Windows non si carica - Worm WIN32 BEAGLE-AAW e -YN

[Jemi]

Ciao a tutti, ho preso il virus più bastardo che mi fosse mai capitato...

Primi sintomi:
- Avast viene disattivato ma continua a essere attivo
- Avast viene completamente soppresso dopo qualche secondo..
- WINDOWS (XP PRO) FALLISCE IL CARICAMENTO.

Sintomi attuali:
Impossibile avviare una qualsiasi modalità di Windows (provvisoria, con rete, sicuramente funzionante, normale...)
Al logo del caricamento del SO il pc si riavvia, così all'infinito!

Operazioni effettuate:
-Smontato l'hard disk e con un adattatore sata-usb collegato a un secondo Pc.
Visto come HD esterno, ho effettuato scansione con AVAST e A-squared (ora diventato Emisoft Anti-malware). Trovati virus:
WIN32 BEAGLE-AAW
WIN32 BEAGLE-YN

File eliminati.

RICOLLEGATO HD AL SUO PC E DI NUOVO WINDOWS SI RIAVVIA ANCOR PRIMA DI CARICARSI.

Con il cd di Windows come primo boot, sono entrato nella Consolle di Ripristino (R).
Fatto il
CHKDSK /P /R
FIXBOOT
FIXMBR

DI NUOVO WINDOWS SI RIAVVIA ANCOR PRIMA DI CARICARSI.

Ho letto in giro che questo worm oltre a moltiplicarsi, modifica varie chiavi del registro fino a sostituirsi all'avvio di windows oltre a negarti la possibilità di avviarlo in modalità provvisoria. Queste chiavi vengono direttamente...cancellate.

Qualcuno può darmi una mano a ripristinare l'avvio corretto del SO e cancellare del tutto worm Beagle? Ve ne sarei grato.
Ri-Precisazione: posso mettere le mani nell'hard disk infetto solo dal DOS (consolle di ripristino) o sotto forma di hard disk esterno collegato a un secondo computer.

[Luke57]

Ciao, hai tentato di accedere in modalità provvisoria mediante msconfig? Di solito con l'infezione da bagle, questa procedura per accedere alla modalità provvisoria inibisce poi il riavvio del computer.
Penso che a questo punto, per far riavviare il computer, occorra il Cd di windows per un ripristino del sistema.

[Jemi]

Quindi te dici di accedere alla scrittura DOS tramite il cd di Windows digitando (R) per Consolle di Ripristino e inserire il comando C:\msconfig?
Puoi spiegare meglio e più analiticamente la procedura?

[FDAC]

Buona Fortuna, amico.
http://www.steven.altervista.org/files/bagle.html

[Riverside]

Quindi te dici di accedere alla scrittura DOS tramite il cd di Windows digitando (R) per Consolle di Ripristino e inserire il comando C:\msconfig?
Puoi spiegare meglio e più analiticamente la procedura?

Un metodo più semplice: leggi questo articolo

[Jemi]

Buona Fortuna, amico.
http://www.steven.altervista.org/files/bagle.html

Suona molto come "sei spacciato, auguri!"

Ho effettuato la scansione con ELIBAGLA tramite il pc di emergenza a cui mi appoggio, e selezionando F: (directory dell'hard disk infetto attaccato tramite sata-usb) subito ha trovato e rimosso SROSA2.SYS (una delle schifezze lasciate dal worm).

Il problema sta quando lancio FINDYKILL. Il software non mi da la possibilità di selezionare la directory dell'hard disk e dunque credo che scansioni la directory C: del pc a cui mi appoggio, e pulito.

Tutte le guide di questo mondo purtoppo non sono utili, se il fantomatico programma salvatore non da la possibilità di selezionare la directory per la scansione (vedi HiJackThis & company). Il Registro che viene analizzato è quello del pc di supporto e non quello infetto, che al momento è secondario...

Mi sbaglio o dovrei rimontare l'hard disk nel suo pc e lanciare findykill dalla console di ripristino in modo che analizzi il giusto "C:" ?
Se si, come farlo?

[FDAC]

Potresti provare, si.
Come l'hai smontato lo puoi anche rimontare

[Riverside]

Ho effettuato la scansione con ELIBAGLA tramite il pc di emergenza a cui mi appoggio, e selezionando F: (directory dell'hard disk infetto attaccato tramite sata-usb) subito ha trovato e rimosso SROSA2.SYS (una delle schifezze lasciate dal worm).

