Hardware Upgrade Forum - View Single Post - Guida Rimozione virus Bagle (antivirus disattivato)

Bugs Bunny · 26-09-2007, 18:58

LA NUOVA GUIDA E' DISPONIBILE A QUESTO INDIRIZZO http://www.hwupgrade.it/forum/showthread.php?t=1933977

CHI HA PROBLEMI CON IL BAGLE SEGUA LA GUIDA E POSTI I LOG DELLE SCANSIONI IN QUESTO THREAD.

TROJAN DOWNLOADER BAGLE

Come si propaga e come agisce questo malware?

Principalmente si propaga tramite le reti peer to peer (p2p) come emule,ma anche via emaile chiavette USB. Lo si può trovare spesso in archivi contenenti programmi e crack.
Una volta eseguito il suo file crea i files hldrrr.exe,mdelk.exe e wintems.exe in C:\windows\system32\drivers oltre alla cartella downld e al file winupgro.exe. Mostra una schermata dove fa selezionare il programma da cracckare. Dopo il riavvio carica il driver srosa.sys,situato nella medesima cartella,termina e cancella i software di sicurezza,che non potranno più essere utilizzati. Scarica vari files da internet nella cartella downld e li avvia. Essi creeranno la cartella %appdata%\m e dentro di essa il file flec006.exe che scarica altri archivi infetti da internet.Questa cartella e i files scaricati non sono nascosti con tecniche rootkit ma hanno solo l'attributo nascosto (come la cartella downld)

Inoltre questo malware,modificando 2 chiavi di registro, disabilita la modalità provvisoria,per cui tentando di accedere a windows in safe mode si riceverà una schermata blu (BSOD)

Tutti i files di questo malware sono nascosti con tecniche rootkit,per cui non si possono visualizzare tramite esplora risorse.

Sintomi dell'infezione:

I programmi di sicurezza sono stati cancellati o bloccati
La modalità provvisoria non funziona
L'audio potrebbe non funzionare
La connessione ad internet potrebbe non funzionare
Errori di Windows: Applicazione Win32 non valida

Rimozione

1) Download: tool rimozione bagle

Bagled -> link
Elibagla -> link -> scorri in fondo alla pagina e clicca su Descargar Elibagla xx.xx, vengono rilasciate versioni nuove molto di frequente, quindi controlla sempre di avere l'ultima
Malwarebytes' Anti-Malware -> link1, link2 o link3 + il suo eseguibile per l'aggiornamento offline -> link
ComboFix -> Download Link

2) Rimozione principale (sconnesso da internet)

rimani sconnesso da internet fino alla fine di questo punto, in questo moda la pulizia sarà più semplice
cancella TUTTI i crack/keygen
disattiva il ripristino configurazione di sistema e verifica anche più avanti che non si riattivi

su Windows Xp:
Click destro sull’icona Risorse del Computer sul desktop (oppure fai clic su Start ? Impostazioni ? Pannello di controllo ? Sistema) ? Ripristino configurazione di sistema ? Seleziona "Disattiva Ripristino configurazione di sistema" oppure "Disattiva Ripristino configurazione di sistema su tutte le unità" ? Fare clic su Applica ? Conferma alla richiesta di eliminazione di tutti i punti di ripristino ? verifica che tutti i dischi/partizioni mostrino "disattivata" nella colonna stato

