Rimuovere virus Bagle
Pubblicato da ImMoRt4L su Marzo 5, 2008
Bagle è un malware che si propaga facilmente ed in particolare tramite le reti p2p come emule, dove lo si può trovare sottoforma di archivi contenenti programmi e crack. Una volta eseguito (solitamente si chiama trusted.exe), esso crea diversi eseguibile e drivers, posizionandoli nelle principali directory di windows. Questo virus è purtroppo in costante crescita e aggiornamento, e nelle sue ultime versioni posiziona il file mdelk.exe in C:/Windows/System32 e questo file cancella e disabilita tutti gli eseguibili di software di sicurezza come il centro sicurezza di windows e i vari antivirus. Il resto dei file di questo malware sono nascoste tramite rootkit, ossia una tecnologia software in grado di occultare la propria presenza all’interno del sistema operativo, quindi tali file non si possono visualizzare tramite esplora risorse. Come detto, quando si viene infettati da tale malware i programmi di sicurezza vengono cancellati e disabilitati e quando si tenta di avviare il software antivirus compare un avviso con scritto che il file che si sta tentando di aprire “non è un’applicazione Win32 valida”. Inoltre la modalità provvisoria non funziona in quanto, modificando due chiavi di registro, impedisce l’accesso a windows in modalità safe facendo comparire una schermata blu.
Per rimuovere Bagle e disinfettarsi completamente seguite alla lettera le seguenti indicazioni:
- Per prima cosa dovete disattivare il ripristino configurazione del sistema andando su Pannello di Controllo –> Sistema –> Ripristino configurazione di Sistema –> mettere la spunta a Disattiva ripristino configurazione del sistema –> cliccare su Applice e poi su Ok.
- Scaricate Safeboot cliccando qui e importate il file .reg;
- Successivamente scaricate il programma Eligaba, programma di rimozione bagle spagnolo, cliccando qui e fare un scansione del pc. Dopodichè riavviate il pc.
- Poi dovete scaricare l’antivirus kaspersky cliccando qui ed eseguire anche in questo caso una scansione del pc e dopo riavviarlo.
- A questo punto scaricate il software avenger cliccando qui ed una volta scaricato ed avviato basterà inserire lo script scritto qui sotto e cliccare su Execute.
Files to delete:
%UserProfile%\DATI APPLICAZIONI\M\LIST.OCT
%SystemDrive%\WINDOWS\SYSTEM32\BAN_LIST.TXT
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\SYSTEM32\EDLM.EXE
%SystemDrive%\WINDOWS\SYSTEM32\EDLM2.EXE
%SystemDrive%\Windows\system32\LDR64.DLL
%SystemDrive%\WINDOWS\system32\german.exe
C:\WINDOWS\system32\drivers\srosa.sys.XXX
C:\WINDOWS\system32\mdelk.exe.XXX
C:\WINDOWS\system32\wintems.exe.XXX
%UserProfile%\Application Data\hidn\hidn.exefolders to delete:
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%SystemDrive%\WINDOWS\System32\drivers\down\registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
HKCU\Software\FirstRuxzxregistry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | drv_st_key
A questo punto il pc si riavvierà e successivamente il software eseguirà i comandi immessi.
- Fatto ciò scaricate il tool xptcprep cliccando qui e installatelo e eseguite la riparazione dei regitri TCP/IP.
- Scansionate il vostro hard-disk con CCleaner che potete scaricare cliccando qui e eliminerete eventuali file orfani presenti sul pc.
- Infine per riattivare i servizi terminati da Bagle andate su Start–>Esegui–>scrivete SERVICES.MSC e cliccate su Ok–>abilitare i seguenti servizi se risultano disattivati: Avvisi; Centro Sicurezza PC; Aggiornamenti automatici; Connessione di Rete; Zero Configuration reti senza fili; Windows Firewall/ Condivisione connessione Internet (ICS).
- Se avete problemi nella visualizzazione di gestione periferiche o se la visualizzazione di risorse del computer è molto lenta avviate e incollate nella finestra che si aprirà i seguenti comandi:
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLsRegistry keys to delete:
HKEY_LOCAL_MACHINE\system\ControlSet003\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32Folders to delete:
C:\windows\temp
C:\WINDOWS\Tasks
C:\WINDOWS\exefqdfiles to delete:
c:\windows\system32\hlpuybtr.exe
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sysdrivers to unload:
srosa
pci32
Poi cliccate su Execute.
- Se riscontrate problemi nell’avviare windows scaricate questo tool e masterizzate l’ISO su un cd e avviate il computer con il cd. Se non riuscite a risolvere tramite quel tool scaricate Ultimate Boot CD 4.1.1 cliccando qui e masterizzate l’iso su un cd e avviate il pc con il cd dentro.
Fatto tutto ciò dovrete aver risolto il problema e aver eliminato il malware Bagle.
*Questo post, come tutti quelli presenti sul blog, è di proprietà |Omnia Blog|, vietata la copia.
Marzo 7, 2008 a 4:09 pm
LA tua guida è molto chiara anche se purtroppo non valida per il mio caso,che per quanto visto in giro è proprio il peggiore. Avevo già usato Elibagla e la scansione(lunghissima quanto precisa) di Kaspersky purtroppo però…. non riesco ad avviare nemmeno Avenger.
Sono disperato, ci vado dietro da una settimana almeno ma non riesco proprio a debellare questo maledetto Bagle. Si può trovare un’alternativa?Ti ringrazio in anticipo !
