| Precedente :: Successivo |
| Autore |
Messaggio |
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
 Inviato: 22 Set 2008 00:07 Oggetto: bho.bfi e probabile Bagle |
 |
|
salve a tutta la lista,
Un amico mi segnala un ricorrente messaggio del suo antivirus (AVG) su un windows xp esattamente:
Threat detected
While opening c:windows\system32\dmclient.dll trojan horse bho.bfi
ho cercato su internet ma non ho trovato molto. sapete darmi qualche indizio in piu'? |
|
| Top |
|
 |
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 22 Set 2008 09:40 Oggetto: |
|
|
Ciao sira214 
Procedete con queste scansioni:
- Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
- Segui le istruzioni di questo topic per usare MBAM.
- Segui le istruzioni di questo topic per eseguire combofix.
- Segui le istruzioni di questo topic per postare il log di HiJackThis.
- Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
- Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di Combofix su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.
|
|
| Top |
|
|
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
| Inviato: 21 Ott 2008 18:18 Oggetto: |
|
|
Finalmente sono riuscito a far girare tutto, i risultati:
|
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 21 Ott 2008 19:33 Oggetto: |
|
|
E' stata data una bella sfoltita...
Avviate il PC in modalità provvisoria;
Lanciate Hijackthis, selezionate queste righe e cliccate su fix Checked:
| Citazione: | O2 - BHO: (no name) - {3407B4F0-3CE6-4DC3-ABA6-CB5D63BE4FC1} - c:\windows\system32\drmclient.dll
O2 - BHO: (no name) - {60AE0E43-B1CB-47EA-8B45-BA2D1239942B} - C:\WINDOWS\system32\gcdefd.dll
O20 - Winlogon Notify: svvfscff - C:\WINDOWS\SYSTEM32\drmclient.dll |
Riavviate alla modalità normale e riportate un nuovo log di Hijackthis;
Fate anche queste due scansioni online:
Panda Active Scan;
Kaspersky online scanner e procedete con entrambi alla scansione estesa del PC, caricando i risultati come avete già fatto. |
|
| Top |
|
|
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
| Inviato: 22 Ott 2008 19:50 Oggetto: |
|
|
C'e' anche l'immagine del desktop modificata con un orsacchiotto sgranato tipo "hellokitty" refrattario a qualsiasi tentativo di eliminazione, avendo notato in fondo ad hijack un richiamo a cio'
che dici gli metto anche queste?
| Citazione: |
O24 - Desktop Component 0: (no name) - http://tbn0.google.com/images?q=tbn:EKPSShdQF_LDSM:http://www.icompiti.com/immagini/cartoon/HelloKitty/HelloKitty_love1.gif
O24 - Desktop Component 1: (no name) - http://tbn0.google.com/images?q=tbn:s6W0E1Mf1hKDuM:http://img518.imageshack.us/img518/2043/powerpufflghtml1pe7.th.jpg
|
|
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 23 Ott 2008 02:11 Oggetto: |
|
|
Pensavo ti servissero....
Si, metti anche quelle. |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 25 Ott 2008 08:52 Oggetto: |
|
|
| Allora Sira, adesso sposto la discussione che riguarda la rete alla sezione adatta per configurarla dopodichè, se ritieni, riprendiamo da quì per fare ulteriori controlli... |
|
| Top |
|
|
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
| Inviato: 26 Ott 2008 08:37 Oggetto: Probabile infezione da Bagle certa da BHO.BFI |
|
|
Su richiesta del Forum Reti apro una nuova discussione
Iniziò tutto con un tentativo di eliminare Virus da un computer di un amico che mi sono comunque fatto dare, il tutto documentato nella discussione
BHO.BFI
Ma nelle varie manovre il computer perse la RETE o il TCP/IP.
La discussione si spostò sul forum reti
rete non visibile
qui si sospetta un'infezione da BAGLE e mi chiesero di tornare in questo forum con una nuova discussione.
Posto il log di HJT
hijackthis.log |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 26 Ott 2008 09:29 Oggetto: |
|
|
Ciao sira214,
Comincia a seguire queste istruzioni per usare EliBaglA.
