Vi capita di non riuscire ad entrare in modalità provvisoria? Il vostro antivirus non funziona più correttamente? Probabilmente siete infetti dal virus Bagle.
Ma come si propaga questo malware?
Principalmente si propaga tramite le reti peer to peer (p2p) come emule, ma anche via email. Lo si può trovare spesso in archivi contenenti programmi e crack.
Una volta eseguito il suo file crea i files hldrrr.exe e mdelk.exe in C:\windows\system32\drivers oltre alla cartella download. Mostra una schermata dove fa selezionare il programma da cracckare. Dopo il riavvio carica il driver srosa.sys,situato nella medesima cartella,termina e cancella i software di sicurezza,che non potranno più essere utilizzati. Scarica vari files da internet nella cartella download e li avvia.
Inoltre questo malware, modificando 2 chiavi di registro, disabilita la modalità provvisoria, per cui tentando di accedere a windows in safe mode si ricevera una bella schermata blu .
Tutti i files di questo malware sono nascosti con tecniche rootkit,per cui non si possono visualizzare tramite esplora risorse.
Come vedere se si è infetti:
– I programmi di sicurezza sono stati cancellati
– La modalità provvisoria non funziona
– Una scansione con gmer evidenzia files in rosso
Operazioni da eseguire:
1) disattivazione ripristino conf di sistema:
● tasto destro del mouse sull’icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
2) scarica questo e incolla questo script
Files to delete:
%SystemDrive%WINDOWSsystem32driverssrosa.sys
%SystemDrive%WINDOWSsystem32wintems.exe
%SystemDrive%WINDOWSsystem32drivershldrrr.exe
%SystemDrive%WINDOWSsystem32driversmdelk.exe
%SystemDrive%WINDOWSsystem32mdelk.exe
%SystemDrive%WINDOWSSYSTEM32BAN_LIST.TXT
folders to delete:
%UserProfile%Dati applicazionim
%SystemDrive%WINDOWSsystem32driversdownld
%AppData%Roamingm
%SystemDrive%WINDOWSSystem32driversdown
registry keys to delete:
HKLMSYSTEMCurrentControlSetServicessrosa
HKLMSYSTEMCurrentControlSetEnumRootLEGACY_SROSA
HKLMSYSTEMControlSet003EnumRootLEGACY_SROSA
HKLMSYSTEMControlSet002EnumRootLEGACY_SROSA
registry values to delete:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun drvsyskit
HKLMSoftwareMicrosoftWindowsCurrentVersionRun mule_st_key
3) scarica questo utilizza il kaspersky antivirus scanner , se hai già il kaspersky non funziona, quindi usa f-secure a questo indirizzo
4) per sicurezza scarica questo e scansiona tutto il sistema. Questa versione è aggiornata ogni 15 giorni, se non ti funziona vai qui
5) scarica questo e fa una pulizia del sistema con ccleaner
Per eventuali problemi post rimozione fai queste operazioni:
● RIATTIVAZIONE DEI SERVIZI TERMINATI
Per riattivare i servizi scarica questo.
I servizi da riattivare sono i seguenti:
● Avvisi
● Centro sicurezza P.C.
● Aggiornamenti automatici
● Connessioni di rete
● Zero Configuration reti senza fili
● Windows Firewall/ Condivisione connessione Internet (ICS)
al termine si suggerisce di riavviare il sistema
Fonti: http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441
http://www.hwupgrade.it/forum/showthread.php?t=1562611
