riparare worm bagle

PES2009

Posted on 11/3/2008, 12:56

.

User deleted

molti hanno scritto che non riescono a installare l'antivirus o robe del genere... è perchè avete preso un virus qua c'è la procedura per eliminarlo:

Se tutto d'un tratto il vostro antivirus nn funziona più (manca proprio l'eseguibile...) e in + nn potete ne rimuoverlo ne installare altri antivirus...beh...avete una sfiga tremenda....vi siete imbattuti nel FO**U*ISSIMO "Worm BAGLE"... qsta soluzione l'ho trovata in un forum/sito e xtanto ringrazio amantide x la soluzione.
Come avete ben sospettato si tratta del worm BAGLE, che viene riconosciuto dal file X:\WINDOWS\system32\hldrrr.exe visibile nel task manager. Purtroppo la situazione non si risolve eliminando il file hldrrr.exe, questo file è solo la punta del iceberg chiamato Bagle, il resto viene nascosto dal rootkit m_hook.sys. La situazione si rende abbastanza complessa in quanto questo virus elimina gli eseguibili praticamente di tutti programmi di sicurezza: antivirus, antispyware, firewall ecc. e modifica il file host in modo da impedire l'accesso anche al siti dei produttori di questi software. Ciò rende impossibile l'uso dei vari antivirus per poterlo eliminare. Esistono vari tools di rimozione, ma non sembrano essere molto efficaci.
Tra altre cose il worm elimina dal registro la chiave SafeBoot, impedendo l'avvio del computer in modalità provvisoria, e modifica i vari valori per impedire l'avvio dei vari servizi, come Windows Firewall, Aggiornamenti WinUpdate e Centro sicurezza.
Il modo più facile per individuare questo virus è fare la scansione con GMER delle sezioni Autostart e Rootkit ed eliminare i file e le voci del registro individuate con aiuto di Avenger.
Dopo aver esaminato i vari casi direi che le infezioni sono praticamente identiche e quindi è possibile creare uno script per Avenger che vada bene per tutti.
Scaricate The Avenger, estraete l'archivio sul desktop ed avviate il file Avenger.exe.
Selezionate l'opzione Input Script Manually, cliccate sulla lente di ingrandimento e all'interno della finestra che si apre copiate ed incollate questo script:

CODICE

Files to delete:
X:\Documents and Settings\%UserName%\Dati applicazioni\hidires\m_hook.sys
X:\WINDOWS\system32\hldrrr.exe
X:\Documents and Settings\%UserName%\Dati applicazioni\hidires\hidr.exe
X:\WINDOWS\system32\wintems.exe

folders to delete:
X:\Documents and Settings\%UserName%\Dati applicazioni\hidires
X:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

Ove X sta per la directory principale su quale è installato il sistema operativo, di solito C, %UserName% - il nome dell'account infetto, lo stesso nome che vedete in cima alla finestra cliccando su Start.
Dopodichè cliccate sul pulsante Done, poi 2 volte sull'icona del semaforo verde e rispondete due volte Yes .

Il pc dovrebbe riavviarsi da solo, se cosi non fosse riavviatelo manualmente. Al riavvio apparirà il log di Avenger che dirà se è cosa è stato eliminato.

Dopo aprite il registro, Start --> Esegui --> regedit --> Ok
Espandete le voci fino ad arrivare a HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
nella scheda a destra trovate ed eliminate questi valori (Tasto destro --> Elimina):

CODICE

hldrrr
drvsyskit
german.exe

Nello stesso modo eliminate anche questa chiave indicata in rosso
HKCU\Software\FirstRRRun

Buona disinfestazione a tutti!!

ps.
Purtroppo dopo aver testato personalmente Bagle ho notato che non c'è un modo semplice per ripristinare il SafeBoot.
I possessori del sistema operativo Windows XP per ripristinare SafeBoot possono usare questa copia delle chiavi mancanti, prelevati da un pc "sano":
SafeBoot.rar

fonte hacking2.0

.

Lithiumind

Posted on 11/3/2008, 19:38

.

User deleted

Asd credo che sia un ottimo aiuto per chi ne ha veramente bisogno.. bravo pes