Riporto, qui di seguito, una guida, la più semplice e concisa posssibile, che vi potrà aiutare a sconfiggere il virus Bagle, tooso, Mitglieder o Beagle che dir si voglia. Questo malware attacca i nostri computer tramite le reti di sharing peer2peer (utorrent, emule) soprattutto contenuto in archivi, con formato .zip .rar. Non è riconosciuto dalla maggior parte degli antivirus perchè nascosto sotto forma di rootkit. Quindi riesce a insediarsi nel pc e a riprodursi relativamente senza problemi. Bagle in sé non crea problemi irreparabili, è piuttosto tutto ciò che si porta dietro che può dare qualche fastidio di troppo: il virus infatti attira numerosi trojan, worm e spyware che ci renderanno la vita difficile durante il periodo di “permanenza” di Bagle sul Pc. Si riscontrano dei sintomi comuni dei quali la più eclatante è forse la disattivazione di tutti gli antivirus che abbiamo in funzione sulla nostra postazione e ogni volta che tentiamo di aprire, appunto, uno degli antivirus bloccati compare un messaggio di errore con il nome del programma seguito immancabilmente da “non è un’applicazione Win32 valida”. Altri segnali che siamo affetti da Bagle possono essere la difficoltà di connessione, ovvero un suo andamento altalenante una riscontrata lentezza dell’adsl, e infine l’uso pauroso della CPU che risulta essere inspiegabilmente sempre al massimo, anche quando provando a chiudere tutti i programmi in esecuzione le cose non cambiano.
Tranquillizzo da subito tutti quelli che si siano sentiti disarmati e impotenti di fronte alla trasformazione del loro computer: il rimedio c’è (e non è neanche troppo difficile da mettere in atto se consigliati da uno che ci è passato). Perciò seguite attentamente la guida che vi offro e riuscirete ad eliminare Bagle.
Questa guida è stata pensata nello stesso istante in cui io mi sono sentito disorientato e smarrito dall’infezione di Bagle, non sapendo cosa fare. Ma ho accettato la sfida di rimuoverlo da solo e ci sono riuscito. Ora perciò dedico questo mio piccolo spazio a chiunque ci capiterà , disorientato come ero io nella speranza che possa aiutare almeno uno di loro…
Prima di iniziare un paio di consigli che facilitano non poco la rimozione di malware: ad esempio disonnettersi da internet mentre si “opera”, poichè i virus possono collegarsi in rete facendo entrare nel vostro computer altri simili; inoltre eliminnate il più spesso possibile i file di cache, i file temporanei, i cookie a questo scopo potete usare CCleaner. Passiamo adesso alla guida vera e propria.                             Per eliminare Bagle dovete:
- Per prima cosa disattivate il ripristino configurazione di sistema da Pannello di controllo>Sistema>Ripristino Configurazione di sistema quindi cliccate sulla spunta Disattiva ripristino configurazione di sistema;
- Da Esegui nel menu di avvio scrivete services.msc>cliccate OK ed attivate i seguenti servizi: Avvisi, Centro sicurezza PC, Connessione di rete, Aggiornamenti automatici, e Windows Firewall\ICS
- Eseguito il punto 2 dovreste essere in grado di installare alcuni antivirus. Quelli fondamentali per eliminare il virus sono Gmer e Avenger che, come vedremo dopo lavorano in coppia. Scaricate quindi il primo, installatelo e avviatelo eseguirà automaticamente una scansione (davvero veloce) delle zone del registro di sistema a rischio. Le voci in rosso trovate saranno processi legati al virus o virus stessi. Quando userete questo programma però vi invito ad usare la massima attenzione alle voci che andrete ad eliminare poichè questo è un programma per un uso professionistico, ciò però non esclude che non lo si possa usare adottando le dovute precauzioni! Un’altra cosa: potrebbe accadere (com’è capitato a me) che nelle prime volte in cui userete Gmer si chiuda da solo. Non vi preoccupate è il virus che rende instabile il PC!
- Ora, invece dovete agire con l’altro antivirus, Avenger, con cui andrete ad eliminare quei file che comportano tutti i problemi derivati dal virus. I più importanti secondo la mia esperienza sono srosa.sys, mdelk.sys e hldrrr.exe (quest’ultimo visibile in Task manager!). Per cui si inserisce manualmente il comando in Avenger:
Files to delete:
X:\WINDOWS\system32\hldrrr.exe
X:\WINDOWS\system32\wintems.exe
X:\WINDOWS\system32\drivers\srosa.sys
X:\WINDOWS\system32\drivers\mdelk.exe
X:\WINDOWS\system32\drivers\hldrrr.exe
X:\WINDOWS\system32\mdelk.exe
Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Services\rosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
Sostituendo la X:\ con la lettera del disco rigido interessato dal virus (es. C:\, D:\, ecc.)
