MegaLab.it

Ciao, mi aggancio visto che anche io sono stato raggiunto da questo dannato Bagle. Condivido l'idea che qui si trovano persone competenti e disponibili perciò spero di avere un vostro supporto. Aiuto vi prego, se non mi rispondete dovrò aprire un nuovo argomento..
Premessa : sistema operativo Windows XP
Allora tutto è partito da quando ho scaricato e installato un componente di Autocad (tutt'ora integrato in autocad, come faccio a rimuoverlo adesso?), analizzato con Antivir Personal edition Premium - che me lo ha fatto passare per buono e questo non glielo perdonerò mai perché ormai nutrivo una certa fiducia nell'ombrellino e invece mi ha tradito - ottenuto il "rassicurante" ok di Antivir vado installo e ...patatrak!!... eccoti qua il virus che mi ha messo ko antivir e mi ha incasinato il pc con lentezze varie, processi sconosciuti e un nuovo ospite chiamato hldrrr.exe che si è messo nella directory prefetch e non si vuole mai togliere dalle scatole quando spengo il pc costringendomi a "terminarlo" forzataman'.
Quindi ho proceduto così: scansione online con Kaspersky ( 8 dico otto ore e e quaranta minuti ) poi ho salvato il report sia in HTML che in txt (come faccio a postarlo?) e solo dopo mi sono accorto leggendo l'articolo guida di MegaLab che prima dovevo disattivare il ripristino della configurazione , vabè l'ho fatto subito dopo la scansione, va bene lo stesso?
Poi ho scaricato The Avenger e adesso attenderei vostre gradite indicazioni onde evitare ulteriori casini, grazie.
P.S.: serve anche elenco processi? Adesso spengo il pc, non è che quando riavvio devo rifare tutta la scansione daccapo?
Nel frattempo posso usare il programma di posta?

Comprimi la scansione in formato html e allegala al forum.

Grazie per la risposta, ecco qua

innanzitutto scaricati hijackthis e posta il log della scansione.
p.s: fai una pulizia con CCleaner
p.p.s: credo che questo possa andare come script di avenger:

Codice: Seleziona tutto

Files to delete:
C:\Documents and Settings\Admin.PROFESSI-LK0MPN\Desktop\Proscar\IGES Import for AutoCAD 1.0 (KeyGen).zip/IGES Import for AutoCAD 1.0 (KeyGen).exe
C:\Documents and Settings\Admin.PROFESSI-LK0MPN\Desktop\Proscar\IGES Import for AutoCAD 1.0.zip/IGES Import for AutoCAD 1.0.exe
C:\Documents and Settings\Admin.PROFESSI-LK0MPN\Desktop\Proscar\IGES Import for AutoCAD 1.0.zip
C:\Programmi\Digicom\Michelangelo PCI\CnxDslTb.exe
C:\Programmi\SYCODE\IGES Import for AutoCAD\IGES Import for AutoCAD 1.0.exe
C:\WINDXP\system32\drivers\down\1421015.exe
C:\WINDXP\system32\mdelk.exe


Ripeto che dovrebbe essere questo ma siccome avenger può fare molti danni se usato scorrettamente ti suggerirei di attendere che qualcuno confermi.
A presto

Disabilita il ripristino configurazione di sistema.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\mdelk.exe
C:\Documents and Settings\Admin.PROFESSI-LK0MPN\Desktop\Proscar\IGES Import for AutoCAD 1.0 (KeyGen).zip
C:\Documents and Settings\Admin.PROFESSI-LK0MPN\Desktop\Proscar\IGES Import for AutoCAD 1.0.zip
C:\Programmi\DAP\Offers\VA_11_DAPSO.1187_1.exe
C:\Programmi\Digicom\Michelangelo PCI\CnxDslTb.exe
C:\Programmi\SYCODE\IGES Import for AutoCAD\IGES Import for AutoCAD 1.0.exe

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Ora, se tutto è andato a buon fine, dovresti riuscire a reinstallare un valido antivirus.

Dovrai anche reinstallare i driver del modem.

Scusa ste_95, ma sono segnati dei file che non risultano dalla scansione, da dove li hai presi? N.B.: non fraintendermi, la mia è solo una curiosità.

Fred ha scritto:Scusa ste_95, ma sono segnati dei file che non risultano dalla scansione, da dove li hai presi? N.B.: non fraintendermi, la mia è solo una curiosità.

La scansione segnala alcuni file infetti dal virus/worm bagle, questo però è composto da molti componenti, che se non tutti correttamente eliminati ricreano l'infezione.

Grazie per l'esauriente risposta

clicco sulla spada ma mi dice che avenger non è un'applicazione win32 valida....basstardo di un virus

Disabilita il ripristino configurazione di sistema.

