|
|
|
|
Strumenti |
23-02-2009, 14:17 | #1 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
[new] Guida alla disinfezione per Bagle / Mitglieder
Guida alla disinfezione per Bagle / Mitglieder
Premessa: La guida si intende sotto Licenza Creative Commons Il Bagle è un Trojan generalmente difficile da eliminare, che disabilita gli antivirus e usa la tecnica del Rootkit per nascondersi. Un modo semplice per sapere se si è infettati da Bagle è vedere se in "Opzioni Cartella" del Pannello di controllo è presente l'opzione "Files Nascosti", infatti il Bagle provvede a disabilitare ed eliminare questa voce per evitare di essere rintracciato. Inoltre se si inserisce una chiavetta usb o un altra scheda di memoria l'iconia in Risorse del computer cambierà forma diventando una cartella gialla aperta. Caratteristiche dell'infezione: Da virus intelligente, il bagle tenta subito di auto-proteggersi ovvero rimuove o danneggia Antivirus e Firewall e qualsiasi altro software per la protezione del sistema in cui risiede, impedisce l'accesso a qualsiasi eseguibile e in alcuni software, soprattutto nei software antivirus, darà un errore di sistema ("Win32 è un'applicazione non valida"). La modalità provvisoria (Safe Mode) viene bloccata così l'utente non ha la possibilità di eseguire delle scansioni. Nei peggiori dei casi, il bagle potrebbe disattivare pure qualche Drivers, come l'audio o semplicemente farà riavviare il pc molto spesso. Generalmente, il Bagle, rallenta vistosamente la velocità del Pc agendo sulla Memoria Ram e impedisce agli utenti di accedere ai siti dei piu famosi antivirus (nod32, avast, avg, ecc.), a tutti i siti microsoft e al sito per scaricare messenger 2009, facendoli apparire come inesistenti o indirizzando il browser verso la pagina di ricerca dei siti non trovati. Tutte le chiavette usb e le schede di memoria che vengono inserite nel pc infetto vengono automaticamente infettate per poter tentare di propagare l'infezione sui futuri pc in cui verrà inserito il supporto removibile. Si presenta solitamente come un Keygen, di solito con un'icona a forma di croce, con una maschera grigia o un'icona a forma di occhio, il suo nome cambia in alcune varianti del virus, ad esempio Mitglieder o Beagle, ma il funzionamento è molto simile. Il bagle necessita di qualche click da parte dell'utente che fa uso del pc infatti si diffonde tramite le Rete P2P (come ad esempio eMule), via E-mail o grazie a chiavette usb e schede di memoria. Si trova sotto forma di eseguibile, sopratutto nei crack/fix e keygen dei software, all'interno di un archivio compresso, come zip o rar. Per questo motivo, prima di aprire un file compresso, si consiglia di eseguire la scansione con uno specifico servizio ( per esempio www.virustotal.com o www.virscan.org ) di modo da avere una panoramica abbastanza completa su eventuali rischi che annida. fonte: http://it.wikipedia.org/wiki/Bagle Procedura di Disinfezione: Disattiva il ripristino di sistema fino a che il pc non sia stato completamente ripulito:
_ metodo per Win-Vista: Per attivare o disattivare Protezione sistema
eventualmente non si potesse operare la disattivazione seguire questa guida per forzare la chiusura del ripristino di sistema. Imposta i seguenti server dns ( guida per pc/mac/linux | guida per router ): 208.67.222.222 208.67.220.220 e procedete come qui elencato di seguito rispettandone l'ordine d'esecuzione, se questo non venisse rispettato è molto probabile che i risultati siano assolutamente incerti:
Se non dovesse funzionare la procedura sopra descritta si consiglia di eseguire una scansione con Avira AntiVir Rescue System o Kaspersky Rescue Disk. Dopo l'eventuale scansione con un rescue cd ricomincia la procedura dal punto 1 riscaricando tutti i tools. Trattamento Post Disinfezione Una volta ripulito leggi bene il trattamento post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nella guida. Se dovessero essere rimasti dei problemi con la visualizzazione files nascosti segui questa guida. Se dovessero essere rimasti dei problemi con la connessione (solo per Win XP): scarica XP TCP/IP Repair, avvia l'installazione e clicca su Reset TCP/IP, poi su su Repair Winsock, infine riavvia il pc. Ringraziamenti: si ringraziano Bugs Bunny, Chill-Out e Wjmat
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
Ultima modifica di xcdegasp : 24-01-2012 alle 08:41. Motivo: aggiornati i link a opendns.com |
25-02-2009, 10:41 | #2 |
Senior Member
Iscritto dal: Sep 2006
Città: Sa
Messaggi: 5642
|
ieri mi è capitato un pc con questa situazione:
