NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
 Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Virus
 Computer Virus
 Bagle		  Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'è:
Autore Discussione Precedente Discussione Discussione Successiva  

Sparda
Junior Member



56 Messaggi

Inserito il - 29/02/2008 : 20:49:50  Mostra Profilo
Ciao a tutti ieri pomeriggio stavo cercando in rete un codec atac3.. ho tovato un'archivio rar convito di trovare il codec ma invece c'era questo simpatico Virus. Allora mi sono messo subito al lavoro e ho iniziato con Elibager che mia fatto entrare in modalità provisoria e subito dopo gli ho fatto fare un'altro scan rilevando altre 3 voci. Avviando in mobalita normale ho disinstallato avast e poi reinstallato facendogli fare una scansione trovando solo un files infetto, dopo ho fatto la stessa cosa con S&b e ha trovato 50 voci. Adesso i problemi che non riesco a rissolvere e il disinstallare ZoneAllarm e la connessione a internet che funziona solo all'avvio del pc e dopo 5 minuti nn apre le pagine web e non funzionano + i programmi tipo emule msn e torret. Chiedo aiuto.

log:hijackthis316.log

Sibilla
Advanced Member

Impegno nella community e competenze nel supporto alla rimozione malware




2059 Messaggi
Inserito il - 29/02/2008 : 21:20:59  Mostra Profilo
guardo ora il log ma tu, per piacere, esegui per prima cosa questo script con Avenger.

disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"

Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento.
All'interno del box bianco, copia/incolla:
Citazione:
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\klif.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\mdelk.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\srosa.sys
c:\Documents and Settings\user\Dati applicazioni\hidn\hidn2.exe
c:\Documents and Settings\user\Dati applicazioni\hidn\hldrrr.exe
c:\Documents and Settings\user\Dati applicazioni\m\data.oct
c:\Documents and Settings\user\Dati applicazioni\m\flec006.exe

folders to delete:
c:\WINDOWS\exefld
c:\WINDOWS\exefnd
C:\WINDOWS\exefqd
C:\WINDOWS\system32\drivers\down
c:\Documents and Settings\user\Dati applicazioni\hidires
c:\Documents and Settings\user\Dati applicazioni\hidn

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\pci32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr


(Modifica mettendo al posto dello "user" (in rosso) il tuo user. Non lasciare spazi)

Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato in C:\Avenger
Modificato da - Sibilla in data 29/02/2008 22:02:06
Torna all'inizio della Pagina

Sibilla
Advanced Member

Impegno nella community e competenze nel supporto alla rimozione malware




2059 Messaggi
Inserito il - 29/02/2008 : 22:00:38  Mostra Profilo
Dopo avenger (controlla nel log che sia stata eliminata la cartella down) esegue questo::

vai in C:\DOCUME~1\HP_PRO~1\DATIAP~1\METAOO~1 e vedi questa cartella cos'è (senza eseguire nessun file). Se ti risulta di recente creazione e non la conosci affatto (puoi cliccare su un file con il tasto destro del mouse, selezionare "proprietà" e controllare lì la data) devi fare questo:

fixa questa voce:
O4 - HKCU\..\Run: [CornBold] C:\DOCUME~1\HP_PRO~1\DATIAP~1\METAOO~1\Beep log.exe

ed elimina la cartella C:\DOCUME~1\HP_PRO~1\DATIAP~1\METAOO~1

Sempre da hjt, se ancora presenti, fixa anche queste voci:

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: [No-Spam]xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O4 - HKCU\..\RunOnce: [SpybotDeletingB8354] command /c del "C:\WINDOWS\system32\drivers\down\103328.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2391] cmd /c del "C:\WINDOWS\system32\drivers\down\103328.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8584] command /c del "C:\WINDOWS\system32\drivers\down\106343.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD795] cmd /c del "C:\WINDOWS\system32\drivers\down\106343.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5539] command /c del "C:\WINDOWS\system32\drivers\down\130234.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1778] cmd /c del "C:\WINDOWS\system32\drivers\down\130234.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7516] command /c del "C:\WINDOWS\system32\drivers\down\150390.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8750] cmd /c del "C:\WINDOWS\system32\drivers\down\150390.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5241] command /c del "C:\WINDOWS\system32\drivers\down\153328.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6475] cmd /c del "C:\WINDOWS\system32\drivers\down\153328.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9155] command /c del "C:\WINDOWS\system32\drivers\down\208359.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7406] cmd /c del "C:\WINDOWS\system32\drivers\down\208359.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4009] command /c del "C:\WINDOWS\system32\drivers\down\211625.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8785] cmd /c del "C:\WINDOWS\system32\drivers\down\211625.exe"

Collegati su Kaspersky_virusscanner ed esegui una scansione (se vuoi, puoi disconnettere il pc da internet dopo aver selezionato "my computer"). Salva il rapporto come file txt e postalo.
Modificato da - Sibilla in data 29/02/2008 22:07:17
Torna all'inizio della Pagina

Sparda
Junior Member



56 Messaggi
Inserito il - 29/02/2008 : 23:50:57  Mostra Profilo
Questo è il log di avenger: avenger58.txt

è questo e quello di hjt: hijackthis317.log

Più tardi posto quello di kaspersky
Torna all'inizio della Pagina

Sibilla
Advanced Member

Impegno nella community e competenze nel supporto alla rimozione malware




2059 Messaggi
Inserito il - 29/02/2008 : 23:55:29  Mostra Profilo
comincia ad eliminare questa cartella:
C:\Documents and Settings\All Users\Dati applicazioni\Memo save stupid creative

e svuota il cestino.

e, quando puoi, da hjt fixa:
O4 - HKLM\..\Run: [stupid creative poll axis] C:\Documents and Settings\All Users\Dati applicazioni\Memo save stupid creative\SHIM GREY.exe


Le voci riferite a spybot e la cartella del bagle ci sono ancora. Creano solo confusione, poi togliamo anche quelle.

