Inviato February 9, 2007 (modificato) Antivirus E Firewall Non Funzionanti la colpa è del worm BAGLE (o BEAGLE) NOTA: lo script da utilizzare (aggiornato) lo trovate in questo post Seguite la procedura e postate i logs richiesti (anche quello di Combofix) ---------------------------------------- In questi ultimi periodi i rootkit sono di moda, uno degli ultimi si chiama BAGLE. (o Beagle) Questo noto worm, di cui si conoscono moltissime varianti, nelle sue ultime versioni installa anche un rootkit per nascondersi alla vista. I sintomi che ha un PC infetto da questo worm sono: # Antivirus non funzionanate (a volte anche gli Antispy) # Firewall disattivato # impossibilità di installare i programmi di sicurezza # avvio in modalità provvisoria disattivato Solitamente, l'unico file visibile nel log di Hijack o nel task manager è questo: C:\Windows\System32\hldrrr.exe (Bagle.gx) Ma vi sono altri eseguibili in gioco.... C:\Windows\System32\winterms.exe (Bagle.hc) - trojan downloader %UserName%\Dati applicazioni\hidires\hidr.exe (Bagle.hg) - disattiva i programmi di sicurezza %UserName%\Dati applicazioni\hidires\m_hook.sys (kernel-mode driver che usa tecniche di rootkit per camuffarsi) Scarica inoltre nella cartella dei file temporanei altri files nocivi all'insaputa dell'utente: %Temp%\~[nome casuale].exe Crea una cartella chiamata exefld (in C:\Windows) al cui interno vi sono molti files .exe con nomi casuali. i processi di quasi tutti i software di sicurezza conosciuti vengono terminati o disattivati , per impedire la pulizia del sistema. è possibile anche che questo worm, scriva sul file di HOSTS, in modo da impedire l'apertura di quei siti che potrebbero servire alla sua rimozione. l'eliminazione della chiave SafeBoot dal registro di sistema ci impedisce di avviare il computer in modalità provvisoria, per effettuare la rimozione manuale... È possibile individuare l'esisteza del worm,con la presenza del processo hldrrr.exe nel task manager. RIMOZIONE: BY STEVE75aggiungo anche questo tool , che elimina quasi tutte le versioni conosciute del BAGLE , anche le piu recenti ; ELIBAGLE Assicurati che la casella Eliminar Ficheros Automaticamente sia spuntata oppure se il tool spra non dovesse funzionare (di solito fino ad ora ha sempre risolto) usate la procedura qui sotto: Occorre usare GMER di cui potete postare un log della scheda ROOTKIT (e anche della scheda Autostart) nel forum nel caso abbiate bisogno d'aiuto... -------------- Già al primo avvio del programma, ci avviserà della presenza di rootkit. Al termine della scansione, vari file (segnati in rosso) saranno individuati come rootkit o files nascosti (hidden) Per rimuoverli è necessario scaricare THE AVENGER e decomprimerlo sul desktop. - con un doppio click avvia il file avenger.exe - Seleziona "Input Script Manually" - Clicca sulla lente di ingrandimento - Nella finestra che si aprirà "View/edit script" - copia / incolla quanto segue: ATTENZIONE::: lo script è generico, i nomi dei files potrebbero variare... fare riferimento al log di GMER per il loro nome esatto... oppure inserire il log in un post del forum, dove i tecnici di sezione sapranno indicarveli.... Files to delete:%SystemDrive%:\Documents and Settings\[Nome Utente]\Dati applicazioni\hidires\m_hook.sys %SystemDrive%:\Documents and Settings\[Nome Utente]\Dati applicazioni\hidires\hidr.exe %SystemDrive%:\WINDOWS\system32\wintems.exe %SystemDrive%:\WINDOWS\system32\hldrrr.exe folders to delete: %SystemDrive%:\Documents and Settings\[Nome Utente]\Dati applicazioni\hidires %SystemDrive%:\WINDOWS\exefld registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\m_hook HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK registry values to delete: HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr NOTA: ricordare di sostituire il [Nome Utente] con il nome dell'utente che sta utilizzando il PC (le parentesi quadre NON ci devono essere) A questo punto, occorre ripulire il registro: Apri il Registro di sistema (Start --> Esegui --> digitate REGEDIT --> Ok) Individua la chiave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Nella scheda a destra trova ed elimina questi valori (Tasto destro --> Elimina): hldrrr drvsyskit german.exe Nello stesso modo, elimina anche le seguenti chiavi: HKEY_CURRENT_USER\Software\DateTime4 HKEY_CURRENT_USER\Software\FirstRRRun Poi Riattivare i servizi terminati: Apri la lista dei Servizi (Start --> Esegui --> digitate SERVICES.MSC --> Ok) ed abilita, ove necessario, questi servizi disabilitati: Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/ Condivisione connessione Internet (ICS). (Per avviare un servizio, dovete cliccare con il tasto destro su Proprietà --> Automatico --> Ok --> Avvia --> Ok). e in ultimo, riattivare il Ripristino dell'avvio in modalità provvisoria Per fare questo, occorre decomprimere ed eseguire il seguente file (clicca per scaricarlo) Ricordate anche di disabilitare il Ripristino di configurazione ... e di riattivarlo, creando un punto di ripristino pulito. _____________________________________ su questa pagina trovati vari tools di rimozione che lo riguardano... (in base alla