TROJAN DOWNLOADER BAGLE

Questo virus non è recentissimo ma più passa il tempo più si arricchisce di funzionalità, pertanto diventa sempre più complicato eliminarlo.
Io ci ho impiegato due giorni interi.
Come si propaga e come agisce questo malware?
Principalmente si propaga tramite le reti peer to peer (p2p) come emule,ma
anche via email. Lo si può trovare spesso in archivi contenenti programmi e
crack.
una volta eseguito il suo file crea i files hldrrr.exe e mdelk.exe in
C:\windows\system32\drivers oltre alla cartella download. Mostra una
schermata dove fa selezionare il programma da cracckare. Dopo il riavvio
carica il driver srosa.sys,situato nella medesima cartella,termina e cancella
i software di sicurezza,che non potranno più essere utilizzati. Scarica vari
files da internet nella cartella download e li avvia.
Inoltre questo malware,modificando 2 chiavi di registro, disabilita la
modalità provvisoria,per cui tentando di accedere a windows in safe mode
si ricevera una bella schermata blu.
Tutti i files di questo malware sono nascosti con tecniche rootkit,per cui non
si
possono visualizzare tramite esplora risorse.
Come vedere se si è infetti:
- I programmi di sicurezza sono stati cancellati
- La modalità provvisoria non funziona
- Una scansione con gmer evidenzia files in rosso

SEGUIRE COMPLETAMENTE TUTTA LA GUIDA PER LA RIMOZIONE DEL VIRUS

Prima di tutto cancellate tutti i crack scaricati da emule.

1) disattivazione ripristino conf di sistema:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

2)Scaricare questo file: WINDOWS 200/XP - WINDOWS VISTA
Scompattarlo ,avviare il file .reg all'interno e accettare la richiesta di unirlo
al registro di sistema.Questo ripristinerà il vostro riavvio in modalità provvisoria.

3) Utilizzo di elibagla (removal tool spagnolo): dopo essere andati su
QUESTA scorrere a fondo pagina e cliccare su "descargar elibagla"
Assicurarsi che la casella "Eliminar Ficheros Automaticamente" sia
spuntata,dopo la scansione riavviare il pc e postare il log che si trova in:
C:\InfoSat.txt
Se non parte in modalità normale questo programma va avviato dalla modalità provvisoria che dopo aver esequito il passo 2 ora funzionerà.

4)Usare avenger:DOWNLOAD
Scompattarlo, avviarlo,incollare il seguente script e cliccare su
execute,cliccare poi su OK. Stesso discorso del punto 3.

files to delete:
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\SYSTEM32\BAN_LIST.TXT

folders to delete:
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\system32\drivers\downld
%AppData%\Roaming\m
%SystemDrive%\WINDOWS\System32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | mule_st_key

*******************************************************************************
Nel caso si abbiano problemi con questo script,sostituire a %SystemDrive% la lettera del disco dove è installato il sistema operativo infetto e a %UserProfile% il percorso completo della cartella utente

5)Passata con ccleaner (scaricarlo da QUI e dopo averlo installato disattivare dalle opzioni avanzate "cancella solo file più vecchi di 48 ore". Quindi cliccare su Avvia CCleaner>OK )

6) Seguire queste istruzioni: http://www.hwupgrade.it/forum/showpo...postcount=1441

7) Una bella scansione di un buon Antivirus aggiornato e di un buon AntiSpywere.

Possibili problemi:

Non si avvia più windows
1)Scarica http://dl.antivir.de/down/vdf/rescuecd/rescuecd.exe masterizza l'ISO su un cd e avvia il computer con il cd.

Sebbene abbia rimosso il virus non mi funziona la modalità provvisoria...
1) Sei sicuro di aver seguito il punto 2?

Il virus non è stato rimosso dopo aver eseguito i passaggi indicati... come mai?
Possibilità:
1) Non hai disattivato ripristino configurazione di sistema
2) E' stato lanciato nuovamente l'eseguibile infetto
3) Non hai seguito tutti i passaggi
4)Segui il prossimo post

Non posso modificare la visualizzazione di files e cartelle nascosti
1) Scarica QUESTO file, tasto destro> unisci


Non funziona ancora la connessione (solo per windows xp)
1)Usare questo tool: http://www.xp-smoker.com/downloads/xptcprep.exe

Se il problema si annida fra le possibilità sopra riportate, ripetere tutte le operazioni.


Se il problema non è fra le possibilità,seguire le seguenti istruzioni:

-Postare un log di gmer (DOWNLOAD):
una volta aperto il programma cliccare su scan e aspettare la fine delle operazioni. Riportare eventuali voci in rosso rilevati.

Nel caso in cui aveste ancora problemi potete far riferimento alla fonte da cui ho preso l'articolo a questo indirizzo e provare con la procedura manuale.

Un grazie di cuore a lancetta,riverside,chill-out,lucas84,juninho85,wjmat,xcdegasp che hanno realizzato la guida e mi hanno salvato la vita.