[new] Guida alla disinfezione per Bagle / Mitglieder

[xcdegasp]

Guida alla disinfezione per Bagle / Mitglieder


Premessa:
Il Bagle è un Trojan generalmente difficile da eliminare, che disabilita gli antivirus e usa la tecnica del Rootkit per nascondersi. Un modo semplice per sapere se si è infettati da Bagle è vedere se in "Opzioni Cartella" del Pannello di controllo è presente l'opzione "Files Nascosti", infatti il Bagle provvede a disabilitare ed eliminare questa voce per evitare di essere rintracciato. Inoltre se si inserisce una chiavetta usb o un altra scheda di memoria l'iconia in Risorse del computer cambierà forma diventando una cartella gialla aperta.



Caratteristiche dell'infezione:
Da virus intelligente, il bagle tenta subito di auto-proteggersi ovvero rimuove o danneggia Antivirus e Firewall e qualsiasi altro software per la protezione del sistema in cui risiede, impedisce l'accesso a qualsiasi eseguibile e in alcuni software, soprattutto nei software antivirus, darà un errore di sistema ("Win32 è un'applicazione non valida").
La modalità provvisoria (Safe Mode) viene bloccata così l'utente non ha la possibilità di eseguire delle scansioni.
Nei peggiori dei casi, il bagle potrebbe disattivare pure qualche Drivers, come l'audio o semplicemente farà riavviare il pc molto spesso.
Generalmente, il Bagle, rallenta vistosamente la velocità del Pc agendo sulla Memoria Ram e impedisce agli utenti di accedere ai siti dei piu famosi antivirus (nod32, avast, avg, ecc.), a tutti i siti microsoft e al sito per scaricare messenger 2009, facendoli apparire come inesistenti o indirizzando il browser verso la pagina di ricerca dei siti non trovati.
Tutte le chiavette usb e le schede di memoria che vengono inserite nel pc infetto vengono automaticamente infettate per poter tentare di propagare l'infezione sui futuri pc in cui verrà inserito il supporto removibile.
Si presenta solitamente come un Keygen, di solito con un'icona a forma di croce, con una maschera grigia o un'icona a forma di occhio, il suo nome cambia in alcune varianti del virus, ad esempio Mitglieder o Beagle, ma il funzionamento è molto simile.

Il bagle necessita di qualche click da parte dell'utente che fa uso del pc infatti si diffonde tramite le Rete P2P (come ad esempio eMule), via E-mail o grazie a chiavette usb e schede di memoria. Si trova sotto forma di eseguibile, sopratutto nei crack/fix e keygen dei software, all'interno di un archivio compresso, come zip o rar.
Per questo motivo, prima di aprire un file compresso, si consiglia di eseguire la scansione con uno specifico servizio ( per esempio www.virustotal.com o www.virscan.org ) di modo da avere una panoramica abbastanza completa su eventuali rischi che annida.
fonte: http://it.wikipedia.org/wiki/Bagle




Procedura di Disinfezione:
Disattiva il ripristino di sistema fino a che il pc non sia stato completamente ripulito:

1. Fare clic su Start-> Programmi->Accessori->Esplora risorse.
   
   
2. Fare clic con il pulsante destro del mouse sull'icona Risorse del computer e quindi su Proprietà.
   
   
3. Selezionare la scheda "Ripristino configurazione di sistema".
   
   
4. Selezionare la voce "Disattiva ripristino configurazione di sistema"
   
   
5. Premere OK. Verrà richiesto di confermare l'azione in quanto saranno eliminati tutti i punti di ripristino memorizzati. Confermare premendo SI.

_ metodo per Win-Vista:
Per attivare o disattivare Protezione sistema

1. Per aprire Sistema, fare clic sul pulsante StartImmagine del pulsante Start, scegliere Pannello di controllo, Sistema e manutenzione e quindi Sistema.
   
2. Nel riquadro sinistro fare clic su Protezione sistema. Autorizzazioni di amministratore necessarie Se viene chiesto di specificare una password di amministratore o di confermare, digitare la password o confermare.
   
