Qualche giorno fà sono stato infettato da bagle , grazie a questa guida sono riuscito ad eliminarlo , la posto che forse vi può essere utile.



PRIMA DI TUTTO CANCELLATE TUTTI I CRACK E KEYGEN CHE AVETE EVENTUALMENTE SCARICATO DA EMULE. IL VIRUS SI ANNIDA SEMPRE LI'.

Come si propaga e come agisce questo malware?
Principalmente si propaga tramite le reti peer to peer (p2p) come emule,ma anche via email. Lo si può trovare spesso in archivi contenenti programmi e crack.
na volta eseguito il suo file(molto spesso si chiamava trusted.exe) crea vari files(eseguibili e drivers) ,principalmente localizzati nella directory di windows.
Uno di essi, hidr.exe(nelle ultime varianti mdelk.exe) che nelle prime varianti si trovava in Documents and settings/nomeutente/dati applicazioni/hidires(cartella creata dal malware) e nelle ultime si posiziona in /windows/system32,ha la funzione di terminare e cancellare tutti gli eseguibili di software di sicurezza come antivirus.

Inoltre questo malware,modificando 2 chiavi di registro, disabilita la modalità provvisoria,per cui tentando di accedere a windows in safe mode si ricevera una bella schermata blu

Tutti i files di questo malware sono nascosti con tecniche rootkit,per cui non si
possono visualizzare tramite esplora risorse.

Come vedere se si è infetti:
- I programmi di sicurezza sono stati cancellati
- La modalità provvisoria non funziona
- Una scansione con gmer evidenzia files in rosso come hidr.exe(che è presente in tutte le varianti)

SEGUIRE COMPLETAMENTE TUTTA LA GUIDA

1) disattivazione ripristino conf di sys:

● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

2)SOLAMENTE SE NON FUNZIONA LA MODALITA' PROVVISORIA CON WINDOWS 2000 E XP,scaricare questo file: SafeBoot
Scompattarlo ,avviare il file .reg all'interno e accettare la richiesta di unirlo al registro di sistema.

3) Utilizzo di elibagla (remover tool spagnolo): dopo essere andati su QUESTA scorrere a fondo pagina e cliccare su "descargar elibagla"
Assicurarsi che la casella "Eliminar Ficheros Automaticamente" sia spuntata,dopo la scansione riavviare il pc e postare il log che si trova in: C:\InfoSat.txt
Usate Elibagla in modalità provvisoria,se funziona.

4)Usare avenger:DOWNLOAD
Scompattarlo, avviarlo,incollare il seguente script e cliccare su execute,cliccare poi su OK

Quote:
Files to delete:
%SystemDrive%\WINDOWS\SYSTEM32\BAN_LIST.TXT
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\1.exe
%SystemDrive%\WINDOWS\system32\1.exe

folders to delete:
%WinDir%\System32\drivers\down
%UserProfile%\Dati applicazioni\m
%WinDir%\system32\drivers\downld
%AppData%\Roaming\m

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
Nel caso si abbiano problemi con questo script,sostituire a %SystemDrive% la lettera del disco dove è installato il sistema operativo infetto e a %UserProfile% il percorso completo della cartella utente (es C:\Documents and Settings\nomeutente

5)Usare questo tool: http://www.xp-smoker.com/downloads/xptcprep.exe" onclick="window.open(this.href);return false;" onclick="window.open(this.href);return false; <--- SOLO SE LA CONNESSIONE NON FUNZIONA E SI USA WINDOWS XP

6) Seguire queste istruzioni: http://www.hwupgrade.it/forum/showpo...postcount=1441" onclick="window.open(this.href);return false;" onclick="window.open(this.href);return false;

7)Passata con ccleaner (scaricarlo da QUI e dopo averlo installato disattivare dalle opzioni avanzate "cancella solo file più vecchi di 48 ore". Quindi cliccare su Avvia CCleaner>OK )

8)Fare una scansione con kaspersky su http://www.kaspersky.com/virusscanner" onclick="window.open(this.href);return false;" onclick="window.open(this.href);return false;


Possibili problemi:

Non si avvia più windows
1)Scarica http://dl.antivir.de/down/vdf/rescuecd/rescuecd.exe" onclick="window.open(this.href);return false;" onclick="window.open(this.href);return false; masterizza l'ISO su un cd e avvia il computer con il cd

Sebbene abbia rimosso il virus non mi funziona la modalità provvisoria...
1) Sei sicuro di aver seguito il punto 2?

Il virus non è stato rimosso dopo aver eseguito i passaggi indicati... come mai?
Possibilità:
1) Non hai disattivato ripristino configurazione di sistema
2) E' stato lanciato nuovamente l'eseguibile infetto
3) Non hai seguito tutti i passaggi

Non posso modificare la visualizzazione di files e cartelle nascosti
1) Scarica QUESTO file, tasto destro> unisci

Se il problema si annida fra le possibilità sopra riportate, ripetere tutte le operazioni.


Se il problema non è fra le possibilità,seguire le seguenti istruzioni:

-Postare un log di gmer (DOWNLOAD):
una volta aperto il programma cliccare su scan e aspettare la fine delle operazioni. Riportare eventuali voci in rosso rilevati.