su Windows Vista:
Pannello di controllo ? Sistema Oppure click destro sull’icona Computer sul desktop
? Protezione sistema ? togli le spunte da tutti i dischi ? Click su Disattiva ripristino configurazione di sistema
collega subito eventuali chiavette USB infette altrimenti non collegarle più fino a quando sarai pulito
Bagled (no per chi ha Vista)
- lancia il suo eseguibile
- si aprirà una finestra e si chiuderà subito
- verrà salvato il log C:\bagled.txt
Elibagla
- lancia il suo eseguibile
- assicurati che ci sia la spunta su Eliminar ficheros...
- clicca su Explorar e attendi la scansione di default (C:\)
- dopo le prime scansioni su C: dovrebbe ripristinarsi la modalità provvisoria, riesegui un paio di scansioni di C: anche in quella modalità (tramite il tasto F8 all'avvio e non forzandola in altre maniere)
- ripeti le scansioni su C: cercando di ottenere un esito così
  Nº de Ficheros Infectados: 0
  Nº de Ficheros Limpiados: 0
  in caso di problemi prosegui fino al punto 3 dove caricherai i log delle scansioni e vedremo se effettuare altre operazioni, come il rescue cd per esempio
- se hai collegato altri dischi o chiavette infette, clicca su Seleccionar Carpeta,scegli la periferica da scansionare e di nuovo Explorar
Malwarebytes' Anti-Malware (MBAM) Guida
- installalo e non farlo farlo aggiornare on-line
- chiudi il programma e lancia mbam-rules.exe per aggiornarlo off-line
- una volta aggiornato riavvia MBAM
- sotto la scheda Scansione seleziona Effettua una scansione completa e clicca su Scansiona, seleziona tutti i dischi ed unità e seleziona "Avvia scansione"
- a fine scansione clicca su OK e poi su Mostra i risultati
- assicurati che tutte le infezioni siano spuntate, altrimenti selezionane una -> click dx e Seleziona tutti gli elementi, e clicca "Rimuovi elementi selezionati"
- se alcuni file da rimuovere fossero in esecuzione verrai avvisato di riavviare il pc per poterli eliminare, in questo caso fai riavviare il pc
- cerca il log o dal programma sotto la scheda "Files di log" oppure più comodo
  Start -> Esegui -> Copia ed incolla %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)
- sceglilo in base alla data di modifica se ne hai più di uno e controlla che accanto alle infezioni non ci sia la dicitura -> No action taken. perchè non possiamo capire che hai fatto con le infezioni trovate, se sei sicuro di averle eliminate prova a cercare negli altri file di log.
  Controlla che non ci sia scritto Tipo di scansione: Scansione rapida, in questo caso dovrai rifarla completa come indicato sopra
Combofix
- Chiudi qualsiasi programma aperto e disconnettiti da interet
- Lancialo, accetta le condizioni di utilizzo e rifiuta l'installazione della Console di ripristino di Windows
- Qualora combofix chieda di eliminare dei driver dai la conferma. Attendi che finisca la scansione senza fare nulla.
- Se te lo chiede, lascia riavviare il pc e non toccare nulla fino al termine delle operazioni
- Carica il log che trovi in C:\Combofix.txt

3) Caricamento log delle prime scansioni per il controllo

Carica seguendo il punto 2 di queste modalità , quindi in un unico post, i log di:

Bagled
Elibagla
Malwarebytes' Anti-Malware

Poi attendi l'ok a procedere, se non dovesse arrivare in tempi celeri, procedi autonomamente e ricorda che se dovessero esserci problemi con l'utilizzo di ATFCleaner o con l'installazione del nuovo antivirus significa che l'infezione è ancora presente, quindi esegui una scansione con almeno uno dei rescue disk indicati qui sotto
guida e link rescue cd di kaspersky -> permette di salvare il log
guida e link rescue cd di avira

Dopo l'eventuale scansione con un rescue cd ricomincia la procedura dal punto 1 riscaricando tutti tool.

4) Pulizia files inutili, ripristino servizi corrotti e scansione completa con un nuovo antivirus

ATFCleaner
- scaricalo da qui o qui
- chiudi tutti i browser di internet (IE, Firefox, Opera) altrimenti non potrà eseguire la pulizia completa.
- lancia l'eseguibile
- nella prima schermata ? Select All ? Empty Selected
- nel menù Firefox (se lo usi) ? Select All ? NO (per non cancellare le password) ? Empty Selected più volte fino a che segnali No files were removed
- nel menù Opera (se lo usi) ? Select All ? NO (per non cancellare le password) ? Empty Selected più volte fino a che segnali No files were removed
riattiva i servizi se sono stati corrotti (Wireless, Aggiornamenti, etc...)
disinstalla il precedente antivirus ormai non più funzionante, in caso di problemi leggi qui per i vari tool di rimozione
scarica, installa, configura e aggiorna Antivir (il miglior antivirus, free tra l'altro), tutte le info nella guida
se preferisci tenere un altro antivirus, questa volta configuralo meglio con una delle guide che trovi qui
esegui la scansione completa con l'antivirus

5) Caricamento log di controllo finale

carica, sempre secondo le modalità , il log della scansione completa di Antivir o di altro eventuale antivirus che hai deciso installare
carica, se vuoi, un log di HiJackThis per un eventuale controllo/ottimizzazione del sistema
- scaricalo da qui
- Se hai scaricato la versione installer, lancialo e scegli dove installarlo, i log saranno salvati automaticamente in quella cartella
- Se hai scaricato la versione zip, estrailo in una cartella dedicata che conterrà poi i log e i backup
- Lancialo e clicca su "Do a system scan and save a log file"
- Il log da caricare, che si apre alla fine dello scan, lo trovi nella cartella dove hai installato o estratto HijackThis

6) Trattamento post disinfezione

Una volta ripulito leggi bene il trattamento post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nella guida

Se dovessero essere rimasti dei problemi con la visualizzazione files nascosti guarda qui

Se dovessero essere rimasti dei problemi con la connessione (solo per Win XP)

scarica XP TCP/IP Repair
installalo e lancialo
clicca su Reset TCP/IP e poi su su Repair Winsock
riavvia il pc

