Come eliminare il virus Bagle dal proprio pc

Dopo qualche giornata a testare il pc, posso dire che il virus Bagle che mi ero beccato è stato cancellato e che il mio sistema operativo è tornato “quasi” come nuovo. Unica pecca (oltre a dover re-installare Spyware Doctor che non partiva, ma vabbè!) avere Windows Defender totalmente fuori uso. Purtroppo il virus ne ha compromesso l’utilizzo, almeno fino a quando non i deciderò ad installare il Service Pack 1 per Vista, cosa che probabilmente porterà tutto alla normalità. Windows Defender in XP si comportava all’incirca come un programma, che si poteva disinstallare e re-installare. In Vista invece è un’applicazione che è impossibile (o quasi) rimuovere o re-installare, quindi quando si prova ad installarla nuovamente esce una bella schermata di errore che ci ricorda che Defender è un pacchetto applicativo insito in Vista, un po’ come Internet Explorer. Ma bando alle ciance…

Come ci si accorge di aver trovato il file Bagle

Solitamente ci si accorge di aver beccato questo infido virus quando il nostro antivirus, che era lì pronto a proteggerci con la sua iconcina, non c’è più (Bagle disabilita l’antivirus) e quando una marea di programmi non si aprono oppure si aprono ed esce un bell’errore con scritto “non è un’applicazione Win32 valida”. Il virus Bagle può “fingersi” tante cose: un documento di word, una crack di un programma ecc. Questo perchè l’icona che appare in realtà può essere fuorviante, meglio quindi stare SEMPRE ATTENTI ai file che, anche se con una determinata icona, possono essere degli eseguibili pericolosi (un eseguibile è un file .exe).

Cosa fare per cancellare il virus

1) Innanzitutto bisogna disattivare il “ripristino configurazione del sistema” andando su Pannello di Controllo –> Sistema –> Ripristino configurazione di Sistema e togliere la spunta a qualsiasi disco che abbia attivato il ripristino.

2) Poi bisogna scaricare il programma Eligabla, da questo sito. Bisogna fare una scansione del computer con questo programma (stando ben attenti che ci sia la spunta a “Eliminar Ficheros Automaticamente”) e poi riavviare il pc.

3) Dopo è necessario scaricare la versione trial dell’antivirus Kaspersky (attualmente il miglior antivirus sul mercato) dal sito ufficiale e fare una scansione con esso, cancellando tutti i file dannosi che vengono trovati. Nuovamente bisogna riavviare il pc.

4) Successivamente scaricare i Tools anti-Bagle che contiene sia una versione di Hijackthis che non viene “bloccata” dal Bagle sia una versione di Avenger, software utilissimo per questo tipo di infezioni. Innanzitutto si dovrebbe fare una scansione con Hijackthis, cancellando tutte le voci che risultano sospette e/o dannose (per vedere come usare al meglio Hickathis guardare qui) e poi passare ad Avenger. Nello spazio bianco che appare dopo aver aperto il programma copiare ed incollare le seguenti istruzioni:

Files to delete:
%UserProfile%DATI APPLICAZIONIMLIST.OCT
%SystemDrive%WINDOWSSYSTEM32BAN_LIST.TXT
%SystemDrive%WINDOWSsystem32drivershidr.exe
%SystemDrive%WINDOWSsystem32driverssrosa.sys
%SystemDrive%WINDOWSsystem32wintems.exe
%SystemDrive%WINDOWSsystem32hldrrr.exe
%SystemDrive%WINDOWSsystem32trusted.exe
%SystemDrive%WINDOWSsystem32driverspci32.sys
%UserProfile%Dati applicazionihidireshidr.exe
%UserProfile%Dati applicazionihidiresrosa.sys
%UserProfile%Dati applicazionimdata.oct
%UserProfile%Dati applicazionimflec006.exe
%UserProfile%Dati applicazionihidiresm_hook.sys
%SystemDrive%WINDOWSsystem32drivershldrrr.exe
%SystemDrive%WINDOWSsystem32drivershldrrr.ex_
%SystemDrive%WINDOWSsystem32mdelk.exe
%SystemDrive%WINDOWSsystem32driverspci32.sys
%SystemDrive%WINDOWSSYSTEM32EDLM.EXE
%SystemDrive%WINDOWSSYSTEM32EDLM2.EXE
%SystemDrive%Windowssystem32LDR64.DLL
%SystemDrive%WINDOWSsystem32german.exe
C:WINDOWSsystem32driverssrosa.sys.XXX
C:WINDOWSsystem32mdelk.exe.XXX
C:WINDOWSsystem32wintems.exe.XXX

