Worm Bagle che attacca gli antivirus

[jonnypad]

Mi intrufolo anche io...
Mi son beccato un virus. Ho win XP SP2.
i sintomi sono:
-AVG non parte
-Hijackthis non parte
-firewall di windows spento e non si può avviare
-CPU costantemente al 100%
-rete wireless inaccessibile perchè è gestita da un altro software (ho sempre usato quello di win) e non mi permette di tornare ad usare quello standard di win
-modalità provvisoria inacessibile, si riavvia ancora prima di entrarci
-fallito il ripristino configurazione di sistema precedenti

Inoltre dopo pochi secondi dall'accensione, si sente un click dell'HD che prima non s'è mai sentito.

da un altro pc ho scansito il file che sospetto mi abbia causato questa cosa, e con AVG aggiornato mi ha rilevato un certo " I-Worm/Bagle.ALJ " (nell'altro pc AVG non era aggiornato mi sa)

Ho cercato info su questo worm ma con quel nome esatto non trovo niente di rilevante.
Non so se posso trattarlo come gli altri Bagle.
Cosa posso fare?

Grazie

[Deifobe]

ciao jonnypad,
ho aperto per te una nuova discussione (leggi il Regolamento del forum Sicurezza )

Ciao deifobe


edit:
scarica elibagla e Norman Malware Cleaner

esegui elibagla e clicca su Explorar - riavvia il pc quando finisce. Se ci sono dei files che non ha eliminato, eliminali manualmente (devi visualizzare files e cartelle nascoste). Posta il rapporto (C:\Infosat.txt).

elibagla dovrebbe ripristinare la provvisoria.

avvia il PC in modalità provvisoria ed esegui Norman Malware Cleaner. Finita la scansione, rimuovi i files infetti trovati e posta il log che viene generato sul desktop.

Per entrare in modalita' provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^). Non usare altri metodi per entrare in provvisoria.

ciao

[jonnypad]

grazie per la rispostan.

dunque io ho fatto partire elibagla, è apparsa una barra per qalche secondo e poi basta... ho aspettato e ho riavviato pensando fosse qualcosa che partisse al riavvio.
dopo il riavvio entro in win xp in modalità normale e parte eligabla , faccio explore come dici tu..
durante la scansione mi dice che 3 file non sono accessibili (uno era nella cartella administrator, uno in all user - NB io sono cmq admin del sistema ma con un altro account, non con l'account admin di default)
la scansione procede per 2 min circa ma non segnala file infeti poi improvvisamente rileva questo worm ma poi elibagla si chiude improvvisamente.. aspetto e mi appare una finestra con "select file to crack". annullo...
aspetto e rimane tutto fermo..
riavvio elibagla... rifaccio explora di nuovo.. parte la scansione come prima.. e poi una schedopo window dice che deve arrestare il sistema x motivi si sicurezza.. tipica schermata blu.. e poi schermo nero con trattino lampeggiante.

ho riavviato.. riprovato e accade di nuovo.

[jonnypad]

ho trovato cmq il report infosat che dicevi... ma devo passarlo in chiavetta su questo PC visto che quel virus mi ha tolto la connessione a internet.

è rischioso? si possono installare virus nella chiavetta??

leggendo la chiavetta da questo pc ho notato che c'è un file autorun nascosto che prima non c'era.
ho tolto subito la chiavetta spero non sia successo nulla al pc pulito!
dall'altro pc infetto questo file nascosto non si vede..

ho formattato la chiavetta.. ho ricopiato il file.nfosat.txt ..
e ora la chiavetta non va più, il led si accende un attimo e poi basta.. e windows non la vede

[jonnypad]

bho non so cos'era successo alla chiavetta.. ora funziona.
ecco il file infosat.txt


