Bitdefender online scanner e trojan.bagle.Do/DN

[karnevil9]

Ciao a tutti,
da ieri non riesco a reinstallare Norton Internet security 2007 e, leggendo alcuni post sul forum, ho capito che poteva essere un trojan di nome bagle. Infatti ho lanciato Bitdefender online scanner e mi sta trovando (sta ancora "scannando" il sistema in questo momento) bagle.DO, bagle.DN e Deepscan.generic.malvare.
La domanda è questa: Bitdefender non riesce a rimuovere a l'infezione e cancella i files: lo lascio fare o interrompo la procedura di scanning? Grazie anticipatamente, scusate le imprecisioni ma sono un rookie!

[Riverside]

Quote:

Originariamente inviato da karnevil9

Ciao a tutti,
da ieri non riesco a reinstallare Norton Internet security 2007 e, leggendo alcuni post sul forum, ho capito che poteva essere un trojan di nome bagle. Infatti ho lanciato Bitdefender online scanner e mi sta trovando (sta ancora "scannando" il sistema in questo momento) bagle.DO, bagle.DN e Deepscan.generic.malvare.
La domanda è questa: Bitdefender non riesce a rimuovere a l'infezione e cancella i files: lo lascio fare o interrompo la procedura di scanning? Grazie anticipatamente, scusate le imprecisioni ma sono un rookie!

Lascia terminare la scansione e pubblica, qui, l'eventuale log rilasciato al termine della scazione.
Poi dai una occhiata a questa procedura per la rimozione di Blagle: clicca qui per leggere l'articolo
Se hai dubbi, domande da porre in merito a come deve essere eseguita la procedura, chiedi qui e troverai persone disponibili darti una mano.

[karnevil9]

Innanzitutto grazie Riverside per la tempestività e soprattutto la cortesia.
Bitdefender ha rilasciato il seguente log:
BitDefender Online Scanner - Real Time Virus Report

Generated at: Sat, Sep 08, 2007 - 15:38:58


-------------------------------------------------------------

Scan Info

Scanned Files
388998

Infected Files
8

Virus Detected

Trojan.Bagle.DN
1

Trojan.Bagle.DO
4

DeepScan:Generic.Malware.SP!VPkWkg.B441F180
3

---------------------------------------------------------------

Ho dato un'occhiata all'articolo, se ho ben capito (essendo niubbissimo!!!!) Avenger, con un buon script, potrebbe aiutarmi... potreste voi darmi una mano per ottenere uno script efficace? Oppure avete bisogno altri elementi da me? Se può servire vi dico che ho lanciato Kaspersky online scanner e se (tra qualche ora!) rilascia un log posso postarlo.
Un'ultima cosa: da stamattina, quando ho iniziato a smanettare, ad ora ancora non ho riavviato il PC... ho fatto bene o no (perchè, da inesperto, so solo che al riavvio... succede o il meglio o ... il peggio!)....
Grazie fin d'ora

[Riverside]

Chiaramente sei infetto da Bagle.
Nella procedura che ti ho linkato, Wizard ha spiegato come devi creare lo script da inserire in Avenger (rileggi bene).
Prima di eseguire quella procedura, fai una totale pulizia:

● CCLEANER: clicca qui per il download
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

● PANDA ANTIROOTKIT: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

● ASQUARED FREE: clicca qui per il download
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati

● ADS REVEALER: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua, rimuove ed esporta gli Alternate Data Streams (ADS) presenti su file system NTFS

● ESET AGVPFIX: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua e rimuove eventuali Win32/Agent.VP trojan

● esegui una nuova scansione on-line (e pubblica il log) da: Kaspersky online scanner

Per finire, pubblica, qui, un log HIJACKTHIS: clicca qui per il download
● crea una nuova Cartella sul Desktop (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona di Startup)
● lancialo poi clicca su Scan ed una volta che è stata creata la list, clicca su Save Log

Cerca, inoltre, di darci indicazioni precise in merito a tutto ciò che viene rilevato e rimosso dai programmi che ti ho indicato.

