Questa e'una guida per tutti coloro hanno il computer infettato dal virus Bagle che molti chiamano anche Beagle.
Questo ingegnoso Trojan è difficile da eliminare in quanto disabilita gli antivirus e usa la tecnica del Rootkit per nascondersi....
Per sapere se si è infettati dal Bagle,...provate ad installare un qualsiasi antivirus e se al lancio del programma uscirà una finestra con il messaggio “non è un’applicazione di win32 valida” avete la conferma di essere infetti...
Il bagle è un virus molto intelligente, si auto-protegge rimuovendo..disabilitando o danneggiando gli antivirus e firewall o qualsiasi altro software installato sul vostro pc per tutelare la protezione del sistema... Inoltre, il Bagle è talmente ben costruito che riesce a disabilitare anche l’avvio in modalità provissoria! I programmatori di questo virus sono stati davvero dei genietti!
Il Bagle rallenta vistosamente il pc agendo sulla memoria ram e sulle risorse della cpu.. impedisce come già detto l’esecuzione degli antivirus in locale e on-line. Non riuscirete ad acceddere ai siti dei più famosi scan on-line ( avast, avg, panda, symantec, nod32 ) e tutti i siti microsoft.... Si infetta velocemnte tramite tutte le chiavette usb e le schede di memoria che vengono inserite nel vostro sistema infetto...
Il Bagle si presente in genere nele rete p2p tramite file spacciati per tool di generazione Keygen..
Proviano cosi a rimuovere questo maledetto virus.. ultima spiaggia prima della formattazione .. vediamo come:
- Per prima cosa disattivate il ripristino di sistema
- Scaricate il programma OTMoveIt2 (
http://file.p2pforum.it/?d=085446CC1) e lasciatelo da parte
- Scaricate il programma Elibagla. Scorrete la pagine fino in fondo e cliccate su Descargar Elibagla. Attezione vengono rilasciate versioni molto frequentemente, assicuratevi di prendere l’ultima. (
http://www.zonavirus.com/descargas/elibagla.asp)
- Lanciate uno scan on-line dal seguente sito:
http://www.eset.com/onlinescan/scanner.php?i_agree=14- Finito lo scanner on-line disconnette il computer da Internet e lanciate il programma Elibagla
- A questo punto dovreste riuscire a riavviare il computer in modalità provvisoria. Fatelo e rilanciate il programma Elibagla. Fate scansionare da Elibagla tutte le vostre unità del computer ( c:/ d:/ … ).
- Aprite il programma OTMoveIt2 che avete scaricato in precendenza e fate girare il seguente script:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\winfilse.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\drivers\srosa2.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\m\svrlist.oct
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.XXX
%SystemDrive%\WINDOWS\system32\mdelk.exe.XXX
%SystemDrive%\WINDOWS\system32\wintems.exe.XXX
%SystemDrive%\WINDOWS\system32\1.exe
%SystemRoot%\system32\mdelk.exe
%SystemRoot%\system32\wintems.exe
%SystemRoot%\system32\ban_list.txt
%appdata%\drivers\winupgro.exe
%appdata%\drivers\srosa.sys
%appdata%\drivers\srosa2.sys
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m\shared
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet FilesDopo aver copiato e incollato lo script qui sopra ..cliccate su MoveIT. Se viene proposto il riavvio del computer non fatelo e ...usate nuovamete elibagla.
-Riavviate e provate ad installare il vostro antivirus...
Non è detto che quest sistema funzioni.. esistono alcune varianti del virus.. comunque provare non costa nulla!