Guida: Come Rimuovere il Virus Bagle

[GERONIMO**]

Questa e una guida su Come rimuovere il virus Bagle
si consiglia di eseguirla in ordine come scritta
e di eseguire tutti i passaggi senza fare errori
 
Come faccio a sapere se ho il Bagle?
Se il tuo pc riporta questi sintomi hai il virus Bagle

Antivirus e Firewall disabilitati e danneggiati,e qualsiasi altro software per la protezione
il bagle usa la tecnica del rootkit per nascondersi.
altri sintomi associato ad esso sono
Impedisce l'accesso ai file eseguibile. In alcuni software, soprattutto nei software antivirus, appena si tenta l'esecuzione
viene segnalato un errore di sistema
("Win32 è un'applicazione non valida")
La modalità provvisoria viene impedita in modo che l'utente non abbia la possibilità di eseguire delle scansioni.
disattiva alcuni driver,  e della scheda audio,
causa frequenti bleu screen- schermata blu (BSOD)
Improvvisi riavvii del pc.
pagine internet non richieste
Rallentamenti nella navigazione, pc lento,
eccessivo aumento della Ram
impedisce agli utenti di accedere ai siti degli antivirus
a tutti i siti microsoft e al sito per scaricare aggiornamenti, e Patch
indirizzando il browser verso la pagina di ricerca dei siti non trovati.
disattiva il ripristino di congigurazione di sistema
infetta gli archivi ed i file contenuti nel pc, in ogni cartella viene creato un file "crack.exe"
trusted.exe, patch.exe, run.exe
sfrutta le vulnerabilità dei programmi sul pc non aggiornati
 
Procedura alla Disinfezione:
Aprire Pannello di controllo - cliccare su - Opzioni Internet.  andare sulla scheda
Generale Clicca su Elimina per Rimuovere i file temporanei e la cronologia


Nella finestra che compare Selezionare tutte le voci eccetto la Prima

e Cliccare su Elimina attendere la fine dell'operazione.
Applica e Ok per confermare le Operazioni


Ora spostati sulla voce Connessioni
Fare clic su Impostazioni LAN
alla voce Server Proxy
togliere la spunta su
Utilizza un server proxy per le connessioni Lan e premere OK.

click su Applica e poi su OK
per confermare le Operazioni


Ripristinare il file Hosts
Andare in C:\Windows\System32\drivers\etc
troverai un file chiamato hosts - rinominalo in hosts.bak

scarica e salva questo file hosts sul Desktop
http://wikisend.com/download/468486/hosts
e taglia e incolla il file hosts in
C:\Windows\System32\drivers\etc
Accetta la Modifica
Riavvia il pc

Imposta i seguenti server Dns
208.67.222.222
208.67.220.220
procedura per  Windows XP-Windows vista-Windows 7
http://www.kkaio.com/articoli/cambiare-server-dns-in-windows.shtm


Quali programmi devo scaricare?
scarica e salva sul desktop questi programmi

Findykill
http://www.commentcamarche.net/download/telecharger-34066196-findykill
salvalo sul desktop

Elibagla
http://down.zonavirus.com/programas/elibagla/14.18/EliBaglA.exe
salvalo sul desktop

Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
scaricalo con  (Internet Explorer)
salvalo sul Desktop e Obbligatorio
prima di salvarlo rinominalo in abc.exe

Malwarebytes Anti-Malware
http://www.malwarebytes.org/
salvalo sul desktop
prima di salvarlo sul desktop rinominalo in iexplorer.exe

ATF-Cleaner
http://majorgeeks.com/downloadget.php?id=4949&file=15&evp=72ef5a5e927b2276e6a5bc34c89d005a
salvalo sul desktop

Hijackthis
http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi
salvalo sul desktop

Bagle Restore
http://sourceforge.net/projects/baglerestore/files/baglerestore/Bagle%20Restore%201.6/Bagle_Restore_1.6_ITA.exe/download
salvalo sul desktop

Installa
Malwarebytes' Anti-Malware
iin fase di installazione, lascia la spunta alle voci
Aggiorna Malwarebytes' Anti-Malware (è importante)
Avvia Malwarebytes' Anti-Malware.

disconnettiti da internet-spegni il modem/router
poi vai sulla voce Scansione seleziona la voce scansione completa
e clicca su Scansione per eseguire la scansione completa del pc


A scansione completa se vengono rilevate infezioni e fai clic su OK => Mostra Risultati.

seleziona gli elementi trovati da malwarebyts
clicca su Rimuovi Selezionati

se Malwarebytes' chiede di riavviare il pc riavvia

altrimenti riavvialo tu manualmente
salva il Report della scansione sul Desktop
chiudi Malwarebytes'

IMPORTANTE: Disconnettersi da internet-scollegare i cavi del modem dal pc
Disabilitare l'antivirus e il firewall

Installa FindyKill .
Doppio click sull'icona FindyKill .exe se si ha windows vista o windows 7
per aprirlo correttamente- clicca con il tasto destro del mouse sull'icona di FindyKill .exe
e, scegli la voce Esegui come amministratore:
chiudi tutte le  applicazioni aperte
avvia il tool e digita F per impostare la lingua;
clicca su 2 - Suppression des fichiers infectieux
alla fine ti apparirà un log in formato documento di testo salvalo sul desktop
Chiudi FindyKill,(se non lo trovi sul desktop, lo trovi in C:\FindyKill.txt)

Installa Elibagla
Doppio click sull'icona Elibagla.exe se si ha windows vista o windows 7
per aprirlo correttamente- clicca con il tasto destro del mouse sull'icona di  Elibagla.exe
e, scegli la voce Esegui come amministratore:
Assicurati che la casella "Eliminar Ficheros Automaticamente" abbia la spunta,
e clicca sul pulsante "Explorar".
Al termine della scansione riavviare il pc,
il log si trova in: C:\InfoSat.txt

Importante
Chiudere tutte le finestre aperte Browser compreso
Disattivare Antivirus, Antispyware e Firewall  le protezioni in tempo reale in quanto potrebbero interferire con il corretto funzionamento di ComboFix.
Lancia combofix
in questo Modo
start > esegui
(se si ha windows vista o windows 7 > Start-tutti i programmi accessori > Esegui)
nel box bianco copia e incolla questo comando
"%userprofile%\desktop\abc.exe" /killall
Premi OK
Accettare le condizioni


ComboFix sta preparando la scansione
Attendere Senza toccare nulla sul pc - Altimenti potrebbe bloccarsi


ComboFix sta creando il backup del Registro di Windows


verrà richiesta l'installazione della Console di ripristino di emergenza: Rifiuta Clicca su No


senza eseguire nessuna altra operazione sul pc, lascia che completi la scansione non usare ne anche il mouse
se viene rilasciato un messaggio del tipo Combofix cannot run when tuo Antivirus is installed..ecc
prosegui ignorando il messaggio
Quando ComboFix avrà concluso la scansione: Inizia a preparare il Log

Quando avrà terminato il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu
il log si trova in: Disco Locale C:,  nome ComboFix.txt


Avvia ATF Cleaner.exe
con un doppio clic
Nota: Se si utilizza Windows Vista / 7, tasto destro del mouse sullo strumento e scegliere
Esegui come amministratore per aprirlo
clicca sul menu main
seleziona la casella Select All
clicca sul pulsante Empty selected

Se si usano anche altri Browser
spostati sulla voce firefox di fianco a main metti la spunta alla casella Select All
clicca sul pulsante Empty selected
poi spostati sulla voce Opera metti la spunta alla casella Select All
clicca sul pulsante Empty selected
aspetta l'avviso Done Cleaning.
e premi ok

Installa
HijackThis
una volta installato
apri  HiJackThis
Nota:  se hai Windows vista/W7
per aprirlo correttamente
tasto destro del mouse sullo strumento e scegliere Esegui come amministratore
clicca sul pulsante Do a system scan and save a logfile

alla fine ti apparirà un log in formato documento di testo salvalo sul desktop
Chiudi HijackThis

Pulire il Sistema dai file temporanei e Rimasugli del virus compreso il Registro
con un Pulitore come Ccleaner
http://download.piriform.com/ccsetup309.exe

lancia Bagle Restore
clicca sul tasto Avvia il Ripristino e lascia che il tool completi il lavoro.

al termine, riavvia il sistema (è importante).

Disattiva il ripristino di configurazione di sistema
procedura per  Windows XP
Fare clic su Start-> Programmi->Accessori->Esplora risorse.
Fare clic con il pulsante destro del mouse sull'icona Risorse del computer e quindi su Proprietà.
Selezionare la scheda "Ripristino configurazione di sistema".
Selezionare la voce "Disattiva ripristino configurazione di sistema"
Premere OK. Verrà richiesto di confermare l'azione in quanto saranno eliminati tutti i punti di ripristino memorizzati. Confermare premendo SI.
RIAVVIA IL PC

procedura per Windows Vista e Windows 7
Fare clic con il pulsante destro del mouse sull'icona computer e quindi su Proprietà.
Click su Protezione sistema
Selezionare la scheda "Ripristino configurazione di sistema".
Selezionare la voce "Disattiva ripristino configurazione di sistema"
Premere OK. Verrà richiesto di confermare l'azione in quanto saranno eliminati tutti i punti di ripristino memorizzati. Confermare premendo SI.
RIAVVIA IL PC

Adesso riattiva il Ripristino di configurazione di sistema
facendo la procedura inversa alla disattivazione
RIAVVIA IL PC