[karnevil9]

Wow! rispetterò scrupolosamente la scaletta delle cose da fare che mi hai indicato.
Purtroppo ora temo di dover uscire e provvederò domani, e a questo proposito chiedo: siccome al primo passaggio di Bitdefender probabilmente alcuni files, non curabili, sono stati cancellati, e CCcleaner (a proposito, continua a ripetere scansioni, è normale??) cancellerà altra roba, da qui a domani è meglio che lasci il PC acceso oppure posso spegnerlo senza problemi per il successivo riavvio?
Ti "romperò" ancora riferendoti di ciò che succede passo-passo usando gli applicativi che mi hai suggerito, ok? ;-) Thks!

[karnevil9]

Ricapitolo quanto fatto sinora:
1) Bitdefender: fatto scansione; ha trovato infezione da bagle, e ciò che non ha potuto curare lo ha cancellato;
2) CCleaner: settati e lanciato come da istruzioni di Riverside (ha fatto un bel pò di pulizia, ca. 850 MB);
3) Lanciato Gmer, che al termine ha rilasciato un log. Riporto qui sotto le linee in rosso (che se ho ben capito sono quelle rilevanti):
GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-09-08 17:52:34
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.13 ----

....
ZwClose
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys ZwCreateFile <-- ROOTKIT !!!
... ZwCreatePagingFile
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys ZwEnumerateKey <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys ZwEnumerateValueKey <-- ROOTKIT !!!
... ZwOpenKey
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys ZwQueryDirectoryFile <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys ZwQueryKey <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys ZwQuerySystemInformation <-- ROOTKIT !!!
... ZwSetValueKey

... F71DB000-F71F3000 (98304 bytes)

---- Processes - GMER 1.0.13 ----

Process C:\WINDOWS\system32\drivers\hidr.exe (*** hidden *** ) 584
Process C:\Documents and Settings\Sergio\Dati applicazioni\m\flec006.exe (*** hidden *** ) 15128

---- Services - GMER 1.0.13 ----

Service C:\WINDOWS\system32\drivers\srosa.sys (*** hidden *** ) [SYSTEM] srosa <-- ROOTKIT !!!
...

A questo punto procedo lanciando gli altri software segnalati nel post in sequenza??
Tra l'altro il Panda antirootkit mi segnala un sacco di rootkit: li posso davvero selezionare tutti senza paura per la cancellazione?
Scusatemi, ma con il vs. aiuto sento che ce la farò!

[juninho85]

esegui con avenger
questo script:
Files to delete:
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\hidr.exe
%SystemDrive%:\WINDOWS\system32\wintems.exe
%SystemDrive%:\WINDOWS\system32\hldrrr.exe
C:\Documents and Settings\Sergio\Dati applicazioni\m\flec006.exe
C:\WINDOWS\system32\drivers\srosa.sys
folders to delete:
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires
%SystemDrive%:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

[karnevil9]

Il problema è sulla via di soluzione... mettendo insieme gli aiuti (preziosi già sin qui, grazie!) di Riverside e Juninho, in effetti ho preparato uno script per avenger e, una volta lanciato, il sistema mi ha consentito di lanciare la patch di installazione di Norton I.S. (cosa che prima era impossibile).
Restano due problemi:
1) al termine del setup di Norton, ho ancora problemi di "Errore di Prodotto", che il tutorial del sito Symantec riconduce al "riconoscimento dell'abbonamento"...qualcuno ha la soluzione?
2) nonostante il lancio del setup di Norton mi faccia capire che bagle è debellato, ho provato a lanciare per scrupolo Bitdefender (in questo momento ancora in esecuzione) e, abbastanza sorprendentemente, ha trovato (ed eliminato) 99 (novantanove!!!) infezioni di un certo Win32.Worm.Bagle.ZJJ!!! Però, noto che le infezioni sono tutte di files contenute nella cartella C:\Documents and settings\%UserProfile%\Pavark\RKCL_SEND\ e sono tutte nella forma %codice random%.fil . Mi domando: non si tratta per caso dei rootkit trovati e rimossi con Panda Antirootkit e da me inviati al centro Panda (selezionando l'apposita opzione nel programma) per studiarli??? Mi devo comunque preoccupare della segnalazione di Bitdfender???

