Come ti ammazzo il virus!

.
Ebbene sì, dopo vent’anni di ininterrotto utilizzo del computer (ah, il vecchio 386, che nemmeno a scapaccioni riusciva a partire in meno di 5 minuti, che ricordi…) anche la sottoscritta è entrata a far parte della folta schiera degli infettati telematici! E già immagino i sorrisini degli amici, perché, chissà per quale folle ragione, quando uno si becca un virus subito tutti pensano che è colpa sua.
A coloro che stanno stanno per dire “evidentemente sui computer non ci sai andare” risponderò che l’infezione è avvenuta con l’antivirus attivo e ben due firewall operativi, e se non bastasse, vi dico anche che l’antivirus lo aveva riconosciuto, questo infame mostriciattolo, solo che non c’è stato niente da fare, visto e preso, come si dice. Siccome però sono riuscita a debellarlo, casomai foste anche voi così sfortunati da beccarvi il famigerato Bagle (toccatevi pure, se siete scaramantici) vi scrivo qui di seguito un metodo che a me ha risolto ogni problema (e più di una volta).
Questo sistema dovrebbe funzionare bene un po’ per tutte le forme virali conosciute perché si basa sulla cancellazione (in parte automatica, in parte manuale) dei singoli files infetti al momento del riavvio del computer, prima cioè che il sistema operativo entri in funzione.
.
Nota: se state leggendo questo articoletto perché, contagiati e disperati, avete cercato aiuto su un motore di ricerca, vi dirò che sì, la situazione è grave ma non necessariamente disperata: i virus si possono debellare; ci vuole pazienza, non potrete utilizzare la posta o scambiare files per qualche giorno e perderete probabilmente alcune impostazione di Windows ma alla fine ne dovreste uscire vincitori (il condizionale ovviamente è d’obbligo).
Se invece siete inciampati in questa pagina per caso e non avete affatto problemi di virus, allora siete fortunati perché potrete prepararvi per tempo; così che, casomai un giorno (vi auguro mai ovviamente) vi beccaste un virus, avrete tutto pronto in una cartellina apposita e potrete agire prontamente e nel migliore dei modi.
.
Sono contagiato o no?
Il Bagle agisce per prima cosa sulle protezioni del computer sicché, se dopo aver fatto click su un file .exe oppure se, anche senza apparente ragione, vi accorgete che l’icona dell’antivirus nella barra degli strumenti è improvvisamente scomparsa e cercando di riaprire il programma vi esce un’orrida scritta riguardo una misteriosa incompatibilità con Win32, è molto probabile che siate stati infettati.
.
Ossignore, sono contagiato! E adesso?
Per prima cosa, non cominciate a fare cose sconsiderate in preda al panico: calma, a tutto c’è rimedio ma è fondamentale che manteniate calma e sangue freddo. Non toccate nulla a casaccio, sopratutto non cercate di reinstallare subito l’antivirus nella speranza di bloccare l’infezione, non funzionerà. In particolare, se avete ZoneAlarm come firewall, mi raccomando, non disinstallatelo, non fate aggiornamenti, non toccatelo, non guardatelo neppure! Lasciatelo lì dormiente e dimenticatevi per il momento che esiste perché la sua disinstallazione, in un simile frangente, potrebbe crearvi molti più problemi del virus stesso (e parlo per esperienza diretta). La prima cosa da fare invece, è immediatamente chiudere il programma di posta elettronica perché il Bagle agisce sulle mail, copiando la vostra rubrica e sparando post a mezzo mondo con allegata l’infezione, ovviamente col vostro nome come mittente (oh gaudio, come se nella vita di tutti i giorni non si facessero già abbastanza brutte figure). Seconda cosa importantissima da fare, è disattivare momentaneamente il “ripristino automatico di sistema” per evitare che il virus si auto-installi ogni volta che fate il riavvio del sistema. Per disattivare il ripristino dovete fare:
.
Click col pulsante sinistro del mouse su “Start”.
Click col pulsante destro su “Risorse del computer”.
Click col pulsante  sinistro su “Proprietà”.
Click col pulsante sinistro su “Ripristino configurazione di sistema”.
Click col pulsante sinistro per spuntare “Disattiva ripristino configurazione di sistema su tutte le unità”.
– Click col pulsante sinistro su OK.
.
Nota: alla fine del procedimento di bonifica, quando gli antivirus non segnaleranno più la presenza di files nocivi, potrete riattivare il ripristino automatico utilizzando lo stesso metodo ma togliendo questa volta la spunta alla voce “Disattiva ripristino configurazione di sistema”.
.
Oh bene (anzi male, ma cerchiamo di essere ottimisti). A questo punto è fondamentale capire quali files sono stati infettati per ripulire il sistema. Dato però che nessun antivirus installato funziona, dovete effettuare una scansione online. In linea di massima Bagle non colpisce le connessioni internet (gli servono per diffondere l’infezione) però il sistema wireless, casomai siate collegati senza fili, potrebbe non funzionare oppure smettere di funzionare all’improvviso; perciò, come prima cosa, collegate il modem o router al vostro computer con l’apposito cavo, dopodiché aprite Explorer (evitate per ora di usare altri browsers perché spesso non sono compatibili con i programmi che sotto vi indico) andate il rete e cercate per prima cosa di ripristinare il collegamento wireless.