PS: mi sembra di capire che il pc è lo stesso, riunisco le 2 discussioni per avere tutto sotto mano. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 26 Ott 2008 19:05 Oggetto: |
|
|
Bd, Sante: cosi risolviamo il problema solo in parte (ovvero come per la precedente occasione, non risolviamo completamente l'infezione).
Tra l'altro su quel Computer, diversi servizi che non si avviano più.
Bisogna, prima di ogni altra cosa, farle disattivare il Riprstino Configurazione di Sistema e svuotare la cartella Prefecth.
Poi sarà necessario capire se ci sono software craccati e farli disinsallare.
Altro software da disinstallare è l'antivrus e se presente, il Firewall software.
Solo dopo, si dovrebbe partire con tutte le scansioni del caso. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 26 Ott 2008 19:23 Oggetto: |
|
|
Ok, per me non ci sono problemi. 
Preferisco, però, far continuare in questa discussione per avere uno "storico" della situazione e dei passaggi effettuati.
Se vuoi seguire la disinfezione, procedi pure.  |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 26 Ott 2008 21:44 Oggetto: |
|
|
Anche per me non ci sono problemi...però
| Riverside ha scritto: |
Bisogna, prima di ogni altra cosa, farle disattivare il Riprstino Configurazione di Sistema e svuotare la cartella Prefecth.
Poi sarà necessario capire se ci sono software craccati e farli disinsallare.
Altro software da disinstallare è l'antivrus e se presente, il Firewall software.
Solo dopo, si dovrebbe partire con tutte le scansioni del caso. |
Tieni presente che Bagle, se attivo, non permette la disattivazione del ripristino di sistema. Si rischia il crash... |
|
| Top |
|
|
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
| Inviato: 26 Ott 2008 21:53 Oggetto: |
|
|
| Riverside ha scritto: |
... disattivare il Ripristino Configurazione di Sistema e svuotare la cartella Prefecth.
|
??? che vuol dire ???
| Riverside ha scritto: |
...Poi sarà necessario capire se ci sono software craccati e farli disinstallare...
|
Come?
| Riverside ha scritto: |
Altro software da disinstallare è l'antivirus e se presente, il Firewall software.
|
Antivirus Disinstallato ( le segnalazioni di BHO.BFI mi avevano proprio rotto.
Firewall c'e' quello di XP ma non parte. E' disinstallabile?
Per portarmi avanti Ho comunque provato anche elibagle, nessuna infezione trovata (a occhio) allego i log suoi e di HJT
hijackthis.zip |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 26 Ott 2008 21:59 Oggetto: |
|
|
Io fino ad ora, non ho visto tracce di Bagle, comunque, nel frattempo, in attesa dell'intervento di Riverside, per essere sicuri della presenza o meno del Bagle, fai la scansione con Systemscan e posta il log generato come
indicato quì |
|
| Top |
|
|
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 26 Ott 2008 23:53 Oggetto: |
|
|
Ok Sira, ripartiamo dall'inizio.
Una sola cosa. i log non li zippare, per favore.
| Citazione: | | Firewall c'e' quello di XP ma non parte. E' disinstallabile? |
No: non lo puoi disinstallare: e non parte perché il relativo servizio (come altri) è stato disabilitato dal virus.
La procedura da seguire è questa (alcuni programmi li hai già installati, non li devi reinstallare, ma solo configurare come suggerito).
Ho visto che hai disinstallato l'lantivirus e questo ci da una mano.