Marzo 7, 2008 a 4:25 pm
Hai seguito i procedimenti elencati? Io sono stato infettato dal Bagle ma mediante questi procedimenti sono riuscito a risolvere tutto. Cmq x prima cosa.. che sistema operativo hai? Intanto ti consiglio di eseguire una scansione anche con hijackthis.
Accertati di aver eseguito tutti i passaggi elencati, in particolare di aver disattivato ripristino configurazione di sistema ed inoltre di non aver lanciato nuovamente l’eseguibile infetto.
Marzo 8, 2008 a 12:29 pm
Ho Windows Xp SP2, che ho sempre tenuto aggiornato.
Avevo Avast, che adesso naturalmente non funziona più.
Ho seguito la procedura, ma ripeto, purtroppo quando poi c’è da sistemare tutto con
lo script di Avenger… non riesco ad aprire Avenger. Solito errore che purtroppo mi da anche con Hijackthis. HO disattivato ripristino configurazione di sistema ed il presunto file infetto, anzi era sicuramente lui è stato un falso crack che ho poi cancellato. Facile da individuare perchè dal momento dell’avvio si è cominciato ad avvertire tutto(soprattutto che nemmeno la connessione senza fili va più.Qualche altro consiglio ?
Marzo 8, 2008 a 2:35 pm
Prova scaricando safeboot cliccando qui
Una volta scaricato estrai il file .reg dall’archivio, avvialo e accetta la richiesta di unirlo al registro di sistema.
Successivamente riprova con Avenger, è strano che non ti si avvii.
Scansiona tutto con CCleaner.
A questo punto se non lo hai già fatto, disinstalla Avast e installa AVG 8.0
Fammi sapere
Marzo 9, 2008 a 3:58 pm
niente da fare!
Avevo già effettuato tale procedimento con Safeboot, comunque ho riprovato ed Avenger
non và comunque. ho scaricato anche Ccleaner e magicamente riesco ad installarlo ma poi…
all’avvio vedo la schermata per un centesimo di secondo che si chiude immediatamente.
Marzo 9, 2008 a 4:40 pm
A questo punto non ti resta che eliminare manualmente i file che avresti dovuto eliminare con Avenger.
Quindi leggi la lista di comandi Avenger presente nel post e seguili. Quindi per esempio per
%SystemDrive%WINDOWSsystem32mdelk.exe
devi andare in C:/Windows/System32/ e eliminare il file mdelk.exe
e così via con tutti gli altri.
Mentre per quanto riguarda l’eliminazione delle chiavi di rigestro come HKLMSYSTEMCurrentControlSetServicessrosa
devi andare su Start–>Esegui–>scrivi regedit e clikka ok
e poi andare su HKEY_LOCAL_MACHINE –> CurrentControlSet –> Services –> ed eliminare srosa. Fai così anche con gli altri elencati nel post.
Forse questo procedimento ti risulterà complicato, per qualsiasi problema chiedi pure, anche via msn (il contatto lo trovi su about us).
Buona fortuna
Marzo 11, 2008 a 1:46 am
io ho vista come faccio a toglierlo?
grazie…sono disperato…
Marzo 11, 2008 a 12:26 pm
Segui i procedimenti del post. Però scarica Avenger cliccando qui, questo è quello adatto per chi ha Vista.
Marzo 12, 2008 a 11:53 am
ciao a tutti, incollando i comandi di questa pagina avenger mi dà parecchi errori di sintassi e il programma si chiude. avevo già provato a farlo girare con altri comandi (ad esempio quelli generati dalla scansione con kaspersky). sono riuscito a ripristinare la rete wireless (solo fino al successivo riavvio, però), ma ancora non riesco ad installare antivirus, quindi bagle è ancora qui… qualche consiglio?
Marzo 12, 2008 a 2:25 pm
@Rob scarica safeboot cliccando qui ed avvialo, poi esegui una scansione anche con hijackthis.
Infine “per riattivare i servizi terminati da Bagle andate su Start–>Esegui–>scrivete SERVICES.MSC e cliccate su Ok–>abilitare i seguenti servizi se risultano disattivati: Avvisi; Centro Sicurezza PC; Aggiornamenti automatici; Connessione di Rete; Zero Configuration reti senza fili; Windows Firewall/ Condivisione connessione Internet (ICS).”
Marzo 12, 2008 a 3:07 pm
ciao ImMoRt4L
sono scomparso per qualche giorno e giusto il tempo di rimettere le cose a posto.
Anche se adesso tutto mi funziona ma non riesco a vedere nulla in Gestione Periferiche e aprendo risorse del computer ci sta un pò di tempo per visualizzare tutto.
Devo risolvere anche questo, eppure il servizio Plug And Play è attivato… boo, vediamo se trovo una soluzione. Tanto per aiutare anche gli altri descrivo come ho fatto io a risolvere, dopo un bel pò di giorni ad impazzirci sopra.
Allora ragazzi…
visto che almeno questo bagle maledetto ci fa collegare ad internet (per fortuna) fate la seguente…
1) scaricate Safeboot
2) scaricate Elibagle (50 kb che risolvono un problemone)
3) scaricate Avg, ma non installatelo per il momento.
4) Scaricate CCleaner e non installate nemmeno.
Io non ho usato Avenger anchè perchè non mi si avviava e dopo ho potuto evitare. Comunque.
