rimuovere beagle.gx


una volta diagnosticata l'infezione fate come qui sotto
innanzitutto disattivate il ripristino di configurazione di sistema,

aprite regedit da esegui,
andate in HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services
qui cancellate il file m_hook

poi andate a HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

ed eliminate il valore
"drv_st_key" = "%UserProfile%\Application Data\hidn\hidn.exe"

poi eliminate la chiave

HKEY_CURRENT_USER\Software\FirstRuxzx

uscite dal registro di sistema.

scaricate ed eseguite gmer, fate le scan a rootkit e autostart.
riavviate

fate una scan on-line con panda
http://www.pandasoftware.com/activescan/it/activescan_principal.htm
e con trend micro
http://housecall.trendmicro.com/

dopo di che eseguite quello ceh è scritto qui sotto
http://www.megalab.it/articoli.php?id=948

ringrazio personalemnte amantide per aver creato questa guida, e spero che in altre occasioni ci possa essere un più aperto dialogo fra noi, visto ceh non siamo altro che colleghi

falla girare nella sezione delle infezioni

falla girare nella sezione delle infezioni

ok, che tene pare?

ok, che tene pare?
abbastanza chiara,sull'efficacia non saprei,quand'ho avuto a che fare con beagle era ancora un cucciolo innocuo :D

abbastanza chiara,sull'efficacia non saprei,quand'ho avuto a che fare con beagle era ancora un cucciolo innocuo :D

ho fatto un collage di megalab trendmicro symantec, vediamo un po

Questo virus sarebbe il famoso Bagle?

Ricordo che il Worm B. causa nel pc infetto i sintomi generici sotto riportati:

a) Antivirus e spesso anche antimalware e/o Antipsyware disattivati.
b) Firewall disattivato.
c) Impossibilità di installare i programmi di sicurezza.
d) Avvio in modalità provvisoria disattivato.

p.s. naturalmente la componente rootkit è presente.

Il nod32 lo rileva il bagle?

Il nod32 lo rileva il bagle?

si

http://www.virusradar.com/

Acc..1993 mi hai preceduto !!

Comunque in 37 varianti !!

Ricordo che il Worm B. causa nel pc infetto i sintomi generici sotto riportati:

a) Antivirus e spesso anche antimalware e/o Antipsyware disattivati.
b) Firewall disattivato.
c) Impossibilità di installare i programmi di sicurezza.
d) Avvio in modalità provvisoria disattivato.

p.s. naturalmente la componente rootkit è presente.

io ci aggiungerei che alcune varianti rinominano i .exe per non farli funzionare

io ci aggiungerei che alcune varianti rinominano i .exe per non farli funzionare

vero

ho fatto un collage di megalab...

Innanzitutto, visto che mi sono appena registrata, vorrei salutare tutto il forum di hwupgrade :cincin:

Carissimo wizard1993, mi fa enorme piacere che mi considerate abbastanza brava in materia da scoppiazzare il mio lavoro (oramai lo spacciano per il proprio tanti utenti dei vari forum, conosciuti nel campo di sicurezza) però ti vorrei ricordare che tutto il materiale di www.megalab.it è protetto da copyright e non può essere copiato.

Sono contenta che usate la mia guida sulla rimozione di Bagle (http://www.megalab.it/articoli.php?id=948) aiutando gli altri a ripulire il pc da questo worm, però copiare il lavoro altrui senza nemmeno indicare la fonte non è la cosa carina.

Un grande saluto a tutti.:mano:

Innanzitutto, visto che mi sono appena registrata, vorrei salutare tutto il forum di hwupgrade :cincin:

Carissimo wizard1993, mi fa enorme piacere che mi considerate abbastanza brava in materia da scoppiazzare il mio lavoro (oramai lo spacciano per il proprio tanti utenti dei vari forum, conosciuti nel campo di sicurezza) però ti vorrei ricordare che tutto il materiale di www.megalab.it è protetto da copyright e non può essere copiato.

Sono contenta che usate la mia guida sulla rimozione di Bagle (http://www.megalab.it/articoli.php?id=948) aiutando gli altri a ripulire il pc da questo worm, però copiare il lavoro altrui senza nemmeno indicare la fonte non è la cosa carina.

