|
|
|
![]() |
|
Strumenti |
![]() |
#1 |
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3391
|
Guida Rimozione virus Bagle (antivirus disattivato) - leggere le Regole di Sezione
LA NUOVA GUIDA E' DISPONIBILE A QUESTO INDIRIZZO http://www.hwupgrade.it/forum/showthread.php?t=1933977 CHI HA PROBLEMI CON IL BAGLE SEGUA LA GUIDA E POSTI I LOG DELLE SCANSIONI IN QUESTO THREAD. TROJAN DOWNLOADER BAGLE Come si propaga e come agisce questo malware? Principalmente si propaga tramite le reti peer to peer (p2p) come emule,ma anche via emaile chiavette USB. Lo si può trovare spesso in archivi contenenti programmi e crack. Una volta eseguito il suo file crea i files hldrrr.exe,mdelk.exe e wintems.exe in C:\windows\system32\drivers oltre alla cartella downld e al file winupgro.exe. Mostra una schermata dove fa selezionare il programma da cracckare. Dopo il riavvio carica il driver srosa.sys,situato nella medesima cartella,termina e cancella i software di sicurezza,che non potranno più essere utilizzati. Scarica vari files da internet nella cartella downld e li avvia. Essi creeranno la cartella %appdata%\m e dentro di essa il file flec006.exe che scarica altri archivi infetti da internet.Questa cartella e i files scaricati non sono nascosti con tecniche rootkit ma hanno solo l'attributo nascosto (come la cartella downld) Inoltre questo malware,modificando 2 chiavi di registro, disabilita la modalità provvisoria,per cui tentando di accedere a windows in safe mode si riceverà una schermata blu (BSOD) Tutti i files di questo malware sono nascosti con tecniche rootkit,per cui non si possono visualizzare tramite esplora risorse. Sintomi dell'infezione:
Rimozione 1) Download: tool rimozione bagle
2) Rimozione principale (sconnesso da internet)
3) Caricamento log delle prime scansioni per il controllo Carica seguendo il punto 2 di queste modalità , quindi in un unico post, i log di:
Poi attendi l'ok a procedere, se non dovesse arrivare in tempi celeri, procedi autonomamente e ricorda che se dovessero esserci problemi con l'utilizzo di ATFCleaner o con l'installazione del nuovo antivirus significa che l'infezione è ancora presente, quindi esegui una scansione con almeno uno dei rescue disk indicati qui sotto 4) Pulizia files inutili, ripristino servizi corrotti e scansione completa con un nuovo antivirus
5) Caricamento log di controllo finale
6) Trattamento post disinfezione Una volta ripulito leggi bene il trattamento post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nella guida Se dovessero essere rimasti dei problemi con la visualizzazione files nascosti guarda qui Se dovessero essere rimasti dei problemi con la connessione (solo per Win XP)
Si ringraziano wjmat e Chill-Out Ultima modifica di Chill-Out : 24-04-2009 alle 22:09. Motivo: Aggiunto combofix alla guida. |
![]() |
![]() |
#2 |
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3391
|
edit
Ultima modifica di Bugs Bunny : 24-08-2008 alle 09:02. Motivo: Rimozione manuale rimossa in quanto inutile |
![]() |
![]() |
#3 |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28856
|
bisognerebbe inserire anche il file m_hook.sys,è relativo alle primissime varianti del restyling del beagle però si sa mai che qualcuno possa venirne ancora infetto
![]() |
![]() |
![]() |
#4 |
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3391
|
![]() inserito ![]() |
![]() |
![]() |
#5 |
Senior Member
Iscritto dal: Oct 2006
Città: Davanti ad un pc
Messaggi: 3619
|
Beagle
Ragazzi anche io ho preso il virus Bagle cliccando su un .exe scaricato con emule (con l'iconcina a forma di occhio).Navigando nei link da voi suggeriti (in particolare la pagina di Megalab che avete segnalato)mi sembra di essere riuscito a risolvere il problema : gmer non mi dà anomalie,ma il problema che ho adesso è che Avast all'avvio di Windows XP non si avvia piu'...non funziona ! Cosa devo fare ? Reinstallarlo ?Una delle caratteristiche di Beagle era proprio quella di disabilitare tutti i programmi di sicurezza come antispyware e antivirus (a me aveva disabilitato Windows Defender,gli aggiornamenti automatici,il firewall di Windows e anche Avast...in piu' ho dovuto applicare un file .reg per ripristinare la possibilità di avviare in modalità provvisoria).
Che faccio con Avast? Devo reinstallarlo ?
__________________
Il mio computer - Il mio muletto - Thread ufficiali : Windows 10 - Windows 11 - Blog Windows - Mozilla Firefox - Mozilla Thunderbird - Libreoffice - Software portabile installationless gratuito ! |
![]() |
![]() |
#6 |
Senior Member
Iscritto dal: Feb 2007
Città: Salerno......
Messaggi: 3254
|
naturalmente si perchè il bagle ti ha danneggiato i file del soft
__________________
Opera disabilitazione script ed iframe ![]() |
![]() |
![]() |
#7 |
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3391
|
quoto,probabilmente ha cancellato l'eseguibile. già che ci sei metti antivir
|
![]() |
![]() |
#8 |
Senior Member
Iscritto dal: Oct 2006
Città: Davanti ad un pc
Messaggi: 3619
|
Tra l'altro seguendo il vostro procedimento ho fatto anche la scansione con l'antivirus online di Kaspersky e mi ha dato come infetti da un TrojanDownloader questi 2 files :
-C:\WINDOWS\system32\wbspark.dll Infected: Trojan-Dropper.Win32.Agent.azv C:\WINDOWS\system32\WebMon.dll Infected: Trojan-Downloader.Win32.Agent.bcr come faccio a rimuovere il virus ? La scansione l'ho fatta con il Kaspersky online,non ho installato la trial altrimenti quasi sicuramente sarebbe entrata in conflitto con Avast. I due files li ho anche controllati su Virustotal.com e ho scoperto che quel Trojan viene rilevato da molti antivirus,ma non da Avast...forse ce l'avevo da ancor prima di Bagle...in ogni caso come faccio a toglierlo ?
