| Autore |
 Discussione  |
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 23/02/2008 : 22:52:39
|
..ho notato una cosa:
dal log di elibagle risultano:
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Mentre da kaspersky:
G:\windows\system32\drivers\hldrrr.exe
G:\windows\system32\wintems.exe
(e non aveva rilevato SROSA.SYS.. vabbè...)
 vorrei solo capire di quale unità (HD) si stava parlando:
- se per entrambe le scansioni l'HD rappresenta l'unità G:\ (e a questo punto ha trovato files infetti anche nella c:\?)
- oppure se ad un certo punto hai spostato l'HD al suo posto (per cui è diventato, a ragione, c:\ - e non credo proprio).
...oppure, più semplicemente, Elibagle non riconosce le unità.... e questo non lo sapevo..  ..vabbè..
Con kaspersky hai eseguito la scansione direttamente su G:\ oppure su c:\ e G:\?
E anche 1 altra cosa: tu avevi già fatto una scansione con kaspersky il 21 feb ed avevi trovato gli stessi files infetti del 22. Hai riproposto la stessa scansione? Lo so che la risposta è scontata (cioè: NO) ma vuol dire che si sono riformati:
21/02
g:\windows\system32\wintems.exe
22/02
G:\WINDOWS\system32\wintems.exe
mica ripropone i files infetti trovati il giorno prima?
Ad ogni modo, un semplice script lanciato per entrambe le unità dovrebbe chiarire i dubbi (e so che michal ne ha uno perfetto)
....restano da eliminare le chiavi del registro quando sposterai l'DH (non credo si possa fare se è collegato come esterno).
Scusate l'intrusione solo curiosità...
ps:
Restaurada Clave: "SafeBoot\Minimal y Network"
di quale registro???
|
Modificato da - Sibilla in data 23/02/2008 23:07:33 |
 |
|
|
Gerry72
Junior Member
Città: Forlì
54 Messaggi |
Inserito il - 24/02/2008 : 11:19:48
|
Ci sono riuscito!
htt*://[www].sendmefile[.com]/00613212
Questo è il log di hijackthis, internet oggi mi ha permesso di scaricare l'eseguibile e fare lo scan.
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/02/2008 : 11:31:00
|
Ciao Gerry72, giusto x sicurezza, fai anche questo:
Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento.
All'interno del box bianco, copia/incolla:
Citazione:
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\klif.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\mdelk.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\srosa.sys
c:\Documents and Settings\user\Dati applicazioni\hidn\hidn2.exe
c:\Documents and Settings\user\Dati applicazioni\hidn\hldrrr.exe
c:\Documents and Settings\user\Dati applicazioni\m\data.oct
c:\Documents and Settings\user\Dati applicazioni\m\flec006.exe
g:\WINDOWS\system32\drivers\hidr.exe
g:\WINDOWS\system32\drivers\hidrrr.exe
g:\WINDOWS\system32\drivers\hldrrr.ex_
g:\WINDOWS\system32\drivers\hldrrr.exe
g:\WINDOWS\system32\drivers\srosa.sys
g:\WINDOWS\system32\drivers\klif.sys
g:\WINDOWS\system32\drivers\pci32.sys
g:\WINDOWS\system32\wintems.exe
g:\WINDOWS\system32\hlpuybtr.exe
g:\WINDOWS\system32\hldrrr.exe
g:\WINDOWS\system32\trusted.exe
g:\WINDOWS\system32\mdelk.exe
g:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys
g:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe
g:\Documents and Settings\user\Dati applicazioni\hidires\srosa.sys
g:\Documents and Settings\user\Dati applicazioni\hidn\hidn2.exe
g:\Documents and Settings\user\Dati applicazioni\hidn\hldrrr.exe
g:\Documents and Settings\user\Dati applicazioni\m\data.oct
g:\Documents and Settings\user\Dati applicazioni\m\flec006.exe
folders to delete:
c:\WINDOWS\exefld
c:\WINDOWS\exefnd
C:\WINDOWS\exefqd
C:\WINDOWS\system32\drivers\down
c:\Documents and Settings\user\Dati applicazioni\hidires
c:\Documents and Settings\user\Dati applicazioni\hidn
g:\WINDOWS\exefld
g:\WINDOWS\exefnd
g:\WINDOWS\exefqd
g:\WINDOWS\system32\drivers\down
g:\Documents and Settings\user\Dati applicazioni\hidires
g:\Documents and Settings\user\Dati applicazioni\hidn
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\pci32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
(Modifica mettendo al posto dello "user" (in rosso) il tuo user. Non lasciare spazi - Ricorda che c'è uno user per C:\ e uno per G:\)
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato in C:\Avenger
Ovviamente G:\ rappresenta l'HD... ti trovi?
|
|
|
|
Gerry72
Junior Member
Città: Forlì
54 Messaggi |
Inserito il - 24/02/2008 : 11:40:07
|
Ciao Sibilla!