versione) http://www.nod32.it/download/free-virus-remover.php __________________________________________ Modificato October 22, 2008 da angelique Link aggiornati Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato March 6, 2007 LEGGERE LE VERSIONI CHE POSSONO ESSERE ELIMINATE con questo strumento: http://www.sophos.it/support/disinfection/baglea.html Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato March 6, 2007 aggiungo anche questo tool , che elimina quasi tutte le versioni conosciute del BAGLE , anche le piu recenti ; ELIBAGLE Assicurati che la casella Eliminar Ficheros Automaticamente sia spuntata __________________________ EDIT BY KUMA: Scaricando con Firefox potreste avere problemi di salvataggio del file (a me non lo salva ) Inoltre l'antivirus potrbbe segnalare che si tratta di un file dannoso... chiaramente è un falso positivo .. Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato August 24, 2007 Nuova variante difficile da individuare _________________________ Provare a Seguire questa procedura scarica e decomprimi avenger sul desktop http://swandog46.geekstogo.com/avenger.zip - con un doppio click avvia il file avenger.exe - Seleziona "Input Script Manually" - Clicca sulla lente di ingrandimento - Nella finestra che si aprirà "View/edit script" - copia / incolla quanto segue: Registry values to replace with dummy: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs Registry keys to delete: HKEY_LOCAL_MACHINE\system\ControlSet003\Services\srosa HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA HKLM\SYSTEM\CurrentControlSet\Services\pci32 Folders to delete: C:\windows\temp C:\WINDOWS\Tasks C:\WINDOWS\exefqd files to delete: c:\windows\system32\hlpuybtr.exe C:\WINDOWS\system32\drivers\hidr.exe C:\WINDOWS\system32\drivers\hidrrr.exe C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\hldrrr.exe C:\WINDOWS\system32\trusted.exe C:\WINDOWS\system32\drivers\pci32.sys drivers to unload: srosa pci32 Clicca sul tasto Done - Poi sull'icona del semaforo - Rispondi Yes Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu) Posta il log che verrà creato in C:\Avenger _______________________________________________________ Ripulire tutti i files TEMP con ATF cleaner http://www.atribune.org/ccount/click.php?id=1 Avvia ATF Cleaner (con i browser e le altre applicazioni chiuse) (se usi Firefox o Opera, selezionali dal menu in alto) metti la spunta su "Select All" per ogni browser e clicca su "Empty Select" _________________________________________________ Usare anche COMBOFIX ((è importante che il file sia salvato sul desktop) ) http://www.techsupportforum.com/sectools/combofix.exe Chiudi tutte le applicazioni Clicca su start>esegui, nella casellina digita(o copia e incolla) "%userprofile%\desktop\combofix.exe" /wow Clicca su Ok Segui le istruzioni della finestra prompt _________________________________________________ Usare nuovamente ELIBAGLA (il download è in fondo alla pagina) posta il log C:\Combofix.txt insieme a quello che verrà creato in C:\Avenger Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato February 12, 2008 Nuove info sul rootkit bagle nuovo file in circolazione; dropper.exe alias Trojan-Downloader.Win32.Bagle.iv Elimina le chiavi di avvio in modalità provvisoria; HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBootHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot Cambia le chiavi di avvio dei soft di sicurezza; ( saranno diverse a seconda dei soft) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccEvtMgr "Start"Old data: 02, 00, 00, 00 New data: 04, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccPwdSvc "Start" Old data: 03, 00, 00, 00 New data: 04, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ip6Fw "Start" Old data: 03, 00, 00, 00 New data: 04, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio "Start" Old data: 03, 00, 00, 00 New data: 04, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NISUM "Start" Old data: 02, 00, 00, 00 New data: 04, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess "Start" Old data: 02, 00, 00, 00 New data: 04, 00, 00, 00 modifiche al registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosaHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa "ErrorControl" Type: REG_DWORD Data: 00, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa "ImagePath" Type: REG_EXPAND_SZ Data: \??\C:\WINDOWS\system32\drivers\srosa.sys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa "Start" Type: REG_DWORD Data: 01, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa "Type" Type: REG_DWORD Data: 01, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa\Enum HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa\Enum "0" Type: REG_SZ Data: Root\LEGACY_SROSA\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa\Enum "Count" Type: REG_DWORD Data: 01, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa\Enum "NextInstance" Type: REG_DWORD Data: 01, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa\Security HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000 "Class" Type: REG_SZ Data: LegacyDriver HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000 "ClassGUID" Type: REG_SZ Data: {8ECC055D-047F-11D1-A537-0000F8753ED1} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000 "ConfigFlags" Type: REG_DWORD Data: 00, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000 "DeviceDesc" Type: REG_SZ Data: Megadrv3 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000 "Legacy" Type: REG_DWORD Data: 01, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000 "Service" Type: REG_SZ Data: srosa HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000\Control HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000\Control "*NewlyCreated*" Type: REG_DWORD Data: 00, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000\Control "ActiveService" Type: REG_SZ Data: srosa Crea entrate nascoste nella chiave "Run" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run drvsyskitType: REG_SZ Data: C:\WINDOWS\system32\drivers\hldrrr.exe HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run german.exe Type: REG_SZ Data: C:\WINDOWS\system32\wintems.exe Nuova cartella nascosta; %System%\drivers\down File nascosti; %System%\ban_list.txt%System%\mdelk.exe %System%\wintems.exe %System%\drivers\hldrrr.exe %System%\drivers\srosa.sys Modifiche varie; HKEY_CURRENT_USER\Software\FirstRRRunHKEY_CURRENT_USER\Software\FirstRRRun "First12Ru123n" Type: REG_DWORD Data: 01, 00, 00, 00 HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\TestProg HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\TestProg\Recent File List HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\TestProg\Settings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system "EnableLUA" Type: REG_DWORD Data: 00, 00, 00, 00 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\Svc HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\Svc "EnableLUA" Type: REG_DWORD Data: 16, 00, 00, 00 Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato October 16, 2008 FindyKill, un "nuovo" nato per la lotta al Bagle.... Una piccola guida e maggiori info a questa pagina; http://www.steven.altervista.org/files/findykill.html qualche esempio di log: ----------------- FindyKill V4.005 ------------------ * User : morrizz - MORRIZZ-PC * Emplacement : C:\Program Files\FindyKill * Outils Mis a jours le 15/10/08 par Chiquitine29 * Recherche effectuée à 11:30:17 le 16.10.2008 * Windows Vista - Internet Explorer 7.0.6001.18000 ((((((((((((((( *** Suppression *** )))))))))))))))))) --------------- [ Processus actifs ] ---------------- C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe C:\Program Files\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\alg.exe --------------- [ Fichiers/Dossiers infectieux ] ---------------- »»»» Suppression des fichiers dans C: Supprimé ! - "C:\Muestras" Supprimé ! - C:\InfoSat.txt »»»» Suppression des fichiers dans C:\WINDOWS »»»» Suppression des fichiers dans C:\WINDOWS\Prefetch Supprimé ! - C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-13DA0E71.pf Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-147710F4.pf Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-22E35C38.pf Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2905E326.pf Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-29ACD517.pf Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf Supprimé ! - C:\WINDOWS\Prefetch\197143.EXE-37D771DC.pf Supprimé ! - C:\WINDOWS\Prefetch\FLEC006.EXE-38318384.pf Supprimé ! - C:\WINDOWS\Prefetch\89498.EXE-22D0C089.pf Supprimé ! - C:\WINDOWS\Prefetch\HMUNMLCL98.EXE-15CD3E6D.pf Supprimé ! - C:\WINDOWS\Prefetch\WINTEMS.EXE-26D98C75.pf Supprimé ! - C:\WINDOWS\Prefetch\MDELK.EXE-238AA5EF.pf »»»» Suppression des fichiers dans C:\WINDOWS\system32 »»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers »»»» Suppression des fichiers dans C:\Documents and Settings\spinouze martine\Application Data »»»» Suppression des fichiers dans C:\DOCUME~1\SPINOU~1\LOCALS~1\Temp --------------- [ Registre / Clés infectieuses ] ---------------- Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA Supprimé ! - HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA Supprimé ! - HKEY_USERS\S-1-5-21-2000478354-1343024091-942777651-1004\Software\Local AppWizard-Generated Applications\hldrrr -> Certaines clés ont été supprimées au premier reboot ... --------------- [ Etat / Redémarage des services ] ---------------- +- Mode sans echec restauré ! +- Affichage des fichiers cachés réparé ! +- Services : [ Auto=2 Demande=3 Désactivé=4 ] Ndisuio - Type de démarrage = 2 EapHost - Type de démarrage = 2 Wlansvc - Type de démarrage = 2 Ip6Fw - Type de démarrage = 2 SharedAccess - Type de démarrage = 2 wuauserv - Type de démarrage = 2 wscsvc - Type de démarrage = 2 --------------- [ Nettoyage des supports amovibles ] ---------------- +- Informations : C: - Lecteur fixe +- Suppression des fichiers : --------------- [ Registre / Moutpoint2 ] ---------------- -> Recherche négative. --------------- [ Recherche Cracks / Keygen ] ---------------- -> Recherche négative. ---------------- ! Fin du rapport ! ------------------ Veramente eccezionale.... sono sicuro che a giorni lo si comincerà ad usare su tutti i forum Condividi questo messaggio Link di questo messaggio Condividi su altri siti