Comunque, per possibile utilità, allego qui sotto lo script ottenuto con Gmer e quello inserito in avenger, i quali - ripeto - mi hanno comunque consentito di eliminare almeno al 99% il problema bagle (se mi dite che il problema della cartella RKCL_SEND è un "non problema" allora probabilmente la soluzione è al 100%):

GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-09-08 17:52:34
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.13 ----

....
ZwClose
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys ZwCreateFile <-- ROOTKIT !!!
... ZwCreatePagingFile
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys ZwEnumerateKey <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys ZwEnumerateValueKey <-- ROOTKIT !!!
... ZwOpenKey
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys ZwQueryDirectoryFile <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys ZwQueryKey <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys ZwQuerySystemInformation <-- ROOTKIT !!!
... ZwSetValueKey

... F71DB000-F71F3000 (98304 bytes)

---- Processes - GMER 1.0.13 ----

Process C:\WINDOWS\system32\drivers\hidr.exe (*** hidden *** ) 584
Process C:\Documents and Settings\%UserProfile%\Dati applicazioni\m\flec006.exe (*** hidden *** ) 15128

---- Services - GMER 1.0.13 ----

Service C:\WINDOWS\system32\drivers\srosa.sys (*** hidden *** ) [SYSTEM] srosa <-- ROOTKIT !!!
...




SCRIPT INSERITO IN AVENGER:
Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

Vi prego di dirmi qualcosa circa i punti 1 e 2, anche solo per potere adeguatamente ringraziare i componenti di questo forum che definire prezioso è riduttivo....

[juninho85]

più che altro dovresti postarci il file del log ottenuto con gmer e pulizia effettuata,così possiamo capire o meno se i file sono stati eliminati

[karnevil9]

lo faccio subito... va bene il log dello scan operato sul tag "rootkit"? O è utile anche quello di "autostart" o anche altri?

[juninho85]

Quote:

Originariamente inviato da karnevil9

lo faccio subito... va bene il log dello scan operato sul tag "rootkit"? O è utile anche quello di "autostart" o anche altri?

scusami,intendevo il log di avenger

[karnevil9]

Figurati, sono io che da buon niubbone non afferro subito...
Dunque Juninho, se ho ben capito ecco il log del Gmer ANTE-intervento con avenger:

GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-09-08 17:52:34
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.13 ----

....
ZwClose
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys ZwCreateFile <-- ROOTKIT !!!
... ZwCreatePagingFile
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys ZwEnumerateKey <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys ZwEnumerateValueKey <-- ROOTKIT !!!
... ZwOpenKey
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys ZwQueryDirectoryFile <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys ZwQueryKey <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys ZwQuerySystemInformation <-- ROOTKIT !!!
... ZwSetValueKey

... F71DB000-F71F3000 (98304 bytes)

---- Processes - GMER 1.0.13 ----

Process C:\WINDOWS\system32\drivers\hidr.exe (*** hidden *** ) 584
Process C:\Documents and Settings\%UserProfile%\Dati applicazioni\m\flec006.exe (*** hidden *** ) 15128

---- Services - GMER 1.0.13 ----

Service C:\WINDOWS\system32\drivers\srosa.sys (*** hidden *** ) [SYSTEM] srosa <-- ROOTKIT !!!
...




ecco invece lo SCRIPT INSERITO IN AVENGER:
Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32


Se serve altro... scatto!

[juninho85]

una volta inserito quello script in aveger,riavviato il pc ed eseguita la pulizia,dovresti avere un log salvato probabilmente in c:\avenger...mi serve quello

[karnevil9]

Ooops! ;-) Dunque, l'ho trovato in un file backup.zip proprio dove dicevi tu. si chiama avenger.txt. ecco il log:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\iaprgpqb

*******************

Script file located at: \??\C:\Program Files\bqdhvvxl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\srosa.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc0000034



File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034



Folder C:\WINDOWS\exefnd not found!
Deletion of folder C:\WINDOWS\exefnd failed!

Could not process line:
C:\WINDOWS\exefnd
Status: 0xc0000034

Folder C:\WINDOWS\exefld deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.