Cliccate su Execute>cliccate sì alla domanda Are you sure you want to execute thie current script?>il computer si riavverà da solo. Avenger eliminerà i file indicati nel comando e le chiavi di registro.
Fatto questo avrete fatto il “grosso” del lavoro. Andiamo ora a ripristinare tutti quei servizi e quelle configurazioni modificate dal maledetto virus. Potreste, ad esempio, riscontrare problemi fastidiosi nella connessione quali, rallentamenti anomali e soprattutto difficoltà (o impossibilità ) ad aprire le pagine dei browser. Per risolvere questo potete scaricare xptcprep che ripristinerà i giusti settaggi della connessione. Per ripristinare la modalità provvisoria basta usare questo file .reg: Safeboot, facilmente reperibile su internet. Infine se non riuscite a vedere più i file nascosti (perchè il virus ha modificato anche questo) andate a questo indirizzo: anche in questo caso un file .reg riporta i settaggi originali e sarà di nuovo possibile accedere ai file nascosti.
Se potete vi consiglio di fare una scansione anche con CCleaner; eliminerà un po’ di file temporanei inutili.
Ricordate che per poter tornare a utilizzare gli antivirus bisogna disinstallarli e insallarli di nuovo; fino ad allora continueranno a dare il messaggio di errore all’apertura.
A questo punto dovreste essere riusciti a sconfiggere Bagle!
Posto i link per gli antivirus:
Infine ecco alcune icone dietro cui si nasconde l’eseguibile del virus:
Europezyon 
Ciao.. Hai notato anche qualche anomalia con i driver.. Tipo a me windows media player non va non mi legge le canzoni.. Xò non l ho ancora eliminato il virus devo provare il tuo modo!
Sì, ad esempio quando ero infettato non riconosceva le periferiche USB e i driver Realtek erano impazziti: la musica era a scatti…un casino.
Con WMP niente di particolare.
P.S.: Ricordati di scrivermi come è andata col mio procedimento.
Intanto grazie perchè penso che stai aiutando tanta gente soprattutto un po ignorante di computer come il sottoscritto.. ho seguito i tuoi consigli passo passo (gli unici comprensibili in tutta la rete e facile da usare) ma ho da dirti delle cose:
1. gmer non lo riesco a scaricare anche perchè il pc senza protezione mi blocca alcune pagine.. ho dunque usato MegaLab.it_H_i_J_a_C_k_T_h_I_s penso sia lo stesso anche perchè fino a questo punto tutto ok
2. il problema è avanger: non mi parte avanger.exe perchè –> non è un applicazione di win32 valida. Dunque ho usato MegaLab.it_a_v_e_n_g_e_r faccio copia sostituisco le x con c ma poi qnd premo il tasto execute non succede niente a parte dire che gli script non sono validi dopo che viene scritto warning open file (bla bla bla) e altra roba.
HELP PLEASE
Per prima cosa mi fa piacere che tu abbia apprezzato la guida.
Per il resto ti consiglio di installare gli stessi programmi usati da me, semplicemente perchè, avendoli usati anch’io, so come vanno.
Ho inserito i link dei due programmi che non ti funzionavano (probabilmente usavi la versione vecchia di avenger): prova a scaricarli da lì e dimmi cosa succede.
Inoltre, per gli script di avenger, controlla che siano scritti bene, basta uno spazio in più e dice “script non validi”.
Una curiosità : durante l’infezione ti è apparsa un’icona con una croce rossa?
Si esatto nello scaricare avenger da emule una volta decompresso il simbolo di avenger era appunto una croce rossa.. che però ho buttato immediatamente nel cestino
Il problema non è che non voglio usare i tuoi programmi è che non li riesco a farli funzionare x esempio l’icona di gmer è di qll che qnd accendi non fa niente e avenger uguale non me li fa usare.. Grazie proverò a levare gli spazi degli script
Allora ho riprovato e mi dice “can’t open ……..”
Boh mi sa che dovrò abituarmi ad avere il worm bagle a meno che non ci sia un altro modo per eliminarlo però con hijacktis sono riuscito a limitarne la forza ora i suoi effetti sono pochi però non fa piacere averlo
Prova così, perchè anch’io avevo un problema simile: controlla di avere abilitato (punto 2 della guida) da services.msc i servizi disattivati; uno di questi -centro sicurezza- blocca gli antivirus. Riabilitati i servizi (Avvisi, Centro sicurezza PC, Connessione di rete, Aggiornamenti automatici, e Windows Firewall\ICS) installa Gmer ed elimina i file in rosso che troverà . Il computer diventerà molto più “normale” eliminate le parti fondamentali del virus.
Fatto tutto, compreso xptcprep ma ancora non mi fa installare antivirus perchè?? Safeboot.reg dove lo metto?? e quando è che torna tutto normale?? GRAZIE in anticipo
Mi correggo usando gmer le striscie rosse non mi si elimano nemmeno riavviando .. uffa uscirò da quest’incubo????