Un grande saluto a tutti.:mano:

per la precisione l'ho scopiazzato dai tanti 3d che sono qui dentro e dal sito di symantec e trend micro, giusto quello.

comunque se vuoi edito il tutto, comunque di metodi per eliminare il virus suddetto c'è n'è solo uno, quindi se lo script di avanger è quello, solo quello può essere, se l aprocedura di avvio il programma è quella solo quella può essere, dato che non esisteno altri pogrammi che fanno lo stesso lavoro di avanger, ho dovuto per forza rivolgermi a quello. le chiavi di registro le ho fregate dai sisti della symantec e della trendmicro e il file per riparare la modalità provvisoria da un tread su wininzio,
da tuo articolo, per quanto sia forte la somiglianza, non h preso nulla

per correttezza etica, ho aggiunto il link alla guida di megalab

Innanzitutto, visto che mi sono appena registrata, vorrei salutare tutto il forum di hwupgrade

Ciao Amantide :flower:
benvenuta su Hardware Upgrade, ti leggo molto spesso sul forum di Megalab, ed anche su p2pforum, ti ho vista trarre in salvo intere schiere di utenti i cui pc erano stati funestati dal "worm Bagle", ed in realtà non solo da "Bagle", ma da innumerevoli altri problemi, e personalmente ti stimo davvero molto.

Sarei davvero molto felice se ti aggregassi quotidianamente anche a questo forum, e se decidessi di donarci un pò del tuo tempo trascorrendolo insieme a noi, penso che il tuo contributo su HWU sarebbe indubbiamente assai prezioso, ed io che amo imparare osservando persone più esperte e competenti e qualificate di me, penso che nel vederti all'opera anche qui su HWU , imparerei davvero moltissimo.

mi fa enorme piacere che mi considerate abbastanza brava in materia da scoppiazzare il mio lavoro (oramai lo spacciano per il proprio tanti utenti dei vari forum, conosciuti nel campo di sicurezza) però ti vorrei ricordare che tutto il materiale di www.megalab.it è protetto da copyright e non può essere copiato.

Sono contenta che usate la mia guida sulla rimozione di Bagle (http://www.megalab.it/articoli.php?id=948) aiutando gli altri a ripulire il pc da questo worm, però copiare il lavoro altrui senza nemmeno indicare la fonte non è la cosa carina.


Ho letto con sincero interesse molte delle cose che hai scritto su MegaLab.it, ad es. la "Guida alla rimozione di Bagle", la "Guida alla rimozione di Gromozon alias LinkOptimizer" , la"Guida alla configurazione di Comodo Personal Firewall", gli articoli inerenti "Gmer" ed "Unlocker" , ed è proprio dall'analisi attenta di tutte queste cose, e dall' osservazione di tutto quello che fai per il forum di MegaLab.it ed anche per p2pforum, che è nata e cresciuta la stima per te.

Visito frequentemente la sezione di Megalab dedicata a guide, news, e tutorial, ho grande stima considerazione e rispetto per il lavoro che state facendo in qualità di redattori, e per tutto l'aiuto che riuscite a portare ad utenti in difficoltà grazie al vostro ottimo forum, e ci tengo a precisare che queste medesime cose le penso anche di "SUSPECTFILE" e di tutti i suoi collaboratori.

Io sinceramente ho sempre suggerito la lettura della tua "Guida alla rimozione di Bagle" ed ho sempre avuto cura -per una questione di rispetto del tuo lavoro che apprezzo e stimo- di precisare il link alla guida su Megalab, ed assai spesso di indicarti come Autrice apprezzata e stimata, nominandoti mediante il nick-name "Amantide", o semplicemente citandoti come "Redattrice di Megalab"

Preciso che ho volutamente e scientemente SEMPRE OMESSO di citare il tuo NOME E COGNOME, che pure conosco perfettamente, perchè personalmente tengo infinitamente alla PRIVACY, e "per come io vivo la rete", Internet è un luogo nel quale si possono confrontare con libertà le proprie idee e pensieri con quelli dei propri interlocutori , MA NON E' il luogo ideale nel quale scrivere le proprie generalità e diventare "identificabili fisicamente."