3. Per disattivare Protezione sistema per un disco rigido, deselezionare la casella di controllo visualizzata accanto al disco e quindi fare clic su OK.

eventualmente non si potesse operare la disattivazione seguire questa guida per forzare la chiusura del ripristino di sistema.


Imposta i seguenti server dns ( guida per winXP | guida per Vista | guida per router ):
208.67.222.222
208.67.220.220



e procedete come qui elencato di seguito rispettandone l'ordine d'esecuzione, se questo non venisse rispettato è molto probabile che i risultati siano assolutamente incerti:

• *** REGOLE di SEZIONE - obbligatoria la lettura!! ***
  
  
• collega subito eventuali chiavette USB infette cosicchè vengano ripulite
  
  
• Malwarebytes Anti-Malware -> info e download
  dopo averlo installato è necessario aggiornarlo e solo dopo eseguire la scansione completa del sistema, è altresì richiesto eliminare tutti gli oggetti identificati e salvare il log della scansione (il file di log da allegare per il controlo si trova nel Tab "File di log").
  
  
• scollegati totalmente da internet e dalla lan
  
  
• Elibagla -> download (scorri la pagina fino a "descargar elibagla")
  esegui l'eseguibile, controlla che ci sia la spunta su "Eliminar ficheros", clicca su Explorar e attendi la scansione di default (C:\), se hai collegato altri dischi o chiavette infette clicca su "Seleccionar Carpeta" e scegli la periferica da scansionare e di nuovo "Explorar", dopo le prime scansioni su C: dovrebbe ripristinarsi la modalità provvisoria, riesegui un paio di scansioni di C: anche in quella modalità (tramite il tasto F8 all'avvio e non forzandola in altre maniere), ripeti le scansioni su C: cercando di ottenere Nº de Ficheros Infectados: 0 e Nº de Ficheros Limpiados: 0
  il log lo troverai qui: C:\InfoSat.txt
  
  
• ComboFix -> Download
  Rinomina il file appena scaricato con un nuome a tua scelta (esempio Prova.exe) poi fai doppio click su combofix.exe e segui le istruzioni.
  Allega il report C:\combofix.txt
  N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
  ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza
  
  
• riattiva la connessione a internet e lan mantenendo i dns impostati all'inizio della guida
  
  
• Prevx 3.0 -> download | guida (necessita di connessione internet)
  a fine scansione eseguire una stampa del monitor o della finestra di Prevx e salvare il log ("options" -> "save a log file")
  
  
• ATF-Cleaner -> Download
  NB: prima chiudi tutte le finestre del browser:
  nella finestra che si è aperta contrassegnare "Select All" e premere "Empty Selected", poi clickare sul menù "Firefox" e contrassegnare "Select All" e premere "Empty Selected", procedere quindi nello stesso modo anche nel menù "Opera" e infine premere "Empty Selected"
  se desse errore o non si avviasse il programma prosegui al passo sucessivo
  
  
• pubblica tutti i log richiesti

Se non dovesse funzionare la procedura sopra descritta si consiglia di eseguire una scansione con Avira AntiVir Rescue System o Kaspersky Rescue Disk.
Dopo l'eventuale scansione con un rescue cd ricomincia la procedura dal punto 1 riscaricando tutti i tools.




Trattamento Post Disinfezione
Una volta ripulito leggi bene il trattamento post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nella guida.

Se dovessero essere rimasti dei problemi con la visualizzazione files nascosti segui questa guida.

Se dovessero essere rimasti dei problemi con la connessione (solo per Win XP):
scarica XP TCP/IP Repair, avvia l'installazione e clicca su Reset TCP/IP, poi su su Repair Winsock, infine riavvia il pc.