1)Aprite Safeboot… e confermate sui messaggi
2)Avviate Elibagle che vi trova almeno un file e lo cancella. Riavviate
3)A questo punto potete installare Avg (non vi dovrebbe più dare errore) e fare l’aggiornamento.
4) installate anche Ccleaner e ripulite tutto
5) Riavviate e andate in modalità provvisoria (F8), adesso è possibile.
6) Avviate Avg che vi troverà…tutti i file infetti e li cancellerà(successivamente eliminateli anche dalla quarantena)
7) Riavvviate in modalità normale e riattivate i servizi che vi servono Start–>Esegui–> services.msc
Fate qualche altra scansione per sicurezza ma…dovrebbe essere tutto ok.
FATEMI SAPERE . CIAO
Marzo 12, 2008 a 3:18 pm
@AleLupo fortunatamente hai risolto
Cmq dai vostri problemi ho notato che una delle ultime varianti del virus attacca e modifica avenger, rendendolo inutilizzabile. Dunque ho trovato l’ultima versione di avenger che dovrebbe essere immune ed avviarsi, per scaricarlo cliccate qui (aggiorno il link per il download anche nel post).
Marzo 12, 2008 a 3:28 pm
Hai qualche idea, per risolvere il mio ultimo problema?
La non visualizzazione di gestione periferiche??
Marzo 12, 2008 a 3:50 pm
@AleLupo si scusa mi sn dimenticato di rispondeti prima.. allora il problema di questo tipo è generato dall’installazione della patch KB905749. Tale patch interrompe il servizio Plug & Play. Ciò provoca seri problemi: la mancata visualizzazione delle periferiche in Gestione periferiche; eccessivi rallentamenti nella visualizzazione del contenuto delle Risorse del Computer; ed addirittura la corruzione dei file system dei volumi presenti sul pc.
Per risolvere il problema senza dover rimuovere la patch ci sono 2 modi, ora ti spiego il più semplice:
vai in Start–>Pannello di Controllo–>Strumenti di amministrazione–>Gestione Computer e clikka su Servizi ed Applicazioni, quindi, sul pannello di destra, doppio click su Servizi. Vai su Plug & Play e clikka sopra 2 volte e premi su Avvia. Adesso dalla casella Tipo di avvio abilita la voce Automatico. Fai Applica e riavvia il sistema.
Dovresti aver risolto, in caso contrario ti spiego l’altro procedimento
Marzo 12, 2008 a 4:26 pm
Grazie anche io ho risolto gran parte dei problemi seguendo le istruzioni.
Ho ancora un problema: dopo due minuti che sono colegato a internet, la connessione rimane, outlook funziona, ma i browser non riescono più a collegarsi.
Qualche idea?
Ancora grazie
Marzo 12, 2008 a 4:39 pm
@Blizki dovresti dare qualche informazione in più perchè il problema può avere diverse nature.. Sistema Operativo? Antivirus? controlla di avere installato sul pc il service pack e di aver attivato il centro di sicurezza pc di windows.
Inoltre ti consiglio di aprire il blocco note e incollaci
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
“Start”=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
“UuidSequenceNumber”=dword:0cdae01e
[HKEY_CURRENT_USER\Session\Information]
“ProgramCount”=dword:00000004
e salva con nome registro.reg ;Avvialo e importalo e successivamente riavvia il pc.
Prova così. Se non risolvi il problema proveremo in un altro modo.
Marzo 12, 2008 a 7:10 pm
ImMoRt4L
Approfitto della tua cortesia perchè ho fatto tutto quello che hai scritto ma non basta.
Il sistema è XP s.p.2 come antivirus mi è rimasto Kaspersky, il centro di sicurezza è attivo.
Ho provato anche con firefox e opera ma niente: a un certo punto viene a mancare la comunicazione col server e sembra che succeda in anticipo se il collegamento rimane per un pò inattivo (ma outlook continua a funzionare).
Un rompicapo?
Marzo 12, 2008 a 7:57 pm
@Blizki ma durante le procedure di rimozione del bagle hai scaricato ed installato xptcprep??(Il link per il download lo trovi nel post) Questo tool consente di riparare i registri TCP/IP necessari per la navigazione in internet.
Fammi sapere
Marzo 12, 2008 a 9:31 pm
Si, ho usato xptcprep.
E’ possibile che un dialer tenti una sua connessione e faccia saltare quella in corso?
Marzo 12, 2008 a 10:00 pm
@Blizki gli utenti con connessione adsl nn sono soggetti al dialer.
Cmq per risolvere il problema per prima cosa scansiona il pc con
hijackthis e Gmer.
Se non risolvi prova reimpostando i dns (Quelli in Protocollo Internet TCP/IP). Se hai telecom i dns sono 151.99.125.2 e 151.99.125.3
In questo modo imposti manualmente i dns che avrebbe dovuto prendere in automatico.
Per caso usi uTorrent?
Marzo 13, 2008 a 12:41 pm
imMort4l… ho provato come mi avevi detto ieri,ma il servizio l’avevo già attivato.
Comunque ho riprovato ma..niente.
all’avvio di Windows mi dà sempre il messaggio di errore da., SVCHOST…del tipo 07v83637… ho scritto a caso (non ricordo adesso) ha tentato di scrivere su..bla bla bla ma la memoria non è di tipo written.