Per safeboot basta aprire il file .reg e si installa da solo. Perciò, se riesci a usare la modalità provvisoria usa uno dei tuoi vecchi antivirus e prova ad eliminare così.
Per quanto riguarda gmer prova a usare la funzione “files” e “registry” (evidenziate) eliminando manualmente le parti del virus che ho scritto nello script per avenger, ad esempio hldrrr.exe che si trova nella directory X:\WINDOWS\system32. Mi raccomando fate sempre attenzione a quello che eliminate!
Gabriele mi sembra strano che non elimini le righe in rosso a me non è successo. Prova ad usare il comando “kill” anzichè “delete” o viceversa.
Prova un po’ queste cose dovrebbero andare bene.
Uff non riesco a eliminare in tutti i modi il registro firstRRRun
In che modo hai provato ad eliminarlo?
Sono ad un ottimo punto.. naturalmente grazie al tuo aiuto
Ultimo problema.. non di poco conto però.. ogni volta vado su internet nei processi torna il file hdlrrr.exe io termino il programma ma esso si ripristino quando riapro una nuova pagina internet ho cercato il file con ricerca e l’ho eliminato .. anch’esso si ripresenta.. che mi consigli??
Con gmer controlla che non esistano le chiavi di registro:
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
(intanto le aggiungo nel post).
Consiglio: se devi eliminare i file dannosi cerca di usare gmer che li elimina definitivamente; io notai che così non ricomparivano.
Cartelle da controllare system32 (WINDOWS\system32) e drivers (WINDOWS\system32\drivers). File da cercare: mdelk.exe, rosa.sys, hldrr.exe, sptd.sys.
Una domanda importante: in che file hai trovato il virus?
windows\prefetch\hldrrr.exe(una cosa del genere) ora questo l’ho eliminato e non ricompare
il problema è il processo hldrrr.exe perchè ricompare appena apro internet
Evidentemente non hai eliminato le parti fondamentali del virus, perchè ricompare. Ti posso dire di riprovare a fare le scansioni con gmer ed eliminare “personalmente” i file dannosi.
una domanda: se non trovo hldrrr.exe in Task manager, ma l’antivirus è disabilitato può essere lo stesso un virus Bagle?
grazie per le risposte
@Maurizio: scusa se ti rispondo ora. Comunque sì, si tratta del virus se ti compare la famosa scritta (non è un’applicazione win 32 valida).
Spesso hldrrr.exe non compare nei processi attivi (di task manager).
Avenger non si vuole installare perchè è un’applicazione di Win32 non valida e Gmer non elimina la riga con “srosa.sys”…e,sì,ho già ripristinato i servizi e disattivato il ripristino configurazione…
1.Avenger (è la versione aggiornata) l’hai scaricato dal link del mio blog?
2.Ti compare un messaggio quando provi ad eliminare srosa.sys?
3.Ricontrolla (anche se lo hai già fatto) che i servizi siano corretti.
4.Prova, ripristinandola con safeboot.reg, ad usare la modalità provvisoria e
lanciare una scansione anti-virus.
ciao io ho lo stesso problema ho questo maledettissimo virus bagle… ho fatto tutto quello che diceva la tua guida fino al punto di installare gli antivirus gmer e avenger. dopo averli scaricati dal tuo link (in formato .rar se non sbaglio) provo ad avviare il file .exe però a un certo punto compare una finestra e mi dice “create file C:\windows\gmer.dll impossibile trovare file specificato” clicco ok e me ne compare un’ altra che dice “create file C:\windows\gmer.sys impossibile trovare file specificato”. ricontrollo tutti i passaggi (tutto ok) e mi dice sempre la stessa cosa, ho provato anche a scaricarlo dal sito ufficiale niente avenger invece non me lo apre proprio l’archivio perchè mi dice che è danneggiato.
dimmi tu quello che devo fare sono nelle tue mani.
quando apro gmer.exe mi dice ke è impossibile trovare gmer.dll in windows…ke devo fa?
(ho ankio il comp..anzi i computer in rete corrotti da un virus bagle..e nn posso usare ne gmer ne avenger visto ke mi dice ke nn è un’applicazione win32 valida e nemmeno riesco nel portatile a ripristinare nemmeno dai servizi la zero configuration x la connessione a internet) sn disperato..
@Fabio e Dario: siete infetti dall’ultima variante del virus.
Provate a fare così: scaricate Bagle remover da qui: http://download.bleepingcomputer.com/sUBs/Beagled.exe
quindi lanciate il programma scaricato.
Solo adesso installate Avenger e inserite lo script nell’apposito spazio.
Cliccate execute, il pc si riavvierà . Alla successiva accensione dovrebbe essere più facile installare gli antivirus.
