Rimuovere Bagle (antivirus non funziona) - 4 June 2009 - By Crack8
Crack8
News topics
Varie&Eventuali [20]
Varie ed Eventuali
Login form

News calendar
«  Giugno 2009  »
DomLunMarMerGioVenSab
 123456
78910111213
14151617181920
21222324252627
282930
Search
Main » 2009 » Giugno » 4 » Rimuovere Bagle (antivirus non funziona)
Rimuovere Bagle (antivirus non funziona)
15.42.41


L’antivirus non funziona, il firewall è bloccato e il computer non si riavvia in modalità provvisoria?
Qualunque programma tentate di avviare / installare vi viene restituito l' errore:
"Non è un applicazione Win 32 valida" ?
Forse è colpa di Bagle.











Un po' di storia



Il 2007 si apre con il ritorno del worm Bagle, apparso per la prima volta tre anni prima.
Il virus allora si era diffuso rapidamente attraverso le reti del P2P (eMule e altri) veicolandosi attraverso file ZIP, camuffati da screensaver e file eseguibili che, una volta avviati, disabilitavano i programmi di sicurezza.
Adesso Bagle è ritornato alle cronache con una variante che utilizza tecniche dei rootkit per diffondersi, ma lasciando invariato il suo comportamento che consiste nel disattivare antivirus, firewall e antispyware.

Funzionamento e caratteristiche
Bagle appartiene alla categoria dei virus polimorfi, in grado cioè di modificare il proprio codice ad ogni infezione per renderne più difficile il riconoscimento da parte degli antivirus.
Classificato come trojan.downloader, dopo aver infettato un computer provvede a scaricare un altro codice nocivo da Internet. Dopodiché inizia a propagarsi via e-mail allegando file compressi dal nome variabile, come ad esempio new_price12-Dec-2006 oppure sui canali di Peer to Peer (P2P). Quando il file in allegato al messaggio di posta elettronica corrotto viene aperto, il virus installa nel PC vittima i file hldrrr.exe e wintems.exe all’interno della cartella di sistema C:\Windows\system32. Il primo funge da “hijacker” ed è in grado di prendere il controllo del browser modificandone la pagina iniziale e indirizzando così l’utente verso siti indesiderati. Al secondo file malevolo è assegnato il compito di scaricare dalla rete un terzo codice dannoso individuato con il nome hidr.exe, che si occuperà di disattivare antivirus, firewall e altri programmi di sicurezza installati nel sistema. Attraverso un falso driver m_hook.sys, realizzato con tecniche di sviluppo tipiche dei rootkit che lo rendono completamente invisibile a qualsiasi software, cerca quindi di ottenere l'accesso al Kernell di Windows, cioè direttamente al suo codice sorgente in modo da interporsi tra il sistema operativo e qualsiasi altro software allo scopo di prenderne il controllo.

Sintomi del virus
Il worm inizia, così, la sua attività dannosa: come prima cosa, disattiva i processi dei software di sicurezza, impedendone l’utilizzo o la reinstallazione. Altera quindi il funzionamento dei programmi di pulizia e diagnostica e modifica il file host di Windows (quello che gestisce la connessione a Internet), bloccando l’accesso a siti che forniscono assistenza di scan on-line o dai quali scaricare tool di rimozione. Infine, elimina alcune chiavi e sotto chiavi dal registro di sistema per impedirne l’avvio in modalità provvisoria e ne crea di sue per garantirsi l’esecuzione ogni volta che si accende il PC.

Come rimuovere il Bagle?
Nel corso degli anni il virus Bagle ha cambiato variante : l'anno 2009 si è aperto con un nuovo file eseguibile winupgro.exe, due driver srosa.sys e srosa2.sys e dunque essendo cambiati i nomi dei file infetti, i vari tool utilizzati per rimuovere il virus (come Hijackthis, Gmer, The avenger, OTMoveIt3, Combofix, Elibagla -quest' ultimo su Windows Vista non riesce ad accedere ad alcune cartelle infettate-) non funzionano più.
Qualora proviate ad utilizzarli, il messaggio che comparirà è il seguente:
Non è un' applicazione di Win32 valida.



1 Disabilitate il Ripristino configurazione di sistema
Quando una macchina è stata infettata da un virus, un worm o un trojan, è possibile che la funzionalità di Ripristino configurazione di sistema crei una copia di backup di tali codici nocivi sul PC riportandoli in vita anche dopo la loro rimozione.

*In Windows Xp dal menu Start/Impostazioni/ Pannello di controllo cliccate due volte sull’icona Sistema e, nella finestra che si apre, spostatevi sul tab Ripristino configurazione di sistema. Spuntate Disattiva Ripristino configurazione di sistema dando conferma all’azione con Applica.


*In Windows Vista andate su Start/Pannello di controllo/Sistema e manutenzione/Sistema.
Sulla sinistra cliccate su Impostazioni avanzate di sistema poi sul Tab Protezione sistema e togliete il segno di spunta sui drive di sistema.


Confermate cliccando sul pulsante Disattiva ripristino configurazione di sistema.