Le cose sono di sicuro collegate, ho provato anche a “ricollegare” delle librerie dando due comandi ma ancora niente. Non vorrei che dopo aver sconfitto Bagle, mi debba fare fregare da questo
Marzo 13, 2008 a 1:45 pm
Per chiarezza riscrivo il messaggio di errore che ricevo,
in una finestra SVCHOST.EXE-Errore di applicazione.
- L’istruzione a “0×7c928fea” ha fatto riferimento alla memoria a
“0×00000010″. La memoria non poteva essere “written”.
Fare click su OK per terminare l’operzione.
Fare click su Annulla per eseguire il debug dell’applicazione. -
Adesso ho scritto proprio tutto !
Marzo 13, 2008 a 2:24 pm
@AleLupo tu mi avevi detto solo del problema della mancata visualizzazione di gestione periferiche, non del messaggio di errore all’avvio di windows. Per risolvere quest’ultimo problema scarica ed installa l’aggiornamento della microsoft Microsoft Security Bulletin MS06-040 clikkando qui
Scarica quello adatto al tuo sistema operativo.
Marzo 13, 2008 a 3:47 pm
niente da fare!A fine installazione mi dava un errore di installazione per la lingua diversa, però al riavvio andava in modalità provvisoria. Ho dovuto ripristinare tutto allo stato precedente e adesso..sono punto e a capo.
Marzo 13, 2008 a 4:49 pm
@AleLupo la versione di Windows xhe hai è originale?
Cmq apri il blocco note ed incolla il seguente codice:
Windows Registry Editor Version 5.00
; Riavvia ed imposta su “Automatico” il servizio Plug and Play
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PlugPlay]
“Description”=”Abilita un computer a riconoscere e adattarsi alle modifiche hardware con il minimo input da parte dell’utente o senza alcun input. Se il servizio viene arrestato o disabilitato, il sistema diventerà instabile.”
“DisplayName”=”Plug and Play”
“ErrorControl”=dword:00000001
“Group”=”PlugPlay”
“ImagePath”=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,65,00,72,00,76,00,69,00,63,00,65,00,73,00,2e,00,65,00,78,00,65,00,00,00
“ObjectName”=”LocalSystem”
“PlugPlayServiceType”=dword:00000003
“Start”=dword:00000002
“Type”=dword:00000020
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PlugPlay\Security]
“Security”=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\
23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
salvalo con estensione .reg avvialo e importalo. Infine riavvia il sistema. Fammi sapere. Le stiamo provando tutte
prima o poi troveremo la soluzione 
Marzo 13, 2008 a 5:17 pm
Niente ! nemmeno così !
Marzo 13, 2008 a 5:41 pm
@AleLupo ok proviamo in altro modo.. ma il tuo Windows è originale?
Allora.. disabilita il ripristino configurazione di sistema, riavvia in modalità provvisoria, fai una scansione con un antivirus aggiornato, fai una scansione con ad aware, in modalità normale installa e avvia Dustbuster XP, elimina tutti i file temporanei con Privacy defender 7.0.2, elimina momentaneamente il file di paging, scansiona con CCleaner. Esegui in ordine di successione così come elencati questi procedimenti e fammi sapere. (I software che ti ho detto li trovi tranquillamente free cercando su google)
Marzo 13, 2008 a 6:09 pm
il mio windows è originale. Ci provo !
Marzo 13, 2008 a 8:03 pm
@AleLupo forse il problema può anche dipendere dal fatto che non hai usato avenger perchè non ti andava. Usalo ora che ho messo il download dell’ultima versione di avenger immune al bagle.
Marzo 14, 2008 a 1:04 pm
Ancora niente da fare !
Però mandando lo script che ho trovato quì,Avenger mi dà questo errore (ripetuto)
12:57:50: Error: Invalid registry syntax in command:
“HKLMSYSTEMCurrentControlSetServicessrosa”
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)
si può sistemare?
Marzo 14, 2008 a 3:08 pm
@AleLupo scarica remove.zip clikkando qui ed estrai sul desktop i 2 file che contiene l’archivio.
Riavvia il pc ed in modalità provvisoria esegui il file remove.bat presente nell’archivio e riavvia il pc.
In modalità normale avvia Avenger seleziona “Input script manually” e clicca sulla lente di ingrandimento e incolla nella finestra che si aprirà i seguenti comandi:
Files to delete:
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ctfmon.exe2568130072
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Java\j2re1.4.2_14\bin\jusched.exe
C:\Programmi\Skype\Phone\Skype.exe
Folders to delete:
C:\Programmi\Ahead\InCD\bak
C:\Programmi\ATI Technologies\ATI.ACE\bak
C:\Programmi\Java\j2re1.4.2_14\bin\bak
C:\Programmi\Skype\Phone\bak
C:\WINDOWS\system32\bak
Alla fine dell’operazione il computer si dovrebbe riavviare da solo. Se così non fosse riavvialo manualmente.
Marzo 14, 2008 a 3:40 pm
Sempre tutto uguale ! Impossibile !
Marzo 14, 2008 a 3:57 pm
Installa superantispyware aggiornalo e esegui una scansione completa.
Scarica ATF Cleaner eseguilo e seleziona l’ultima voce Select All e premi Empty Selected. Se il tuo browser è Firefox, fai anche quest’altra pulizia: fai click su Firefox in alto, seleziona l’ultima voce Select All e premi Empty Selected.
Marzo 14, 2008 a 9:41 pm
E…pure questa è provata !
