Bagle è un malware che si propaga facilmente ed in particolare tramite le reti p2p come emule, dove lo si può trovare sottoforma di archivi contenenti programmi e crack. Una volta eseguito (solitamente si chiama trusted.exe), esso crea diversi eseguibile e drivers, posizionandoli nelle principali directory di windows. Questo virus è purtroppo in costante crescita e aggiornamento, e nelle sue ultime versioni posiziona il file mdelk.exe in C:/Windows/System32 e questo file cancella e disabilita tutti gli eseguibili di software di sicurezza come il centro sicurezza di windows e i vari antivirus. Il resto dei file di questo malware sono nascoste tramite rootkit, ossia una tecnologia software in grado di occultare la propria presenza all’interno del sistema operativo, quindi tali file non si possono visualizzare tramite esplora risorse. Come detto, quando si viene infettati da tale malware i programmi di sicurezza vengono cancellati e disabilitati e quando si tenta di avviare il software antivirus compare un avviso con scritto che il file che si sta tentando di aprire “non è un’applicazione Win32 valida”. Inoltre la modalità provvisoria non funziona in quanto, modificando due chiavi di registro, impedisce l’accesso a windows in modalità safe facendo comparire una schermata blu.

Per rimuovere Bagle e disinfettarsi completamente seguite alla lettera le seguenti indicazioni:

    • Per prima cosa dovete disattivare il ripristino configurazione del sistema andando su Pannello di Controllo –> Sistema –> Ripristino configurazione di Sistema –> mettere la spunta a Disattiva ripristino configurazione del sistema –> cliccare su Applice e poi su Ok.
    • Scaricate Findykill che è un ottimo tool però in lingua francese e richiede l’installazione. Una volta installato va eseguito in due fasi:
      1. Recherche des fichiers infectieux = Ricerca dei file infetti
      2. Suppression des fichiers infectieux = Eliminazione dei file infetti
      Una volta avviata la ricerca, eseguirà una scansione completa del pc, cercando ed eliminando i processi attivi del bagle, una volta terminata la pulizia potete disinstallare il programma usando l’opzione 3:
      3. Desinstaller FindyKill: Disinstallare FindyKill
    • Successivamente,  scaricate BagleD cliccando qui e avviatelo e dopo aver riavviato trovete il file di log in C:\bagled.txt da postare nei commenti successivamente in caso riscontriate problemi.
    • Scaricate il programma Elibagla, programma di rimozione bagle spagnolo,cliccando qui e fate una scansione del pc. Dopodichè riavviate il pc.
    • Poi dovete scaricare l’antivirus kasperskycliccando qui ed eseguire anche in questo caso una scansione del pc e dopo riavviarlo.
    • Nel caso non riusciate ad installare kaspersky, usate Malwarebytes antimalware che potete scaricare cliccando qui.


    • Usate Systemscan, scaricatelo ed installatelo, poi apritelo e cliccate su Removal Script e nel box bianco che comparirà inserite questo script:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\system\currentcontrolset\services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SROSA

Files to delete:
C:\Documents and Settings\utente\Dati applicazioni\drivers\srosa.sys
C:\Documents and Settings\utente\Desktop\winupgro.exe
C:\Documents and Settings\utente\Dati applicazioni\drivers\winupgro.exe
C:\WINDOWS\system32\wintems.exe
c:\windows\system32\ban_list.txt
c:\windows\system32\mdelk.exe
C:\Documents and Settings\utente\Dati applicazioni\m\flec006.exe
C:\Documents and Settings\utente\Dati applicazioni\drivers\srosa2.sys

Folders to delete:
C:\Documents and Settings\LocalService\Dati applicazioni\drivers
C:\Documents and Settings\utente\Dati applicazioni\drivers
C:\Documents and Settings\utente\Dati applicazioni\m

E poi cliccate su Proceed with removal. Ma ricordate di modificare nell’ultima parte dello script il nome dell’utente. Inoltre può capitare che incollando lo script su systemscan, rimanga il margine sinistro, impedendo così di avviare la procedura. Si deve importare lo script senza margine come in questa immagine.

  • A questo punto scaricate il software avenger cliccando qui ed una volta scaricato ed avviato basterà inserire lo script scritto qui sotto e cliccare su Execute.

Files to delete:
%UserProfile%\DATI APPLICAZIONI\M\LIST.OCT
%SystemDrive%\WINDOWS\SYSTEM32\BAN_LIST.TXT
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\SYSTEM32\EDLM.EXE
%SystemDrive%\WINDOWS\SYSTEM32\EDLM2.EXE
%SystemDrive%\Windows\system32\LDR64.DLL
%SystemDrive%\WINDOWS\system32\german.exe
C:\WINDOWS\system32\drivers\srosa.sys.XXX
C:\WINDOWS\system32\mdelk.exe.XXX
C:\WINDOWS\system32\wintems.exe.XXX
%UserProfile%\Application Data\hidn\hidn.exe

folders to delete:
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%SystemDrive%\WINDOWS\System32\drivers\down\

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
HKCU\Software\FirstRuxzx

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | drv_st_key

A questo punto il pc si riavvierà e successivamente il software eseguirà i comandi immessi.