Per quanto mi riguarda, NON ho nessuna difficoltà a scrivere in rete le cose che penso, perchè mi piace difendere le mie idee e le cose in cui credo, MA amo, difendo strenuamente e NON intendo rinuciare per nessuna ragione all' ANONIMATO IN RETE, quindi per una questione di COERENZA che ritengo da parte mia assolutamente doverosa e necessaria, preferisco evitare di fare il nome, e citare le generalità di altri, anche nel caso in cui questi dati mi siano perfettamente noti, come nel tuo caso.

Ti copio ed incollo qui di seguito alcuni dei miei interventi più significativi nei quali si parla di te, del tuo lavoro, di quanto tu abbia contribuito ad aiutare tanti utenti in difficoltà a risolvere problemi talora anche molto complessi.

Mi permetto di suggerirti la lettura -in particolare- del primo thread che ti linko perchè in esso troverai anche alcune mie riflessioni inerenti i forum, e la necessità di collaborazione e non di contrapposizione fra chi in essi presta il proprio intervento ed aiuto, riflessioni che penso potresti condividere, o forse no, ( ma io spero di si, ovviamente) ed aggiungo che mi piacerebbe magari confrontarci su questo tema, se lo vorrai, eventualmente anche in privato.

http://www.hwupgrade.it/forum/showthread.php?t=1416380
"Popup continui - Probabile infezione"

http://www.hwupgrade.it/forum/showthread.php?t=1416623
"Non posso installare Antivirus e Firewall"

http://www.hwupgrade.it/forum/showthread.php?t=1421682
"virus maledetto!!!!!!!!!"

http://www.hwupgrade.it/forum/showthread.php?t=1413846
"Virus che non fa avviare antivirus?"

http://www.hwupgrade.it/forum/showthread.php?t=1410134
"viruuuussss"


Con stima sincera
ciao
ania

Eh si, dovrebbero trasmettere la guida anche sui tg, penso che sia programmata per stasera:D
Lo spunto di questa guida
http://www.megalab.it/articoli.php?id=892&pagina=1
da dove è stato preso? non vedo nessuna fonte, non mi venite a dire che è tutta farina del vostro sacco perchè non è così:) , pare che nessuno vi abbia detto niente, sbaglio?
Hai propio ragione, copiare(o modificare) il lavoro altrui senza citare nemmeno la fonte o lo spunto è veramente brutto.

Ciao

Gianluca

Ciao Amantide
benvenuta su Hardware Upgrade
Con stima sincera
ciao
ania
Ciao Ania:) , sei troppo gentile!!
Ti ringrazio moltissimo per il benvenuto e sappi che ti leggo anche io e che la stima è reciproca. ;)

Vorrei precisare una cosa.
Non è stato il primo post a spingermi a rispondere, fidati, che in giro ne ho visto gli scoppiazzamenti peggiori, quasi la parola in parole, senza intervenire, ma la parte che avevo citato prima...
Il materiale di MegaLab.it non può essere copiato nemmeno citando la fonte ;)

comunque di metodi per eliminare il virus suddetto c'è n'è solo uno, quindi se lo script di avanger è quello, solo quello può essere, se l aprocedura di avvio il programma è quella solo quella può essere, dato che non esisteno altri pogrammi che fanno lo stesso lavoro di avanger, ho dovuto per forza rivolgermi a quello.
Come fai ad affermarlo? Vuoi che ti mostro almeno 2-3 metodi alternativi per rimuovere questo worm? (Cmq. si scrive Avenger, non Avanger).

http://www.megalab.it/articoli.php?id=892&pagina=1
da dove è stato preso? non vedo nessuna fonte, non mi venite a dire che è tutta farina del vostro sacco perchè non è così , pare che nessuno vi abbia detto niente, sbaglio?
Le fonti semplicemente non ci possono essere perchè la guida non è stata nè copiata nè tradotta da qualche altra lingua, sono stata l'unica cretina in giro che ha voluto infettare spontaneamente il proprio pc per aver la possibilità di scrivere una guida sulla rimozione di questo worm. Caso mai dovrei citare i primi utenti di MegaLab.it che hanno avuto "l'onore" di conoscere Bagle personalmente.
Conosco solo un'altra persona che l'ha fatto per capire meglio il funzionamento di Bagle... puoi mostrarmi qualcun'altro?