Ringraziamenti:
si ringraziano Bugs Bunny, Chill-Out e Wjmat

[cocoz1]

ieri mi è capitato un pc con questa situazione:
da alcuni giorni dava problemi nel senso che nn faceva installare degli antivirus(da quel che ho letto qui potrebbe esser colpa del bagle,infatti da quel che mi raccontava segnalava qualche root) poi è stato installato avg8 free e fatta una scansione di oltre 2 ore,ha trovato una marea di virus e altro,purtroppo il proprietario si è fidato dell'antivirus e ha fatto elimina tutto,e dopo 1 ora ha eliminato tutto,ma proprio tutto direi
Risultato xp parte carica arriva alla schermata del desktop e nn si visualizza più niente a video,ne cartelle,ne file,ne i .exe dei programmi nulla nemmeno la barra di windows start-programmi ecc,e rimane lì a caricare ma nulla.
Provato a farlo partire con l'ultima configurazione funzionante,stesso risultato.
In tutte le configurazioni in modalità provvisoria nn parte,torna alla schermata di scelta della modalità da cui farlo partire.(Anche questo segnale di bagle da quello letto nel post di spiegazione)
Provato a farlo partire anche col cd di windows xp ma niente nn mi fa fare il ripristino.
Smontato hard disk e salvato tutti i dati su altro pc(da quel che ho letto corre il rischio anche l'altro pc adesso),ma cosa è successo?c'è modo di rientrare?ah si è anche aggiunta la richiesta di accesso utente che prima nn c'era,basta fare ok e va avanti e il task manager si è disabilitato da solo.
dici disabilitato dall'amministratore,ma nessun ha fatto cio.
ma cos'era entrato un super-virus?oppure avg ha distrutto il sistema operativo,e nn sarebbe la prima volta che mi capita vedere questo antivirus fare casini. aspetto vostri pareri.

[wjmat]

ciao

non ho ben capito tutti i problemi...
quando clicchi su utente vieni immediatamente disconnesso o non vedi le icone del desktop?

[xcdegasp]

Quote:

Originariamente inviato da cocoz1

ieri mi è capitato un pc con questa situazione:
da alcuni giorni dava problemi nel senso che nn faceva installare degli antivirus(da quel che ho letto qui potrebbe esser colpa del bagle,infatti da quel che mi raccontava segnalava qualche root) poi è stato installato avg8 free e fatta una scansione di oltre 2 ore,ha trovato una marea di virus e altro,purtroppo il proprietario si è fidato dell'antivirus e ha fatto elimina tutto,e dopo 1 ora ha eliminato tutto,ma proprio tutto direi
Risultato xp parte carica arriva alla schermata del desktop e nn si visualizza più niente a video,ne cartelle,ne file,ne i .exe dei programmi nulla nemmeno la barra di windows start-programmi ecc,e rimane lì a caricare ma nulla.
Provato a farlo partire con l'ultima configurazione funzionante,stesso risultato.
In tutte le configurazioni in modalità provvisoria nn parte,torna alla schermata di scelta della modalità da cui farlo partire.(Anche questo segnale di bagle da quello letto nel post di spiegazione)
Provato a farlo partire anche col cd di windows xp ma niente nn mi fa fare il ripristino.
Smontato hard disk e salvato tutti i dati su altro pc(da quel che ho letto corre il rischio anche l'altro pc adesso),ma cosa è successo?c'è modo di rientrare?ah si è anche aggiunta la richiesta di accesso utente che prima nn c'era,basta fare ok e va avanti e il task manager si è disabilitato da solo.
dici disabilitato dall'amministratore,ma nessun ha fatto cio.
ma cos'era entrato un super-virus?oppure avg ha distrutto il sistema operativo,e nn sarebbe la prima volta che mi capita vedere questo antivirus fare casini. aspetto vostri pareri.

quel pc oltre ad avere una marea di malware e di diverso tipo tra i quali potrebbe sì avere il bagle ma sicuramente anche vundo, c'è stato anche l'antivirus che ha eseguito manovre di pulizia parziali.


ora per capire meglio in che stato viva il pc potremmo seguire questa guida poi in base a quanto emerge vediamo come comportarci ovviamente prima dobbiamo rifar comparire il desktop e tutto il resto quindi segui questa procedura:
http://www.hwupgrade.it/forum/showthread.php?t=1555416

poi, come detto sopra, fai la procedura descritte a inizio thread e pubblica tutti i logs

[cocoz1]

Quote:

Originariamente inviato da wjmat

ciao

non ho ben capito tutti i problemi...
quando clicchi su utente vieni immediatamente disconnesso o non vedi le icone del desktop?