La situazione è un pò incasinata: il disco normalmente è montto sul mio portatile, ma da quando è sorto il problema del virus il computer fatica ad accedere ad internet, non mi esegue programmi in quanto mi dice che sono applicazioni win32 non valide e non mi riconosce periferiche usb esterne. Così ho smontato l'HD e l'ho collegato via usb con un altro computer e l'ho scansionato prima con avast e poi con kaspersky. E' per questo che la unità è la G. A questo punto confesso di essere poco pratico di Kaspersky quindi non sapendo come postare il log ho salvato quelle che per me erano le due schermate principali e l'ho postato... poi ho capito come fare e ho postato lo stesso log completo, quindi il log è lo stesso ed è quello dell'unità G montata in esterno. Poi un giorno sono riuscito ad aprire elibagle dal portatile ed a fare una scansione del disco che quindi diventa C.
Ogi sono riuscito a far girare anche hikackthis con lo stesso sistema, ma poi si blocca tutto e tramite posta elettronics devo girare i log da un computer all'altro per postare i risultati.
Dopo un pò internet non funziona più.
Questo è quanto. Spero di essere stato essauriente.
Ciao!  |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/02/2008 : 11:58:25
|
Citazione:
Messaggio inserito da Gerry72
Spero di essere stato essauriente.
si... quindi effetticamente tra i rapporti c'era stato uno spostamento di HD :)
Ora fammi capire: dovendo eseguire avenger, al momento dove sta l'HD? sul "suo" pc o collegato all'altro come esterno? Serve per lo script.
Se funge da c:\, ti elimino dallo script l'unità g:\.
Se funge da g:\, puoi lanciare lo script come sta ed eseguirlo, tanto al più non trova nulla in c:\, non ci sono problemi. |
|
|
|
Gerry72
Junior Member
Città: Forlì
54 Messaggi |
Inserito il - 24/02/2008 : 12:49:19
|
Bella domanda Sibilla.
Ho il portatile con l'HD montato e con la schermata di hijackthis aperta per vedere se devo intervenire su qualche riga. Internet sul portatile non funziona quindi non ho modo di entrare nel sito di avanger e di eseguire il programma dal sito. E come se dopo pochi minuti la connessione internet rimanesse congelata. L'HD non l'ho più smontato e collegato in esterna come G in quanto non mi viene più riconosciuto dal computer... non ho mai avuto così tanti problemi... che nervi!  |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/02/2008 : 12:54:42
|
non hai una pen per spostare il programma da un pc all'altro?
Ad ogni modo, la soluzione alternativa è andare in provvisoria ed eliminare a mano quelli che trovi.
Se elibagle è stato eseguito sul pc con HD in posizione c:\ allora la safe boot è stata davvero ripristinata, quindi tutto ok, non dovresti avere problemi.
|
|
|
|
Gerry72
Junior Member
Città: Forlì
54 Messaggi |
Inserito il - 24/02/2008 : 13:04:34
|
Le pen non me le riconosce: dice che il dipositivo deve essere formattato, i file exe mi dice che non sono applicazioni win32 valide e dopo pochi minuti la connessione internet rimane congelata... ti ho detto mi sono beccato una roba di una bastardagine più unica che rara... Aspetto di vedere se qualcuno mi da un consiglio su come intervenire tramite hijackthis per qualche modifica e poi proverò ad aprire Avanger in locale e ad eseguire il tuo script. Quindi dici che mi basta copiarlo togliendo le roghe relative all'unità G?
Grazie Sibilla sei molto gentile! |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/02/2008 : 13:10:11
|
ok.. hai ragione, avevo dimenticato il fatto delle usb.
eh.. io il modo su come ripristinare i file exe l'ho... ma tu dovresti scrivere tutto a mano e senza fare il minimo errore?
EDIT: ad ogni no spam corrisponde una chiocciola...
meglio se ti carico il file, va... me ne sono accorta solo ora...
Ecco il tuo exe file da ricopiare: exefile2.zip
Ho sostituito i [NO-SPAM] con chiocciola
ti dico cosa si dovrebbe fare:
Apri il blocco note e fai copia\incolla:
Citazione:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\.exe]
chiocciola="exefile"
"Content Type"="application/x-msdownload"
[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
chiocciola="{098f2470-bae0-11cd-b579-08002b30bfeb}"
[HKEY_CLASSES_ROOT\exefile]
chiocciola="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
chiocciola="%1"
[HKEY_CLASSES_ROOT\exefile\shell]
[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
chiocciola="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\runas]
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
chiocciola="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shellex]
[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
chiocciola="{86C86720-42A0-1069-A2E8-08002B30309D}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
chiocciola="{86F19A00-42A0-1069-A2E9-08002B30309D}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
chiocciola="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
Salva il file con estensione .reg (per esempio ripristino.reg) sul desktop, fai doppio clic sul file (verranno aggiunte le voci al registro) e riavvia il PC
Volendo potresti farlo ma NON devi sbagliare un solo numero, carattere o che.. deve essere perfetto, rispettando spazi ecc ecc
se ti metti piano piano a scriverlo potresti tentare questa strada.. |
Modificato da - Sibilla in data 24/02/2008 13:28:02 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/02/2008 : 13:11:42
|
| potresti copiare lo script sul blocco note dell'altro pc per renderti conto degli spazi e man mano scrivere dall'altra parte.. |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 24/02/2008 : 13:50:07
|
Hijackthis nel tuo caso non serve a nulla, il maleware individuato è sicuramente Bagle (nuova versione) e lo script di avenger postato da Sibilla serve ad eliminarlo.