@Jemi, aspetta un attimo ...... lascia l'HD montato sulla macchina di emergenza e vediamo se riusciamo a pulirlo in maniera che, una volta rimontato sulla sua macchina, il sistema riparta (se riparte non avrai ancora definitivamente risolto l'infezione ma saremmo a buon punto).

Per ora prosegui in questa maniera:

Scarica ed installa SuperAntispyware Free Edition: clicca qui per il download

Una volta installato, configuralo in questo modo:
● imposta la lingua ITA
● alla richiesta di aggiornamento delle definizioni consenti l'aggiornamento
● nelle quattro finestre successive clicca su Avanti ed alla quinta su fine
● nella finestra Protezione homepage clicca sul tasto Protezione
● nella maschera principale clicca su Preferenze
● nella sezione Opzioni di Avvio togli la spunta alle prime tre voci e clicca sul tasto Ferma
● nella maschera principale clicca su tasto Scansione del Computer
● nella maschera successiva metti la spunta alle unità disco da sottoporre a scansione e, a destra, spunta la voce Fai una scansione completa
● clicca su Avanti per avviare la scansione
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

Scarica ed installa MalwareBytes: clicca qui per il download
● clicca su tasto scansiona ed esegui una scansione completa del disco fisso delle periferiche esterne
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

N.B. sempre se riesci a salvare i log da qualche parte. In ogni caso, se verranno rilevate delle infezioni, lo vedrai.

=======================================

Eseguite le due scansioni, rimonta l'HD sulla sua macchina e, se il sistema riparte, segui questa guida:

Disattiva il Ripristino configurazione di sistema:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino alla risoluzione del problema

Svuota il contenuto della cartella Prefetch

● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila e individua la cartella Prefetch; aprila ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

Scarica ed installa Hijackthis: clicca qui per il download

Scarica i seguenti quattro tool:

● Findykill: clicca qui per il download

● Elibagla: clicca qui per il download
scorri fino a fondo pagina e, clicca su Descargar Elibagla

● Norman Malware Cleaner: clicca qui per il download
Crea una cartella sul Desktop e, al suo interno, posiziona, i tre tool che hai scaricato

● Bagle Restore: clicca qui per il download o in alternativa clicca qui per il download
Crea una cartella apposita sul Desktop e, al suo interno estrai l'archivio scaricato

● chiudi tutte le eventuali applicazioni aperte
● disconnettiti da Internet
● sconnetti, fisicamente, il modem dal computer

Esecuzione di Findykilly:
● installa FindyKill
● avvia il tool e digita F per impostare la lingua;
● clicca su: 1 - Recherche des fichiers infectieux (Ricerca dei file infetti)
● al termine dell'operazione verrà rilasciato un log: salvalo sul Desktop con il nome FIND1 perché lo dovrai allegare

chiudi e riavvia il tool e:
● clicca su 2 - Suppression des fichiers infectieux (Eliminazione dei file infetti)
● al termine dell'operazione verrà rilasciato un log: salvalo sul Desktop con il nome FIND2 perché lo dovrai allegare

Terminata questa fase chiudi e rivvia il tool e:
● clicca su 3 - Désinstaller Findykill (Disinstallazione FindyKill)
● verrà avviata la procedura di disinstallazione automatica del tool

Esecuzione di Elibagla:
● clicca sulla icona di Elibagla per avviare il tool
● spunta la voce Eliminar ficheros automaticamente
● clicca su Explorar
● lascia completare la scansione di default (C:\)
● al termine dell'operazione verrà rilasciato un log in Disco Locale C: dal nome InfoSat.txt che dovrai allegare

Concluse le scansioni, riavvia il sistema:

● lancia Bagle Restore (questa utility ripristina la modalità provvisoria, la rete wireless, la visualizzazione dei file nascosti e tutti gli altri servizi disabilitati dal malware)
● clicca sul tasto Avvia il Ripristino e lascia che il tool completi il suo lavoro.
● al termine, riavvia il sistema

Esecuzione di Norman Malware Cleaner:
● accedi al sistema in modalità provvisoria con un account con privilegi di Amministratore
● lancia Norman ed esegui una scansione completa
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop con il nome Norman1 e riavvia il sistema

● accedi nuovamente al sistema in modalità provvisoria con un account con privilegi di Amministratore
● rilancia Norman ed esegui una seconda scansione completa
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop con il nome Norman2 e:

● riavvia il sistema in modalità normale
● ricollega, fisicamente, il modem al computer
● connettiti a Internet

Scarica ed installa SuperAntispyware Free Edition: clicca qui per il download

Una volta installato, configuralo in questo modo:
● imposta la lingua ITA
● alla richiesta di aggiornamento delle definizioni consenti l'aggiornamento
● nelle quattro finestre successive clicca su Avanti ed alla quinta su fine
● nella finestra Protezione homepage clicca sul tasto Protezione
● nella maschera principale clicca su Preferenze
● nella sezione Opzioni di Avvio togli la spunta alle prime tre voci e clicca sul tasto Ferma
● nella maschera principale clicca su tasto Scansione del Computer
● nella maschera successiva metti la spunta alle unità disco da sottoporre a scansione e, a destra, spunta la voce Fai una scansione completa
● clicca su Avanti per avviare la scansione
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

Scarica ed installa MalwareBytes: clicca qui per il download
● clicca su tasto scansiona ed esegui una scansione completa del disco fisso delle periferiche esterne
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

Scarica ed installa CCleaner: clicca qui per il download
Una volta installato configuralo in questo modo:

lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta) e nel menu a tendina seleziona la voce DOD 520.22-M (3 passaggi)
poi clicca su:
● Avanzate togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia e clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce Estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Esecuzione di Hijackthis (pulizia degli ADS - seclusivamente, su partizioni in NTFS):

● lancia Hijackthis
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

● rilancia Hijackthis
● clicca su Do a system scan and save a logfile
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

allega, in questa sequenza, tutti i log che hai salvato:

● Find1
● Find2
● Elibagla
● Norman1
● Norman2
● SuperAntispyware
● Malwarebytes
● Hijackthis

Per allegare i log utilizza questo servizio di upload: clicca qui per wikisend
pubblicando, nella discussione, il forumlink che verrà rilasciato dopo il caricamento di ogni singolo file.

[Riverside]

Una cosa Jemi .... per maggiore sicurezza, quando esegui questo passaggio:

Disattiva il Ripristino configurazione di sistema:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK

riavvia il sistema, ripeti la stessa procedura e riattiva il Ripristino configurazione di sistema e crea, manualmente, un nuovo punto di ripristino (cosi lo potrai utilizzare nel caso qualcosa andasse per il verso sbagliato).

[Luke57]

Ciao, il fatto che windows si riavvia ininterottamente dipende, secondo me, dal fatto che sono stati danneggiati file di sistema rimpiazzabili solamente con un ripristino del sistema stesso.

[Riverside]

Ciao Luke, concordo con te però ho l'impressione che i continui riavii possano dipendere da altri fattori:

ricollegato hd al suo pc e di nuovo windows si riavvia ancor prima di caricarsi.
con il cd di windows come primo boot, sono entrato nella consolle di ripristino (r).
fatto il
chkdsk /p /r
fixboot
fixmbr
di nuovo windows si riavvia ancor prima di caricarsi.

La soluzione migliore sarebbe quella di formattare l'hd e reinstallare il S.O. (ma credo che Jemi cerchi una soluzione che gli permetta di non perdere tutti i dati).
A mio parere, un tentativo di disinfezione si può anche effettuare; se la cosa non si risolve, putroppo il format sarà inevitabile.

[Luke57]

Tentar non nuoce

[faker]

Ciao a tutti, ho preso il virus più bastardo che mi fosse mai capitato...

Primi sintomi:
- Avast viene disattivato ma continua a essere attivo
- Avast viene completamente soppresso dopo qualche secondo..
- WINDOWS (XP PRO) FALLISCE IL CARICAMENTO.

Sintomi attuali:
Impossibile avviare una qualsiasi modalità di Windows (provvisoria, con rete, sicuramente funzionante, normale...)
Al logo del caricamento del SO il pc si riavvia, così all'infinito!

Operazioni effettuate:
-Smontato l'hard disk e con un adattatore sata-usb collegato a un secondo Pc.
Visto come HD esterno, ho effettuato scansione con AVAST e A-squared (ora diventato Emisoft Anti-malware). Trovati virus:
WIN32 BEAGLE-AAW
WIN32 BEAGLE-YN

File eliminati.

RICOLLEGATO HD AL SUO PC E DI NUOVO WINDOWS SI RIAVVIA ANCOR PRIMA DI CARICARSI.