1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura
2) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)
3) scarica ed installa Hijackthis:
clicca qui per il download
4) lancia Hthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
5) scarica ed installa la versione Free di SuperAntispyware:
clicca qui per il download
e la configuri come ho spiegato ad una altra utente in questa discussione
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato
6) scarica ed installa MalwareBytes:
clicca qui per il download
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato
7) scarica ed installa Kaspersky Virus Removal tool:
clicca qui per il download
● al termine della installazione verrà mostrata la schermata principale del tool
● seleziona la partizione da cansionare e clicca su Scan per avviare la scansione
● terminata la scansione, in caso di rilevazione di infezioni, clicca su Neutralize all
● si apriranno dei popup dove potrai scegliere se Cancellare o Disinfettare l'oggetto
● metti la spunta su Apply to all e clicca su Quarantine
● per salvare il Report che verrà rilasciato, clicca sul tasto Reports, salvalo sul Desktop e lo alleghi
Terminate tutte le operazioni, chiudi il programma che si autodisinstallerà.
Eseguiti i passaggi da 1) a 7), scarica ed installa CCleaner:
clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)
Infine, rilancia Hijackthis:
● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un il log
● salva il log sul desktop ed allegalo.
Per allegare i log richiesti (quello di SuperAntispyware, MalwareBytes, Kaspersky e Hijackthis) utilizza questo servizio di upload:
clicca qui per wikisend
I link ai log pubblicali in un unico post, proseguendo qui. |
|
| Top |
|
|
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 27 Ott 2008 14:27 Oggetto: |
|
|
Ok si inizia a ragionare: tra Malwarebytes, SuperAntispyware e Kaspersky Virus Removal tool, abbiamo spazzolato via una buona dozzina di trojan e virus.
Continua a tenere il Ripristino Configurazione di Sistema disabilitato e scarica ed installa Elibagla:
clicca qui per il download
● scorri fino a fondo pagina e, clicca su Descargar Elibagla per scaricare il tool
● posiziona Elibagla all'interno di una apposita cartella creata sul Desktop
● lancia il tool
● se non è selezionata, seleziona la voce Eliminar Ficheros Automaticamente
● avvia la scansione
● al termine della scansione, verrà rilasciato un log dal nome InfoSat.txt reperibile in C:/
● allega il log
Sira, inoltre ho bisogno di sapere una cosa, per piacere: controlla se puoi accedere al sistema in modalità provvisoria.
Non vorrei fosse disabilita pure quella. |
|
| Top |
|
|
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
| Inviato: 28 Ott 2008 05:05 Oggetto: |
|
|
ok allora fatto elibagla InfoSat.txt
Una precisazione, facendo girare kasper, non so se si vedeva dal log, terminava con l'impossibilita' di cancellare un file: Immagine
In modalita' provvisoria funziona, il bello è che mi tira fuori anche un utente Administrator che in modalita' normale non appare, In modalità normale c'e' solo utente_microsoft.
Altra stranezza del computer la presenza di una cartella "WINDOWS" sul "C" ed una sul "D"??? |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 28 Ott 2008 09:33 Oggetto: |
 |
|
| sira214 ha scritto: | | ok allora fatto elibagla |
Perfetto non ha rilevato nulla.
| Citazione: | | Una precisazione, facendo girare kasper, non so se si vedeva dal log, terminava con l'impossibilita' di cancellare un file: |
Si, quello lo avevo già individuato dal log di Hthis; vediamo di risolvere la cosa.
| Citazione: | | In modalita' provvisoria funziona |
Bene, un problema in meno.
| Citazione: | | il bello è che mi tira fuori anche un utente Administrator che in modalita' normale non appare |
E' assolutamente, normale; idem per la questione cartella di Windows.
Ora, segui il percorso per individuarli, e fai analizzare, uno per volta, i due file che ti indico in rosso, su Virustotal:
c:\windows\system32\drmclient.dll
C:\WINDOWS\system32\gcdefd.dll
clicca qui per Virustotal
Allega i relativi link che verranno rilasciati.
Poi, scarica ed installa FindAWF: clicca qui per il download
poi procedi in questo modo:
> clicca sulla icona FindAWF e poi su Esegui
> verrà mostrato un avviso: premi Invio per proseguire
> nella maschera successiva, digita 1 e premi Invio
> il tool eseguirà una operazione di scansione
> al termine della scansione, verrà generato ed aperto un file di testo chiamato files.txt
> salva il file (che è il log) ed allegalo |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