Wed Jul 30 17:01:16 2008
EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Wed Jul 30 17:03:28 2008
EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Wed Jul 30 17:04:30 2008
EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Wed Jul 30 17:08:28 2008
EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Wed Jul 30 17:08:36 2008
EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\Stefano\HDASHCUT.EXE --> Eliminado Bagle.dldr

Wed Jul 30 17:15:47 2008
EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Wed Jul 30 17:16:27 2008
EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

[Deifobe]

ciao, ho visto ora che hai avuto qualche problema...

allora... verifica di non avere una di queste cartelle ed elimina quelle che trovi:
c:\WINDOWS\exefld
c:\WINDOWS\exefnd
C:\WINDOWS\exefqd
C:\WINDOWS\system32\drivers\down
c:\windows\system32\drivers\downld


sempre visualizzando i files e cartelle nascoste, verifica di non avere questi file (in caso contrario, eliminali):
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\mdelk.exe


prova a fare una scansione con Kaspersky_virusscanner (scegli "my computer", nella finestra a sinistra)

[jonnypad]

dunque, nessuno di quei file e cartelle c'è.
Addirittura non c'è nessuna cartella DRIVER

magari sono nascoste ma il problema è che... non posso più scegliere se mostrare cartelle e file nascosti.
ho sempre tenuto quell'opzione attiva, ora invece penso sia disattivata ma non mi è nemmeno consentito riattivarla (su questo pc con winxp da cui ti scrivo quell'opzione c'è in "opzioni cartella", mentre in quello infetto non c'è, c'è tutto tranne quella).

la scansione online di Kaspersky non la posso fare, ho wireless e non mi fa accedere a zero configuration per la gestione della rete (devo provare con il cavo o può darmi problemi?)

intanto ti posso dire che ho provato a disabilitare la cancellazione automatica di Elibagla e il primo file che ha rilevato infetto era un certo HDASHCUT.exe, collocato in "C:\Documents and Settings\Jonnypad\" poi ha continuato e si è bloccato come è successo prima, chiedendomi poi un file da cracckare.
Ho controllato quel file e aveva la stessa icona del programma ke aveva generato il virus. Ho cancellato quel file.

Intanto mi sono letto le cose su Megalab e sono riuscito a far girare una versione modificata di Hijackthis. Ho analizzato il report sul sito ma non da nessun problema rilevante. Inoltre ho notato che ora la CPU non è più al 100% però le altre cose ancora non vanno, nemmeno la modalità provvisoria.

domandina.. in alcune guide dice di togliere il ripristino di sistema.
è necessario o è solo perchè il virus sia finito in un punto di ripristino?
io il virus l'ho beccato oggi ma l'ultimo punto di ripristino è di ieri.

[Deifobe]

una cosa alla volta...

1) per i files nascosti.. apri il blocco note e copiaci dentro questo:

@echo off
regedit.exe /e C:\1.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\Advanced\Folder\Hidden"
echo End of file >> C:\1.txt
notepad C:\1.txt
del 1.bat

salvalo sul desktop come:
nome: 1.bat
tipo di file: tutti i files
e cliccaci sopra 2 volte.

se il file che si apre è vuoto (cioè se compare scritto solo "End of file"), apri un altro file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,0 0,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00 ,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c ,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\NOHIDDE N]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVe rsion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVe rsion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

salvalo come: modifica.reg
tipo di file: tutti i file

eseguilo e accetta le modifiche al registro


2) per la modalità provvisoria, scarica questo file safeboot.zip, scompatta e trascina il file sul desktop. eseguilo e accetta le modifiche al registro.


3) riavvia il sistema

per ora non toccare il ripristino

[jonnypad]

wow 6 gentilissima!
però intanto ora sono riuscito ad entrare nella modalità provvisoria (dopo che s'è bloccato Elibagla ho provato subito a riavviare e cosi la provvisoria funziona)

che faccio allora? provo con il malware cleaner che mi hai detto all'inizio o tento quello che hai detto nell'ultimo post?

[Deifobe]

e i files nascosti?
Si, esegui norman