«

»

apr 04

Eliminare il virus Bagle (che molti chiamano Beagle)

Due settimane fa dicevo a un mio amico che ormai bisogna essere idioti per beccarsi un virus anche usando un antivirus idiota come AntiVir lui mi ha risposto “ne riparliamo quando prendi il beagle”.E in effetti ho cambiato idea quando ,qualche giorno dopo, mi sono beccato il virus avviando un file che avevo scannato con l’antivirus sopracitato…
Il virus era il Bagle ma sono sicuro che anche il suo fosse il Bagle perchè il Beagle è vecchio di anni.

Ci ho messo abbastanza per togliere il virus e mi riprometto di infettare una macchina virtuale per studiarne bene il funzionamento (me ne sono tenuto una copia).

Ma adesso vediamo come si toglie:

  • Disattivate il Ripristino configurazione di Sistema (info)
  • Aggiungete SafeBoot al registro di sistema per ripristinare la modalità provvisoria (semplicemente cliccando sopra il file .reg per la versione di windows che si sta usando)
  • Avviate elibagla
  • Riavviate in provvisoria e avviate elibagla
  • Cercate e cancellate i seguenti files
    amd_dc_opt.exe
    rhtdcpl.exe
  • Fatevi un giro nel registro di sistema e controllate se ci sono processi strani all’avvio
    se ce ne sono cancellateli (i files e le chiavi ovviamente) se siete nel dubbio rinominate i files e in caso di problemi li rimettete a posto.
    (potreste aver avuto la fortuna di beccare qualcos’altro assieme al bagle visto che siete senza antivirus)
  • Avviate Avenger ,incollateci questo script e riavviate in provvisoria
    Files to delete:
    %UserProfile%\DATI APPLICAZIONI\M\LIST.OCT
    %SystemDrive%\WINDOWS\SYSTEM32\BAN_LIST.TXT
    %SystemDrive%\WINDOWS\system32\drivers\hidr.exe
    %SystemDrive%\WINDOWS\system32\drivers\srosa.sys
    %SystemDrive%\WINDOWS\system32\wintems.exe
    %SystemDrive%\WINDOWS\system32\hldrrr.exe
    %SystemDrive%\WINDOWS\system32\trusted.exe
    %SystemDrive%\WINDOWS\system32\drivers\pci32.sys
    %UserProfile%\Dati applicazioni\hidires\hidr.exe
    %UserProfile%\Dati applicazioni\hidires\rosa.sys
    %UserProfile%\Dati applicazioni\m\data.oct
    %UserProfile%\Dati applicazioni\m\flec006.exe
    %UserProfile%\Dati applicazioni\hidires\m_hook.sys
    %SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
    %SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
    %SystemDrive%\WINDOWS\system32\mdelk.exe
    %SystemDrive%\WINDOWS\system32\drivers\pci32.sys
    %SystemDrive%\WINDOWS\SYSTEM32\EDLM.EXE
    %SystemDrive%\WINDOWS\SYSTEM32\EDLM2.EXE
    %SystemDrive%\Windows\system32\LDR64.DLL
    %SystemDrive%\WINDOWS\system32\german.exe
    C:\WINDOWS\system32\drivers\srosa.sys.XXX
    C:\WINDOWS\system32\mdelk.exe.XXX
    C:\WINDOWS\system32\wintems.exe.XXXfolders to delete:
    %SystemDrive%\WINDOWS\exefnd
    %SystemDrive%\WINDOWS\exefld
    %UserProfile%\Dati applicazioni\hidires
    %SystemDrive%\WINDOWS\System32\drivers\down\registry keys to delete:
    HKLM\SYSTEM\CurrentControlSet\Services\srosa
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
    HKLM\SYSTEM\CurrentControlSet\Services\pci32
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
    HKLM\SYSTEM\CurrentControlSet\Services\rosa
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
    HKLM\SYSTEM\CurrentControlSet\Services\m_hook
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
    HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
    HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64registry values to delete:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
  • Avviate normalmente e sperate che l’antivirus si avvii
    Se si avvia aggiornatelo (se è antivir cambiatelo) e fate una scanzione completa del sistema.
  • Installate un firewall tipo Zonealarm e verificate che non ci siano processi strani che tentano di connettersi. se ci sono cancellatene gli eseguibili e le chiavi che li fanno avviare (attenzione a non cancellare componenti di windows!).