  • Fatto ciò scaricate il tool xptcprep cliccando qui e installatelo e eseguite la riparazione dei regitri TCP/IP.
  • Scansionate il vostro hard-disk con CCleaner che potete scaricare cliccando qui e eliminerete eventuali file orfani presenti sul pc.
  • Per riattivare i servizi terminati da Bagle andate su Start–>Esegui–>scrivete SERVICES.MSC e cliccate su Ok–>abilitare i seguenti servizi se risultano disattivati: Avvisi; Centro Sicurezza PC; Aggiornamenti automatici; Connessione di Rete; Zero Configuration reti senza fili; Windows Firewall/ Condivisione connessione Internet (ICS).
  • Per ripristinare il servizio Zero Configuration reti senza fili è necessario riattivare le componenti di sistema NDISUIO e RPC. Per far ciò aprite il blocco note e copiate ed incollate il seguente testo:

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
    “Start”=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
    “UuidSequenceNumber”=dword:0cdae01e
    [HKEY_CURRENT_USER\Session\Information]
    “ProgramCount”=dword:00000004

    e salvatelo con il nome registro.reg, poi lo eseguite ed importate. Successivamente riavviate il pc.

  • Se avete problemi nella visualizzazione di gestione periferiche o se la visualizzazione di risorse del computer è molto lenta avviate avenger e incollate nella finestra che si aprirà i seguenti comandi:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Registry keys to delete:
HKEY_LOCAL_MACHINE\system\ControlSet003\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32

Folders to delete:
C:\windows\temp
C:\WINDOWS\Tasks
C:\WINDOWS\exefqd

files to delete:
c:\windows\system32\hlpuybtr.exe
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys

drivers to unload:
srosa
pci32

Poi cliccate su Execute.

  • Se riscontrate problemi nell’avviare windows scaricate questo tool e masterizzate l’ISO su un cd e avviate il computer con il cd. Se non riuscite a risolvere tramite quel tool scaricate Ultimate Boot CD 4.1.1 cliccando qui e masterizzate l’iso su un cd e avviate il pc con il cd dentro.
  • Se invece avete dei problemi conInternet Explorer 7, Windows Media Player, la funzione Cerca/Ricerca guidata, l’account utente o altri, aprite il registro di sistema cliccando su Start–>Esegui–>scrivete regedit–>cliccate su Ok. A questo punto individuate queste tre chiavi di registro:

HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\In procServer32

HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb558}\In procServer32

HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb558}\In procServer32

I dati di valore (predefinito) dovrebbero contenere il valore C:\WINDOWS\SYSTEM32\JSCRIPT.DLL mentre i dati valoreThreadingModel dovrebbero contenere il valore both.

Se avete eseguito tutti i procedimenti sopra elencati e non siete riusciti a risolvere, probabilmente avrete preso l’ultima variabile del virus bagle, caratterizzata da una icona a sfondo bianco con una croce rossa. Questa blocca tutti i programmi di rimozione,avenger incluso (anche la versione che dovrebbe essere resistente si chiude dopo pochi secondi). In questo caso per risolvere procedete così:

  • Cliccate su start–>esegui>–digitate regedit–>ok. Andate in HKEY_LOCAL_MACHINE\software\microsoft\widows\currentversion\run e a destra troverete 3 colonne: il nome del valore,il tipo e i dati.
    I dati indicano il file al quale il valore fa riferimento. Poichè bagle sostituisce uno di quei file a caso con una sua copia è necessario andare a verificare tutti i files elencati e cancellare quello che ha la croce rossa.
  • Inserite il cd di windows ed avviate il computer da cd. Premete R per entrare nella console di ripristino di emergenza e poi digitate 1 e premete invio. Successivamente digitate i seguenti comandi e premete invio dopo ognuno:

del C:\windows\system32\drivers\srosa.sys

del C:\windows\system32\drivers\hldrrr.exe

del C:\windows\system32\drivers\mdelk.exe

del C:\windows\system32\wintems.exe

del /Q C:\windows\system32\drivers\downld\*.*

rd C:\windows\system32\drivers\downld

del /Q C:\Documents and settings\vostronomeutente\dati applicazioni\m\*.*

exit

A questo punto il computer si riavvierà. Togliete subito il cd dal lettore per impedire l’avvio da cd.


Come ultima ipotesi nel caso in cui le operazione precedentemente elencate si siano risultate vane, potete effettuare un boot da cd con kaspersky rescue disk.
Questo disco di pronto soccorso per il PC, una volta avviato, effettua un’approfondita scansione del sistema, alla ricerca di virus ed altre minacce informatiche probabili ostacolatrici del normale funzionamento del computer.
Per utilizzare Kaspersky Rescue Disk, basta scaricare questa immagine ISO, masterizzarla su CD/DVD ed utilizzare il disco creato per effettuare il boot della macchina. Si avvierà così una scansione approfondita che eliminerà ogni minaccia esistente.

Fatto tutto ciò dovrete aver risolto il problema e aver eliminato il malware Bagle. Nel caso in cui persistano altre problematiche scaricate gmer cliccando qui e una volta aperto cliccate su scan e aspettate la fine delle operazioni. Postate in un commento le eventuali voci in rosso rilevate.

Il virus bagle viene continuamente aggiornato, per questo è possibile incappare una delle sue diverse variabili. Per questo motivo questa guida è in continuo aggiornamento, per poter essere utile contro ogni variabile del bagle. Ultimo aggiornamento: 14 Marzo 2009.

*Questo post, come tutti quelli presenti sul blog, è di proprietà |Omnia Blog|, vietata la copia.