Ecco come promesso la guida a disposizione di tutti.Non è intera in quanto manca la parte della spiegazione perchè purtroppo la guida è troppo grande e non posso postarla ma se la volete ricevere mandatemi tranquillamente un messaggio privato con il vostro indirizzo di postae ve la invierò.Inoltre mancano i software richiesti e di conseguenza dovrete cercarveli da soli a meno che non richiedete la guida completa direttamente a me.
Guida alla Rimozione del Worm Bagle!
Per l‘eliminazione occorrono vari procedimenti, che cercherò di rendere il più chiaro possibile.
Vi informo che i vari software che serviranno nell’eliminazione del Bagle sono inseriti nel documento in fondo all’ ultima pagina. Per andarci basta cliccare sull’ipertesto ma per tornare al punto d’origine bisogna scorrere le pagine.
ORA INIZIAMO
1-Innanzi tutto disattivare il ripristino di configurazione di sistema:
<Risorse del Computer/Tasto destro del Mouse/Proprietà/Ripristino Configurazione di Sistema/Disattiva Ripristino Configurazione di Sistema su tutte le Unità>
2-Effettuare una scansione del sistema con l’utile software spagnolo “EliBagle” e spuntare “Eliminar Ficheros Automaticamente” se non è già spuntato. Dopodichè cliccare su “Explorar” ed avviare, quindi, la scansione(Naturalmente esplora il disco fisso dove è installato il sistema operativo). Il software rilascerà un file .txt, chiamato InfoSat.txt, nel disco fisso(C:/InfoSat.txt). A volte questo software può essere comunque disabilitato dal virus, di conseguenza potrebbe chiudersi drasticamente, o con un messaggio d’errore, senza motivo. Il file .txt ci sarà, ma sarà incompleto e non servirà a nulla. Anche se è importante che riesca il processo di EliBagle, non significa che è indispensabile, quindi, se dovesse accadere l’arresto improvviso del software, tralasciare il punto 2 e passare al punto 3.
3-Effettuare un ulteriore scansione con il programma “Hijackthis”. Avviarlo, accettare l’eventuale contratto in licenza e clicca poi su:
"do a system scan and save a logfile". Una volta terminata la scansione si aprirà un file .txt. Chiudere e passare alla fase 4.
4-A questo punto effettuate un ultima scansione con il programma “Gmer”. Questo software è in grado di trovare tutti i processi, le chiavi di registro, ed eventuali programmi virus anche se sono nascosti, segnandoli in rosso. Conclusa la scansione, terminare il programma.
5-Ora inizia l’eliminazione. Con l’utilità di rimozione Malware della Microsoft, applica una scansione rapida al Pc. Una volta terminata la scansione t dirà che ha trovato il malfare ma l’ha rimosso parzialmente e devi eseguire una scansione con un software Antivirus. Non farci caso a ciò che dice comunque, pensa solo a riavviare il Pc.
6-Una volta ravviato il Pc, chiudere l’eventuale programma antivirus on-demand(Tempo Reale, anche se non credo che l’avete),caricare il software “ComboFix” e quando scriverà di essere pronto a lavorare, attendere finchè non partirà la scansione da parte del software. Probabilmente al primo uso non partirà in automatico la scansione, di conseguenza, se notate che l’attesa supera il minuto premere 1 e poi date invio e seguite, quindi, l’eventuale guida facendo una scansione al disco in cui è installato Windows. Inoltre “ComboFix” crea diverse cartelle tra cui Qoobox e ComboFix, nonché la sua quarantena. Più avanti ti spiegherò a cosa serve. Al termine del processo di ”ComboFix” riavviare il computer.
7-Ora, invece, apri il software “The Avenger”, aperto apparirà una schermata in inglese:
• selezionate “Input Script Manually”,
• clicca sulla lente d’ingrandimento,
• inserisci nel Box bianco che appare i seguenti dati:
Files to delete:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
folders to delete:
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRO SA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI 32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ros a
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_H OOK
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
Nel caso si abbiano problemi, sostituire a %SystemDrive% la lettera del disco dove è installato il sistema operativo infetto e a %UserProfile% il nome utente.
• Ora Cliccare su “Done” in modo da ritornare alla schermata precedente.
• Ciccare sul semaforo e dare come risposta si, yes o ok per ogni domanda proposta.
• A questo punto il Pc dovrebbe riavviarsi automaticamente, se non è così, riavviarlo manualmente.
• Al avvio dovrebbe essere visualizzato il file .Log del programma. Chiuderlo senza effettuare altre operazioni.
8-Ok. Stiamo terminando. Ora devi solamente inserire nel registro le chiavi per la Modalità provvisoria che il Worm ti ha disattivato. Clicca 2 volte sul File SafeBoot e aggiungi i dati al registro. An che questo punto è finito. Passa al punto 9.
9-Facciamola finita e massacriamo il Worm definitivamente!Con il software “Panda Antirootkit” fa una scansione al sistema senza aggiornare il software. T informo che è una release e ha solo un contrato di licenza per iniziare ad usarlo. Accetta e fa una scansione al Pc……Finita la scansione passa all’ultimo punto.
10-Con il Software Ccleaner ripulisci le chiavi del registro ed il Pc, disattiva, però, prima di cominciare la pulizia, l’impostazione su opzioni avanzate di:
“cancella solo file più vecchi di 48 ore”. Il percorso per disattivare è:
<Opzioni/Avanzate/ cancella solo file più vecchi di 48 ore>Mi raccomando non devi spuntare questa opzione ma bensi toglierli la spunta!
Per ultima cosa ti consiglio di riavviare il computer e provare ad entrare in modalità provvisoria. Spero di avere risolto i tuoi problemi!!!Se avete domande aggiungetemi al vostro MSN, il mio contatto è
gioy__94@hotmail.it(2 tratti bassi), oppure chiedete il mio indirizzo di posta per messaggio privato.
Alcune informazioni sono state prese dai vari forum.
Grazie per aver seguito questa guida.
Prodotto da:
Roy Mustang
FINE