Come fai ad affermarlo? Vuoi che ti mostro almeno 2-3 metodi alternativi per rimuovere questo worm? (Cmq. si scrive Avenger, non Avanger).




accetterei volentieri, ma preferirei che tu mi spedissi un simple della bestiola per trovarlo da solo

:stordita: :stordita:
quello che hai fatto tu, lo faccio tutti i giorni:D , si si quella guida è tutta farina del tuo sacco, scusa se ho dubitato:D

Ciao

PS:Io se vuoi te ne mostro 100 di modi per rimuoverlo, infatti non ho mai usato la tua guida.

Amantide ha in parte scritto:
.....sono stata l'unica cretina in giro che ha voluto infettare spontaneamente il proprio pc per aver la possibilità di scrivere una guida sulla rimozione di questo worm....

Non è cosa incosueta in questo settore...:D

Ricordo la mia insegnante di scienze,secoli fà,che arrivò a dire che gusto avevano le formiche.
Alla mia domanda:"E lei come fà a saperlo" questa rispose "Ebbene ne ho mangiata una" :D :D
Perdonate l'O.T.

Benvenuta.

Grazie per il benvenuta, sampei.nihira

Non conosco molto bene questo forum ma mi auguro di trovare qui qualche altro mangiatore di formiche oltre a te e lucass. :D
E' più bello poter scambiare l'opinione sui "gusti e le sensazioni" provati e sentiti personalmente... che su quelli descritti da qualche "cuoco o romanziere"...:rolleyes:

Grazie per il benvenuta, sampei.nihira

Non conosco molto bene questo forum ma mi auguro di trovare qui qualche altro mangiatore di formiche oltre a te e lucass. :D
E' più bello poter scambiare l'opinione sui "gusti e le sensazioni" provati e sentiti personalmente... che su quelli descritti da qualche "cuoco o romanziere"...:rolleyes:


ho seditato il post, e ringrazio te personalemnte per aver creato la guida, e spero che in altre occasioni ci possa essere un più aperto dialogo fra noi, visto ceh non siamo altro che colleghi

ho seditato il post,
Non ce n'era nessun bisogno di modificare il post iniziale anche perchè dalla mia guida avevi preso ben poco, non ti avevo "attaccato" per il modo in cui hai scritto il post ma perchè avevi detto di aver copiato da MegaLab.it ;) , e visto che tutto il materiale di MegaLab.it è protetto da copiright, volevo solo avvisare che spingersi un pò oltre e magari copiare veramente la guida non era consentito. :)

Ciao.

Grazie per il benvenuta, sampei.nihira

Non conosco molto bene questo forum ma mi auguro di trovare qui qualche altro mangiatore di formiche oltre a te e lucass. :D
E' più bello poter scambiare l'opinione sui "gusti e le sensazioni" provati e sentiti personalmente... che su quelli descritti da qualche "cuoco o romanziere"...:rolleyes:
Non l'ho capita la frase:)
Lucass o lucas84 o lucas non fa differenza:stordita: :stordita:

Ciao

Non conosco molto bene questo forum ma mi auguro di trovare qui qualche altro mangiatore di formiche oltre a te e lucass.
E' più bello poter scambiare l'opinione sui "gusti e le sensazioni" provati e sentiti personalmente... che su quelli descritti da qualche "cuoco o romanziere"...
Non l'ho capita la frase:)

@lucas84
Credo che Amantide facesse riferimento nella sua frase al fatto che sia tu sia sampei le avete fatto notare che in questo contesto di studio, lavoro, ricerca , sperimentazione , non è poi così raro e/o inusuale che chi deve cercare di trovare delle modalità valide ed efficaci per ripulire un sistema da una data infezione, decida scientemente e volutamente di infettare la propria macchina per poi poterla utilizzare come "cavia" su cui fare ricerca e sperimentazione.