Niente
Marzo 14, 2008 a 10:24 pm
Fai Start–>Esegui–>scrivi regedit e clicca ok
trova la chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ed elimina il valore “au.exe”=”%System%\au.exe” presente nel riquadro a destra.
Trova la chiave HKEY_CURRENT_USER\SOFTWARE
ed elimina la sottochiave Windows2000. Spegni il pc e riaccendilo. (Non riavviare, spegni e riaccendi)
Marzo 15, 2008 a 3:06 pm
non ho nessuna di queste voci
Marzo 15, 2008 a 3:24 pm
Allora prova a disattivare il ripristino configurazione di sistema e riavvia. Se non ti compare nessun messaggio e nn hai nessun problema riattiva semplicemente il ripristino configurazione del sistema. Se invece ti compaiono messaggi o hai problemi descrivili dettagliatamente.
Marzo 15, 2008 a 5:17 pm
Al solito, non cambia niente !
Sempre e solo il solito errore
Marzo 16, 2008 a 12:11 am
Ridescrivi i tuoi problemi.. il tuo problema dopo la rimozione del bagle era la mancata visualizzazione di gestione periferiche.. hai ancora questo problema? Mentre il mex di errore è sempre quello che ti compare all’avvio di windows SVCHOST.EXE-Errore di applicazione. giusto? Te lo chiedo per capire per bene che procedimento adotarre per risolvere il tutto.
Marzo 16, 2008 a 9:06 pm
Si, perfettamente.
Ancora non vedo gestione periferiche e l’errore è sempre lo stesso
Marzo 16, 2008 a 9:51 pm
Avvia Avenger seleziona “Input script manually” e clicca sulla lente di ingrandimento e incolla nella finestra che si aprirà i seguenti comandi:
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Registry keys to delete:
HKEY_LOCAL_MACHINE\system\ControlSet003\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Folders to delete:
C:\windows\temp
C:\WINDOWS\Tasks
C:\WINDOWS\exefqd
files to delete:
c:\windows\system32\hlpuybtr.exe
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
drivers to unload:
srosa
pci32
Poi clicca sul semaforo verde e alla fine dell’operazione il computer si dovrebbe riavviare da solo. Se così non fosse riavvialo manualmente.
Marzo 17, 2008 a 10:16 am
Buone notizie !
Finalmente vedo le mie periferiche, risorse del computer si apre velocemente, rivedo le icone delle reti senza fili etc..nella barra delle applicazioni.
Rimane solo il messaggio all’avvio, rimasto sempre lo stesso !
Marzo 17, 2008 a 11:40 am
Allora… finalmente sono tornate le periferiche in gestione periferiche.
Posso controllare così le mie connessioni, anche quelle senza fili vedendo l’icona sulla barra degli strumenti. Aprendo Risorse del computer, tutto si carica come prima…
Però… il messaggio di errore, RIMANE!
Maledetto !
Marzo 17, 2008 a 2:32 pm
Bene, adesso non rimane che eliminare il messaggio di errore.. Scarica fixblast cliccando qui
e avvialo. Prima o poi risolveremo anche questo problema.
Marzo 19, 2008 a 11:48 am
Sono tornato.
niente, non è ancora risolto
Marzo 19, 2008 a 3:54 pm
ciao!!! anche io come tanti altri dei problemmi con bagle
per fortuma la rete mi funziona e per il momento non mi da problemmi!!!l’unica cosa ho dei problemmi seri con avenger
mi da errori di script cioè!!!non mi conpare inposta script manually e sopratutto non ho una lente d’ingrandimento e a posto del comando done ho il comando execute
per il momento con superantispyeware e elibangle sono riuscito a disintegrarlo ma mi rimane ancora un file srosa.sys e mdlek.exe ke non riesco a levare!!! comunque!!!magari mi potresti aiutare diversamente
ciao
Marzo 19, 2008 a 4:13 pm
Grazie mille immortal, seguendo questa guida ho risolto tutti i problemi che avevo. siete grandi..
Marzo 19, 2008 a 6:27 pm
@AleLupo dovrei leggere il file txt di avenger, in caso uppalo su megauload (o altrove) e passami il link per scaricarlo così lo controllo.
@Victorin segui tutti i procedimenti elencati nel post e srosa.sys e mdlek.exe li elimini come tutte le altre componenti del bagle, inoltre usa l’ultima versione di avenger, il link per il download è nel post.
@Mich mi fa piacere
Aprile 4, 2008 a 3:38 pm
@ImMoRt4L Ciao, solo per dirti che le tue istruzioni sono perfette, stavo per formattare e invece ho risolto tutto! Sei veramente un grande!!! GRAZIE!!!
Aprile 4, 2008 a 5:13 pm
Aprile 20, 2008 a 5:03 pm
C’è un problema…io ho cercato di rimuovere il virus scaricando questi 3 programmi ma non me li fa partire, e se partono dopo un po si spengono…come devo fà sono disperata!!
Aprile 20, 2008 a 7:07 pm
@Tix cerca di essere più precisa. Quali sono i programmi che nn riesci ad avviare? perchè nel post ce ne sono più di 3. E poi che problema riscontri? Ti compare qualche messaggio di errore quando cerchi di avviarli?
Aprile 22, 2008 a 3:28 pm
ho eseguito tt cio che c è scritto ma il mio virus nn m permette di istallare l antivirus nemmeno dopo eligaba..che posso fare??
Aprile 22, 2008 a 4:25 pm
@Nadia hai eseguido la scansione con kaspersky e poi usato avenger??