Con il cd di Windows come primo boot, sono entrato nella Consolle di Ripristino (R).
Fatto il
CHKDSK /P /R
FIXBOOT
FIXMBR

DI NUOVO WINDOWS SI RIAVVIA ANCOR PRIMA DI CARICARSI.

Ho letto in giro che questo worm oltre a moltiplicarsi, modifica varie chiavi del registro fino a sostituirsi all'avvio di windows oltre a negarti la possibilità di avviarlo in modalità provvisoria. Queste chiavi vengono direttamente...cancellate.

Qualcuno può darmi una mano a ripristinare l'avvio corretto del SO e cancellare del tutto worm Beagle? Ve ne sarei grato.
Ri-Precisazione: posso mettere le mani nell'hard disk infetto solo dal DOS (consolle di ripristino) o sotto forma di hard disk esterno collegato a un secondo computer.

BEATO TE!!!!!!!!

Io sono ancora più incasinato: questo Worm bastardo sul PC di mia nipote ha combinato un pasticcio tremendo!!!! Provo a far partire il PC in modalità provvisoria tramite msconfig e selezionando boot.ini per fare una scansione con combofix e il PC si riavvia all'infinito. Ho provato a ripartire normalmente ma è lo stesso. Ho provato con la Console di ripristino (dopo aver tentato di resettare il BIOS togliendo la pila a bottone, staccando l'HD etc.), ma quando tento di digitare un comando, alcune lettere non vengono scritte, tipo il comando bootconfig, mi viene scritto btcng e non viene riconosciuto. Naturalmenete ho provato con 4 tastiere ma il risultato è lo stesso. La cosa bella è che il PC non ha floppy. L'HD è SATA e non ho la possibilità di collegarlo ad un altro PC che ho in casa. Dulcis in fundo: la mia nipotina sul PC in questione ha tutte le foto ed i video di quest'estate. Pensa un pò te!!!!!!

[Luke57]

@faker
Ciao, una caratteristica importante dell'infezione che tu, purtroppo, hai sperimentato a tue spese è che, entando di avviare il computer in mod.provvisoria tramite il comando msconfig, windows non si riavvia più.
Per cui devi per forza ripristinare il SO tramite il cd d'installazione di windows medesimo.

[FDAC]

O avvalerti di un LiveCD di una qualsivoglia distro Linux per recuperare i dati altrimenti persi.

[faker]

O avvalerti di un LiveCD di una qualsivoglia distro Linux per recuperare i dati altrimenti persi.

Forse il problema è più grave del previsto: mia nipote ricorda un avviso di Avira Antivir che menzionava un certo W32.infector: può darsi sia questo che non mi fa funzionare la tastiera per dare i comandi tramite console di ripristino?????
Ho provato ad installare una versione di UBUNTU allegata ad una rivista ma, con il boot da CD, non parte. Sto cercando in giro per un adattatore da IDE a SATA per poter almeno recuperare i dati. Può darsi che la Console di Ripristino non vada in quanto il CD di W XP che ho è un SP 1 mentre quello installato è un SP 3???????
Grazie per l'aiuto, ve ne sono davvero grato.

[faker]

O avvalerti di un LiveCD di una qualsivoglia distro Linux per recuperare i dati altrimenti persi.

Forse il problema è più grave del previsto: mia nipote ricorda un avviso di Avira Antivir che menzionava un certo W32.infector: può darsi sia questo che non mi fa funzionare la tastiera per dare i comandi tramite console di ripristino?????
Ho provato ad installare una versione di UBUNTU allegata ad una rivista ma, con il boot da CD, non parte. Sto cercando in giro per un adattatore da IDE a SATA per poter almeno recuperare i dati. Può darsi che la Console di Ripristino non vada in quanto il CD di W XP che ho è un SP 1 mentre quello installato è un SP 3???????
Grazie per l'aiuto, ve ne sono davvero grato.

OK! Anche stavolta il problema è risolto: ho cambiato ben 4 tastiere, console di ripristino comando bootcfg (ho seguito una guida che avevo stampato e postata qualche tempo fa sul forum), sono riuscito ad accedere a Windows e a cambiare la modalità di avvio da bootsafe a normale. Ora devo passare al trattamento dei worm ma la cosa più importante è avere salvato tutti i dati. Grazie ancora per l'aiuto.