Ditemi presto come è andata!
ciao scusate il ritardo ma stavo cercando in tutti i modi di togliere quel maledetto virus. comunque ho trovato un modo di eliminare i file fondamentali del worm. dovete fare così da internet scaricate un programma di nome “stinger3″ non lo dovete installare quindi il virus non lo riconoscerà come un antivirus, lo aprite e vi verrà di fronte una schermata molto semplice, andate su preferences nella sezione ” on virus detection ” e selezionate delete cliccate su ok e fate la scansione. vi eliminerà tutti i file principali del bagle. ora però bisogna eliminare i registri con avenger; e qui casca il bue (almeno per me!!!) non riesco da nessuna parte a scaricarmi il programma. per favore puoi mettermi un link valido dove possa scaricare avenger direttamente in file .exe??? comunque ti ringrazio riccardo senza di te non avrei mai scoperto di che virus si trattase il bagle di cui sono infetto!!!! 🙂
siiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii!!!!!!!!!!!!!!!! yuuuuuuuuhuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuu!!!! ci sono riuscito a eliminare questo schifosissimo ston**ssimo warm/virus/trojan bagle!!!!! evvai così!!!!!!!!!!!!!!!!!!!!!!!!!! ti ringrazio tantissimo riccardo senza di te non ci sarei riuscito grazie miiiiiiiiiiiiiiiiiiiiiiileeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
ciao, io credo di essermi preso una delle ultime varianti.
Ho fatto il procedimento ma Avenger non segnala la presenza dei file hldrr srsoa rosa ecc ecc.
Non vorrei sbagliarmi, ma quanto mi ha infettato non credo sia solo Bagle ma anche qualcos’altro, dal momento che m’impedisce di andare ANCHE sui siti di antivirus più comuni come kaspersky norton avast ecc ecc.
In modalità provvisoria riesco ad andarci ma spyboot non gira uguale, avg riesce a fare le scansioni (è l’unico che mi gira) ma rileva poco o niente, e quel poco che rileva è nascosto e non riesco a vederlo/eliminarlo.
Grazie per la risposta
@ Giorgio.
Innanzitutto scusa se rispondo ora, in questa settimana ho avuto impegni che non mi hanno permesso di collegarmi.
Cosa intendi quando dici che “avenger non segnala la presenza di…”? Il programma dovrebbe servire solo all’eliminazione dei file infetti e non alla scansione.
Detto questo, ti informo che le ultime varianti del file bloccano persino il collegamento a siti di antivirus o forums che diano delucidazioni su come procedere con il virus bagle (per fortuna il mio blog non è soggetto a ciò).
Visto che non sei riuscito prova così: disinstalla avenger, fai partire questo programma, elibagla, e fagli fare la scansione. Solo ora installa Avenger e fai pulizia!
Il link per elibagla lo trovi qui: http://www.zonavirus.com/datos/descargas/95/elibagla.asp
(clicca l’opzione a fondo pagina “descargar elibagla”).
Il programma “elibagla” è in spagnolo, ma non c’è bisogno di conoscere la lingua, i comandi sono veramente intuitivi e tra l’altro il programma è anche piccolo (56kB).
Un consiglio che do a tutti è dotare il pc di un antivirus come avira (veramente buono tra i freeware) o pensare prorio ad una antivirus a pagamento, per non cadere di nuovo in “trappole” come questo virus.
Una manciata di euro per un programma su cui contare sono soldi ben spesi.
ciao ragazzi anche io ho beccato sto virus maledetto!è tutto il giorno che cerco di eliminarlo seguendo passo passo le indicazioni ma non riesco a fare nulla…GMER è instabile e Avenger non riesco a farlo partire…ho provato BeagleD e Elibaggla(anche questo è instabile,anzi non parte proprio!) e ancora niente…vi prego aiutatemi!:( non voglio formattare il pc…grazie
@ il blasco
Ciao! Se tutti gli antivirus sono instabili, controlla di aver riattivato i servizi che erano stati disabilitati dal virus in services.msc
Ti consiglio di fare una scansione con kaspersky online, l’indirizzo è http://www.kaspersky.com/virusscanner
In questo modo identifichi le falsi immagini infettate dal virus.
no i servizi erano tutti attivi…però penso di avere risolto grazie un programma Fxbeagle scaricato dal sito della norton…infatti ora gmer è stabile e non segna più voci in rosso(solo una in nero) e sono riuscito ad installare Avira e ho fatto una scansione che mi ha trovatp ben 200 e passa virus tra cui vari bagle e li ho eliminati tutti…ora il pc sembra andare tranquillo infatti riesco a giocare e non e piu lento come prima:) spero quindi che sia finito quell incubo!
@ il blasco
Bene così!
…”ho fatto una scansione che mi ha trovatp ben 200 e passa virus”…comunque eri stato infettato per bene, eh?
