Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Aiuto rimozione Bagle
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
antitetico
Mortale pio
Mortale pio


Registrato: 04/11/09 20:40
Messaggi: 21

MessaggioInviato: 04 Nov 2009 22:04    Oggetto: Aiuto rimozione Bagle Rispondi citando

Salve a tutti, premetto che non sono una cima in questo campo e che questo è il mio primo post in assoluto e vi ringrazio in largo anticipo per l'aiuto già fornitomi come "ospite". Stringo e arrivo subito al dunque.
Dopo aver stupidamente provato ad installare un programma (scaricato P2P che neanche ho utilizzato) si è riavviato il sistema ed è iniziato l'inferno che mi ha mandato in pappa il cervello...blocco totale di Avira, Mawerebite's, Sygate, CCleaner, zero accesso a internet, impossibiltà di accedere in modalità provvisoria e così via...
Per fortuna da "guest" ho potuto (a fatica) accedre alla rete ed ho trovato questa guida http://forum.zeusnews.com/viewtopic.php?t=42446 per la rimozione del Bagle che ho seguito alla lettera (grazie mille).
Alla fine viene chiesto di allegare i file log delle diverse scansioni dei diversi programmi, per la risoluzione totale del danno, prima di poter riattivare il Ripristino Configurazione di Sistema...Ma dopo l'ultimo passaggio ovvero la seconda scansione con HijackThis (clicca su Do a system scan and save a logfile) non ho capito se mettere la spunta su ogni voce e poi...qual'è il passo successivo?
Allego intanto i file di log (sperando di aver capito la procedura giusta per farlo) e mi scuso per la mia inesperienza...mi affido alle vostre conoscenze.

http://wikisend.com/download/923244/Find1.log

http://wikisend.com/download/674506/Find2.log

http://wikisend.com/download/223366/Elibagla.log

http://wikisend.com/download/473738/Norman1.log

http://www.wikisend.com/download/606090/Norman2.log

http://wikisend.com/download/893670/hijackthis.log
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 04 Nov 2009 22:58    Oggetto: Rispondi citando

Ciao antitetico e benvenuto, Ciao

Dovrai reinstallare Antivir.
Top
Profilo Invia messaggio privato
antitetico
Mortale pio
Mortale pio


Registrato: 04/11/09 20:40
Messaggi: 21

MessaggioInviato: 04 Nov 2009 23:21    Oggetto: Rispondi citando

bdoriano ha scritto:
Ciao antitetico e benvenuto, Ciao

Dovrai reinstallare Antivir.


Ciao bdoriano
Chiedo Scusa se ho risposto citando ma non ho ancora capito come muovermi senza far "danni", la prossima seguirò la stessa procedura per rispondere ma cancellando ciò che c'è scritto (spero sia il metodo giusto...DEVO studiare bene il regolamento, sorry!)

Farò come gentillmente mi hai indicato, anche perchè Avira & Co. non rispondono più ai comandi dal loro blocco...

Ennesima richiesta di aiuto (sempre inerente al danno corrente):
Non ho ancora capito come recuperare il log di SUPERAntispyware e cosa fare della schermata che appare dopo la 2° scansione con HijackThis (come ho scritto sopra), vorrei inserire lo snapshot ma non so se il regolamento lo consente...credo che gli elementi che appaiono vadano analizzati ma non so da chi e come fare...

Intanto seguo le tue istruzioni e scansiono tutto... (GRAZIE!)
Top
Profilo Invia messaggio privato
antitetico
Mortale pio
Mortale pio


Registrato: 04/11/09 20:40
Messaggi: 21

MessaggioInviato: 05 Nov 2009 03:56    Oggetto: Rispondi citando

Ciao bdoriano,
Ho seguito passo per passo le tue istruzioni ed ecco i risultati con gli ultimi "ritrovamenti"

MBAM

AVScan

hijackthis

In attesa della diagnosi vorrei porgerTi/Vi una domanda (forse stupida ma...), riguarda i risultati di ogni scansione fatta con Avira, ovvero al termine ognuna di essa appare sempre un avviso attinente a un file impossibile da aprire:

Inizia con la scansione di 'C:\'
C:\pagefile.sys
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.