Si ringraziano wjmat e Chill-Out

26-09-2007, 18:58	#1
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	Guida Rimozione virus Bagle (antivirus disattivato) - leggere le Regole di Sezione LA NUOVA GUIDA E' DISPONIBILE A QUESTO INDIRIZZO http://www.hwupgrade.it/forum/showthread.php?t=1933977 CHI HA PROBLEMI CON IL BAGLE SEGUA LA GUIDA E POSTI I LOG DELLE SCANSIONI IN QUESTO THREAD. TROJAN DOWNLOADER BAGLE Come si propaga e come agisce questo malware? Principalmente si propaga tramite le reti peer to peer (p2p) come emule,ma anche via emaile chiavette USB. Lo si può trovare spesso in archivi contenenti programmi e crack. Una volta eseguito il suo file crea i files hldrrr.exe,mdelk.exe e wintems.exe in C:\windows\system32\drivers oltre alla cartella downld e al file winupgro.exe. Mostra una schermata dove fa selezionare il programma da cracckare. Dopo il riavvio carica il driver srosa.sys,situato nella medesima cartella,termina e cancella i software di sicurezza,che non potranno più essere utilizzati. Scarica vari files da internet nella cartella downld e li avvia. Essi creeranno la cartella %appdata%\m e dentro di essa il file flec006.exe che scarica altri archivi infetti da internet.Questa cartella e i files scaricati non sono nascosti con tecniche rootkit ma hanno solo l'attributo nascosto (come la cartella downld) Inoltre questo malware,modificando 2 chiavi di registro, disabilita la modalità provvisoria,per cui tentando di accedere a windows in safe mode si riceverà una schermata blu (BSOD) Tutti i files di questo malware sono nascosti con tecniche rootkit,per cui non si possono visualizzare tramite esplora risorse. Sintomi dell'infezione: I programmi di sicurezza sono stati cancellati o bloccati La modalità provvisoria non funziona L'audio potrebbe non funzionare La connessione ad internet potrebbe non funzionare Errori di Windows: Applicazione Win32 non valida Rimozione 1) Download: tool rimozione bagle Bagled -> link Elibagla -> link -> scorri in fondo alla pagina e clicca su Descargar Elibagla xx.xx, vengono rilasciate versioni nuove molto di frequente, quindi controlla sempre di avere l'ultima Malwarebytes' Anti-Malware -> link1, link2 o link3 + il suo eseguibile per l'aggiornamento offline -> link ComboFix -> Download Link 2) Rimozione principale (sconnesso da internet) rimani sconnesso da internet fino alla fine di questo punto, in questo moda la pulizia sarà più semplice cancella TUTTI i crack/keygen disattiva il ripristino configurazione di sistema e verifica anche più avanti che non si riattivi su Windows Xp: Click destro sull’icona Risorse del Computer sul desktop (oppure fai clic su Start ? Impostazioni ? Pannello di controllo ? Sistema) ? Ripristino configurazione di sistema ? Seleziona "Disattiva Ripristino configurazione di sistema" oppure "Disattiva Ripristino configurazione di sistema su tutte le unità" ? Fare clic su Applica ? Conferma alla richiesta di eliminazione di tutti i punti di ripristino ? verifica che tutti i dischi/partizioni mostrino "disattivata" nella colonna stato su Windows Vista: Pannello di controllo ? Sistema Oppure click destro sull’icona Computer sul desktop ? Protezione sistema ? togli le spunte da tutti i dischi ? Click su Disattiva ripristino configurazione di sistema collega subito eventuali chiavette USB infette altrimenti non collegarle più fino a quando sarai pulito Bagled (no per chi ha Vista) lancia il suo eseguibile si aprirà una finestra e si chiuderà subito verrà salvato il log C:\bagled.txt Elibagla lancia il suo eseguibile assicurati che ci sia la spunta su Eliminar ficheros... clicca su Explorar e attendi la scansione di default (C:\) dopo le prime scansioni su C: dovrebbe ripristinarsi la modalità provvisoria, riesegui un paio di scansioni di C: anche in quella modalità (tramite il tasto F8 all'avvio e non forzandola in altre maniere) ripeti le scansioni su C: cercando di ottenere un esito così Nº de Ficheros Infectados: 0 Nº de Ficheros Limpiados: 0 in caso di problemi prosegui fino al punto 3 dove caricherai i log delle scansioni e vedremo se effettuare altre operazioni, come il rescue cd per esempio se hai collegato altri dischi o chiavette infette, clicca su Seleccionar Carpeta,scegli la periferica da scansionare e di nuovo Explorar Malwarebytes' Anti-Malware (MBAM) Guida installalo e non farlo farlo aggiornare on-line chiudi il programma e lancia mbam-rules.exe per aggiornarlo off-line una volta aggiornato riavvia MBAM sotto la scheda Scansione seleziona Effettua una