Ora continua a fare scansioni con avira, potrebbe trovare qualcos’altro.
si infatti sto facendo scansioni con avira e con malwarebytes anti-malware e trovano ancora qualcosina ma la rimuovo senza problemi…cmq penso che sia stato infettato per colpa di quel cavolo di bagle che mi ha disabilitato tutte le difese…cmq penso di aver risolto ora mi manca solo attivare un buon firewall e penso di essere a posto:) grazie ciaooooooo
@ il blasco
Sono contento che tu te ne sia liberato. Come firewall ti consiglio Comodo Firewall Pro, ottimo programma freeware. Ciao!!
ciao riccardo mi serve una mano quandoo voglio aprire gmer nn me lo fa aprire mi esce una scritta che dice: CreateFile C:\WINDOWS\gmer.dll impossibile trovare il file specificato
cosa faccio??? per favore aiutami!!!
Controlla di aver attivi tutti i famosi servizi da services.msc
Se dopo aver attivati i sevizi il programma parte, bene; altrimenti fai una scansione con elibagla.
Se neanche elibagla serve a rendere più stabile il pc e di conseguenza gmer, prova con il programma che ha usato l’amico Blasco, ovvero “fxbeagle” della symantec all’indirizzo http://www.symantec.com/it/it/security_response/writeup.jsp?docid=2004-011916-0524-99
Riuscito a far partire gmer, segui la procedura e fammi sapere!
ciao riccardo sto facendo la procedura che mi adesso sta facendo la scansione con fxbeagle
perche elibagle nn mi parte appena lo apro si chiude automaticamente
cmq ieri ho fatto una scansione con malwarebytes e mi ha tolto un sacco di virus beagle tranne 1 secondo me è quello che crea problemi poi dopo aver spensto il pc e lo riacceso mi dice creare file C:\Documents cosa posso fare????
E’ importante, seguendo la guida, riuscire ad usare avenger per eliminare ad uno ad uno tutti i componenti del virus: prova questo.
In secondo luogo non so come aiutarti sul problema che hai dal momento che non conosco bene malwarebytes (cioè non l’ho mai usato) e le informazioni che mi dai sono troppo poche, riguardo all’avviso all’avvio “creare file..”.
Prova a darmi qualche dettaglio in più.
ma avenger nn me lo fa aprire mi esce un errore quando tento di aprirlo
cosa faccio???
cmq il problema del creare il file documents ho risolto almeno spero
Ciao! volevo ringraziarti infinitamente perchè grazie alla tua guida sto uscendo da una situazione davvero spinosa.
il virus l’ho preso in e-mule, scaricando un gioco di scacchi x il mio cell..una volta installato si è presentata un’icona fatta ad ambulanza; da li poi mi ha bloccato l’audio, l’antivirus avast e reso la connessione molto lenta..
io ho utilizzato elibagla e vorrei farti una domanda.. può essere che solo con quest’ultimo programma, sia riuscito a liberarmi del maledetto virus? perchè effettivamente è tornato tutto alla normalità e quando utilizzo GMER non mi riporta più voci in rosso.. grazie infinite e auguri.
Matteo
Ciao complimenti x la chiarezza e la competenza che hai. Io purtroppo non ho risolto il problema…quando avvio avast mi dice che non è un’ applicazione valida di win 32. Non mi si apre più Msn, superantispyware e non so cosa fare…Avast non si apre più definitivamente, ho provato a disinstallarlo e a reinstallarlo ma senza risolvere nulla. Ho seguito i tuoi consigli dati nel post principale, ho provato a fare la scansione con avast virus cleaner ma non mi ha trovato nulla. Premetto che uso Windows Vista, ed ho riscontrato problemi con Avast e Msn dopo che ho scaricato dei codec divx. Mi puoi aiutare x favore?Gmer mi si chiude sempre e Avenger mi dice la stessa cosa di Avast che praticamente non è un’ applicazione valida…Sono disperato xkè non vorrei formattare….ti ringrazio anticipatamente x l’aiuto. Buona domenica. Fabio.
Ciao riccardo
ho seguito la tua guida per ore e ore oggi, e ho scaricato una decina di programmi fra antirootkit, firewall, oltre alle lunghissime scansioni on-line e dai pochi programmi che mi vanno ancora.. i sintomi sono gli stessi delle altre mail presenti sul blog.. avast e spybot, sono riconosciute come esecuzioni non valide win 32. Trovo trojan da tutte le parti, anche dai giochi del cell x esempio, e non mi era mai capitato. E cosa che non riesco davvero a capire è perchè non si avviano avenger e beagled, da dove posso inserire tutti i comandi sopra scritti.. COME POSSO FARE??
TI CHIEDO DISPERATAMENTE AIUTO….. STAVOLTA NON POSSO DAVVERO FORMATTARE!!
Innanzitutto, perdonate la mia assenza, ero partito, sono tornato giusto adesso e voglio cercare di aiutarvi.
@Matteo: Ciao! I tuoi sono tutti sintomi “classici” del virus. A quanto pare ti sei liberato del grosso del virus, ora non ti resta che fare il lavoro di “precisione”: ripristina i servizi andati, fai scansioni approfondite e soprattutto procurati un buon firewall, meglio se con il controllo attivo su tutto ciò che accade sul pc (io consiglio Comodo). Goditi ora il pc “sano”. Ciao!