Capisco solo che è un file di sistema (e forse mi sbaglio) ma vorrei sapere se è comunque esposto a rischi e se è sì come fare in caso di "attacco" a risalire al ceppo se è protetto anche da un antivirus?
Ti/Vi ringrazio ancora per la Tua/Vostra disponibilità nel condividere il Tuo/Vostro Sapere e per il Prezioso Aiuto che mi/ci date
Top
Profilo Invia messaggio privato
antitetico
Mortale pio
Mortale pio


Registrato: 04/11/09 20:40
Messaggi: 21

MessaggioInviato: 05 Nov 2009 13:47    Oggetto: Rispondi citando

Stamattina nell'attesa ho ripetuto le scansioni, non so se possano servire a qualcosa ma inserisco comunque i risultati:

MBAM

AVSCAN

hijackthis
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 05 Nov 2009 22:52    Oggetto: Rispondi citando

Per recuperare il log di SuperAntiSpyware:
  • Avvia SuperAntiSpyware
  • Clicca Preferences... / Preferenze...
  • Clicca Statistics/Logs / Statistiche/Registri
  • Clicca View log... / Visualizza il registro...
  • Ti si apre il Blocco note con il contenuto del file
  • salvalo con un nuovo nome sul desktop
  • carica il nuovo file su FreeFileHosting come indicato qui e posta il forum link che ti viene assegnato.

pagefile.sys è un file di sistema (file di paginazione) che viene tenuto bloccato durante l'esecuzione di Windows. Non corre pericolo.

Le ultime scansioni di MBAM e AVIRA sono pulite. Smile

esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:
Citazione:
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programmi\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programmi\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Programmi\Yahoo!\SoftwareUpdate\YahooAUService.exe
O24 - Desktop Component 0: (no name) - http://www.repubblica.it/2008/06/sezioni/cronaca/no-andrea/no-andrea/'+oas_gifTo p+'

clicca fix checked

Da Installazione Applicazioni, disinstalla la Ask Toolbar.

Installa/Aggiorna Adobe FlashPlayer:
  1. Scarica il programma di disinstallazione di FlashPlayer
  2. Scarica l'ultima versione di FlashPlayer per IE
  3. Scarica l'ultima versione di FlashPlayer non per IE
  4. Chiudi tutti i browser (IE, Opera, Firefox, Chrome, etc)
  5. Esegui il programma di disinstallazione scaricato al punto 1.
  6. Esegui il programma di installazione scaricato al punto 2.
  7. Esegui il programma di installazione scaricato al punto 3.

Rifai il log di hijackthis e postalo.
Top
Profilo Invia messaggio privato
antitetico
Mortale pio
Mortale pio


Registrato: 04/11/09 20:40
Messaggi: 21

MessaggioInviato: 06 Nov 2009 05:28    Oggetto: Rispondi citando

Grazie! ...come al solito stavo "annegando sull'asfalto"...
Sono (finalmente) riuscito a risalire al registro di SUPERAntiSpyware che oltretutto (seguendo la GUIDA) avevo impostato come lingua ... l'italiano....vabbè...anche Toto Cututgno riderà di me....
Allegherò quindi, sia il log della scansione che quello generato (secondo me) nel tentativo di cercare il 1° ri-salvandolo..nel posto sbagliato ovviamente...

Probabilmente il 2° non servirà a niente ma...

SUPERAntiSpyware Scan Log.txt

SUPERAntiSpyware Registro di scansioni.txt

Da Pannello di Controllo/Installazione Applicazioni, non ho trovato nessuna voce/applicazione inerente a Ask Toolbar, le uniche erano nella Gestione motori di ricerca di Explorer e Firefox (Componenti Aggiuntivi compresi) che ho rimosso... anche con RegEditX non sono riuscito a risalire a questa (probabilmente per mia incapacità).

Ho rimosso le voci da te segnalatemi in "Modalità Provvisoria" e spero non sia stato un errore perchè questa:

O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Programmi\Yahoo!\SoftwareUpdate\YahooAUService.exe

non sono stato in gado di annullarla per via di questo messaggio:

Fix 1 selected items? This will permanently deleted and/or repair what you selected

Ho riprovato in modalità Normale ma con lo stesso risultato. Ho disinstallato sia Yahoo! Toolbar che Yahoo! Software Update e "magicamente" la stringa è scomparsa...vabbè dovrei anche sentirmi un genio adesso?!?

