PDA

Visualizza versione completa : Virus e Spyware Aiuto, ho un Bagle!!!



CIANOVITO
08-04-10, 16: 38
:bai ragazzi!!!

Spero che qualcuno di voi sappia aiutarmi...
Purtroppo sono testardo come un mulo e curiosone e quindi mi è capitato di scaricare un virus da Emule...:triste
Credo si tratti di un Bagle, dato che la descrizione è proprio il mio caso e i sintomi sono gli stessi di questa guida (http://www.hwupgrade.it/forum/showthread.php?t=1562611) redatta in un altro forum: programmi di sicurezza bloccati, l'audio non funziona e l'errore di windows che dice "Applicazione di Win32 non valida".

Purtroppo ho provato con tutti i programmi lì citati, ma nessuno mi è stato di aiuto:
-Combo Fix mi rileva che Avira antivir è in funzione ma lo stato del programma mi dice interrotto e non l'icona nella barra di stato;
-Elibagle ci ho provato 4 volte, ma non mi trova niente, come per Malwarebytes;
-ho provato anche con il live-cd di Avira (Rescue System)...

Qualcuno può dirmi come togliere questo maledetto virus? Non vorrei formattare, perciò ho contattato voi...

:bai

EDIT: Se anche volessi formattare, non me lo fa fare: mi dice che nessun disco rigido è collegato e quindi devo uscire per forza dalla formattazione, anche se ho visto ed è tutto a posto :triste

LadyHawke
08-04-10, 17: 01
Anche se Combofix rileva Avira puoi andare avanti lo stesso, comunque si trattasse di Bagle Combofix non dovrebbe avviarsi se non rinominato e Elibagla troverebbe sicuramente qualcosa: cerca di terminare con Combofix e allega il log (non dovesse avviarsi, riscaricalo e rinominalo)

:bai

CIANOVITO
08-04-10, 19: 29
:bai lady

:thx innanzitutto per la risposta.

Infatti ComboFix non potevo eseguirlo perchè mi usciva il solito errore "Applicazione di win32 non valida", quindi dovevo riscaricarlo ed eseguirlo direttamente.

Allego il report di combofix (ne ho fatte due per sbaglio, cambia qualcosa?) più il file.txt dei file messi in quarantena da combofix.

DeST
08-04-10, 19: 32
Non ho mai preso un Bagle...

Anche Wikipedia propone delle soluzioni (Findykill sebra buono!):
http://it.wikipedia.org/wiki/Bagle#Tool_e_servizi_che_permettono_la_rimozione_d i_Bagle

non so se ti è possibile ma puoi arrivare al pannello di ripristino?
ripristinando lo stato precedente al Bagle dovresti uscirne facilmente

prova anche con la versione portable di a-squared free (http://download-gate.com/download.php?file=a-squared%20Free%204.5.0.1%20Portable)

:bai

CIANOVITO
08-04-10, 19: 43
:bai dest e :thx anche a te

Il problema è che eliminando il virus, ma rimanendo annidato anche in questi file di backup creati da Windows, esso non verrà mai eliminato e si ripresentarà ogni volta che vuole. Per impedire che ciò accada bisogna dire al sistema di non creare ed eliminare eventuali “ripristini” fatti in precedenza. A tal scopo, sono andato sulle proprietà da risorse del computer --> ripristino configurazione di sistema --> e ho spuntato la voce "Disattiva ripristino configurazione di sistema su tutte le unità". Ho fatto bene?

LadyHawke
08-04-10, 20: 47
Si, hai fatto bene, anche se fintanto appunto che i punti di ripristino non vengono usati non possono far danni.

In effetti ci sono tracce di Bagle, non mi capacito di come Elibagla non trovasse nulla :ohoh
Ora scarica Avenger (http://swandog46.geekstogo.com/avenger.zip), poi disconnetti da Internet e lancialo: nel box bianco di input copiaincolla queste righe:

Only registered members can view code.
(è in parte un'eccesso di zelo, ma meglio non rischiare)
In Avenger clicca su Execute

Il pc dovrebbe riavviarsi altrimenti fallo tu

-Allega il log che verrà creato in C:\Avenger

Esegui anche una scansione online (usando IExplorer) con Nod32 (http://www.eset.com/onlinescan/) spuntando le caselle:
-Remove found threats
-Scan unwanted applications

E' probabile che dovrai riabilitare qualche servizio:
Apri la lista dei Servizi
Start > Esegui >digita SERVICES.MSC >Ok ed abilita, dove è necessario, questi servizi se disabilitati: Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/ Condivisione connessione Internet (ICS)

Se hai necessità di ripristinare anche la Modalità Provvisoria puoi utilizzare il file .reg in allegato

Adesso puoi riattivare il Ripristino di Sistema e reinstallare tutti i programmi inerenti la sicurezza che avevano cessato di funzionare


:bai

[EDIT] puoi allegare anche il file C:\Qoobox\Quarantine\C\WINDOWS\system32\autorun.in f.vir che vorrei dargli un'occhiata?