Aprile 22, 2008 a 7:29 pm
non mi permette lo stesso di scaricare kaspersky..anche dopo aver ftt la scansione cn eligaba..e inoltre avenger lo scarico ma si presenta diverso dall immagine che tu mostri,nn c’è lente di ingrandimento non c è nessuna scritta Input script manually.
Aprile 22, 2008 a 7:50 pm
@Nadia infatti come scritto nel post, l’avenger che scarichi dal link è l’ultima versione, quello compatibile con vista, e per usarlo:
” una volta scaricato ed avviato basterà inserire i comandi scritti sopra e cliccare su Execute.”
Fatto ciò ti si riavvierà il pc apportando le modifiche, successivamente prova con kaspersky. Fammi sapere
Aprile 23, 2008 a 4:40 pm
Io ho un problema più complicato: Bagle non solo mi ha bloccato gli antivirus, internet, il ripristino, ma anche windows! In pratica il pc mi resta sulla pagina in cui mi chiede “vuoi riavviare il pc in modalità provvisoria, normale o provvisoria con rete?” Qualsiasi opzione che io scelga mi riporta in quella pagina. Mi è stato consigliato di installare xp anche su D, in quanto ho due hard disk: C e D, dove D è più o meno un decimo di C, cioè circa 8GB (scusa se scrivo cose imprecise ma avrai capito cosa intendo). Una volta installato Windows anche su D (che però ora chiama H), ho seguito le tue istruzioni, ho cioè fatto partire il tool elibagle (impostando di fare scansione su C) che ha trovato bagle e lo ha eliminato (devo dire però che quasi all’inizio mi dice qualcosa come “impossibile analizzare cartella…”), poi ho fatto partire anche karpensky che ha trovato ed eliminato di nuovo bagle in più files, che erano nella cartella dei drivers e un malware (exploit-java-gimsh, che forse avevo da tempo). Poi però quando vado a copiare quelle scritte da te indicate su avenger, ricevo solo messaggi di errore (dopo aver cliccato su execute). Forse perché ho la versione di avenger per Vista? O forse perché non sono su C ma su D? Cmq su D la connessione funziona, dopo aver reistallato il modem, ma su C non riesco ancora ad entrare. Quando accendo il PC infatti mi chiede se voglio andare su Windows XP1 o su Windows XP2. Se clicco sul primo vado sul nuovo che ho installato, sul secondo mi chiede sempre se voglio andare in modalità provvisoria o normale, ma alla fine non accede mai a windows. Non vorrei proprio formattare. Help please. Danilo
Aprile 23, 2008 a 8:16 pm
@Danilo è un bel problema, vediamo di risolverlo. Allora Avenger non ti va correttamente perchè lo stai usando su D, mentre dovresti farlo funzionare su C (l’unità infetta). Cmq per risolvere il problema usa questo tool, dopo averlo scaricato masterizza l’ISO su un cd e avvia il computer con il cd. Fammi sapere
Aprile 24, 2008 a 7:24 pm
Ho fatto ciò che mi hai detto e avviando col cd creato mi dà 2 opzioni: 1) boot from hard drive; 2) boot into antivir rescue system. La prima mi fa tornare alla pagina iniziale in cui mi si chiede “vuoi avviare windows in modalità provvisoria o normale?”, la seconda mi fa uno scandisk che mi trova varie cose che sembrano dannose, trova pure bagle, nonostante kaspersky diceva di averlo eliminato, ma dopo che devo fare? Se riavvio ho sempre lo stesso problema, su D ci va, ma su C no. Forse dopo lo scandisk dovevo fare qualcosa? Una opzione mi manda in dos e non so che digitare. Poi c’è un modo di far partire il cd almeno in inglese? All’inizio mi chiede di scegliere tra inglese o tedesco, ma nonostante selezioni l’inglese mi parte in tedesco, perché in effetti la “x” rimane vicino all’opzione lingua tedesca, anche se evidenzio inglese e do ok. Non c’è proprio niente che io possa fare da D?
Aprile 24, 2008 a 7:48 pm
@Danilo con quel file iso avresti dovuto risolvere. Cmq prova a scaricare ed importare il file .reg di Safeboot. Poi riprova col file .iso come ti avevo spiegato prima. Se non risolvi fai una scansione con gmer e posta eventuali voci in rosso rilevati.
Aprile 25, 2008 a 2:19 pm
ho scaricato il file .reg sul desktop di D e cliccandoci e dando ok sembra inserito. Ma sarà inserito anche su C?