Ho seguito le altre indicazioni su Adobe FlashPlayer ed ecco il file di log dell'ultima scansione di Hijackthis, speriamo bene...

hijackthis.log


P.S. Grazie per il "pagefile.sys-chiarimento" sembrerà strano, ma ho qualcosa in meno a cui pensare. Smile
Top
Profilo Invia messaggio privato
antitetico
Mortale pio
Mortale pio


Registrato: 04/11/09 20:40
Messaggi: 21

MessaggioInviato: 06 Nov 2009 14:59    Oggetto: Rispondi citando

Scusa ma nonostante avessi seguito le indicazioni per l'inserimento dei Log da Wikisend tramite il Forum Link non sono riuscito ad immettere il collegamento diretto.
Dovrei forse utilzzare (prima e dopo) il tasto URL dai pulsanti della "Struttura Messaggio"? o salvarlo prima da .txt a .log e poi procedere con l'Upload su Wikisend?
Non vorrei andare contro il regolamento copiando ed incollando qui i risultati.

Damn! ...Continuo ad annegare sull'asfalto...
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 06 Nov 2009 19:58    Oggetto: Rispondi citando

Direi che siamo in dirittura d'arrivo. Smile

esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:
Citazione:
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c

clicca fix checked
Rifai il log di hijackthis e postalo

PS: per i links non ti preoccupare, ci penso io a sistemarli quando li vedo.
Top
Profilo Invia messaggio privato
antitetico
Mortale pio
Mortale pio


Registrato: 04/11/09 20:40
Messaggi: 21

MessaggioInviato: 07 Nov 2009 00:56    Oggetto: Rispondi citando

Ti ringrazio ancora per la disponibilità e scusami per i miei limiti.

Ecco l'esito:

hijackthis.log
Top
Profilo Invia messaggio privato
antitetico
Mortale pio
Mortale pio


Registrato: 04/11/09 20:40
Messaggi: 21

MessaggioInviato: 07 Nov 2009 15:42    Oggetto: Rispondi citando

Ciao bdoriano, avrei l'ennesima domanda da porgerti...
Dopo il 5° tentativo di aggiornamento pag dovuta al messaggio di Firefox "Errore caricamento pagina" - "Impossibile contattare il server", ho avviato il collegamento ad Alice Adsl (che ho lasciato dormire dalla visita "dell'Ospite") avendo un contratto Telecom con il "Pirellone" router modem: "Alice Gate 2 plus WIFI", nonostante riesca spesso a navigare tranquillamente anche senza attivare questo collegamento (quindi solo da LAN come credo che faccia ugualmente anche dopo averlo attivato, ma per un poveraccio come me rientra quasi nel "tecnico" e mi trovo costretto a dare forfait alla mia ignoranza).
Pratico questo inutile "rito" da quando avevo il vecchio modem (sempre Pirelli ma senza WIFI, quando ero costretto a farlo per accedere ad internet) e continuo a farlo perché mi evita appunto questo tipo di scocciature (sarà forse solo coincidenza) rendendomi la navigazione più fluida, anche per quanto riguarda i vari aggiornamenti di Avira Antivir che spesso falliscono liquidandomi con: "errore durante la ricerca degli aggiornamenti" o per l'utilizzo del Mulo o uTorrent che altrimenti non sono in grado di connettersi a nessun Server...

Il Punto:

Mi si è aperta la finestra di Sygate Personal Firewall che mi chiede il consenso per lanciare questo processo, tale Debugger Postmortem Dr Watson (un Nome na' Paura) ...nello specifico: drwtsn32.exe

Sembrerebbe una sorta di "ripristino applicazione post-blocco" ma cercando di capire di che si tratta, ho fatto una ricerca e mi sono imbattuto in questo articolo, che onestamente mi ha spaventato più del nome stesso:

http://msdn.microsoft.com/it-it/library/cc185043.aspx

Potresti gentilmente dirmi di che si tratta e se devo consentire o meno a Sygate di farlo "accomodare"?
Inoltre vorrei chiederti se sia più saggio disinstallare e reinstallare gli altri programmi come Gimp, OpenOffice, Messenger (che, anche essendo ancora nella lista startup di RegCleaner, non parte, forse perchè corrotto e non ho neanche provato ad avviarlo dopo l'infezione) etc... o se posso tranqullamente utilizzarli (Mulo a parte che resterà in castigo per un bel po')...