Verificate che non siano rispuntati processi strani all’avvio…se sono rispuntati potreste aver avuto la fortuna di beccare più di un virus contemporaneamente o di non essere riusciti a togliere del tutto il bagle…

Se l’antivirus non si avvia o si avvia e crasha il virus è ancora nel sistema…purtroppo ci sono molte versioni di bagle in giro e la procedura potrebbe non essere adatta a tutte.

Ho inserito tutti i tool usati in [questo] files; ma è preferibile scaricare le versioni aggiornate dai rispettivi siti internet, affidatevi a google per trovarle.

PS:

La maggiorparte della procedura l’ho appresa su http://www.hwupgrade.it

Share Button

10 comments

Vai al modulo dei commenti

  1. bepone

    salve , vorrei sapere come è possibile fare tutto questo se il mio pc si avvia ma dopo il logo del pc e del sistema operativo compare una schermata che parla di errore di arresto” srosa.sys (driver)” e anche per la modalità provvisoria avviene lo stesso con il messaggio “inaccessibile boot device ” ?

  2. thedarshan

    Dunque. bagle disabilita la modalità provvisoria quindi per prima cosa devi riuscire ad avviare normalmente.
    srosa.sys è uno dei file del virus, prova a cancellarlo e vedi se va avanti.
    per cancellarlo avvia il pc con il disco di installazione di windows xp e accedi alla console di ripristino, oppure usa una linux avviabile.

  3. andrea

    il mio pc non si avvia, ma non si spegne completamente. se premo l’interruttore sino allo spegnimento e tento di riavviarlo, sento i dischi ma appare la scritta nessun segnale sul monitor, dopo dichè si sentono i dischi, ma il monitor è nero. Che fare?

  4. thedarshan

    Beh…a occhio e croce mi sembra un problema hardware.
    I messaggi della bios dovrebbero comparire

    Cosa ti fa pensare che sia il Bagle?

    Dammi più informazioni, nn so darti risposte certe

  5. Gionni80

    io windows xp e da poco mi si avvia il computer, pero si sconfigura la scheda audio come mai?

    1. thedarshan

      Non ho capito bene cosa vuoi dire, per “sconfigura” intendi che tu la configuri, la usi e al prossimo riavvio devi fare da capo?
      Detto così sembra un problema di driver o di conflitto tra periferiche , ma mi dai troppe poche informazioni.
      In ogni caso:
      Se NON è un problema legato al beagle NON scrivete domande come commenti a questo articolo

  6. Gionni80

    tempo fa giocavo a Fifa 08 a un certo punto non si è sentito più l’audio, l’ icona dell’audio della barra delle applicazione è scomparsa e pure quella dell’antivirus avira, allora ho provato a riavviare windows xp e mi appariva per un po l’cona audio normalmente e dopo un po spariva, ho provato a disinstallare il driver audio e a reinstallarlo ma niente da fare, ho chiesto ha un mio amico è mi ha detto che è dovuto a un beagle, non so se è vero, se potreste aiutarmi

    1. thedarshan

      Scusa se non ti ho risposto prima.
      Beh, prova la procedura descritta sul post, se è il bagle elibagla dovrebbe trovarlo,
      ma il servizio dell’audio di windows resta attivo? probabilmente va in crash per qualche motivo, magari a causa del virus

  7. anton

    apprezzo la buona volonta’ ma purtroppo esistono oltre 50 versioni del bagle e molte di esse elibagle o avenger neanche lo vedono, inoltre gli esperti di pc non capiscono che chi e’ alle prime armi ha problemi nell’effettuare le procedure. Della serie basta che riempiamo un po’ di spazio…

    1. thedarshan

      “Della serie basta che riempiamo un po’ di spazio…”

      cosa vuoi dire? quando ho scritto l’articolo la procedura funzionava, se dopo più un anno le informazioni sono diventate obsolete non è colpa mia.

      “inoltre gli esperti di pc non capiscono che chi e’ alle prime armi ha problemi nell’effettuare le procedure”

      più che altro gli “esperti di pc” non sopportano le persone alle prime armi che cercano la soluzione già pronta e non sono disposti a perdere un paio d’ore a studiarci sopra, che si paghino un tecnico

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Puoi usare i seguenti tag ed attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>