da alcuni giorni dava problemi nel senso che nn faceva installare degli antivirus(da quel che ho letto qui potrebbe esser colpa del bagle,infatti da quel che mi raccontava segnalava qualche root) poi è stato installato avg8 free e fatta una scansione di oltre 2 ore,ha trovato una marea di virus e altro,purtroppo il proprietario si è fidato dell'antivirus e ha fatto elimina tutto,e dopo 1 ora ha eliminato tutto,ma proprio tutto direi Risultato xp parte carica arriva alla schermata del desktop e nn si visualizza più niente a video,ne cartelle,ne file,ne i .exe dei programmi nulla nemmeno la barra di windows start-programmi ecc,e rimane lì a caricare ma nulla. Provato a farlo partire con l'ultima configurazione funzionante,stesso risultato. In tutte le configurazioni in modalità provvisoria nn parte,torna alla schermata di scelta della modalità da cui farlo partire.(Anche questo segnale di bagle da quello letto nel post di spiegazione) Provato a farlo partire anche col cd di windows xp ma niente nn mi fa fare il ripristino. Smontato hard disk e salvato tutti i dati su altro pc(da quel che ho letto corre il rischio anche l'altro pc adesso),ma cosa è successo?c'è modo di rientrare?ah si è anche aggiunta la richiesta di accesso utente che prima nn c'era,basta fare ok e va avanti e il task manager si è disabilitato da solo. dici disabilitato dall'amministratore,ma nessun ha fatto cio. ma cos'era entrato un super-virus?oppure avg ha distrutto il sistema operativo,e nn sarebbe la prima volta che mi capita vedere questo antivirus fare casini. aspetto vostri pareri.
__________________
Tanti post per pezzi di notebook e pc usati..contattatemi Concluso con 85 utenti varie compravendite |
25-02-2009, 11:02 | #3 |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
ciao
non ho ben capito tutti i problemi... quando clicchi su utente vieni immediatamente disconnesso o non vedi le icone del desktop?
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
25-02-2009, 11:21 | #4 | |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
Quote:
ora per capire meglio in che stato viva il pc potremmo seguire questa guida poi in base a quanto emerge vediamo come comportarci ovviamente prima dobbiamo rifar comparire il desktop e tutto il resto quindi segui questa procedura: http://www.hwupgrade.it/forum/showthread.php?t=1555416 poi, come detto sopra, fai la procedura descritte a inizio thread e pubblica tutti i logs
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
25-02-2009, 11:34 | #5 |
Senior Member
Iscritto dal: Sep 2006
Città: Sa
Messaggi: 5642
|
se clicco ok anche senza metter nessuna password va avanti,e carica fino al desktop dove poi nn si visualizza niente...volevo sottolineare che prima nn c'era la richiesta utente
__________________
Tanti post per pezzi di notebook e pc usati..contattatemi Concluso con 85 utenti varie compravendite |
25-02-2009, 11:43 | #6 | |
Senior Member
Iscritto dal: Sep 2006
Città: Sa
Messaggi: 5642
|
Quote:
non c'è niente praticamente e il task manager è disabilitato
__________________
Tanti post per pezzi di notebook e pc usati..contattatemi Concluso con 85 utenti varie compravendite |
|
25-02-2009, 11:51 | #7 | |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
Quote:
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
27-02-2009, 13:32 | #8 |
Senior Member
Iscritto dal: Sep 2006
Città: Sa
Messaggi: 5642
|
ok riuscito a recuperare il desktop,ma il pc era troppo pieno di virus e malware,nn essendo formattato da un paio d'anni ho preso la palla al balzo,grazie per l'ottima assistenza come sempre,e auguri per questo nuovo post di disinfezione
__________________
Tanti post per pezzi di notebook e pc usati..contattatemi Concluso con 85 utenti varie compravendite |
27-02-2009, 13:44 | #9 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
a questo punto dovrete pensare a come aumentare la sicurezza di quel pc, e spero abbiate censito e prevediate l'uso quotidiano e costante di un account limitato
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
27-02-2009, 14:33 | #10 |
Junior Member
Iscritto dal: Feb 2009
Messaggi: 13
|
ciao a tutti,, come avavo scritto nell 3d che precedeva questo ho un problema che potrebbe derivare da questo malware: ho scaricato da emule petepoker e dopo averlo decompresso l'ho lanciato: questo ha provocato lo spegnimento del pc, msn non andava piu, non riuscivo a sentire i file audio con winamp,ogni tanto mi riavviava da solo il pc e spesso mi dava eoori win32, oltre che chiaramente ad avermi inibito avira!!