folders to delete:
%SystemDrive%WINDOWSexefnd
%SystemDrive%WINDOWSexefld
%UserProfile%Dati applicazionihidires
%SystemDrive%WINDOWSSystem32driversdown

registry keys to delete:
HKLMSYSTEMCurrentControlSetServicessrosa
HKLMSYSTEMCurrentControlSetEnumRootLEGACY_SROSA
HKLMSYSTEMCurrentControlSetServicespci32
HKLMSYSTEMCurrentControlSetEnumRootLEGACY_PCI32
HKLMSYSTEMCurrentControlSetServicesrosa
HKLMSYSTEMCurrentControlSetEnumRootLEGACY_rosa
HKLMSYSTEMCurrentControlSetServicesm_hook
HKLMSYSTEMCurrentControlSetEnumRootLEGACY_M_HOOK
HKLMSYSTEMControlSet003EnumRootLEGACY_SROSA
HKLMSYSTEMControlSet002EnumRootLEGACY_SROSA
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyldr64

registry values to delete:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun | hldrrr
HKLMSoftwareMicrosoftWindowsCurrentVersionRun | drvsyskit
HKLMSoftwareMicrosoftWindowsCurrentVersionRun | german.exe

e poi cliccare su “Execute”. Può essere utile anche applicare la spunta a “Scan for rootkits” e “Automatically disable any rootkits found”. A questo punto il programma vi chiederà di riavviare il pc: fatelo!

A questo punto, al riavvio, dovrebbe esserci un rapporto del programma Avenger in cui dice se ha cancellato tutte le voci presenti nelle istruzioni. A questo punto dovrebbe andare tutto bene e il virus dovrebbe esser stato debellato dal vostro pc.

Eventuali altre operazioni

Potreste fare una scansione del vostro pc con CCleaner o con qualche programma per la pulizia del registro, anche se queste sono operazioni secondarie.

Alcuni problemi riscontrabili

All’avvio di Windows, dopo questa procedura, si potrebbe avviare il file desktop.ini. In questo caso basta tornare al punto 1) e riportare la spunta al “ripristino configurazione di sistema”!

Conclusioni

E’ doveroso dire che ogni buon antirivus, sul proprio sito, offre dei Removal Tools (dei piccoli programmini per cancellare dei virus specifici) anche per il famoso virus Bagle. Tuttavia il Bagle è parecchio insidioso soprattutto perchè ne esistono infinite varianti, che molto spesso variano gli uni dagli altri. Per questo motivo questi tools lasciano il tempo che trovano, essendo molto spesso specifici per UNA SOLA VARIANTE di Bagle. Io, per esempio, ho provato i removal tools della Symantec (il Norton antivirus), del Kaspersky e del Nod32, ma non ho avuto alcun risultato.

Edit. Trovato un altra funzionalità che quel bastardo di un virus mi ha lasciato, senza che ancora sia riuscito a porvi rimedio. Sinceramente il Defender non mi è mai servito a granchè, ma ora mi son accorto di non riuscire a connettermi più alle reti Wireless. Non mi mostra nessuna rete, neppure aggiornando la lista (ora bianca). Ho provato a disinstallare i driver e a re-installarli, ma è stato tutto inutile. Cavolo, il wireless è utile…

Edit 2. Appena risolto il problema con il Wireless. Per vedere la semplice risoluzione clicca qui. Per rimettere in senso il Defender purtroppo non serve neppure installare il Service Pack 1 per Vista. Credo che l’unico modo sia quello di formattare il computer, ma per quel che serve il Defender, credo che non ci sia bisogno di tutta questa perdita di tempo…