News calendar | « Giugno 2009 » | Dom | Lun | Mar | Mer | Gio | Ven | Sab | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 |
|
|
Main » 2009 » Giugno » 4 » Rimuovere Bagle (antivirus non funziona)
Rimuovere Bagle (antivirus non funziona) | 15.42.41 |
L’antivirus non funziona, il firewall è bloccato e il computer non si riavvia in modalità provvisoria? Qualunque programma tentate di avviare / installare vi viene restituito l' errore: "Non è un applicazione Win 32 valida" ? Forse è colpa di Bagle.
Il 2007 si apre con il ritorno del worm Bagle, apparso per la prima volta tre anni prima. Il virus allora si era diffuso rapidamente attraverso le reti del P2P (eMule e altri) veicolandosi
attraverso file ZIP, camuffati da screensaver e file eseguibili che,
una volta avviati, disabilitavano i programmi di sicurezza. Adesso
Bagle è ritornato alle cronache con una variante che utilizza tecniche
dei rootkit per diffondersi, ma lasciando invariato il suo
comportamento che consiste nel disattivare antivirus, firewall e antispyware.
Funzionamento e caratteristiche Bagle
appartiene alla categoria dei virus polimorfi, in grado cioè di
modificare il proprio codice ad ogni infezione per renderne più
difficile il riconoscimento da parte degli antivirus. Classificato come trojan.downloader,
dopo aver infettato un computer provvede a scaricare un altro codice
nocivo da Internet. Dopodiché inizia a propagarsi via e-mail allegando
file compressi dal nome variabile, come ad esempio new_price12-Dec-2006 oppure sui canali di Peer to Peer (P2P). Quando il file in allegato al messaggio di posta elettronica corrotto viene aperto, il virus installa nel PC vittima i file hldrrr.exe e wintems.exe
all’interno della cartella di sistema C:\Windows\system32. Il primo
funge da “hijacker” ed è in grado di prendere il controllo del browser
modificandone la pagina iniziale e indirizzando così l’utente verso
siti indesiderati. Al secondo file malevolo è assegnato il compito di
scaricare dalla rete un terzo codice dannoso individuato con il nome hidr.exe,
che si occuperà di disattivare antivirus, firewall e altri programmi di
sicurezza installati nel sistema. Attraverso un falso driver m_hook.sys,
realizzato con tecniche di sviluppo tipiche dei rootkit che lo rendono
completamente invisibile a qualsiasi software, cerca quindi di ottenere
l'accesso al Kernell di Windows, cioè direttamente al suo codice
sorgente in modo da interporsi tra il sistema operativo e qualsiasi
altro software allo scopo di prenderne il controllo.
Sintomi del virus Il
worm inizia, così, la sua attività dannosa: come prima cosa, disattiva
i processi dei software di sicurezza, impedendone l’utilizzo o la
reinstallazione. Altera quindi il funzionamento dei programmi di
pulizia e diagnostica e modifica il file host di Windows (quello che
gestisce la connessione a Internet), bloccando l’accesso a siti che
forniscono assistenza di scan on-line
o dai quali scaricare tool di rimozione. Infine, elimina alcune chiavi
e sotto chiavi dal registro di sistema per impedirne l’avvio in
modalità provvisoria e ne crea di sue per garantirsi l’esecuzione ogni
volta che si accende il PC.
Come rimuovere il Bagle? Nel corso degli anni il virus Bagle ha cambiato variante : l'anno 2009 si è aperto con un nuovo file eseguibile winupgro.exe, due driver srosa.sys e srosa2.sys e dunque essendo cambiati i nomi dei file infetti, i vari tool utilizzati per rimuovere il virus (come Hijackthis, Gmer, The avenger, OTMoveIt3, Combofix, Elibagla -quest' ultimo su Windows Vista non riesce ad accedere ad alcune cartelle infettate-) non funzionano più. Qualora proviate ad utilizzarli, il messaggio che comparirà è il seguente: Non è un' applicazione di Win32 valida.
1 Disabilitate il Ripristino configurazione di sistema Quando
una macchina è stata infettata da un virus, un worm o un trojan, è
possibile che la funzionalità di Ripristino configurazione di sistema
crei una copia di backup di tali codici nocivi sul PC riportandoli in
vita anche dopo la loro rimozione.
*In Windows Xp dal menu Start/Impostazioni/ Pannello di controllo cliccate due volte sull’icona Sistema e, nella finestra che si apre, spostatevi sul tab Ripristino configurazione di sistema. Spuntate Disattiva Ripristino configurazione di sistema dando conferma all’azione con Applica.
*In Windows Vista andate su Start/Pannello di controllo/Sistema e manutenzione/Sistema. Sulla sinistra cliccate su Impostazioni avanzate di sistema poi sul Tab Protezione sistema e togliete il segno di spunta sui drive di sistema.
Confermate cliccando sul pulsante Disattiva ripristino configurazione di sistema.