Riattiva il tuo Antivirus
Riattiva il Firewall
Riattiva la Connessione

Se si dovessero riscontrare problemi alla connessione (solo per Win XP):
Scarica XP TCP Repair e installalo
http://www.xp-smoker.com/downloads/xptcprep.exe
Avvia XP TCP Repair e clicca
Reset TCP/IP
Repair Winsock
Chiudi il programma e RIAVVIA IL PC

Dopo aver eseguito quanto scritto il pc dovrebbe essere pulito
si consiglia ugualmente dopo queste operazioni
di aprire una nuova discussione nella sezione Sicurezza-Virus
ed allegare i reports delle scansioni salvate sul Desktop qui sul forum di:
Findykill
Elibagla
Combofix
Malwarebytes Anti-Malware
Hijackthis

in modo da controllare se  tutto e andato a buon fine
e se si riscontrano ancora problemi o altri tipi di problemi
e farvi aiutare da  persone esperte qui sul forum
e attendere la loro risposta

[VincenzoGTA]

Beagle che brutto ricordo....
Ancora è in circolazione?

se lo incontrassi oggi me lo mangerei a colazione  ;D  ;D  ;D

[GERONIMO**]

si ed e anche piu' cattivo oggi ;D
e molto frequente

[carminer82]

Un virus simile me lo son beccato con win98 aveva gli stessi sintomi Ho dovuto formattare

[GERONIMO**]

e si e duro da eliminare,se non si rimuove porta alla formattazione
ma si puo rimuovere seguendo i giusti consigli e i tools giusti ;)

[T3STY]

Voglio solo aggiungere che i virus beagle-like sono quasi sempre dei rootkit. I rootkit sono divisi in due categorie: Kernel-Mode e User-Mode.
Se siete fortunati vi beccate quelli UM, che bene o male riuscite a eliminare (non tanto facilmente, eh!).
Se invece siete sfortunati vi beccati quelli KM; che cosa fanno? Semplicemente agiscono a livello del kernel (cuore del SO) e tutto quello che succede sul vostro sistema passa prima per il rootkit che modifica il risultato delle istruzioni a suo favore; può redirigere i comandi in modo che facciano altro rispetto a quello per cui erano predisposti, può copiarsi sui dispositivi di archiviazione che inserite (quindi addio Back-up dei dati) ma soprattutto in caso di software antivirus può eliminarsi dalla lista dei file individuati come virus (o eliminarsi totalmente dalla lista dei file dell'intero sistema!).

Auguro a tutti di non averci mai a che fare con i rootkit KM perché l'unico modo per eliminarli è sapere la posizione esatta nei file infetti ed eliminarlo - e siccome non si sa mai dove si trova, l'unica alternativa è la formattazione...

[GERONIMO**]

ciao
infatti questa oltre ad essere la procedura
per il normale bagle
e anche quella con funzione di rootkit
gia il fatto di aver usato combofix che e un anti-rootkit
uno dei migliori se non il migliore ;)
combofix ti trova di tutto
poi tramite uno script si possono eliminare infezioni e rootkit 

[T3STY]

Ti assicuro che un rootkit KM non te lo trova nessun antivirus/anti-rootkit/anti-malware e quant'altro, semplicemente perché sono fatti per essere totalmente invisibili. L'unico modo di sapere che c'è sono gli effetti prodotti, e per toglierlo, come dicevo sopra o lo trovi e lo elimini alla fonte o formatti.

[GERONIMO**]

invece io ti assicuro che si possono eliminare
Tools per eliminarli
sono TDSSKiller
Combofix
Avenger

[VincenzoGTA]

chi si offre volontario a prendersi un bel rootkit KM così proviamo?  ;D  ;D

[Kenny]

Questa e una guida su Come rimuovere il virus Bagle
si consiglia di eseguirla in ordine come scritta
e di eseguire tutti i passaggi senza fare errori[...]

Semplicemente stupenda, complimenti! 
Penso di non averla beccata, anche se ho eseguito un file exe che mi la lasciato perplesso... Ad ogni modo ho formattato per precauzione  ;D
Nel caso si sia duplicato in una chiavetta USB c'è un programma che lo possa rilevare? Come fa a nascondersi? Non è contenuto in determinati files?

[GERONIMO**]

ciao Kenny
grazie per i complimenti ;)

se hai dubbi
attacca le chiavette e fai una scansione con Malwarebytes Anti-Malware e Findykill


Edit-ritornando al discorso di prima
lo dico perche' ne ho tolti di rootkit  kernel
Il rootkit TDL3 che provoca la schermata blu "blue screen del rootkit TDL3 kernel che molti credono che sia un problema hardware,invece puo' essere propio il TDL3 che fa questi brutti scherzi
si puo' rimuovere con  TDSSKiller e anche i  Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)
e si puo controllare anche l' MBR che molti rootkit infettano tra cui il rootkit KM
con  MBR.exe

[Kenny]

Ottimo, grazie. Appena torno a casa faccio subito la scansione! 

[GERONIMO**]

prego ;)
se hai problemi apri un post
nella sezione virus
che controlliamo il tutto ;)