se clicco ok anche senza metter nessuna password va avanti,e carica fino al desktop dove poi nn si visualizza niente...volevo sottolineare che prima nn c'era la richiesta utente

[cocoz1]

Quote:

Originariamente inviato da xcdegasp

quel pc oltre ad avere una marea di malware e di diverso tipo tra i quali potrebbe sì avere il bagle ma sicuramente anche vundo, c'è stato anche l'antivirus che ha eseguito manovre di pulizia parziali.


ora per capire meglio in che stato viva il pc potremmo seguire questa guida poi in base a quanto emerge vediamo come comportarci ovviamente prima dobbiamo rifar comparire il desktop e tutto il resto quindi segui questa procedura:
http://www.hwupgrade.it/forum/showthread.php?t=1555416

poi, come detto sopra, fai la procedura descritte a inizio thread e pubblica tutti i logs

guarda ho postato anche nell'altra discussione,ma riporto qui perchè potrebbe esser utile anche ad altri,praticamente a video si vede solo lo sfondo del desktop,quindi la sequenza dell'altro post che mi hai segnalato come la dovrei fare? nn c'è start-esegui-regedit.
non c'è niente praticamente e il task manager è disabilitato

[xcdegasp]

Quote:

Originariamente inviato da cocoz1

guarda ho postato anche nell'altra discussione,ma riporto qui perchè potrebbe esser utile anche ad altri,praticamente a video si vede solo lo sfondo del desktop,quindi la sequenza dell'altro post che mi hai segnalato come la dovrei fare? nn c'è start-esegui-regedit.
non c'è niente praticamente e il task manager è disabilitato

usa la scorciatoia da tastiera: tasto windows + r

[cocoz1]

Quote:

Originariamente inviato da xcdegasp

usa la scorciatoia da tastiera: tasto windows + r

ok riuscito a recuperare il desktop,ma il pc era troppo pieno di virus e malware,nn essendo formattato da un paio d'anni ho preso la palla al balzo,grazie per l'ottima assistenza come sempre,e auguri per questo nuovo post di disinfezione

[xcdegasp]

Quote:

Originariamente inviato da cocoz1

ok riuscito a recuperare il desktop,ma il pc era troppo pieno di virus e malware,nn essendo formattato da un paio d'anni ho preso la palla al balzo,grazie per l'ottima assistenza come sempre,e auguri per questo nuovo post di disinfezione

a questo punto dovrete pensare a come aumentare la sicurezza di quel pc, e spero abbiate censito e prevediate l'uso quotidiano e costante di un account limitato

[pec85]

ciao a tutti,, come avavo scritto nell 3d che precedeva questo ho un problema che potrebbe derivare da questo malware: ho scaricato da emule petepoker e dopo averlo decompresso l'ho lanciato: questo ha provocato lo spegnimento del pc, msn non andava piu, non riuscivo a sentire i file audio con winamp,ogni tanto mi riavviava da solo il pc e spesso mi dava eoori win32, oltre che chiaramente ad avermi inibito avira!!
Ho seguito la procedura consigliata nel 3d precedente con elibagla mi ha rilevato un malware in msnmsngr.exe che ho eliminato poi piu nulla.
Ora sento i file audio, non mi riavvia piu il pc ma non riesco a installare avira ne altri antivirus, ho seguito anche le istruzioni di questo topic ma oltre al fatto che serve la licenza per Malwarebytes Anti-Malware quando vado a lanciare combofix mi da errore in win32 e quindi non funziona, stessa cosa per hijackthis...che devo fa??mi serve il vostro aiuto perche devo completare la tesi e laurearmi a breve!!grazie mille, qui di seguito vi post i link dei log:

Malwarebytes Anti-Malware
http://www.fileqube.com/file/wbAFBQkV176206

elibagla
http://www.fileqube.com/file/ePinRctL176207

kaspersky
http://www.fileqube.com/file/wTlUauP176208

[pec85]

errore: la licenza per PrevxCSI non malwarebytes...