__________________
Il mio computer - Il mio muletto - Thread ufficiali : Windows 10 - Windows 11 - Blog Windows - Mozilla Firefox - Mozilla Thunderbird - Libreoffice - Software portabile installationless gratuito ! |
![]() |
![]() |
#9 |
Senior Member
Iscritto dal: Oct 2006
Città: Davanti ad un pc
Messaggi: 3619
|
Antivir ? Ma è in italiano ? Da dove lo scarico ?
__________________
Il mio computer - Il mio muletto - Thread ufficiali : Windows 10 - Windows 11 - Blog Windows - Mozilla Firefox - Mozilla Thunderbird - Libreoffice - Software portabile installationless gratuito ! |
![]() |
![]() |
#10 |
Senior Member
Iscritto dal: Oct 2006
Città: Davanti ad un pc
Messaggi: 3619
|
Ho trovato il sito da cui scaricarlo...
Io con Avast mi trovo meglio perchè è in italiano...pero' mi rendo anche conto che Antivir forse è piu' potente...infatti dai test che ho fatto su alcuni files con Virustotal,Antivir rileva i virus e Avast no... vi chiedo soltanto: di Antivir non c'è la versione in italiano ?
__________________
Il mio computer - Il mio muletto - Thread ufficiali : Windows 10 - Windows 11 - Blog Windows - Mozilla Firefox - Mozilla Thunderbird - Libreoffice - Software portabile installationless gratuito ! |
![]() |
![]() |
#11 | |
Senior Member
Iscritto dal: Feb 2007
Città: Salerno......
Messaggi: 3254
|
Quote:
ed a questo punto è meglio che installi antivir però non è in italiano ma facilmente interpretabile c'è anche un thread ufficiale qui sul forum meglio di così se more ![]()
__________________
Opera disabilitazione script ed iframe ![]() |
|
![]() |
![]() |
#12 | |
Senior Member
Iscritto dal: Oct 2006
Città: Davanti ad un pc
Messaggi: 3619
|
Quote:
__________________
Il mio computer - Il mio muletto - Thread ufficiali : Windows 10 - Windows 11 - Blog Windows - Mozilla Firefox - Mozilla Thunderbird - Libreoffice - Software portabile installationless gratuito ! |
|
![]() |
![]() |
#13 | |
Senior Member
Iscritto dal: Feb 2007
Città: Salerno......
Messaggi: 3254
|
Quote:
scarica a-squared Free 3.0 aggiornalo e fagli fare una scansione completa del sistema,i 2 soft sono free ed ottimi anche per il futuro. Questi te lo seccano di sicuro. ![]()
__________________
Opera disabilitazione script ed iframe ![]() |
|
![]() |
![]() |
#14 |
Junior Member
Iscritto dal: Aug 2006
Messaggi: 29
|
da dove posso scaricare il tool di rimozione visto che il link non funziona??
|
![]() |
![]() |
#15 |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28856
|
apri il sito con IE e accetta il cookie
|
![]() |
![]() |
#16 |
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3391
|
lo script di avenger è stato corretto. leggendo una discussione ho notato che le variabili %systemdrive e %userprofile% unite creavano errori in quanto %userprofile già di suo vuol dire (systemdrive):\documents and settings\(nomeutente)
usciva fuori,quindi C:\documents and settings\C:\documents and settings\utente\eccetera |
![]() |
![]() |
#17 | |
Senior Member
Iscritto dal: Feb 2007
Città: Salerno......
Messaggi: 3254
|
Quote:
Anche elibagla continua ad essere aggiornato (v10.59 05/10/07 aggiunti HIDR.EXE, SROSA.SYS, FLEC006.EXE e WINTEMS.EXE) fortunatamente.... ![]()
__________________
Opera disabilitazione script ed iframe ![]() |
|
![]() |
![]() |
#18 |
Junior Member
Iscritto dal: Jun 2007
Messaggi: 8
|
infezione bagle...occhiata please
come da titolo, seguita procedura segnalata....
allego link: http://www.zshare.net/download/4088280238f1ec/ |
![]() |
![]() |
#19 | |
Senior Member
Iscritto dal: Feb 2007
Città: Salerno......
Messaggi: 3254
|
Quote:
![]() il logo hijackthis è pulito solo che devi aggiornare IE se vuoi poichè vedo che usi firefox..poi vedo che c'è un antikeylogger ed un client di instant message...li hai messi tu? Poi devi aggiornare la java machine... e reinstallare l'antivirus e firewall....facci sapere
__________________
Opera disabilitazione script ed iframe ![]() Ultima modifica di lancetta : 08-10-2007 alle 14:42. |
|
![]() |
![]() |
#20 | ||||
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
Quote:
quindi rifai una passata con EliBagle io fixerei: C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe Quote:
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) da controllare:
consigli: disattiva l'indicizzazione e svuota completamente la cartella c:\windows\prefetch la cartella deve rimanere! O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" aggiornare adobe reader o sostituirlo dal più perfonta Foxitreader sostituirei bit-defender da avira antivir classic
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
||||
![]() |
![]() |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 23:32.