Precedente :: Successivo |
Autore |
Messaggio |
tommaso Mortale adepto
Registrato: 06/11/05 14:51 Messaggi: 34 Residenza: Roma
|
Inviato: 09 Ott 2008 20:54 Oggetto: Affetto da bagle.awc |
|
|
Giusto ieri Avira ha trovato questo file infetto: TR/Dldr.Bagle.acw nel registro di sistema "C:\System Volume Information\_restore{....}\A0004253.exe". L'ho subito messo in quarantena. Ho fatto degli scan con search & destroy, ccleaner e avira che me ne ha segnalato un'altra copia sempre nello stesso percorso. Adesso quest'ultima non è cancellabile e avira dice che non ho l'autorizzazione per cancellare il file. Ho letto un'altro topic riguardo bagle, anche se quello aveva un altra estensione.Come mi devo comportare?
Vi ringrazio in anticipo dell'eventuale aiuto. |
|
Top |
|
|
Sante62 Dio maturo
Registrato: 27/06/07 16:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 09 Ott 2008 22:28 Oggetto: |
|
|
Ciao tommaso
Il virus è stato rilevato nel registro della cartella di ripristino;
Quindi per adesso non cercare di avviare il PC in modalità provvisoria e non tentare un punto di ripristino; dopo la disattiveremo il registro di ripristino; non sappiamo se si è iniettato nel sistema;
Vedi se riesci a fare queste scansioni:
Guarda questa discussione scarica e fai la scansione con Elibagla;
- Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
- Segui le istruzioni di questo topic per usare MBAM.
- Segui le istruzioni di questo topic per eseguire combofix.
- Segui le istruzioni di questo topic per postare il log di HiJackThis.
- Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
- Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di Combofix su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.
|
|
Top |
|
|
tommaso Mortale adepto
Registrato: 06/11/05 14:51 Messaggi: 34 Residenza: Roma
|
Inviato: 10 Ott 2008 16:10 Oggetto: post |
|
|
allora....ho fatto la scansione con elibagla che non trovò nulla poi con ccleaner, mbam(1 cartella infetta), combo-fix e HiJackThis.
ps.La scansione con mbam è stata ripetuta ed ho postato il primo scan(quello in cui ha rilevato un'infezione) e il più recente.
log relativo al primo scan con mbam: http://wikisend.com/download/949352/mbam-log-2008-10-10_(01-29-21).txt
log dell'ultimo scan con mbam : http://wikisend.com/download/541552/mbam-log-2008-10-10 (16-44-32).txt
log combofix:ComboFix.txt
log Hijackthis:hijackthis.log
2 domande:
a)perchè combo fix ha cancellato il log di elibagla Infosat.txt??è normale?
b)quando combo fix ha finito il processo di scansione Search & Destroy mi ha comunicato modifiche al registro di sistema...alcune riguardanti la home page di Explorer o altre impostazioni? E' anomalo?
Grazie mille per l'aiuto che mi state dando!
edit: non riesco a capire perchè non mi accetta i primi 2 url!!! |
|
Top |
|
|
Sante62 Dio maturo
Registrato: 27/06/07 16:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 10 Ott 2008 16:44 Oggetto: Re: post |
|
|
La cartella eliminata da MBAM è proprio quella del Bagle, che per fortuna, pare non sia riuscito a iniettarsi...
Una domanda, hai avuto Zone Alarm per caso?, perchè se l'hai disinstallato, dobbiamo eliminare una relativa chiave di registro;
Adesso fai queste due scansioni:
Panda Active Scan;
Kaspersky online scanner e procedi con entrambi alla scansione estesa del PC.
tommaso ha scritto: |
2 domande:
a)perchè combo fix ha cancellato il log di elibagla Infosat.txt??è normale? |
Si, perchè viene visto come potenziale virus, mentre in realtà non lo è;
tommaso ha scritto: |
b)quando combo fix ha finito il processo di scansione Search & Destroy mi ha comunicato modifiche al registro di sistema...alcune riguardanti la home page di Explorer o altre impostazioni? E' anomalo? |
Quando si usano scansioni antivirus, questi moduli vanno disattivati, come antivirus ecc....