Meglio confrontarsi -sostiene Amantide- con i veri studiosi, ricercatori, sperimentatori, che appunto operano con questo approccio e con queste modalità, che non con coloro che si limitano soltanto a leggere il lavoro altrui, e magari -purtroppo- se ne appropiano copiandolo, e commettendo un plagio.

Io almeno l'ho interpretata così.

Comunque, visto che Amantide è una contemporanea, e visto che io mi auguro che viva in queste pagine ancora per lunghissimo tempo, spero che sia lei stessa ad illuminare le mie incerte deduzioni, anche perchè, oramai lo sai che io sono una ragazza poco fantasiosa :doh: , no ? :D :)
ciao

Grazie Ania mi rivolgerò sempre a te quando non capisco qualche frase, ti avviso che succede molto frequentemente:D

In questo periodo ho notato che il Worm Bagle è in forte aumento e io mi chiedo: Come lo si fa a prendere questo worm?

In questo periodo ho notato che il Worm Bagle è in forte aumento e io mi chiedo: Come lo si fa a prendere questo worm?


Ciao,
in questo post , c'è una risposta di Amantide alla tua domanda:
http://www.hwupgrade.it/forum/showpost.php?p=16288734&postcount=27

Ciao,
in questo post , c'è una risposta di Amantide alla tua domanda:
http://www.hwupgrade.it/forum/showpost.php?p=16288734&postcount=27

Il Worm si prende in primis anche grazie all' antivirus inefficiente......

Date un occhiata al test di Av-comparative di febbraio 2007 alla voce WORMS.....
Notate quali antivirus hanno gli utenti infetti....

Certo che se invece di (ad esempio) Antivir :D questi utenti usano (ad esempio Avast) :muro: hanno una probabilità quasi 10 volte maggiore (statisticamente se prendiamo i risultati del test) di infettarsi.

Anche considerando il KAV le cose non migliorano di molto siamo al ........quadruplo.

Se naturalmente ipotiziamo che l'efficienza del real time sia legata (come lo è perchè messo in risalto da Eraser) anche al risultato di questo test

Il Worm si prende in primis anche grazie all' antivirus inefficiente......
Diciamo che in primis si prende a causa del "virus" seduto avanti al monitor :D

Certo che se invece di (ad esempio) Antivir :D questi utenti usano (ad esempio Avast) :muro: hanno una probabilità quasi 10 volte maggiore (statisticamente se prendiamo i risultati del test) di infettarsi.
Su questo aspetto non posso che essere d'accordo, diciamo che al 90% nel pc infetti da Bagle c'era installato Avast come antivirus... e spesso Sygate come firewall (e dopo continuate a dirmi che non è importante avere un firewall aggiornato).

P.S. @ ania
Mi avevi interpretato abbastanza bene, diciamo che la prossima volta lucas84 potrà tranquillamente rivolgersi a te per la "traduzione". ;)

P.S. @ ania
Mi avevi interpretato abbastanza bene, diciamo che la prossima volta lucas84 potrà tranquillamente rivolgersi a te per la "traduzione". ;)

@amantide
bhè, sai com'è, tra noi ragazze ci si capisce praticamente sempre "al volo";) , invece, gli uomini bisogna sempre "tradurli" :D :) si fà sempre una gran fatica, e poi alla fine non ci si capisce nulla ugualmente :cry: ed è tutta fatica sprecata :cry:

Non ce n'era nessun bisogno di modificare il post iniziale anche perchè dalla mia guida avevi preso ben poco, non ti avevo "attaccato" per il modo in cui hai scritto il post ma perchè avevi detto di aver copiato da MegaLab.it ;) , e visto che tutto il materiale di MegaLab.it è protetto da copiright, volevo solo avvisare che spingersi un pò oltre e magari copiare veramente la guida non era consentito. :)

Ciao.

ok, allora avevo capito male io, sai la mia età mi fa credere che siano tutti contro di me, allora ti auguro una buona permanenza nel forum di hwupgrade, e spero di rivederti presto al lavoro, collega