Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

help me with bagle

  1. #1
    Junior Member Репутация
    Регистрация
    22.12.2009
    Сообщений
    18
    Вес репутации
    30

  2. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    I'm disappointed. Where is the Bagle?
    Сердце решает кого любить... Судьба решает с кем быть...

  3. #3
    Junior Member Репутация
    Регистрация
    22.12.2009
    Сообщений
    18
    Вес репутации
    30
    I scanned with malwarebytes and kaspersky and the report was Bagle!!
    Some program cannot be opened, like vlc, and if I try to run eligabla it says that is not a valid win32 application.
    I can't understand.....

    Добавлено через 16 минут

    kaspersky:win32.bagle.ceu
    Последний раз редактировалось garigo; 22.12.2009 в 02:43. Причина: Добавлено

  4. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    OK, read the rules and make 3 logfiles (syscure, syscheck, hijackthis).
    Сердце решает кого любить... Судьба решает с кем быть...

  5. #5
    Junior Member Репутация
    Регистрация
    22.12.2009
    Сообщений
    18
    Вес репутации
    30
    I must explain well;
    in this order I run the following programs
    1)Mbam
    2)combofix
    3)prevx3.0
    I've log of both of them.

    After these programs I run kaspersky removal tool.
    It find win32.bagle.ceu.I read it just a moment before the program shut down and xp re-start.I've no log of this operation.

    After this first check with the kaspersky removal tool I made another check (manually) and the result is in the file I've attached.Probably many malicious threaths had been removed.

    If you want I can attach mbam-combofix-prevx3.0 log(s) when the infection was still in action totally!

    I hope you can understand!!!

    Добавлено через 1 час 18 минут

    In the meantime I scanned the computer with Elibagla, result:UTIYODU4.SYS --> Bagle(rootkit).

    also access denied to this folder:
    c:\documents and settings\myname\impostazioni locali\dati applicazioni\microsoft\cardspace(8210)
    c:\prgogrammi\adobe\reader8.0\resource\cmap(16)


    log elibagla:
    http://www.wikisend.com/download/442036/elibaglalog
    Последний раз редактировалось garigo; 22.12.2009 в 17:30. Причина: Добавлено

  6. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    OK, read the rules and make 3 logfiles (syscure, syscheck, hijackthis).
    Сердце решает кого любить... Судьба решает с кем быть...

  7. #7
    Junior Member Репутация
    Регистрация
    22.12.2009
    Сообщений
    18
    Вес репутации
    30
    when I reboot pc, after eligabla scanning, notebook opened with this message:

    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21787

  8. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    Please read the rules http://virusinfo.info/showthread.php?t=9184

    *Do not attach any other logfiles except for those of AVZ and HJT unless requested.
    Сердце решает кого любить... Судьба решает с кем быть...

  9. #9
    Junior Member Репутация
    Регистрация
    22.12.2009
    Сообщений
    18
    Вес репутации
    30
    I'm here again, sorry for misunderstanding, I have the three log but I can't undertsnd how to send it, sorry!!
    I can't proced with appendix 2 and 3 (file search in AVZ and How to send us requested files).
    Последний раз редактировалось garigo; 27.12.2009 в 20:19.

  10. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от garigo Посмотреть сообщение
    I can't proced with appendix 2 and 3 (file search in AVZ and How to send us requested files).
    Press the icon , press the icon Manage Attachments (the 2nd field below answer window) ans attach the logs. If you're not able to do this, we'll be forced to close your topic because we cannot help you anyway without 3 logs.

  11. #11
    Junior Member Репутация
    Регистрация
    22.12.2009
    Сообщений
    18
    Вес репутации
    30
    ok....thank you!
    I think it'd be more difficult to do...

  12. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Close/disable all the applications excluded AVZ and Internet Explorer.

    - Disconnect your PC from network (internet/intranet)
    - Disable antivirus, firewall and other memory resident security tools
    - Disable System Restore

    - Execute following script
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     StopService('iMSPCLOj');
     DeleteService('iMSPCLOj');
     QuarantineFile('C:\DOCUME~1\pier\IMPOST~1\Temp\iMSPCLOj.sys','');
     DeleteFile('C:\DOCUME~1\pier\IMPOST~1\Temp\iMSPCLOj.sys');
     DeleteFileMask('C:\DOCUME~1\pier\IMPOST~1\Temp','*.*',true);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    BC_DeleteSvc('iMSPCLOj');
    CreateQurantineArchive('C:\quarantine.zip');
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    If the system after reboot would try to install any unknown hardware, abort the installtion and remove unknown hardware over hardware manager

    After reboot:
    - Replace file hosts: http://virusinfo.info/showpost.php?p=514996&postcount=2
    - Upload the C:\quarantine.zip over the link Upload quarantined files on the top of this page.
    - Make new logs and attach them to the new posting.