@Fabio: Ciao! Ti invito a controllare di avere attivato i servizi da services.msc (il virus, insediatosi nel pc, potrebbe averli disattivati; può succedere, controllate). Poi controlla di aver disattivato il ripristino configurazione di sistema.
Continua a provare con gmer, è normale che sia instabile. Fammi sapere!
Dai che non formatti!
@Paoluzzo: Ciao! Ti consiglio di usare i programmi che cito nella guida, perchè così ti posso guidare. Non posso dirti altro, prova a seguire passo per passo ciò che ho scritto e dimmi come va. Ciao!
Ciao Riccardo ti ringrazio molto per aver risposto alla mia mail.
Finalmente ho scaricato una setup da avenger 2 che mi funziona. Praticamente pare che nel mio pc hldrrr.exe non ci sia mai stato, perchè nel log di avenger c’era scritto:
Error: file “C:\WINDOWS\system32\hldrrr.exe” not found!
Deletion of file “C:\WINDOWS\system32\hldrrr.exe” failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
–> the object does not exist
La chiave di registro di srosa invece sono riuscito ad eliminarla con avenger.
Risultato attuale.. Spybot e Avast! sono ancora riconosciuti come esecuzioni non valide di Win32, però gmer oggi parte regolarmente, come quandio il pc non era infetto, mentre ieri non trovava 3 .dll durante l’avvio.
Penso che almeno questo sia positivo..
Ah, poi ho reimpostato il ripristino e i servizi da services.msc…
E quando scrivi nella guida di attivarli, intendi andare nelle prprietà di ciascuno e nel campo: tipo di avvio, impostarli su automatico?
E perchè è necessario disabilitare il ripristino?
Ciao Riccà …. io continuo a provare con i programmi ma niente da fare sn instabili……. ho provato con tt quelli che vengono citati nella discussione ma, nn si avviano x niente mentre qlkn si avvia e dopo qualke secondo si chiude da solo!!!
aspetto tue direttive infinite grazie!!!
@Paoluzzo: probabilmente avevi già eliminato il processo hldrrr.exe
Ora poichè hai fatto una bella pulizia vedrai che il computer diventerà molto più stabile. Per quanto riguarda gli antivirus, è normale che non partano: li devi disinstallare e riinstallare, poi funzioneranno. Fai diverse scansioni e procurati un buon firewall.
Infine, bisogna disattivare ripristino automatico, perchè facendo il ripristino, in pratica annulleresti le correzioni da te fatte e ripristeneresti anche il virus!
@Darius: prova a fare una scansione online con kaspersky http://www.kaspersky.com/virusscanner e inserisci i file infetti nello script di avenger. Non allarmarti se la scansione durerà tanto, è normale che sia così.
Riccardo io nn so’ prorprio che succede!!! il pc si riavvia da solo dopo pochi minuti che l’ho accesso !!!! bohhhhhhhh
ciao Riccardo, volevo farti una domanda. ho scaricato gmer e ho eliminato quelle righe in rosso..fin qui tutto ok, e ho scaricato avenger..quando lo aprò però mi da una schermata vuota e dice “Input script here:” che ci devo mettere qui? quello che hai scritto tu cioè ” ” uguale uguale a come hai scritto tu? e poi devo cliccare su Execute? io non scrivo niente finchè non ho la tua conferma…ok? grazie!
Ciao Riccardo… Ti ringrazio un casino x aver creato quest’angolino utile nel web con questo tuo manuale… Finalmente oratutto è ok…
Avast e Spybot regolari ed soprattutto non ho formattato.
Avevo già provato la scansione da quel sito ma non me la iniziava. Poi l’ho fatta e mi ha trovato roba di 164 virus. Kaspersky è il migliore..
Ti ringrazio molto per avermi fatto conoscere Avenger. E cmq io consiglierei su personale esperienza, di procurarsi altri programmi molto utili come Ccleaner, Malmware bytes, Reg Seeker, con cui pulirete il registro dalle chiavi invalide lasciate da programmi e perchè no…. dai virus.
Poi vi consiglio Tune Up utility (il 2009 è una bomba!!!!!!!!), per continuare l’opera, anche controllando programmi .com e le active x che da quanto ho capito, spesso sono autori di molti problemi. Questi ultimi 2 programmi comunque sono molto utili per tenere il vostro pc in ordine, e spesso usare tutti questi programmi assieme è positivo, perchè quel che non fa, o no trova uno, lo fa l’altro…
Unica cosa ora Riccardo..
Non mi compare standby quando spengo, e la lista degli aggiornamenti automatici, da cui posso scegliere quali installare. Non so ora se qualche dll non funziona o manca..
Cosa mi consigli? Ciao e grazie ancora..