Crea il MegaLabCD e fai il boot da quello all'avvio. Dopo che lo hai avviato apri il menù Start -> Gestione Risorse -> A43 Management. Elimina ora i seguenti file e cartelle dal disco C:\ come se fossi nel tuo computer:

C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\mdelk.exe
C:\Documents and Settings\Admin.PROFESSI-LK0MPN\Desktop\Proscar\IGES Import for AutoCAD 1.0 (KeyGen).zip
C:\Documents and Settings\Admin.PROFESSI-LK0MPN\Desktop\Proscar\IGES Import for AutoCAD 1.0.zip
C:\Programmi\DAP\Offers\VA_11_DAPSO.1187_1.exe
C:\Programmi\Digicom\Michelangelo PCI\CnxDslTb.exe
C:\Programmi\SYCODE\IGES Import for AutoCAD\IGES Import for AutoCAD 1.0.exe
C:\WINDOWS\system32\drivers\down

Miraccomando, non tralasciarne nessuno, altrimenti al riavvio sarai punto da capo!
NB: Alcuni file potrebbero non essere presenti.

Poi da Start -> Registro -> Remote Regedit e cancella le seguenti chiavi come se fossi all'interno del registro configurazione di Windows:

HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

Torna in modalità normale e prova a installare un antivirus.

Ciao Ste, ancora non ci siamo. Ho seguito le tue istruzioni con esito negativo. Non sono riuscito a reinstallare Antivir.
Quindi ho rilanciato la scansione di Kaspersky e allego il report.
Una cosa che mi stupisce è che ha individuato un virus nel file "Browser" del MegalabCD : what's??

Non è un virus, è un tool che se usato per scopi illeciti, è illecito...

Sei sicuro che NESSUN antivirus si reinstalli?

Ok, allora adesso ho scaricato AVAST, solo che non riesco a disinstallare ANTIVIR : faccio pannello di controllo--> installazione applicazioni-->rimuovi, ma mi da' un messaggio di errore con scritto "Cannot load master resource file", che è anche quello che mi da quando cerco di caricarlo.

Prova a reinsallarlo, poi se ti da l'opzione ripara tanto meglio, altrimenti reinstallarlo sopra l'installazione precedente. Fatto questo provi, se vuoi, a disinstallarlo. In alternativa elimini manualmente la cartella per poi fare una pulizia generale con CCleaner per eliminare chiavi di registro e quant'altro; n.b.: è probabile ci siano altre cartelle oltre quella d'installazione che rimandano all'antivirus in questione.

Grazie Fred, ho fatto come mi hai detto e credo che stavolta sia riuscito ad installare completamente Antivir, dico credo perché adesso sto facendo la scansione con Avast e non posso riavviare il PC per completare l'operazione, però stavolta l'icona dell'ombrellino si è installata nel systray mentre prima no. A questo punto però mi tengo AVAST, visto che il virus me lo sono beccato con ANTIVIR, voi che ne dite?
Vi aggiorno appena posso con i risultati della scansione.

Io, sinceramente mi trovo benissimo con antivir PE Premium (con offerta di 6 mesi di licenza gratuiti). Sinceramente a me non piace avast ma questo è un mio gusto personale. In ogni caso è un buon antivirus anche quello (almeno credo)

Avast può essere considerato tutto meno che un buon antivirus.

Usa Avira Antivir Premium e quando scade passi alla versione freeware:

http://www.MegaLab.it/1740

Allora la mia antipatie è giustificata... e dire che tutti mi hanno parlato bene di quell'antivirus . in ogni caso chiedo venia per il mio precedente madornale errore.

Tanto per far vedere che non sto sparando cavolate:

http://www.MegaLab.it/2738/5

Test degli antivirus 2007 ha scritto:Giudizio finale abbastanza negativo

Beh, leggendo l'articolo, AVAST mi perde subito dei punti. Quella della "bomba a decompressione" non l'ho capita . Io mi ero basato sul sondaggio di MegaLab che lo dava tra i più votati e sul fatto che è proprio con ANTIVIR PE PREMIUM che ho beccato il virus.
Vabè forse darò un'altra chance all'ombrellino anche perché con questa prima scansione sto constatando che come interfaccia mi era più "simpatico".
Una domanda: ma non c'è un modo per evitare di trovare la scansione ferma, quando torni al PC qualche ora dopo averla avviata, in attesa di conferme su eventuali eliminazioni/spostamenti in quarantena di qualche file infetto? Non si può decidere il da farsi a scansione ultimata?
Comunque allego i risultati di AVAST, che a suo dire mi ha trovato tre cavalli di troia, tra l'altro presenti in cartelle di programmi installati da una vita e che ANTIVIR non mi ha mai segnalato. Qua non si finisce più, sto scoprendo che il mio PC è una latrina...comunque se avete voglia di sporcarvi le mani con me magari riesco ad uscirne una volta per tutte. Ecco qua