Gmer non mi trova voci in rosso
copio e incollo il risultato dello scandisk:
GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-04-25 13:17:42
Windows 5.1.2600 Service Pack 2
—- System - GMER 1.0.14 —-
SSDT 821476D0 ZwAlertResumeThread
SSDT 820BCBE8 ZwAlertThread
SSDT 8201A490 ZwAllocateVirtualMemory
SSDT 8203CF08 ZwConnectPort
SSDT \??\H:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwCreateKey [0xEFE65EE0]
SSDT 81C981B0 ZwCreateMutant
SSDT 81D186D0 ZwCreateThread
SSDT 820E29F8 ZwDebugActiveProcess
SSDT \??\H:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey [0xEFE66160]
SSDT \??\H:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xEFE666C0]
SSDT 8215C378 ZwFreeVirtualMemory
SSDT 820DF7C0 ZwImpersonateAnonymousToken
SSDT 82148448 ZwImpersonateThread
SSDT 820052F8 ZwMapViewOfSection
SSDT 820078C0 ZwOpenEvent
SSDT 81FEA8A8 ZwOpenProcessToken
SSDT 8214E050 ZwOpenSection
SSDT 820BB5B0 ZwOpenThreadToken
SSDT 820031E8 ZwResumeThread
SSDT 820A0008 ZwSetContextThread
SSDT 81FA3178 ZwSetInformationProcess
SSDT 820C8AF8 ZwSetInformationThread
SSDT \??\H:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xEFE66910]
SSDT 82004EF8 ZwSuspendProcess
SSDT 820457C0 ZwSuspendThread
SSDT 81FB30A8 ZwTerminateProcess
SSDT 82041750 ZwTerminateThread
SSDT 81EE7C40 ZwUnmapViewOfSection
SSDT 821485C0 ZwWriteVirtualMemory
—- User code sections - GMER 1.0.14 —-
.text H:\Programmi\Windows Live\Messenger\MsnMsgr.Exe[940] kernel32.dll!SetUnhandledExceptionFilter 7C810386 5 Bytes JMP 0056DBBD H:\Programmi\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation)
—- Devices - GMER 1.0.14 —-
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
—- EOF - GMER 1.0.14 —-
Aprile 25, 2008 a 2:32 pm
@Danilo il log di gmer è pulito. Dopo aver importato safeboot hai riprovato col file .iso come ti avevo spiegato prima?
Aprile 25, 2008 a 3:32 pm
Sì certo. Se chiedo di accedere a C mi dà sempre le due opzioni:
1) boot from hard drive; 2) boot into antivir rescue system.
Entrambe mi riportano al punto di partenza. La seconda però mi dà anche altre opzioni tipo “enter console”, se clicco su enter però mi va in una schermata in dos, dove tutte le opzioni suggerite da “help” non portano da nessuna parte.
Ho riprovato con avenger, inserendo a blocchi i comandi e i primi due li accetta (files e folders to delete), con gli altri due però (registry keys to delete e registry values to delete) mi dà error. Ho fatto scansione anche con registry easy che dice di aver riparato i problemi trovati, ma C proprio non ne vuole sapere di ripartire. Mi va sempre e solo su D, che tra l’altro sta scoppiando perché restano meno di 100MB liberi (ho installato norton 2008 che non ha trovato niente, ma che mi avvisa di continuo di attacchi bloccati)
Aprile 25, 2008 a 4:16 pm
Ti consiglio di scaricare la .iso di Ultimate Boot Cd 4 Windows: ti consentirà di creare un cd di avvio live che contiene una serie di tool veramente interessanti, tutti a interfaccia grafica: potrai eliminare i file non eliminabili dal sistema, potrai fare una scansione con Avira Antivirus (ti basta scaricare a parte le definizioni antivirus e scompattarle) e addirittura potrai modificare il Registro del sistema..
Puoi trovarlo qui
Aprile 26, 2008 a 10:48 am
Cioè di quel file (ubcd4win) devo masterizzarne l’iso su cd e inserirlo all’avvio di C?
Aprile 26, 2008 a 12:05 pm
@Danilo si
Aprile 26, 2008 a 2:31 pm
Mi sa che l’ho masterizzato male perche non parte all’avvio di C, in effetti sul cd compare un’icona sola, mentre sull’altro file che mi avevi consigliato aveva creato più icone sul cd. Quello me l’avevano fatto, questo invece l’ho fatto da solo e forse ho sbagliato qualcosa, eppure avevo impostato “crea iso”. Ho usato sia IMGburn che AVSdisc creator. Mi sai consigliare un programma freeware scaricabile e compatibile con vista? (Sul pc incasinato non posso più lavorare perche C come sai non si avvia e D ha solo pochi MB liberi)
Aprile 26, 2008 a 2:44 pm
Segui questa guida per masterizzare file iso, come programma potresti scaricare anche solo la versione di prova di nero 8 valida 30 giorni.
Aprile 26, 2008 a 7:42 pm
Ho scaricato nero dal tuo link e mi ha installato nero startsmart in italiano dove c’è solo masterizza file, audio, ripping, copia cd, ma niente che possa far creare immagine. Ho provato clone cd e alcohol ma mi creano cd vuoti (eppure mi viene sempre detto “cd completato” come se tutto fosse andato bene). Con imgburn invece il risultato è un cd con lo stesso file .exe di origine, che all’avvio di C non viene letto. Mi dici una cosa? Quando lo masterizzo, sul cd devono comparire più icone o solo una? A me ne compare una sola.
Aprile 26, 2008 a 10:40 pm
Potresti mettere il file .iso su siti tipo megaupload? Se lo trovo già in quel formato riesco a masterizzarlo. Ho già provato col file recovery system di norton, che si scarica gratuitamente, ma che dopo un’analisi mi dice semplicemente che non trova punti di ripristino.
Aprile 27, 2008 a 8:03 pm
@Danilo utilizzando Nero bisogna andare sul menu Copia e Backup, scegliere Copia immagine da disco, selezionare il file e avviare il processo. O ancora, da Nero Burning Rom, andare su Masterizzatore, Scrivi immagine.
Maggio 2, 2008 a 2:34 pm
io non riesco a togliere bagle , ho seguito un milardo di procedure, ma nulla!! qualcuno mi può aiutare?