In attesa di una Luce, aspettando una Cura efficace...

Grato sin da ora. Smile
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 07 Nov 2009 16:54    Oggetto: Rispondi citando

Gimp, OpenOffice e Messenger non dovrebbe avere risentito della presenza di Bagle (che si limita a rendere inoffensivi i vari antivirus & antispyware).
CCleaner, se non funziona, reinstallalo tranquillamente.

Sinceramente, non ho ben capito come avviene la connessione (wireless o via cavo?) Razz

Per quanto riguarda la segnalazione di Sygate (è un pò vecchiotto come firewall, ti converrebbe cambiarlo con qualcosa di più recente), mi leggo il link che mi hai postato e faccio ulteriori ricerche per darti una risposta.

Nel frattempo, fai queste altre operazioni:
  1. Disabilita il ripristino di sistema.
    Così andiamo a eliminare eventuali punti di ripristino infetti.
  2. Riavvia il pc
  3. Riabilita il ripristino di sistema, seguendo il procedimento inverso al punto 1
  4. Crea un nuovo punto di ripristino:
    • Start
    • Programmi
    • Accessori
    • Utilità di sistema
    • Ripristino configurazione di sistema
    • Crea un punto di ripristino
    • Clicca Avanti
    • Inserisci una descrizione
    • Clicca Crea e attendi pazientemente la fine delle operazioni

  5. Pulizia dei files temporanei con CCleaner
  6. Deframmentazione del disco
Top
Profilo Invia messaggio privato
antitetico
Mortale pio
Mortale pio


Registrato: 04/11/09 20:40
Messaggi: 21

MessaggioInviato: 07 Nov 2009 18:19    Oggetto: Rispondi citando

Allora... La connessione è via cavo (ethernet) ma mi è stato fornito un'altro modem per potervici allacciare il Digitale terrestre compreso nell'offerta Alice Tutto Inc...luso, la differenza è che con il vecchio modem/router

396_3302_intero.jpg

accedevo ad Internet, non via LAN perchè ricordo che era disattivata (ma potrei anche sbagliarmi perchè ne capivo molto meno di ora che ne capisco poco) ma utilizzavo la Banda Larga cliccando sull'icona di Alice--->Connetti e mi uscivano i 2 monitor della connessione alla rete in basso a destra il nuovo invece

3fd4_1.JPG

genera in automatico un nuovo IP ogni volta che accendo il PC quindi l'operazione di sopra posso anche evitare di farla se non fosse per le ragioni che ho elencato prima, Pagina non trovata con Firefox, assenza di connessione ai server da parte di emule e uTorrent.
Il WIFI l'ho disattivato perchè a me non serve

Il Ripristino Configurazioni di Sistema, come suggerito dalla GUIDA non l'ho più attivato....aspettavo conferme.

Cito:
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino alla risoluzione del problema

In alternativa al vecchio Sygate potresti consigliarmene uno recente/free?

Procedo con CCleaner e la Deframmentazione e attendo buone nuove
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 08 Nov 2009 00:23    Oggetto: Rispondi citando

Ciao.
Scusate l'intromissione, ma dal log di FindKill2 (e anche dalle altre scansioni) questo file non è stato eliminato:
C:\Documents and Settings\Utente\Dati applicazioni\drivers\winupgro.exe
Bisognerebbe verificare. (con una nuova scansione di FindKill)
Messenger è stato danneggiato,(anche Sygate) per cui suggerisco una disistallazione e poi reistallazione.
Poi si potrebbe verificare se nei Servizi, ci sono alcune voci disabilitate:
Fai:
Start\Esegui\ digita: services.msc
Si apre la pagina dei "Servizi"
Controlla se TUTTI questi "Servizi" siano avviati, e siano in Automatico:
Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/ Condivisione connessione Internet (ICS).
Se ne trovi qualcuno in "Manuale, o Disabilitato, lo riporti in Automatico, ricorda di RIAVVIARE il pc.
Per avviare un servizio, clicca con il tasto destro sul servizio, Proprietà >Automatico > Ok > Avvia > Ok.
Top
Profilo Invia messaggio privato
antitetico
Mortale pio
Mortale pio


