Due settimane fa dicevo a un mio amico che ormai bisogna essere idioti per beccarsi un virus anche usando un antivirus idiota come AntiVir lui mi ha risposto “ne riparliamo quando prendi il beagle”.E in effetti ho cambiato idea quando ,qualche giorno dopo, mi sono beccato il virus avviando un file che avevo scannato con l’antivirus sopracitato…
Il virus era il Bagle ma sono sicuro che anche il suo fosse il Bagle perchè il Beagle è vecchio di anni.
Ci ho messo abbastanza per togliere il virus e mi riprometto di infettare una macchina virtuale per studiarne bene il funzionamento (me ne sono tenuto una copia).
Ma adesso vediamo come si toglie:
- Disattivate il Ripristino configurazione di Sistema
- Aggiungete SafeBoot al registro di sistema per ripristinare la modalità provvisoria (semplicemente cliccando sopra il file .reg per la versione di windows che si sta usando)
- Avviate elibagla
- Riavviate in provvisoria e avviate elibagla
- Cercate e cancellate i seguenti files
amd_dc_opt.exe
rhtdcpl.exe
- Fatevi un giro nel registro di sistema e controllate se ci sono processi strani all’avvio
se ce ne sono cancellateli (i files e le chiavi ovviamente) se siete nel dubbio rinominate i files e in caso di problemi li rimettete a posto.
- Avviate Avenger ,incollateci questo script e riavviate in provvisoria
Files to delete:
%UserProfile%\DATI APPLICAZIONI\M\LIST.OCT
%SystemDrive%\WINDOWS\SYSTEM32\BAN_LIST.TXT
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\SYSTEM32\EDLM.EXE
%SystemDrive%\WINDOWS\SYSTEM32\EDLM2.EXE
%SystemDrive%\Windows\system32\LDR64.DLL
%SystemDrive%\WINDOWS\system32\german.exe
C:\WINDOWS\system32\drivers\srosa.sys.XXX
C:\WINDOWS\system32\mdelk.exe.XXX
C:\WINDOWS\system32\wintems.exe.XXXfolders to delete:
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%SystemDrive%\WINDOWS\System32\drivers\down\registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
- Avviate normalmente e sperate che l’antivirus si avvii
Se si avvia aggiornatelo (se è antivir cambiatelo) e fate una scanzione completa del sistema. - Installate un firewall tipo Zonealarm e verificate che non ci siano processi strani che tentano di connettersi. se ci sono cancellatene gli eseguibili e le chiavi che li fanno avviare (attenzione a non cancellare componenti di windows!).
Verificate che non siano rispuntati processi strani all’avvio…se sono rispuntati potreste aver avuto la fortuna di beccare più di un virus contemporaneamente o di non essere riusciti a togliere del tutto il bagle…
Se l’antivirus non si avvia o si avvia e crasha il virus è ancora nel sistema…purtroppo ci sono molte versioni di bagle in giro e la procedura potrebbe non essere adatta a tutte.
Ho inserito tutti i tool usati in [questo] files; ma è preferibile scaricare le versioni aggiornate dai rispettivi siti internet, affidatevi a google per trovarle.
PS:
La maggiorparte della procedura l’ho appresa su http://www.hwupgrade.it
Tags: antivirus che non si avvia, bagle, beagle, estirpare, rimuovere, virus, windows xp