Lo stesso percorso è raggiungibile anche cliccando con il tasto destro del mouse sull'icona Computer che trovate sul desktop. Selezionate Protezione sistema. Togliete la spunta da tutti i dischi. Confermate cliccando sul pulsante Disattiva ripristino configurazione di sistema.
2 Scaricate lo strumento indispensabile per la rimozione del virus: Download FindyKill Doppio
click sul file scaricato (se avete Windows Vista tasto destro e
scegliete l' opzione "Esegui come amministratore"), seguite le
istruzioni sullo schermo per installarlo e poi doppio click sull' icona
del programma creata sul desktop (se avete Windows Vista tasto destro e
scegliete l' opzione "Esegui come amministratore"):
Apparirà la schermata principale, premete il tasto E della vostra tastiera e selezionate la lingua Inglese:
Ecco le varie opzioni che si presentano:
1. Search for infected files: Ricerca dei file infetti 2. Clean infected files found: Elimina i file infetti 3. Uninstall FindyKill: Disinstalla FindyKill 4. Search for Cracks / Keygens: Cerca Cracks / Keygens Q. Exit FindyKill: Chiude FindyKill
Dal
momento che il programma esegue una ricerca anche nei supporti
rimuovibili, collegate le vostre periferiche esterne (chiavette USB ,
dischi esterni ecc.) Per fare in modo che il tool esegua una ricerca nel vostro computer dei file infetti cliccate 1 sulla vostra tastiera e premete INVIO [Enter] Attendete qualche minuto...
A fine ricerca vi comparirà l' avviso del log dei file infetti presenti sul vostro pc che potrete trovare nel percorso C:\FindyKill.txt
Tale report vi mostrerà: -I processi attivi -I processi infetti arrestati -La ricerca dei file infetti eseguita nei percorsi:
* C: * C:\WINDOWS * C:\WINDOWS\Prefetch * C:\WINDOWS\system32 * C:\WINDOWS\system32\drivers * C:\Documents and Settings[user]Application Data * C:\DOCUME~1\[user]\LOCALS~1\Temp * Le chiavi infette nello Startup del registro * Lo stato dei servizi (Auto=2 Manuale=3 Disattivato=4) * La ricerca nei supporti esterni * Le chiavi del registro Moutpoints2 infette
Adesso, per permettere al programma di rimuovere i file dannosi cliccate 2 sulla vostra tastiera e premete INVIO [Enter] Vi apparirà una schermata che vi avvisa del fatto che ci saranno un paio di riavvii del vostro pc.
Oltre ad eliminare il Bagle, il tool effettuerà anche le seguenti operazioni:
- Ripristinerà la modalità provvisoria
- Riparerà l'opzione dei file nascosti
- Riavvierà
i servizi bloccati dall'infezione (Avvisi, Centro sicurezza PC,
Aggiornamenti automatici,Connessioni di rete, Zero Configuration reti
senza fili e Windows Firewall/Condivisione connessione Internet (ICS) ,
non sarà più necessario riattivarli da Start/Esegui scrivendo
SERVICES.MSC e dando Invio,questo potente tool lo farà per voi!)
- Ripulirà i punti MounPoint2 infetti
Dopo
il primo riavvio del pc apparirà la seguente schermata in cui vi viene
chiesto di premere un tasto qualsiasi della tastiera per avviare la
pulizia:
Adesso il tool è alla ricerca delle infezioni...
Il processo è adesso terminato. Premete un tasto qualsiasi della tastiera per leggere il log (esso si trova nel percorso C:\FindyKill.txt)
A questo punto non riavviate il computer , il worm potrebbe essere ancora presente nel pc, eseguite una scansione con Kaspersky removal tool o con Combofix. Anche una scansione con Malwarebytes' Anti-Malware non farebbe male...
Nel
caso in cui non riusciate a far funzionare la connessione a internet
(errore 1068) , specialmente se avete una connessione Wi-Fi scaricatevi
questi file: per Xp: Fix XP per Vista: Fix Vista Potete anche usare Winsock XP Fix oppure scaricate XP TCP/IP Repair ,installatelo e lanciatelo, cliccate su Reset TCP/IP e poi su Repair Winsock, riavviate il pc.
Qualora
qualcosa fosse andato storto, vi allego anche i file di registro che
riparano la modalità provvisoria (usateli solo se il tool non ha
ripristinato la mod. provvisoria): per Windows 2000 SP4 Pro, Windows XP SP2,Windows XPS SP3 : Fix Modalità provvisoria per Windows Vista: Fix Modalità provvisoria
Ed
ecco anche i file di registro per ripristinare l' opzione dei file
nascosti (usateli solo se il tool non ha ripristinato l' opzione): per Xp: Fix file nascosti Xp per Vista: Fix file nascosti Vista
Basterà eseguire tali file con un doppio click e accettare l'unione al registro.
Infine,
riattivate il Ripristino configurazione di sistema disabilitata in
precedenza e reinstallate eventualmente i software di sicurezza
preferiti.
|
Category: Varie&Eventuali |
Views: 1206 |
Added by: crack8
|
|