

A questo punto mi son rimaste solo alcune cose da risistemare.

Sono sospettosa su alcune cose e quindi vorrei chiederti se potessi controllarmi e scovare stranezze in questo log di hijackthis, cioè qualche processo o altro che potrebbe aver introdotto il virus...non ne capisco molto..

se c'è qualcosa che potrei deletizzare da esso e snellire il sistema un pò rallentato dal suddetto virus, mi farebbe molto piacere.

Tra parentesi, continua a crearsi questo file di testo, nella directory di C, dicendo che si produce un errore.. :leggi: che vuol dire?

Ciao

hijackthis_17_01_08.log

VCIError.log

Modificato January 17, 2008 da piuma

[Luke57]

Ciao, riesci a navigare adesso? Perchè ti volevo proporre una scansione on line con bitdefender, lunga ma efficace (quest'ultima versione del bagle è micidiale):

http://www.bitdefender.com/scan8/ie.html

se riesci a eseguirla, posta poi il report.

[piuma]

Ho fatto la scansione, avevi ragione quel bitdefender ha trovato 8 files infetti con Win32.

Grazie grazie!

Ti allego il log.

E che mi dici di quel Hijackthis log?

bdoscan.log

[Luke57]

Ciao, bitdefender non ha trovato altri file infetti, il log di hijackthis va bene, ma con esso il bagle si vede poco. Fai anche una scansione con kaspersky, dai ,

http://www.kaspersky.com/virusscanner

nel modo seguente:

http://forum.wininizio.it/index.php?showtopic=36981&hl=

Posta il report.

[piuma]

Ciao Luke, ho fatto tutto ciò che diceva Kuma, ed in effetti qualcosa ho trovato.

Vedi allegato.

Inoltre ad ogni reboot del pc continua ad aggiornarsi quel VCIError.log, sempre uguale. SGRUNT!

Aspetto un tuo parere con fiducia.

Ciao

kaspersky_log.html

[Luke57]

Ciao, lo scan ha rilevato infezioni del bagle solo nella crtella volumeinformation, per cui disattiva il ripristino configurazione di sistema:

http://www.kuma215.it/WI/Ripristino.html

inoltre cancella quella cartella .zip rilevata da kaspersky come infetta (mi pare in C:\programmi\emule)

Per quel file iniziale, da start>esegui>msconfig (lo digiti nello spazio)>OK

nella finestra che si apre premi avvio, se tra le varie voci lo trovi deseleziona la cartella>applica>ok.

[piuma]

Ciao Luke!

Ho cancellato il file infetto, poi clikkato sulla disattivaz. del ripristino configurazione di sistema, eseguito quidi il riavvio del pc ed infine riattivato l'opzione ripristino configurazione di sistema.

Ma purtroppo in msconfig >avvio non ho trovato nessun file extra ( a parte ntuser.dat.log...che cos'è?)

Ho rifatto lo scanning on-line con kaspersky. C'è ancora un'irregolarità. Tu che ne pensi a tal proposito?

kaspersky_2.html

[Kuma]

Ciao piuma...

l'ultimo log non rileva files infetti (quello rilevato non fa parte del Bagle e non è una minaccia)

il file ntuser.dat riguarda il profilo utente, che rappresenta ciò che l’utente stesso vede quando fa accesso ad un computer; con estensione .log probabilmente e solo una registrazione degli eventi... con tale estensione non può essere un'infezione....

Attualmente che problemi riscontri???

[piuma]

ciao Kuma, i problemi che rilevo sono: quel file VCIError.log sotto C:\ che si aggiorna ad ogni reboot, alcuni files .exe del Vaio sono persi e non c'è stato verso di ritrovarli o di trovare un patch e poi ogni volta che apro o chiudo qualche cartella tutte le icone presenti sul desktop mi scompaiono....come se dovesse "ricaricarsi" e poi finalmente riappaiono.

Tu che dici?..cos'è tutto questo?

Io credo comunque che se il suddetto file di errore continua a crearsi ogni volta,...beh, questo non va bene

Tanto per cercare grane ho installato "Find and Mount" il quale mi dice che ci sono 7 giga che non sono nè in C, nè in D. Gulp!

Sono nel pallone, è un enigma

Che ne pensi?

Ciao da Piuma

[$angelique!?]

Ciao piuma,

questo VCIError.log sotto C:\ credo sia il log generato da un errore di volume.

Può essere il file system dell'hard disk, o il settore di avvio dell'hard disk danneggiato, per risolvere basta reinstallare windows oppure formattare.

Proviamo così...

esegui uno scandisk : Start > programmi > accessori > utilità di sistema

ed una deframmentazione usandoDiskeeper Lite 7 e' di gran lunga migliore del programma integrato in windows.

http://www.majorgeeks.com/download.php?det=1207

Per la connessione wireless, scarica ed esegui il file che ti allego ;-)

Registry.rar

[piuma]

Arrgh!!

Con Diskeeper lite ho trovato un caos. Quindi l'ho avviato e ...adesso mi sento più leggera!!!

Grazie grazie.

La connessione wireless è OK .

Ma ho un problema: non posso reinstallare Windows Xp Home Ed. perchè mi era stata inclusa nel Vaio e...prima per leggerezza SIGH!, poi non ho fatto in tempo a creare un disco, avendo contratto il bagle ed avendo tutto il sistema sballato.

Avrei bisogno forse di controllare quel file system dell'hard disk, o il settore di avvio dell'hard disk danneggiato (prendo i tuoi suggerimenti) e vedere che c'è.........Ehm, come faccio?

Ciao Angelique

[$angelique!?]

Hai eseguito anche lo scandisk??

Start > programmi > accessori > utilità di sistema

In questa pagina trovi i collegamenti per scaricare i driver più aggiornati per il tuo modello

http://support.vaio.sony.it/index/index.as...=voe_it_IT_cons

vedi se ti può essere utile

[piuma]

Ciao!!

Ho eseguito lo scandisk e poi HD Tune. Bèh, che bello: il famoso file di errore non si aggiorna più al reboot del pc!

Quindi l'ho cancellato e adieu! Problema risolto.

Sono stata sul sito della Sony, e ho scaricato drivers and utils, ma non so proprio come applicarli...non vorrei sovrascrivere. Come si fa? Non sono pratika.

Potresti darmi delucidazioni e un suggerimento?

Ciao da Piuma