...e c'è ancora anche questa:
O4 - HKCU\..\Run: [CornBold] C:\DOCUME~1\HP_PRO~1\DATIAP~1\METAOO~1\Beep log.exe


...ma hai fatto quello che ti avevo indicato nel secondo post
Quindi ora devi eliminare le due cartelle e fixare le voci da hjt
Modificato da - Sibilla in data 29/02/2008 23:58:47
Torna all'inizio della Pagina

Sparda
Junior Member



56 Messaggi
Inserito il - 01/03/2008 : 03:37:30  Mostra Profilo
Si Sibilla ho fatto tutti i passaggi che hai scritto.

Questo è il log del kaspersky:kaspersky4.txt

log Hjt:hijackthis318.log
Modificato da - Sparda in data 01/03/2008 03:58:07
Torna all'inizio della Pagina

Sibilla
Advanced Member

Impegno nella community e competenze nel supporto alla rimozione malware




2059 Messaggi
Inserito il - 01/03/2008 : 11:16:36  Mostra Profilo
ora si che va meglio :)

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.0
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

elimina manualmente e svuota il cestino.
Come va internet ora? Le applicazioni funzionano?
Dovresti fare un'altra cosa (serve a vedere che non ci siano altri programmi installati, come i due che abbiamo trovato).

Scarica SystemScan, disconnetti il pc da internet => esegui systemscan => spunta solo le opzioni
- Recent files
- Scheduled jobs
- Hidden objects

clicca su "Scan Now". Finita la scansione, carica il rapporto che trovi in C:\Suspectfile su Freefilehosting e posta il link ottenuto.
Modificato da - Sibilla in data 01/03/2008 11:18:39
Torna all'inizio della Pagina

Sparda
Junior Member



56 Messaggi
Inserito il - 01/03/2008 : 16:57:24  Mostra Profilo
Si Sibilla adesso internet funziona e le applicazioni adesso vanno bene

report77.txt
Torna all'inizio della Pagina

Sibilla
Advanced Member

Impegno nella community e competenze nel supporto alla rimozione malware




2059 Messaggi
Inserito il - 01/03/2008 : 17:33:37  Mostra Profilo
ehmmm in systemscan dovevi spuntare solo quei 3 test.. credo che tu abbia tolto la spunta (giustamente di default sono tutte spuntate).. Puoi rieseguirlo? Anche completo, non importa..

Vedo che l'hosts è stato modificato..
Scarica e scompatta questo file hosts3.zip => clic con il tasto destro del mouse - "copia" - e "incolla" il file nella cartella C:\Windows\system32\drivers\etc
(NB: li' troverai già un altro file hosts, quindi accetta la sostituzione).
Torna all'inizio della Pagina

Sparda
Junior Member



56 Messaggi
Inserito il - 01/03/2008 : 18:06:34  Mostra Profilo
perdonami ho capito male ecco il log con solo le 3 spunte

report78.txt

Ho cambiato anche il files host
Modificato da - Sparda in data 01/03/2008 18:13:43
Torna all'inizio della Pagina

Sibilla
Advanced Member

Impegno nella community e competenze nel supporto alla rimozione malware




2059 Messaggi
Inserito il - 01/03/2008 : 18:27:54  Mostra Profilo
Tutto finito. Devi solo eliminare:

C:\WINDOWS\temp\sqlite_lafPEJTkgpwOlJf (file - ma dovrebbe essere di sqlite, forse.. male non fa)
C:\Programmi\Metaoozeway (cartella - credo che sia la stessa che già hai eliminato altrove, ieri, giusto?)

Ciao
Modificato da - Sibilla in data 01/03/2008 18:29:50
Torna all'inizio della Pagina

Sparda
Junior Member



56 Messaggi
Inserito il - 01/03/2008 : 18:39:04  Mostra Profilo
ok ho cancellato il file e la cartelle che si è ripresentata, dopo provo a vedere se si ripresenta un'altra volta.
Grazie di cuore Sibilla.. se vuoi ti offro una cena
Torna all'inizio della Pagina

Sibilla
Advanced Member

Impegno nella community e competenze nel supporto alla rimozione malware




2059 Messaggi
Inserito il - 01/03/2008 : 19:01:34  Mostra Profilo
No :) non si era "ripresentata", tranquillo. Sapevo che l'avrei trovata anche altrove, per questo serviva systemscan.

Ecco i 2 percorsi differenti:
C:\Programmi\Metaoozeway
C:\DOCUM. AND SETT.\HP_PRO~1\DATI APPLICAZIONI\Metaoozeway

Usa regolarmente ccleaner per ripulire i temporanei.

Ciao
Torna all'inizio della Pagina
  Discussione Precedente Discussione Discussione Successiva  

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
 © Nazzareno Schettino
RSS NEWS 		Torna all'inizio della Pagina
Pagina generata in 0,25 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000