  13. #13
    Junior Member Репутация
    Регистрация
    22.12.2009
    Сообщений
    18
    Вес репутации
    30
    script execute correctly, aborted installation and removed hardware.
    I can't send quarantine.zip from "upload quarantined files" upload error this file was uploaded before (I used this link yesterday when I wasn't able to send file)...sorry!
    Hosts file was FULL of very suspiciuos web adresses!!

    here new logs:

    Now I have only to send you quarantined files!
    Последний раз редактировалось Rene-gad; 28.12.2009 в 20:37.

  14. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    Цитата Сообщение от garigo Посмотреть сообщение
    Hosts file was FULL of very suspiciuos web adresses!!
    Execute this script in AVZ:

    Код:
    begin
    ExecuteRepair(13);
    end.
    Make new logs: virusinfo_syscheck and hijackthis.
    Сердце решает кого любить... Судьба решает с кем быть...

  15. #15
    Junior Member Репутация
    Регистрация
    22.12.2009
    Сообщений
    18
    Вес репутации
    30
    I have also some file ini not at their place, but I must search the exact translation in english to say where they are!

    new logs
    Последний раз редактировалось Rene-gad; 28.12.2009 в 20:38.

  16. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    I can see nothing harmful in your logs.
    Сердце решает кого любить... Судьба решает с кем быть...

  17. #17
    Junior Member Репутация
    Регистрация
    22.12.2009
    Сообщений
    18
    Вес репутации
    30
    then the problem is solved!very well but there is still a little problem with file ini;
    I've one on the start menu, one on the prefered bar(?) and one on the desktop.
    How can I place them in the right place?they can be last traces of the virus?
    Can I post them?
    Thank you very much for all!!!
    Последний раз редактировалось garigo; 28.12.2009 в 23:20.

  18. #18
    Junior Member Репутация
    Регистрация
    22.12.2009
    Сообщений
    18
    Вес репутации
    30
    I ask you sorry for this post but I've these 4 file desktop.ini not at thir place.
    Since the virus modified the HOSTS file and, how you can see, these file desktop.ini concerne communication, I think that they should cause still any problem.
    Can I delete them?


    [.ShellClassInfo]
    LocalizedResourceName=@shell32.dll,-21786


    [.ShellClassInfo]
    LocalizedResourceName=@%windir%\System32\ieframe.d ll.mui,-12385


    [.ShellClassInfo]
    LocalizedResourceName=@shell32.dll,-21782
    [LocalizedFileNames]
    Assistenza remota.lnk=@%systemroot%\system32\rcbdyctl.dll,-152
    Internet Explorer.lnk=@xpsp1res.dll,-11001
    Outlook Express.lnk=@xpsp1res.dll,-11004.



    [.ShellClassInfo]
    LocalizedResourceName=@shell32.dll,-21782
    [LocalizedFileNames]
    Windows Movie Maker.lnk=@C:\PROGRA~1\MOVIEM~1\wmm2res.dll,-61446

  19. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    Цитата Сообщение от garigo Посмотреть сообщение
    I ask you sorry for this post but I've these 4 file desktop.ini not at thir place.
    I have 3 file desktop.ini. I need to remove them too?

    Цитата Сообщение от garigo Посмотреть сообщение
    Since the virus modified the HOSTS file and, how you can see, these file desktop.ini concerne communication, I think that they should cause still any problem.
    I don't think so.

    Цитата Сообщение от garigo Посмотреть сообщение
    Can I delete them?
    No.
    Сердце решает кого любить... Судьба решает с кем быть...

  20. #20
    Junior Member Репутация
    Регистрация
    22.12.2009
    Сообщений
    18
    Вес репутации
    30
    Цитата Сообщение от Alexsandra
    I have 3 file desktop.ini. I need to remove them too?
    but not everywhere, on the desktopo, among the program etc, I suppose!
    At the right place...this is the problem....which is the right place of all this files...please?
    Последний раз редактировалось garigo; 30.12.2009 в 19:22.

Страница 1 из 2 12 Последняя

Похожие темы

  1. Bagle
    От bconst в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 18.03.2010, 09:25
  2. bagle
    От kasp в разделе Malware Removal Service
    Ответов: 1
    Последнее сообщение: 13.02.2010, 16:19
  3. Bagle.A
    От Kartonio в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 23.08.2009, 10:11
  4. Все тот же Bagle
    От subhuman в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 22.02.2009, 05:37
  5. BAGLE.32 ?? NEED HELP !!!!
    От ciausazumab в разделе Malware Removal Service
    Ответов: 12
    Последнее сообщение: 25.01.2008, 00:34

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00689 seconds with 16 queries