Ho seguito la procedura consigliata nel 3d precedente con elibagla mi ha rilevato un malware in msnmsngr.exe che ho eliminato poi piu nulla. Ora sento i file audio, non mi riavvia piu il pc ma non riesco a installare avira ne altri antivirus, ho seguito anche le istruzioni di questo topic ma oltre al fatto che serve la licenza per Malwarebytes Anti-Malware quando vado a lanciare combofix mi da errore in win32 e quindi non funziona, stessa cosa per hijackthis...che devo fa??mi serve il vostro aiuto perche devo completare la tesi e laurearmi a breve!!grazie mille, qui di seguito vi post i link dei log: Malwarebytes Anti-Malware http://www.fileqube.com/file/wbAFBQkV176206 elibagla http://www.fileqube.com/file/ePinRctL176207 kaspersky http://www.fileqube.com/file/wTlUauP176208 |
27-02-2009, 14:36 | #11 |
Junior Member
Iscritto dal: Feb 2009
Messaggi: 13
|
errore: la licenza per PrevxCSI non malwarebytes...
|
27-02-2009, 14:54 | #12 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
chiede la licenza se si volesse eseguyire la procedura di pulizia quindi questo significa che ha rilevato del malware e di conseguenza dovevi salvare il log. Oltre a questo come si chiamava il malware che ti identificava?
per combofix hai provato a rinominarlo ad esempio "prova.exe" e ad eseguirlo? momentaneamente non posso accedere ai link per visionare i tuoi log per causa di questa lan in cui sono, stasera quando torno a casa potrò visionarli.
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
27-02-2009, 15:21 | #13 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
@pec85
Hai provveduto a fare pulizia con ATF Cleaner?
__________________
Try again and you will be luckier.
|
27-02-2009, 18:31 | #14 |
Junior Member
Iscritto dal: Feb 2009
Messaggi: 13
|
@xcdegasp:si ho provato a rinomine combofix 2 volte ma mi da sempre errore, il log di CSI(lunghissimo) è:
http://www.fileqube.com/file/cgDDBGNFP176341 @chillout: si l'avevo eseguita prima di iniziare le altre operazioni |
27-02-2009, 23:23 | #15 | ||
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
Quote:
Quote:
scarica avenger -> download e poi carica questo script: Codice:
Files to delete: c:\documents and settings\marco\dati applicazioni\drivers\wfsintwq.sys
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
||
28-02-2009, 10:52 | #16 |
Junior Member
Iscritto dal: Feb 2009
Messaggi: 13
|
grazie xcdegasp, ma sono un superniubbo, cosa intendi per caricare uno script, per me è arabo!e avenger devo eseguirlo?perche se lo eseguo mi da errore:
! Impossibile eseguire "C:\DOCUME~1\Marco\IMPOST~1\Temp\Rar$EX00.953\avenger.exe" e prevx mi dice che ha identificato linfezione medium risk malware in C:\documents and settingd....\avenger.exe |
28-02-2009, 12:35 | #17 |
Junior Member
Iscritto dal: Feb 2009
Messaggi: 13
|
un altra cosa: siccome devo portare in giro dei file (.doc) ma non voglio infettare le chiavette, se le mette su cd o se le invio via mail evito il problema del malware o lo posso passare anche cosi?
|
28-02-2009, 17:48 | #18 | |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
Quote:
per caricare lo script significa che quando esegui avenger lui ti chiederà di dargli degli ordini e hai 3 strade per poterlo fare, dargli in pasto un file di testo con il contenuto che ti ho scritto, oppure fare a lui aprire una finestra e inserire direttamente il testo che ti ho fornito oppure (ma non te lo consiglio) dargli il link a un file pubblicato sul web con i passi da eseguire. è semplicissimo l'uso di avenger, fidati e fai come ti ho indicato non puoi sbagliare
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
28-02-2009, 18:59 | #19 |
Junior Member
Iscritto dal: Feb 2009
Messaggi: 13
|
mi da errore in win32 quando vado a lanciarlo (dal desktop dopo averlo decompresso)
|
28-02-2009, 20:08 | #20 |
Junior Member
Iscritto dal: Feb 2009
Messaggi: 13
|
quale degli antivirus che mi avete fatto scaricare devo disinstallare?ho gia disinstallato prevCSI e non cambia nulla...ps: avira come avevo detto ancora non mi funziona quindi x ora ho solo antimalware e elibagla...
riguardo le mail e i cd con file .doc non danno problemi di infettivita, vero? scusate se faccio 1000 domande ma voglio risolvere sto problema piu presto possibile... |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 04:15.