Andy86
08-04-10, 21: 02
(usando IExplorer)
:shock

Scusa se mi intrometto, ma, perché?
(Usare il browser meno sicuro di sempre per trovare un malware. :boh)

:hap

LadyHawke
08-04-10, 21: 19
IExplorer non deve fortunatamente trovare nulla ma solo far funzionare correttamente lo scan della Eset :hap: tutti gli antivirus online sono sicuramente compatibili con IExplore perchè in genere utilizzano gli ActiveX, mentre spesso non lo sono con altri browser.

:bai

CIANOVITO
09-04-10, 10: 59
Buondì :bai

Ho fatto come tu mi hai detto, ed ora il risultato è che non si avvia più windows normalmente (infatti sto scrivendo dalla modalità provvisoria con rete): arriva alla schermata "avvio di windows in corso" e si riavvia automaticamente...

Ora sto scansionando il pc con nod32 online (è molto molto lento), ma ci avevo già provato con le versioni online di bitdefender, panda security e nanospycall...

LadyHawke
09-04-10, 12: 21
In quale preciso momento windows non si è più riavviato in maniera normale? Dopo che hai fatto cosa?

:bai

CIANOVITO
09-04-10, 14: 07
In quale preciso momento windows non si è più riavviato in maniera normale? Dopo che hai fatto cosa?

Dopo aver incollato tutto il codice e aver cliccato su execute, e visto che mi diceva di riavviare, ho riavviato e da lì non si accendeva più. Ora però, tutto è tornato alla normalità e Windows si accende normalmente. Ho installato i programmi di sicurezza e avviato alcuni servizi, inoltre.


Comunque ti allego il log che mi avevi chiesto di Avenger, mentre l'altro file ce l'avevo prima che scansionassi con nod32, visto che l'ha ritenuto dannoso e l'ha eliminato autonomamente dopo due interminabili ore di scansione...

LadyHawke
10-04-10, 14: 40
Quel file lo volevo vedere per capire se era un'autorun.inf portato dentro da qualche chiavetta (http://www.collectiontricks.it/forum/showthread.php?t=318) che potresti riprendere: occhi aperti quando usi pendrive, lettori mp3, HDD esterni o schede di memoria

:bai

CIANOVITO
10-04-10, 15: 19
Quel file lo volevo vedere per capire se era un'autorun.inf portato dentro da qualche chiavetta (http://www.collectiontricks.it/forum/showthread.php?t=318) che potresti riprendere: occhi aperti quando usi pendrive, lettori mp3, HDD esterni o schede di memoria


Questo lo sapevo, ma ti posso assicurare che non uso chiavette in questo periodo da almeno due-tre mesi. A tal proposito lessi proprio una tua guida su come togliere il virus autorun.inf che si trova nascosto da qualsiasi dispositivo esterno al pc...

Il problema 'sembra' però che ci sia ancora, ovvero mi fa qualche scherzetto sulla barra di stato: prima non c'è l'icona del volume, poi riappare ma scompare quella di Avira, poi riappare Avira ma allo stesso tempo mi avvisa anche che nessun antivirus è installato... Inoltre all'avvio, nella finestra di avvio windows in corso, devo aspettare prima una ventina di secondi prima che il pc emetta un beep e mi faccia visualizzare l'elenco utenti del pc... Questi effetti sono riconducibili a questo maledetto Bagle?

CIANOVITO
11-04-10, 09: 51
Scusate il post doppio...

Altri effetti: dopo aver disinstallato alcuni programmi, al riavvio riappaiono come se fossero non cancellati...inoltre continua ad avvisarmi della mancanza di un antivirus nonostante ci sia lì nella barra di stato l'icona che mi dice attivo.

http://s6.imagestime.com/out.php/i463851_Immagine.JPG

LadyHawke
11-04-10, 09: 58
I software non funzionanti li hai prima disinstallati o ci sei "montato sopra"?
Fammi un log di JHT (http://www.collectiontricks.it/forum/showthread.php?t=348) e preparati ad una scansione (modalità completa) con Malwarebyets (http://www.malwarebytes.org/) aggiornato
Non mi risulta che quel va e vieni delle icone sia riconducibile al Bagle, è sempre successo che una volta reinstallati i programmi abbiano ripreso il loro funzionamento regolare

:bai

CIANOVITO
11-04-10, 10: 15
No, erano software che non centravano con il problema.

Ecco, comunque il log di HJT.

Ora sto scansionando con Malwarebytes...

LadyHawke
11-04-10, 10: 24
Nulla da rilevare se non quel
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
da fixare ma solo a livello di pulizia log perchè pare che comunque il file proprietario sia già stato eliminato

Vediamo con malwarebyets: alla fine della scansione visualizza i risultati poi clicca sul tasto in basso a sinistra per eliminare quanto ha trovato, e nel caso abbia trovato qualcosa allega anche questo log

:bai

CIANOVITO
11-04-10, 10: 43
Ecco il log di Mbam

CIANOVITO
13-04-10, 15: 49
Credo che ora sia tornato tutto alla normalità ed è tutto grazie a te, LadyHawke :forgive :forgive

Ma non c'è il sistema della reputazione?

:thx mille, veramente competente e molto gentile e disponibile :eye

:bai