[xcdegasp]

Quote:

Originariamente inviato da pec85

errore: la licenza per PrevxCSI non malwarebytes...

chiede la licenza se si volesse eseguyire la procedura di pulizia quindi questo significa che ha rilevato del malware e di conseguenza dovevi salvare il log. Oltre a questo come si chiamava il malware che ti identificava?
per combofix hai provato a rinominarlo ad esempio "prova.exe" e ad eseguirlo?
momentaneamente non posso accedere ai link per visionare i tuoi log per causa di questa lan in cui sono, stasera quando torno a casa potrò visionarli.

[Chill-Out]

@pec85

Hai provveduto a fare pulizia con ATF Cleaner?

[pec85]

@xcdegasp:si ho provato a rinomine combofix 2 volte ma mi da sempre errore, il log di CSI(lunghissimo) è:
http://www.fileqube.com/file/cgDDBGNFP176341
@chillout: si l'avevo eseguita prima di iniziare le altre operazioni

[xcdegasp]

Quote:

Originariamente inviato da pec85

@xcdegasp:si ho provato a rinomine combofix 2 volte ma mi da sempre errore, il log di CSI(lunghissimo) è:
http://www.fileqube.com/file/cgDDBGNFP176341
@chillout: si l'avevo eseguita prima di iniziare le altre operazioni

per prevx c'è questa infezione:

Quote:

[b] c:\documents and settings\marco\dati applicazioni\drivers\wfsintwq.sys [PX5: 26876BA1CC5CF3E8D04601C724ACFF004B89B756] Malware Group: Medium Risk Malware

scarica avenger -> download
e poi carica questo script:

Codice:

Files to delete:
c:\documents and settings\marco\dati applicazioni\drivers\wfsintwq.sys

ti farà riavviare il pc dopo di che riscarica combofix, rinominalo ed eseguilo fatto questo lo disinstalli dopo esserti salvato il log e poi altra scansione con malwarebytes e prevcsi

[pec85]

grazie xcdegasp, ma sono un superniubbo, cosa intendi per caricare uno script, per me è arabo!e avenger devo eseguirlo?perche se lo eseguo mi da errore:
! Impossibile eseguire "C:\DOCUME~1\Marco\IMPOST~1\Temp\Rar$EX00.953\avenger.exe"
e prevx mi dice che ha identificato linfezione medium risk malware in C:\documents and settingd....\avenger.exe

[pec85]

un altra cosa: siccome devo portare in giro dei file (.doc) ma non voglio infettare le chiavette, se le mette su cd o se le invio via mail evito il problema del malware o lo posso passare anche cosi?

[xcdegasp]

Quote:

Originariamente inviato da pec85

grazie xcdegasp, ma sono un superniubbo, cosa intendi per caricare uno script, per me è arabo!e avenger devo eseguirlo?perche se lo eseguo mi da errore:
! Impossibile eseguire "C:\DOCUME~1\Marco\IMPOST~1\Temp\Rar$EX00.953\avenger.exe"
e prevx mi dice che ha identificato linfezione medium risk malware in C:\documents and settingd....\avenger.exe

ti da errore perchè prima devi scompattarlo e impedire che l'antivbirus te lo cancelli
per caricare lo script significa che quando esegui avenger lui ti chiederà di dargli degli ordini e hai 3 strade per poterlo fare, dargli in pasto un file di testo con il contenuto che ti ho scritto, oppure fare a lui aprire una finestra e inserire direttamente il testo che ti ho fornito oppure (ma non te lo consiglio) dargli il link a un file pubblicato sul web con i passi da eseguire.
è semplicissimo l'uso di avenger, fidati e fai come ti ho indicato non puoi sbagliare

[pec85]

mi da errore in win32 quando vado a lanciarlo (dal desktop dopo averlo decompresso)

[pec85]

quale degli antivirus che mi avete fatto scaricare devo disinstallare?ho gia disinstallato prevCSI e non cambia nulla...ps: avira come avevo detto ancora non mi funziona quindi x ora ho solo antimalware e elibagla...
riguardo le mail e i cd con file .doc non danno problemi di infettivita, vero?
scusate se faccio 1000 domande ma voglio risolvere sto problema piu presto possibile...