www.MegaLab.it

Gli altri tool

Avenger e Gmer non funzionano più. Il messaggio di applicazione non valida è tipico anche per i software di sicurezza o per i programmi di installazione degli stessi quando vengono danneggiati dal virus.

Otmoveit3, da quello che ci segnalate e anche dalle prove che ho fatto io, rimuove solo parzialmente l'infezione.

ComboFix, sempre in base a quello che ci segnalate, non sempre funziona. Io l'ho usato per completare la rimozione del virus dopo l'eliminazione delle componenti rootkit.

Elibagla, su Windows Vista, ha dei problemi nell'accedere ad alcune cartelle tra cui proprio quelle che contengono il virus. La rimozione è quindi abbastanza parziale.

Come tool alternativi, se non funziona niente di quelli visti in precedenza, c'è l'Avira rescue CD oppure il MegaLabcd utility e la rimozione manuale dei file infetti e delle chiavi di registro create dal virus.

Alcuni dei file infetti che fanno parte della nuova versione di Bagle sono questi (la lista è provvisoria e non tutti i file potrebbero essere presenti):

Dalla lista dei file infetti manca quello che vi ho detto di cercare nel report di Findykill nella sezione Searching other Infections e che dovete individuare e rimuovere manualmente voi.

I file da rimuovere sono questi %SystemRoot%\system32\mdelk.exe %SystemRoot%\system32\wintems.exe %SystemRoot%\system32\ban_list.txt %appdata%\drivers\winupgro.exe %appdata%\drivers\srosa.sys %appdata%\drivers\srosa2.sys Le cartelle da eliminare %appdata%\m %appdata%\m\shared %appdata%\drivers %appdata%\drivers\downld

%SystemRoot% corrisponde alla cartella dove avete installato Windows, diciamo quindi C:\Windows

%appdata% corrisponde alla cartella C:\Users\VostroAccount\AppData\Roaming con Windows Vista, mentre in Windows XP è la cartella C:\Documents and Settings\VostroAccount\Dati applicazioni.

Qui ci sono le chiavi di registro da eliminare. Con alcune, soprattutto quelle dei due driver rootkit, potreste avere dei problemi nella rimozione.

HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro HKEY_USERS\S-1-5-21-1758808559-3771437077-258270031-1006\Software\Local AppWizard-Generated Applications\winupgro HKEY_USERS\S-1-5-21-1758808559-3771437077-258270031-1006\Software\bisoft HKEY_CURRENT_USER\Software\bisoft HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "drvsyskit"=- HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mdelk.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wintems.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\flec006.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hldrrr.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winfilse.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winupgro.exe Questi sono alcuni dei servizi che vengono disabilitati e quello indicato è il valore a cui devono essere reimpostati. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv "Start"=dword:00000002 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc "Start"=dword:00000003 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess “Start"=dword:00000003 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio "Start"=dword:00000003

Come ho detto la lista è provvisoria, cercherò di tenerla aggiornata quando ci saranno novità.

Se fino a ieri era necessario riavviare manualmente servizi, o effettuare manualmente modifiche al registro per rimediare ai danni effettuati dal Trojan/Worm bagle, oggi, grazie a Bagle Restore, basta un clic per rimettere le cose a posto.