Spybot stava facendo il suo lavoro...tu hai accettato oppure no? Se non hai accettato può darsi che Combofix non ha potuto fare il suo dovere fino in fondo;
tommaso ha scritto: |
edit: non riesco a capire perchè non mi accetta i primi 2 url!!! |
Perchè c'è un errore nell'impostazione. Io l'ho aggiustato un pò, ma fa lo stesso... |
|
Top |
|
|
tommaso Mortale adepto
Registrato: 06/11/05 14:51 Messaggi: 34 Residenza: Roma
|
Inviato: 11 Ott 2008 14:06 Oggetto: |
|
|
Mai avuto zone alarm. Adesso faccio le scansioni e ti faccio sapere come va.
Sante62 ha scritto: | Spybot stava facendo il suo lavoro...tu hai accettato oppure no? Se non hai accettato può darsi che Combofix non ha potuto fare il suo dovere fino in fondo; |
purtroppo alcune cose nn le ho accettate. mi consigli di ripetere la scansione con combofix disattivando S&D ?? |
|
Top |
|
|
Sante62 Dio maturo
Registrato: 27/06/07 16:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 11 Ott 2008 15:33 Oggetto: |
|
|
Per adesso procedi con le altre scansioni...ma tieni disattivato Spybot... |
|
Top |
|
|
tommaso Mortale adepto
Registrato: 06/11/05 14:51 Messaggi: 34 Residenza: Roma
|
Inviato: 11 Ott 2008 20:10 Oggetto: |
|
|
ho fatto le scansioni
posto i log
Kaspersky online scanner:kasperky.html
Panda actib scan:ActiveScan.txt |
|
Top |
|
|
Sante62 Dio maturo
Registrato: 27/06/07 16:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 12 Ott 2008 01:39 Oggetto: |
|
|
Bene, disattiva il ripristino di sistema e poi riattivalo facendo la procedura inversa;
Rifai la scansione con Combofix, non dimenticando di disattivare Spybot ed altro... |
|
Top |
|
|
tommaso Mortale adepto
Registrato: 06/11/05 14:51 Messaggi: 34 Residenza: Roma
|
Inviato: 12 Ott 2008 13:33 Oggetto: |
|
|
Scusami ma il ripristino di sistema va riattivato dopo la scansione con combofix? |
|
Top |
|
|
tommaso Mortale adepto
Registrato: 06/11/05 14:51 Messaggi: 34 Residenza: Roma
|
Inviato: 12 Ott 2008 13:47 Oggetto: |
|
|
comunque ecco il log di combofix....ComboFix.txt
sarò ancora infetto? |
|
Top |
|
|
Sante62 Dio maturo
Registrato: 27/06/07 16:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 12 Ott 2008 16:07 Oggetto: |
|
|
Bene, nulla di anomalo...
Adesso procedi con la disattivazione e riattivazione del ripristino di distema, se non l'hai fatto e dimmi se riscontri altri problemi... |
|
Top |
|
|
tommaso Mortale adepto
Registrato: 06/11/05 14:51 Messaggi: 34 Residenza: Roma
|
Inviato: 12 Ott 2008 18:35 Oggetto: |
|
|
avevo gia proceduto in quest'ordine, come indicato nel topic che mi hai linkato, a
a)disattivare il ripristino di sistema
b)scansione con combofix
c)riattivazione del ripristino di sistema
adesso il punto è che il virus non si era mai manifestato...e non me ne sarei mai accorto se avira nn me lo avesse segnalato.
Posso avere la certezza di non essere infetto oppure rimarro sempre col dubbio?
eppure secondo la scansione on-line con panda un malware sul mio pc c'è. Combofix l'avrà rimosso? |
|
Top |
|
|
Sante62 Dio maturo
Registrato: 27/06/07 16:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 13 Ott 2008 01:16 Oggetto: |
|
|
No, Combofix questo non l'ha rimosso...
Cerca ed elimina questo file:
Citazione: | C:\miofics.exe[32788R22FWJFW\catchme.cfexe |
|
|
Top |
|
|
|