scansione completa e clicca su Scansiona, seleziona tutti i dischi ed unità e seleziona "Avvia scansione" a fine scansione clicca su OK e poi su Mostra i risultati assicurati che tutte le infezioni siano spuntate, altrimenti selezionane una -> click dx e Seleziona tutti gli elementi, e clicca "Rimuovi elementi selezionati" se alcuni file da rimuovere fossero in esecuzione verrai avvisato di riavviare il pc per poterli eliminare, in questo caso fai riavviare il pc cerca il log o dal programma sotto la scheda "Files di log" oppure più comodo Start -> Esegui -> Copia ed incolla %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio) sceglilo in base alla data di modifica se ne hai più di uno e controlla che accanto alle infezioni non ci sia la dicitura -> No action taken. perchè non possiamo capire che hai fatto con le infezioni trovate, se sei sicuro di averle eliminate prova a cercare negli altri file di log. Controlla che non ci sia scritto Tipo di scansione: Scansione rapida, in questo caso dovrai rifarla completa come indicato sopra Combofix Chiudi qualsiasi programma aperto e disconnettiti da interet Lancialo, accetta le condizioni di utilizzo e rifiuta l'installazione della Console di ripristino di Windows Qualora combofix chieda di eliminare dei driver dai la conferma. Attendi che finisca la scansione senza fare nulla. Se te lo chiede, lascia riavviare il pc e non toccare nulla fino al termine delle operazioni Carica il log che trovi in C:\Combofix.txt 3) Caricamento log delle prime scansioni per il controllo Carica seguendo il punto 2 di queste modalità , quindi in un unico post, i log di: Bagled Elibagla Malwarebytes' Anti-Malware Poi attendi l'ok a procedere, se non dovesse arrivare in tempi celeri, procedi autonomamente e ricorda che se dovessero esserci problemi con l'utilizzo di ATFCleaner o con l'installazione del nuovo antivirus significa che l'infezione è ancora presente, quindi esegui una scansione con almeno uno dei rescue disk indicati qui sotto guida e link rescue cd di kaspersky -> permette di salvare il log guida e link rescue cd di avira Dopo l'eventuale scansione con un rescue cd ricomincia la procedura dal punto 1 riscaricando tutti tool. 4) Pulizia files inutili, ripristino servizi corrotti e scansione completa con un nuovo antivirus ATFCleaner scaricalo da qui o qui chiudi tutti i browser di internet (IE, Firefox, Opera) altrimenti non potrà eseguire la pulizia completa. lancia l'eseguibile nella prima schermata ? Select All ? Empty Selected nel menù Firefox (se lo usi) ? Select All ? NO (per non cancellare le password) ? Empty Selected più volte fino a che segnali No files were removed nel menù Opera (se lo usi) ? Select All ? NO (per non cancellare le password) ? Empty Selected più volte fino a che segnali No files were removed riattiva i servizi se sono stati corrotti (Wireless, Aggiornamenti, etc...) disinstalla il precedente antivirus ormai non più funzionante, in caso di problemi leggi qui per i vari tool di rimozione scarica, installa, configura e aggiorna Antivir (il miglior antivirus, free tra l'altro), tutte le info nella guida se preferisci tenere un altro antivirus, questa volta configuralo meglio con una delle guide che trovi qui esegui la scansione completa con l'antivirus 5) Caricamento log di controllo finale carica, sempre secondo le modalità , il log della scansione completa di Antivir o di altro eventuale antivirus che hai deciso installare carica, se vuoi, un log di HiJackThis per un eventuale controllo/ottimizzazione del sistema scaricalo da qui Se hai scaricato la versione installer, lancialo e scegli dove installarlo, i log saranno salvati automaticamente in quella cartella Se hai scaricato la versione zip, estrailo in una cartella dedicata che conterrà poi i log e i backup Lancialo e clicca su "Do a system scan and save a log file" Il log da caricare, che si apre alla fine dello scan, lo trovi nella cartella dove hai installato o estratto HijackThis 6) Trattamento post disinfezione Una volta ripulito leggi bene il trattamento post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nella guida Se dovessero essere rimasti dei problemi con la visualizzazione files nascosti guarda qui Se dovessero essere rimasti dei problemi con la connessione (solo per Win XP) scarica XP TCP/IP Repair installalo e lancialo clicca su Reset TCP/IP e poi su su Repair Winsock riavvia il pc Si ringraziano wjmat e Chill-Out Ultima modifica di Chill-Out : 24-04-2009 alle 22:09. Motivo: Aggiunto combofix alla guida.