Registrato: 04/11/09 20:40
Messaggi: 21

MessaggioInviato: 08 Nov 2009 17:38    Oggetto: Rispondi citando

Ciao R1 ti ringrazio per l'intervento, le vostre Conoscenze e il vostro Supporto Tecnico mi sono di grande Aiuto, quindi non la definirei affatto un'intromissione.

Ho abilitato in Automatico tutti i Servizi che mi hai elencato e ho eseguito una nuova scansione con FindKill seguendo nuovamente le istruzioni della GUIDA cioè Disattivando il Ripristino Configurazione di Sistema (avvisatemi quando posso Riabilitarlo), cancellando tutti gli elementi presenti nella cartella dei Prefetch, Disconnettendomi da Internet e scollegando anche fisicamente il modem dal computer (spero di non aver tralasciato nessun passaggio).

Sygate avevo già provveduto a disinstallarlo e reinstallarlo ma se potete consigliarmi un Firewall più recente magari free, ve ne sarei molto grato.

Ecco il nuovo Log di FindKill:

FindyKill.txt

Aspetto e nuovamente vi ringrazio per il vostro Prezioso Aiuto.
Cordiali Saluti.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 08 Nov 2009 18:21    Oggetto: Rispondi citando

Dal 2° log di FindyKill che hai postato il 4 novembre, riga 360:
Citazione:
Deleted ! C:\Documents and Settings\Utente\Dati applicazioni\drivers\winupgro.exe

Nell'ultimo log che hai postato, invece, rileva delle chiavi di registro irregolari (per così dire):
Citazione:
Found ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Found ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Found ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Found ! [HKLM\software\microsoft\security center] "FirewallOverride"
Found ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

Riavvia FindyKill con l'opzione 2 (ricerca ed eliminazione dei files infetti). Posta il log che verrà generato.

Come firewall, puoi installare PCTools Firewall (abbastanza semplice) o Comodo Personal Firewall (in fase di installazione, disabilita l'antivirus di Comodo, altrimenti andrà in conflitto con Avira).

Riabilita il ripristino di sistema e crea un nuovo punto di ripristino.
Top
Profilo Invia messaggio privato
antitetico
Mortale pio
Mortale pio


Registrato: 04/11/09 20:40
Messaggi: 21

MessaggioInviato: 08 Nov 2009 20:01    Oggetto: Rispondi citando

Ho fatto come mi hai detto e in effetti sembra che non l'avesse cancellato poichè è riapparso

FindyKill1.txt

e dopo ho rifatto con FindKill solo la ricerca non so se può tornare utile:

FindyKill2.txt

Grazie per i Firewall consigliati...procedo con l'installazione Very Happy
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 08 Nov 2009 20:25    Oggetto: Rispondi citando

Tranquillo, era un rimasuglio nella cartella prefetch.
Piuttosto, devi reinstallare i software della webcam/mouse o tastiera Logitech.
Top
Profilo Invia messaggio privato
antitetico
Mortale pio
Mortale pio


Registrato: 04/11/09 20:40
Messaggi: 21

MessaggioInviato: 09 Nov 2009 16:33    Oggetto: Rispondi

Credo proprio che la "Rianimazione" sia andata a buon fine!!! Rolling ola Very Happy
...Pare addirittura che i "criceti" che fanno funzionare il mio vecchio pc si stiano allenando duramente per le "Olimpiadi", anche se a volte si concedono delle piccole pause...
Ho anche fatto la scansione completa sia con Avira che con MBAM e non è stato rilevato nulla
Ti sono Estremamente Grato bdoriano per la tua disponibilità e per l'Aiutone datomi in questi giorni e ringrazio anche R1 per gli utilissimi consigli.

Vorrei però sapere se ci sono ulteriori verifiche da fare o posso stare tranquillo, almeno per il momento... con la benedizione degli Dei dell'Olimpo.
A Voi la mia Infinita Gratitudine
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi