Virus Bagle

[pele86]

Ciao a tutti, sono un nuovo iscritto.

Ho un problema ritengo molto grande. Il mio antivirus e il mio firewall hanno smesso di funzionare, inoltre non posso fare partire nessun programma di sicurezza neanche the avenger e gmer. Non sono neanche sicuro che si tratti del virus bagle dato che non trovo il file hldrrr.exe o altri file correlati.

Inoltre non posso neanche piu accedere ad internet da quel pc.

Vi prego aiutatemi.

Ciao

[$angelique!?]

[ben]pele86[/ben]

Ciao pele86,

proviamo con il tool di Kaspersky (prelevalo da un'altro computer)

scarica KASPERSKY VIRUS REMOVAL TOOL (non richiede l’installazione)

clicca qui per il download

http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/

● scarica la versione del tool più aggiornata rispetto alla data di pubblicazione

● crea una apposta Cartella sul Desktop ed al suo interno posiziona il file

● lancia il tool

● imposta le aree che intendi scansionare (non è possibile eseguire la scansione di specifiche cartelle)

● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati

Salva ed allega, il log che verrà rilasciato

Nota 1: ● Il tool è incompatibile se si hanno già prodotti Kaspersky installati

Nota 2: ● non possiede una funzione di aggiornamento automatico delle firme

Procedura di disinstallazione di KASPERSKY VIRUS REMOVAL TOOL

● clicca sull’icona per lanciare il tool

● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection

● verrà visualizzato un messaggio: clicca su Ok

● chiudi la pagina web che verrà aperta

● nel messaggio successivo, clicca su SI per avviare la disinstallazione

● al termine, verrà richiesto di riavviare il P.C.

[pele86]

me lo installa ma poi mi dice che c'è un errore 0xc000000f

e che il file prremote.dll non è stato trovato

[$angelique!?]

prova cosi:

Con Internet Explorer vai a questa pagina.

Ti sposti in fondo alla pagina e clicca sul bottone

Salva il file sul desktop

IMPORTANTE: Disconnettiti da internet e disattiva il tuo antivirus.

Doppio click sull'icona per avviare il programma:

Metti il segno di spunta a eliminar ficheros automaticamente e clicca sul bottone Explorar.

Al termine della scansione, comunque sia andata, dovrai riavviare il pc.

Al riavvio, dovresti trovare il log C:\InfoSat.txt.

Scarica Combofix da uno dei seguenti links:

Bleeping Computer, TechSupport Forum, Foro Spyware, Geeks to go.

Salvalo sul desktop.

(se il file salvato dal primo link non dovesse funzionare, prova a scaricarlo da uno dei successivi)

1. Doppio click su combofix.exe, comparirà la seguente videata:

2. Digita 1, premi Invio e segui le indicazioni.

3. Al termine, verrà creato un file log chiamato C:\ComboFix.txt.

Nota: Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.

Nota: ComboFix non funziona in modalità provvisoria.

allega un log di Hijackthis

http://forum.wininizio.it/index.php?showtopic=21584

[pele86]

combofix e HiJackthis non funzionano.

il primo mi dice che non è una applicazione per win32

mentre il secondo mi impalla il pc.

allego il file infosat

InfoSat.txt

[Duca Bianco]

Ciao pele86

Esegui una scansione online con Kaspersky (su "my computer")ed allega il report in formato HTML

http://forum.wininizio.it/index.php?showtopic=36981&hl=

Se non riesci ad allegare il report,

carica il file su http://www.wikifortio.com/

e poi copia il link per poterlo scaricare

(IMG:style_emoticons/default/bye1.gif)

Edit:

Non mi ero accorto che non potevi collegarti ad internet

Precedi così:

Scarica Avenger da qui

lo salvi in una cartella, scompatti il file .zip.

individua "pele86.exe", lo avvii.

inserisci questo script nel box bianco

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:

C:\WINDOWS\system32\drivers\hidr.exe

C:\WINDOWS\system32\drivers\srosa.sys

C:\WINDOWS\system32\wintems.exe

C:\WINDOWS\system32\hldrrr.exe

C:\WINDOWS\system32\trusted.exe

C:\WINDOWS\system32\drivers\pci32.sys

C:\WINDOWS\system32\drivers\hldrrr.exe

C:\WINDOWS\system32\mdelk.exe

folders to delete:

C:\WINDOWS\exefqd

C:\WINDOWS\exefnd

C:\WINDOWS\exefld

C:\WINDOWS\system32\drivers\down

C:\WINDOWS\temp

C:\WINDOWS\Tasks

registry keys to delete:

HKEY_LOCAL_MACHINE\system\ControlSet003\Services\srosa

HKLM\SYSTEM\CurrentControlSet\Services\srosa

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

HKLM\SYSTEM\CurrentControlSet\Services\pci32

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

Clicca su Execute

Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

Scarica ATF Cleaner

http://www.atribune.org/ccount/click.php?id=1

Avvia ATF Cleaner.exe con un doppio click

- clicca sul menu main

- seleziona la casella Select All

- clicca sul pulsante Empty selected

- aspetta l'avviso Done Cleaning.

(se non vuoi eliminare le password togli la spunta)

(se usi opera o firefox,spunta anche le loro sezioni)

[pele86]

ecco il mio file log.

avenger.txt

[$angelique!?]

Prova ancora con Avenger cancellando questi file:

inserisci questo script nel box bianco

Files to delete:

C:\WINDOWS\SYSTEM32\WINTEMS.EXE

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

C:\Programmi\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE

C:\WINDOWS\system32\MDELK.EXE

Ti allego Combofix (rinominato)

prova a lanciarlo...

Prova_pele86.exe

[pele86]

questo è il logo fatto con kaspersky.

sono riuscito a farlo partire prima che l'accesso ad internet mi venisse interrotto

scansione.html

[Duca Bianco]

Disabilita il Ripristino di configurazione su tutte le unità;

(nota che questo ELIMINERà TUTTI i punti di ripristino, ed eventuali virus in esso contenuti..)

Quindi riabilitalo almeno sull'unità dove hai installato il sistema operativo (solitamente il disco C:\) e crea un nuovo punto di ripristino pulito

Elimina manualmente questi file infetti:

C:\Programmi\Lphant\incoming\Adobe Illustrator Cs3 Ita Crack (Ok).zip/Adobe Illustrator CS3 Ita + crack (OK)/crack/US Adobe Illustrator CS3 crack.exe

C:\Programmi\Lphant\incoming\VRay For SketchUp 6 updated-fixed Release 02-2008.rar/VRay For SketchUp 6/VRayForSketchUp6_1.00.exe

C:\Programmi\Lphant\incoming\VRay For SketchUp 6 updated-fixed Release 02-2008.rar/setup.exe

C:\Programmi\Lphant\incoming\VRay For SketchUp 6 updated-fixed Release 02-2008.rar

Scarica questi programmi che ti serviranno anche per una futura manutenzione:

Ccleaner (pulizia generale) http://www.ccleaner.com/download/downloadpage.aspx?f=2

Wise Registry Cleaner http://www.wisecleaner.com/soft/WRC3Setup.exe

+ Lingua italiana http://www.wisecleaner.com/soft/languages/wrc3/Italiano.zip

una volta scaricato, (dopo averlo decompresso) copialo nella cartella "Language" del programma

Ripulisci il sistema con Ccleaner

Pulisci il registro con Wise Registry Cleaner 1.x (Pulizia del Registro)

(è normale che nel log visualizzi che alcune voci non possono essere rimosse)

Ora prova a reinstallare il tuo antivirus

[pele86]

dovrebbe essere tutto in regola ora. solo che internet dopo un po non funziona piu.

vi allego il log di avast.

grazie mille di tutto

aswBoot.log

[$angelique!?]

Ciao pele86,

ti avevo chiesto il log di Combofix

la connessione che cade è in WIFI???

[pele86]

scusa ho sbagliato. la rete è normale via cavo

log.txt

[Duca Bianco]

Ciao pele86

Da Start -> Esegui ->digita -> cmd e fai click su ok digita ora netsh winsock reset Premi INVIO. Riavvia immediatamente!

Vedi come va

[pele86]

ho reinstallato mozilla e ora funziona tutto bene.

grazie mille di tutto

un' ultima cosa guardando i log mi potete confermare che ora è tutto pulito?

grazie ancora

[Duca Bianco]

Ora sembra tutto OK

[pele86]

ringrazio di nuovo tutti per avermi aiutato a sconfiggere il malefico virus, però mi sento costretto a disturbarvi di nuovo perchè è sopraggiunto un altro problema.

devo reinstallare il mio firewall, zonealarm, sole che non riesco a disinstallarlo perchè mi dice che c'è truevector attivo. vado su gestione servizi ma truevector è già disattivato come faccio?

grazie a tutti

[$angelique!?]

Ciao pele86,

per i problemi con il firewall Zone alarm leggi qui

http://www.wininizio.it/forum/index.php?showtopic=41923