Nel mess precedente mi sono dimenticato di scriverti una cosa..a questo punto sono riuscito a installare avira antivirus..mentre prima mi dava un errore, come x qualsiasi altro antivirus…vuol dire che sono a buon punto? la scansione fatta da avira ha trovato parecchia robaccia che ho eliminato…anche se sulla voce “Warnings” rimangono 2 oggetti che non se ne vanno..
@Paoluzzo: grazie per i tuoi complimenti mi fa piacere che tu abbia risolto! Inoltre non hai formattato, evidentemente i miei consigli sono serviti.
Grazie per i consigli, non fa mai male conoscere altri programmi utili (soprattutto ccleaner). Per lo standby ti consiglio di vedere se c’è qualcosa che non va nei driver della scheda video. Controlla da “risorse del computer”->tasto destro->”Gestione”->”gestione periferiche”
@Luca: Ciao, sì devi inserire il comando proprio come l’ho scritto io, cambiando solo la X che c’è nel post (es. X:\WINDOWS\system32\hldrrr.exe) con la lettera a cui corrisponde l’unità in cui è presente il virus; poi dai comando “execute”.
Fai particolare attenzione, però, ai file e soprattutto alle chiavi di registro che elimini: accertati solamente che non siano fondamentali per l’uso del pc.
Ora che hai installato antivir la via si farà più facile. Riguardo la voce warnings poterbbero essere (come accade spesso) file di sistema che non possono essere aperti (es. pagefile.sys) e quindi l’antivirus si allarma.
@darius: il riavvio in sè potrebbe essere un problema di alimentatore, ma vista la coincidenza col virus.. Dammi qualtre altra informazione, così non so che dirti.
scusa la mia ignoranza, ma nello spazio di avenger devo scrivere anche quelle due righe che iniziano con ecc..?
oppure solo:
Files to delete:
X:\WINDOWS\system32\hldrrr.exe
X:\WINDOWS\system32\wintems.exe
X:\WINDOWS\system32\drivers\srosa.sys
X:\WINDOWS\system32\drivers\mdelk.exe
X:\WINDOWS\system32\drivers\hldrrr.exe
X:\WINDOWS\system32\mdelk.exe
sostituendo la X..(va scritto anche “Files to delete”??)
e va scritto anche tutto il resto? cioè:
Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Services\rosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
oppure questo mi compare dopo da se…Riccardo scuse tutte queste domande!
@Luca: scrivi lo stesso comando che hai inserito nel commento sostituendo la X con la lettera che identifica la partizione colpita dal virus e scrivendo anche il comando che vuoi dare, cioè in questo caso “files to delete” per i files da eliminare, “registry keys” per le chiavi di registro e “registry values”.
Ciao Richard . . .
Ora che mi ci fai pensare….
X sbaglio una volta ho disinstallato il controller video vga . . .sarà quello?
Però è strano.. faccio aggiorna il driver da internet, ma fa la ricerca nei cd, poi dice collegarsi ad internet e mni dice sempre di indicare un oercorso su supposti rimovibili.. Boh? grazie cmq, in attesa di una tua risp seguirò questa strada e ti farò sapere…
Ancora grazie riccardo.. Ciao!
ciao stavo seguendo la procedura x eliminare bagle ma ho trovato nei problemi in quanto con gmer nn mi da dei file rossi e poi n sò come spostare i file infetti su avenger!! mi potete aiutare? grazie
ciao riky io ho segiuto il consiglio di fabio cioè quello di scarikare stringer 3 ha trovato i virus e li ha levati ma poi nn sò come fare…cioè gmer me lo apre e scompare subito e avenger mi dice ke nn è un applicazione win 32 vorrei sapere km l’ha tolto dario oppure un altro sistema x levarlo stò impazzendo da un giornooooooooooooooooo:(
scs volevo dire fabio no dario
ciao riccardo,
ho avuto la fortuna di fare la conoscenza di questo virus…
dopo qualche tentativo, anche usando la console di ripristino con il cd di windows, sono riuscito a fare funzionare gmer, ma il fatto è che mi trova un sacco di voci ma sono nere, cosa vuol dire?…con avenger invece niente da fare…cosa mi consigli per liberarmi di questo mer**so virus?
grazie della risposta
ciao
scusa ma non riesco ad aprire avanger…mi dice ancora non è un applicazione di win32 valida. cosa devo fare? grazie
Ciao Micol..
Non so perchè Riccardo non risponde da diversi giorni.
Io ho fatto così x risolvere tutto e non ho formattato.
Inizia col fare na bella caccia ai file infetti da qui:
http://www.kaspersky.com/virusscanner
E di Avenger scaricati il 2, perchè anche a me una versione diversa dal 2 non partiva. Disabilita il ripristino, e poi i file che trovi nel log della scansione online di Kaspersky inseriscili in Avenger, facendo attenzione alla sintassi (copiala da questa pagina, più sù). Dopo disinstalla di tutti i programmi che non ti funzionano, e reinstallali. Andrà tutto bene dopo ok?