Maggio 2, 2008 a 6:43 pm
@Cartman17 cerca di essere più preciso. Hai eseguito tutti i procedimenti elencati nel post? Che problemi continui a riscontrare?
Maggio 3, 2008 a 12:02 pm
allora: si ho eseguito tutto, ho provato anche con altre procedure e non funziona. Molte applicazioni non si aprono e da un errore non è un applicazione win 32 valida. Ora però alcuni antivirus come avg o kaspersky funzionano…. ma su alcuni .exe mi compare ancora quel messaggio d’errore…. prima non mi faceva accedere nemmeno a Istallazione applicazioni..mentre ora sembra andare , inoltre la modalita provvisoria funziona
Maggio 3, 2008 a 2:30 pm
@Cartman17
“per riattivare i servizi terminati da Bagle andate su Start–>Esegui–>scrivete SERVICES.MSC e cliccate su Ok–>abilitare i seguenti servizi se risultano disattivati: Avvisi; Centro Sicurezza PC; Aggiornamenti automatici; Connessione di Rete; Zero Configuration reti senza fili; Windows Firewall/ Condivisione connessione Internet (ICS)o altre applicazioni che non si aprono e ti danno il messaggio di errore che non è una applicazione valida.”
Prova anche a disintallare e a reinstallare i programmi che non ti si avviano più.
Maggio 3, 2008 a 2:45 pm
grazie ora sembra andare bene….provo con una scansione.
Maggio 8, 2008 a 3:42 pm
Ciao a tutti. Volevo ringraziare tutti ma sopratutto imMort4l per l’impegno disinteressato che offre a tutti noi niubbi vittime di sto cavolo di worm.
Grazie all’attenta lettura di tutti i suggerimenti e di tutte le risposte sono riuscito (forse:)) a debellarlo.
A mio avviso sono molto importanti i link offerti, che permettono un veloce reperimento del softwarez necessario (controlla i link, quello sull’ultima versione di avenger mi ha fatto scaricare un a cartella zip vuota (ieri) e adesso mediafire l’ha tolta).
Esiste un safeboot per vista?
Nota: kaspersky mi blocca i browser (firefox/explorer) e non riesce (anche dopo essere stato disattivato) a collegarsi al suo sito per l’attivazione gratuita di 30gg.
Ciao e grazie ancora!!!
Max
Maggio 8, 2008 a 8:13 pm
@Maxingaz grazie, ho aggiornato il link per il download di avenger ora è ok. Per quanto riguarda il problema con kaspersky, prova a usarlo in modalità provvisoria.
Maggio 9, 2008 a 2:33 am
Mi sa che c’e’ qualche strascico
Il verme ha lasciato la bava hahaha…
Ho provato a disinstallare kaspersky e installare Avast. Succede la stessa cosa. Se non lo sospendo non riesco a utilizzare i browser e la posta. E come prima non riesce a connettersi al server per scaricare gli aggiornamenti dei virus. Inoltre, a me piace giocare a poker on line (senza soldi veri, ovviamente :)), e alcune poker room non sono “raggiungibili”, e non e’ un blocco “statale”, e’ proprio un problema di connessione. Che sia rimasta qualche porta chiusa?
Maggio 9, 2008 a 9:12 am
Ciao ImMoRt4l, grazie x l’impegno e l’aiuto che dai
non riesco a scaricare la .iso di Ultimate Boot Cd 4 Windows dal link che hai segnalato.
All’inizio parte il download (la dimensione è di oltre 200 mega), ma dopo 1/2 mega finisce di scaricare!
Esiste qualche altro link dove trovarla?
Ciao e grazie ancora per l’aiuto
Maggio 9, 2008 a 9:33 am
Scusa, forse è risolta ! Prima scaricavo da softpedia e non andava, ora ho provato da download.com e sembra tutto regolare!
Ne approfitto x lanciare una “provocazione”; ho beccato bagle, prima di trovare il tuo post sono riuscito, modificando 2 chiavi del reg, a ri-vedere le cartelle che mi aveva nascosto, l’unica cosa che non va è la rete wireless ( e l’avvio in mod provvisoria).
per il resto tutto funziona alla grande, anzi meglio di prima come velocità del pc! non ho + l’antivirus ma .. e se continuassi così ?
Ciao & grazie ancora
Maggio 9, 2008 a 11:24 am
Ultimo aggiornamento
il link su download. com funziona ma dopo 1 pò (è già la terza volta) compare il messaggio “il server si è disconnesso, impossibile scaricare, tempo esaurito per l’operazione etc. etc.” altri link disponibili per il download ?
Ciao a tutti
Maggio 9, 2008 a 6:21 pm
@Maxingaz “per riattivare i servizi terminati da Bagle andate su Start–>Esegui–>scrivete SERVICES.MSC e cliccate su Ok–>abilitare i seguenti servizi se risultano disattivati: Avvisi; Centro Sicurezza PC; Aggiornamenti automatici; Connessione di Rete; Zero Configuration reti senza fili; Windows Firewall/ Condivisione connessione Internet (ICS)” seleziona anche altri eventuali programmi che non ti si avviano più correttamente.
@Gianni “se continuassi così ?” in che senso? Senza antivirus? non conviene quasi mai, installa un avg. Per quanto riguarda la rete wireless esegui il procedimento che ho detto a maxingaz sopra (e che è anche presente nel post)
Ho aggiornato il link per il download di Ultimate Boot Cd 4 Windows. Clicca qui.