La confusione iniziale(C,G) mi faceva credere che Kaspersky lo avesse messo in quarantena ma mi sbagliavo.
Con le tue problematiche correlate al virus la soluzione proposta da Sibilla mi sembra una buona idea perciò percorri quella strada, anche perchè al momento non ne vedo altre. |
|
|
|
Gerry72
Junior Member
Città: Forlì
54 Messaggi |
Inserito il - 24/02/2008 : 14:28:34
|
Quindi se riesco a scaricare l' exefile2.zip di Sibilla, ad aprirlo, salvarlo come ripristino.reg sul desktop e facendo doppio click dovrei riuscire a sistemare il registro e riavviando il pc essere a posto?
Quindi non devo più usare avenger? Scusate se alcune domande possone sembrare stupide ma preferisco apparire un pò ottuso che non operare correttamente... per me è tutto molto nuovo... |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/02/2008 : 14:35:42
|
allora, quell'exe serve a ripristinare.. uhmm ..la lettura dei file exe.
Devi comunque fare per prima cosa il passaggio precedente, cioè andare in provvisoria e cercare i files e le cartelle che ti ho indicato e quindi eliminarli, se li trovi.
Ad esempio hai di sicuro la cartella down, che non è stata eliminata...
Potresti anche farlo da modalità normale. Dovessi aver problemi nel cancellare qualcosa vai in provvisoria..
l'exe file non sostuisce avenger, sono due cose separate 
edit: Gerry posso chiederti una cortesia? Visto che hai due pc, tienimi sempre aggiornata su come procedi.. tipo se riesci a scaricare il mio file o se decidi di scriverlo tu...
Se poi hai troppi problemi e sei insicuro fermati e chiedi.. noi stiamo qui..
Riguardo il riconoscimento delle unità esterne, se possibile vorrei che intervenisse death per farti fare i controlli dovuti non appena saranno eliminati files e chiavi di registro..
Attendiamo tue notizie Gerry :) |
Modificato da - Sibilla in data 24/02/2008 14:51:13 |
|
|
|
Gerry72
Junior Member
Città: Forlì
54 Messaggi |
Inserito il - 24/02/2008 : 15:10:32
|
folders to delete:
c:\WINDOWS\exefld
c:\WINDOWS\exefnd
C:\WINDOWS\exefqd
C:\WINDOWS\system32\drivers\down
c:\Documents and Settings\user\Dati applicazioni\hidires
c:\Documents and Settings\user\Dati applicazioni\hidn
Ho cercato questi file da eliminare ed ho trovato solo la cartella down che ho eliminato.
Ora riavvio, esegui il registro di ripristino da te indicato e cerco di caricare avanger in cui inserirò il post da te indicato senza chiaramente le righe del disco G, giusto? |
Modificato da - Gerry72 in data 24/02/2008 15:16:08 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/02/2008 : 15:16:52
|
con avenger devi inserire solo questo:
Citazione:
files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\klif.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\mdelk.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\srosa.sys
c:\Documents and Settings\user\Dati applicazioni\hidn\hidn2.exe
c:\Documents and Settings\user\Dati applicazioni\hidn\hldrrr.exe
c:\Documents and Settings\user\Dati applicazioni\m\data.oct
c:\Documents and Settings\user\Dati applicazioni\m\flec006.exe
folders to delete:
c:\WINDOWS\exefld
c:\WINDOWS\exefnd
C:\WINDOWS\exefqd
C:\WINDOWS\system32\drivers\down
c:\Documents and Settings\user\Dati applicazioni\hidires
c:\Documents and Settings\user\Dati applicazioni\hidn
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\pci32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
Anche se lasci nello script file e cartelle che non ci sono più nel pc non cambia nulla, al più non le trova e basta.
Cerca di eseguire prima avenger e fammi sapere.
Il file exefile.reg (ora è txt, tu lo devi rinominare in .reg) puoi eseguirlo dopo, per ora dobbiamo essere certi di aver eliminato i files e le chiavi indicate nello script. |
|
|
|
Discussione |
|
Aiuto!Btcpatcher???
Forum Bloccato