Salve a tutti
Ringrazio Riccardo per aver creato questo blog, infatti grazie a lui sono riuscito a sconfiggere questo maledetto virus.
Ho trovato non pochi problemi, programmi che non partono, siti che non si aprono, ma la chiave di svolta è stato il programma Elibagla e successivamente sono riuscito a far partire Avenger. Considerate che il programma Elibagla era interrotto in continuazione, ma quando riprendeva partiva dal punto interrotto. Poi in seguito ad un riavvio ho scoperto che Elibagla si avvia alla partenza di windows prima di Bagle e quindi riesce a scovarlo.
Elibagle è possibile scaricarlo da lo trovi qui: http://www.zonavirus.com/datos/descargas/95/elibagla.asp
ciao ragazzi…anche grazie a voi ho sconfitto il mio bagle!!!
però mi aveva dato qualche problema elibagla…vabbé. comunque non ho usato avenger : è uscito FindyKill che è fenomenale! Lo consiglio a tutti!
Quando m’ero preso il bagle,a parte l’NTSB delle scatole nere (hahaha!) le cose che NON mi partivano erano
HijackThis
Avira antivirus
SpybotSD antispyware
ZoneAlarm firewall
il resto bene o male andava. anche Ccleaner e cose varie.
NON ho formattato il pc,ma ho usato i vari programmi,e poi avevo trovato su internet un “Bagle-Restore 1.0” per ripristinare tutte le cose a come erano prima del bagle:non mi funziona perché dice che ci vuole il .net framework appropriato o che ne sò.
comunque,ho reinstallato i 4 programmi sopra,e credo fossero gli unici che dessero problemi. Che voi sappiate,ci sono altri programmi che magari con bagle funzionavano lo stesso ma sarebbe bene reinstallare perchè o mezzi infetti o usciti zoppicanti dalla presenza di bagle? tipo IE,Firefox…cose così…
in soldoni:sappiate che bagle rovini altri programmi oltre alle utilities standard?
grazie
bellissima guida grazie..!!!!!!
Grazie a te!
helppppppp quando inizio la scansione con GMER nn riesco ad eliminare il file in rosso come faccio????
Semplicemente evidenzia la voce da eliminare e cliccando col tasto destro seleziona “kill file” o “delete”, a seconda.. 😉
salve io ho il sitema w.VISTA
e cn me qst procedimento non funziona x niente
ho provato tt i programmi ( daGMER che sul file infetto non mi da scritto neanche killl file o cmq se clicco su delete nn me lo fa e mi da errore, poi ho provato Elibagia ma non fa nulla esegue la scansione ma non toglie niente, poe poi tt gli altri che avete sopra-esposto; neanche manualmente si toglie quel maledetto mi dice impossibile da modificare e/o cancellare) che vengono suggeriti qui ma nulla!!!!
AVENGER neanche si avvia e mi dice che no è un’applicazione valida
intanto sto navigando sul web x una soluzione, unica risorsa rimastami in attesa di un miracolo, consapevole del fatto che più navigo e che più sn a richio infenzioni!!
Vi rendete conto!! Sn veramente nei guai
se qualcuno sa essermi d’aiuto vi prego di aiutarmi
urgente a me non mi fa stallare neanche il secondo anti virus Avenger mi dice la stessa cosa aiuto
perfavore rispondetemi
Sono praticamente nelle stesse condizioni di ayla . . 😦 ho provato findkilly e il risultato è:
Anonimo ha detto… @ 5 luglio 2009 23.59
————— [ Infected files / folders ] —
»»»» Supression files in C:
»»» Supression files in C:\Windows
»»»» Supression files in C:\Windows\Prefetch
»»» Supression files in C:\Windows\system32
Not deleted !! – C:\Windows\system32\mdelk.exe
Not deleted !! – C:\Windows\system32\wintems.exe
»»»» Supression files in C:\Windows\system32\drivers
»»»» Supression files in C:\Users\ARY\AppData\Roaming
Not deleted !! – “C:\Users\ARY\AppData\Roaming\m\flec006.exe”
Not deleted !! – “C:\Users\ARY\AppData\Roaming\m”
Con GMER qls si è cancellato (credo), ma i file .reg o altre cose non mi è possibile cancellarle in nessun modo…che posso fare??
Grazie !!
scusatemi ma quando avvio gmer (dopo un secondo circa) mi trova un processo evidenziato in rosso. provo ad eliminarlo ma non funziona…vi prego aiutatemi!
Ti prego aiutami, devo essere infetta da troppi virus, ho scaricato Gmer e la scansione dura almeno 10 minuti e mi vien fuori una fila di cose ma non capisco nulla!!! Puoi aiutarmi x favore???
@alessandro: prova con la funzione “kill” e fammi sapere!
@marzia: sii più precisa, descrivimi le voci che appaiono 😉
un efficace rimedio ad un dannoso problema !