Un sistema per fare questo è di installare il programma di collegamento proprio di Windows chiamato “Reti Senza Fili Zero Configuration”; ho trovato in rete una versione autoinstallante che funziona molto bene su WinXP (immagino funzioni anche per Vista ma non posso garantire) e ve la linko QUI»; scaricatela e salvatevela da qualche parte (nel malaugurato caso vi ribeccaste un virus in seguito, potrete attivare subito la connessione wireless risparmiandovi di dover mettere a soqquadro la casa alla ricerca di quel maledettissimo cavo di collegamento che, come al solito, quando serve non si trova mai!).
Una volta unzippato e fatto click su “Reti Senza Fili Zero Configuration.reg ” (seguirà messaggio di conferma della modifica del registro) fate il riavvio del sistema. A questo punto il collegamento wireless dovrebbe funzionare come prima del disastro. Casomai invece il collegamento non si ripristinasse, niente panico, ripeterete semplicemente questa operazione dopo la completa pulizia del computer.
.
A questo punto passiamo ad occuparti del virus vero e proprio. Cercate queste pagine (sempre con Explorer):
.
BitDefender » (è un antivirus online)
e
Kaspersky Virus removal Tool » (accettate di scaricate il programma alla richiesta che vi apparirà).
.
Questi due antivirus sono entrambi formidabili. Cominciate da BitDefender: controllate che nella finestra principale ci sia la spunta su tutti gli hard disks e cartelle di sistema ed effettuate subito una prima scansione; ci vorrà un po’ di tempo, a seconda di quanta roba avete nel computer. Voi aspettate pazienti (senza fare nulla, è fondamentale che a questo punto il computer non vada in crash né si riavvii prematuramente).
Alla fine della scansione, cancellate i files che BitDefender vi segnalerà (nell’ultima versione la disinfestazione o cancellazione dovrebbe avvenire in automatico e non ci sarà quindi bisogno di intervenire manualmente).
Adesso installate il Kaspersky Virus Removal Tool. Se, al momento di farlo partire apparisse il solito messaggio di incompatibilità con Win32 (raro che accada ma potrebbe succedere) riavviate il computer. Una volta tornati in Windows, installate Kaspersky (stavolta dovrebbe funzionare) controllate che hard disks e cartelle di sistema siano selezionate e fatelo partire. Finito lo scanner, riavviate il sistema.
.
A questo punto eseguite di nuovo lo scanner sia con Bit Defender, sia con Kaspersky (sempre uno alla volta, mi raccomando). Se il computer risultasse libero da virus ed altre schifezzuole moleste (non aspettatevi questa grazia divina dopo un paio di pulizie, è mooolto improbabile) provate a reinstallare il vostro abituale antivirus. Se al  momento di farlo partire, questo si apre regolarmente, bene! Siete veramente fortunati. Fate un ennesimo scanner con il vostro antivirus, chiudete, riavviate e dovreste essere a posto.
.
Naturalmente quello che più probabilmente accadrà, sarà che sia BitDefender, sia Kaspersky non saranno in grado di cancellare/riparare tutti i files infetti; finito l’ esame, visionate e salvate il risultato come documento e tenetelo aperto da una parte perché sarà la vostra guida per disinfettare file per file il sistema.
.
Quando il gioco si fa duro…
Per debellare definitivamente Bagle (o, in linea generale, qualsiasi altro virus) serve un ultimo software (sempre gratuito) chiamato Avenger, scaricatelo QUI »
Con Avenger ed il documento risultante dall’esame di BitDefender o Kaspersky (o altri scanner online, che vanno bene purché vi forniscano alla fine un log con la posizione dei file infetti trovati) è possibile ripulire completamente il computer. Per capire esattamente come fare (è un processo di copia/incolla noioso ma non difficile, richiede solo tanta pazienza ed un po’ di attenzione) andate al sito indicato qui sotto e leggete attentamente TUTTA la pagina prima di procedere; magari stampatevela pure per comodità. Una cosa importante però ve la anticipo: utilizzando Avenger, al momento di applicare le modifiche è possibile che riceviate dei messaggi di errore (sopratutto per files non trovati); voi non fateci caso e continuate a dare l’ok imperterriti.
.
.
Avenger funziona con uno script (che fornirete voi) che si attiva al momento del riavvio precedendo l’apertura di WinXP (o altro SO). Lo script, che è molto semplice, ordina al computer di cancellare quei files o cartelle o voci del registro infettate prima che questi si attivino automaticamente insieme all’apertura di Windows. Qui di seguito pubblico uno script di base pronto per essere copiato ed incollato nell’apposita finestra di Avenger.
.
Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\System32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5FUVK7C5\b64_31[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5VYJYZ6P\b64_31[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\CZ8BQVSX\b64_2[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\OFCV4RWT\b64_31[1].jpg
C:\WINDOWS\system32\mdelk.exe

Folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\Temp
C:\Documents and Settings\Paz\Dati applicazioni\m
C:\Documents and Settings\Paz\Impostazioni Locali\Temp

Registry values to delete:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | german.exe

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKCU\Software\DateTime4
HKCU\Software\FirstRRRun

Questo script contiene le voci tipiche del Bagle e generalmente funziona nel 90% dei casi di infezione. Poiché però i simpaticoni che si divertono ad inventare nuovi virus non vanno mai in vacanza (li mortacci loro!) lo script può venire aggiornato di volta in volta per cancellare specificatamente quei file, o cartelle, o voci del registro che BitDefender (o Kaspersky o altro scanner) vi segnalerà come pericolosi. Ad esempio, nella mia ultima scansione ho trovato questi due files ancora infetti:

C:\Documents and Settings\Utente\Dati applicazioni\m\flec006.exe
C:\Documents and Settings\Utente\Dati applicazioni\drivers\winupgro.exe

Per scrupolo, giusto per capire se si tratta veramente di virus, copiate l’intera riga dell’indirizzo segnalato dall’anti-virus (una per volta, se ce n’è più d’una) e andate QUI». In questa pagina, incollando la stringa nella finestrina in alto a sinistra e facendo click su “controlla il file”, una serie nutrita di antivirus online vi forniranno (nella finestra più in basso) il resoconto sulla natura del file in questione. Non tutti rileveranno il virus se c’è, ma già tre o quattro responsi positivi significheranno che, sì, sono files che è meglio eliminare.

A questo punto basta incollare la medesima stringa (o stringhe) nello script di Avenger sotto la voce “Files to delete” ottenendo un nuovo script tipo questo:

Files to delete:
C:\Documents and Settings\Utente\Dati applicazioni\m\flec006.exe
C:\Documents and Settings\Utente\Dati applicazioni\drivers\winupgro.exe
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys

… (eccetera eccetera)

Con lo script pronto e incollato in Avenger, fate partire la disinfestazione. Il programma chiuderà Windows e riavvierà il computer, cancellando quei files che avrete indicato. A questo punto, rifate immediatamente un controllo online con Bitdefender. Non spaventatevi se l’antivirus troverà ancora molti files infetti, è piuttosto comune: se la loro posizione è infatti collegata ad Avenger (ad esempio C:Avenger/backup) è normale che ci siano, nel senso che Avenger per sicurezza, prima di modificare il vostro registro, lo copia in una sua cartella sicura per ripristinarlo in caso di errore. Se però (com’è probabile) Bitdefender vi segnalerà qualcos’altro, comunicandovi magari la presenza di un nuovo file infetto, significa che il Bagle originale ha creato una copia di se stesso prima di essere eliminato. In questo caso, generalmente, la posizione rilevata da Bitdefender sarà C:windows/system32. Il nome può variare, ma non importa, voi prendete nota di nome e posizione, riaprite Avanger e ripetete l’operazione di pulizia, aggiungendo il nome del file e la sua collocazione. Dopodiché, nuovamente, date ok a tutti gli eventuali messaggi di errore e dite “sì” quando vi chiede se volete fare il reboot (riavvio). Continuate così, cercando con Bitdefender dopo ogni riavvio e poi utilizzando Avenger finché il risultato dell’antivirus vi dirà che siete completamente puliti.

Alla fine del processo, una volta debellato l’odioso Bagle, dovrete sopportare gli strascichi della malattia: malfunzionamenti vari, settaggi annullati, periferiche congelate. Però, nell’incazzatura inevitabile del momento, cercate di tenere bene a mente che poteva andare molto, ma veramente moooolto peggio… Non è di grande consolazione, me ne rendo conto, ma pensate positivo e ripetete come un mantra “almeno non ho dovuto formattare… almeno non ho dovuto formattare”…

Nota conclusiva: queste istruzioni si riferiscono specificatamente al Bagle nelle sue molteplici forme perché, ahimè, questa è la bestiaccia che è capitata a me (e più di una volta, la maledetta!). Comunque, seguendo le indicazioni e modificando lo script di Avenger a seconda dei files che risultano infetti, è facile applicare questo metodo a tutti quei virus/trojans/worms /rootkits etc che gli antivirus hanno trovato ma non sono stati in grado di cancellare automaticamente.

Infine: nei vari forum si trovano un sacco di istruzioni più o meno chiare su come procedere in caso di infezione da virus perciò fate sempre una ricerchina in Google, troverete milioni di risultati. Non abbiate fretta e non preoccupatevi: anche se sospettate di essere infetti, se non utilizzate il programma di mail e se non inviate files a nessuno, non potete fare danni al prossimo.

Per saperne di più:

Sul Bagle » (in italiano)

.

Commenti disabilitati su Come ti ammazzo il virus!