Lo stesso percorso è raggiungibile anche cliccando con il tasto destro del mouse sull'icona Computer che trovate sul desktop.
Selezionate Protezione sistema.
Togliete la spunta da tutti i dischi.
Confermate cliccando sul pulsante Disattiva ripristino configurazione di sistema.

2 Scaricate lo strumento indispensabile per la rimozione del virus:
Download FindyKill
Doppio click sul file scaricato (se avete Windows Vista tasto destro e scegliete l' opzione "Esegui come amministratore"), seguite le istruzioni sullo schermo per installarlo e poi doppio click sull' icona del programma creata sul desktop (se avete Windows Vista tasto destro e scegliete l' opzione "Esegui come amministratore"):


Apparirà la schermata principale, premete il tasto E della vostra tastiera e selezionate la lingua Inglese:


Ecco le varie opzioni che si presentano:


1. Search for infected files: Ricerca dei file infetti
2. Clean infected files found: Elimina i file infetti
3. Uninstall FindyKill: Disinstalla FindyKill
4. Search for Cracks / Keygens: Cerca Cracks / Keygens
Q. Exit FindyKill: Chiude FindyKill

Dal momento che il programma esegue una ricerca anche nei supporti rimuovibili, collegate le vostre periferiche esterne (chiavette USB , dischi esterni ecc.)
Per fare in modo che il tool esegua una ricerca nel vostro computer dei file infetti cliccate 1 sulla vostra tastiera e premete INVIO [Enter]
Attendete qualche minuto...


A fine ricerca vi comparirà l' avviso del log dei file infetti presenti sul vostro pc che potrete trovare nel percorso C:\FindyKill.txt

Tale report vi mostrerà:
-I processi attivi
-I processi infetti arrestati
-La ricerca dei file infetti eseguita nei percorsi:

* C:
* C:\WINDOWS
* C:\WINDOWS\Prefetch
* C:\WINDOWS\system32
* C:\WINDOWS\system32\drivers
* C:\Documents and Settings[user]Application Data
* C:\DOCUME~1\[user]\LOCALS~1\Temp
* Le chiavi infette nello Startup del registro
* Lo stato dei servizi (Auto=2 Manuale=3 Disattivato=4)
* La ricerca nei supporti esterni
* Le chiavi del registro Moutpoints2 infette

Adesso, per permettere al programma di rimuovere i file dannosi cliccate 2 sulla vostra tastiera e premete INVIO [Enter]
Vi apparirà una schermata che vi avvisa del fatto che ci saranno un paio di riavvii del vostro pc.


Oltre ad eliminare il Bagle, il tool effettuerà anche le seguenti operazioni:
  • Ripristinerà la modalità provvisoria
  • Riparerà l'opzione dei file nascosti
  • Riavvierà i servizi bloccati dall'infezione (Avvisi, Centro sicurezza PC, Aggiornamenti automatici,Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/Condivisione connessione Internet (ICS) , non sarà più necessario riattivarli da Start/Esegui scrivendo SERVICES.MSC e dando Invio,questo potente tool lo farà per voi!)
  • Ripulirà i punti MounPoint2 infetti
Dopo il primo riavvio del pc apparirà la seguente schermata in cui vi viene chiesto di premere un tasto qualsiasi della tastiera per avviare la pulizia:


Adesso il tool è alla ricerca delle infezioni...


Il processo è adesso terminato. Premete un tasto qualsiasi della tastiera per leggere il log (esso si trova nel percorso C:\FindyKill.txt)


A questo punto non riavviate il computer , il worm potrebbe essere ancora presente nel pc, eseguite una scansione con Kaspersky removal tool o con Combofix.
Anche una scansione con Malwarebytes' Anti-Malware non farebbe male...

Nel caso in cui non riusciate a far funzionare la connessione a internet (errore 1068) , specialmente se avete una connessione Wi-Fi scaricatevi questi file:
per Xp: Fix XP
per Vista: Fix Vista
Potete anche usare Winsock XP Fix
oppure scaricate XP TCP/IP Repair ,installatelo e lanciatelo, cliccate su Reset TCP/IP e poi su Repair Winsock, riavviate il pc.

Qualora qualcosa fosse andato storto, vi allego anche i file di registro che riparano la modalità provvisoria (usateli solo se il tool non ha ripristinato la mod. provvisoria):
per Windows 2000 SP4 Pro, Windows XP SP2,Windows XPS SP3 : Fix Modalità provvisoria
per Windows Vista: Fix Modalità provvisoria

Ed ecco anche i file di registro per ripristinare l' opzione dei file nascosti (usateli solo se il tool non ha ripristinato l' opzione):
per Xp: Fix file nascosti Xp
per Vista: Fix file nascosti Vista

Basterà eseguire tali file con un doppio click e accettare l'unione al registro.

Infine, riattivate il Ripristino configurazione di sistema disabilitata in precedenza e reinstallate eventualmente i software di sicurezza preferiti.
Category: Varie&Eventuali | Views: 684 | Added by: crack8
Only registered users can add comments.
[ Registration | Login ]