Pagina 1 di 2

AIUTO!!! hldrrr.exe

MessaggioInviato: mer ago 20, 2008 1:29 pm
da pmarco66
da ieri sono stato colpito da un virus
che mi ha riavviato il pc.Dopo la navigazione internet è lentissima, ccleaner non funziona, l'antivirus non ha piu' la protezione on line ed il firewall è disattivato.Non parte in modalità provvisoria.La scanzione con l'antivirus ha trovato hacktool.rootkit e nei processi del task manager ho trovato hldrrr.exe
AIUTATEMI!!!

MessaggioInviato: mer ago 20, 2008 1:36 pm
da KeyroEvolution
Ehm, ci sono 340392 articoli riguardanti il virus in questione ( Bagle ) per cui ti consiglio di fare un cerca e di leggere i Topic aperti. Inoltre puoi trovare la guida appropriata in MegaLab.it. [std]

MessaggioInviato: mer ago 20, 2008 1:47 pm
da ste_95
Ehm, ci sono 340392 articoli riguardanti il virus in questione ( Bagle ) per cui ti consiglio di fare un cerca e di leggere i Topic aperti. Inoltre puoi trovare la guida appropriata in MegaLab.it.

[:)]

Esegui la scansione on-line estesa con Kaspersky come descritto qui e postane il log seguendo queste indicazioni.

MessaggioInviato: mer ago 20, 2008 2:23 pm
da pmarco66
grazie ste_95
il problema è che ormai la navigazione in internet è impossibile
posso solo scaricare file con un altro pc e trasferirli a quello infetto

MessaggioInviato: mer ago 20, 2008 2:31 pm
da ste_95
Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

Poi, riprova con la scansione online.

MessaggioInviato: gio ago 21, 2008 8:08 am
da pmarco66
ste_95 ha scritto:Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

Poi, riprova con la scansione online.



Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\windows\system32\drivers\hldrrr.exe" deleted successfully.

Error: file "C:\WINDOWS\system32\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\drivers\mdelk.exe" deleted successfully.
Folder "C:\WINDOWS\system32\drivers\downld" deleted successfully.
Registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.



il collegamento internet è ancora impossibile

MessaggioInviato: gio ago 21, 2008 8:44 am
da pmarco66
e' partita la scanzione con kaspersky
appena finito posto il log
la navigazione internet è lentissima e si blocca in continuazione

MessaggioInviato: gio ago 21, 2008 11:57 am
da pmarco66

MessaggioInviato: gio ago 21, 2008 12:11 pm
da pmarco66
ste_95 sono nelle tue mani aiutooo!!!!!!

MessaggioInviato: gio ago 21, 2008 2:02 pm
da ste_95
Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.
C:\Documents and Settings\MARCO\Impostazioni locali\Temporary Internet Files\Content.IE5\QFKBJW98\b64_1[2].jpg   
C:\Documents and Settings\MARCO\Impostazioni locali\Temporary Internet Files\Content.IE5\TVEMINML\b64_1[3].jpg   
C:\My Shared Folder\Software\[Manuale] Corso Di Access Ed Excel Completi Finson.nrg
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe   
C:\WINDOWS\system32\unsvchosts.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld
C:\Documents and Settings\All Users\Dati applicazioni\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

MessaggioInviato: sab ago 23, 2008 5:19 pm
da pmarco66
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\windows\system32\drivers\hldrrr.exe" deleted successfully.

Error: file "C:\WINDOWS\system32\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\drivers\mdelk." not found!
Deletion of file "C:\WINDOWS\system32\drivers\mdelk." failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\Documents and Settings\MARCO\Impostazioni locali\Temporary Internet Files\Content.IE5\QFKBJW98\b64_1[2].jpg" deleted successfully.
File "C:\Documents and Settings\MARCO\Impostazioni locali\Temporary Internet Files\Content.IE5\TVEMINML\b64_1[3].jpg" deleted successfully.

Error: file "C:\My Shared Folder\Software\[Manuale] Corso Di Access Ed Excel Completi Finson.nrg" not found!
Deletion of file "C:\My Shared Folder\Software\[Manuale] Corso Di Access Ed Excel Completi Finson.nrg" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" deleted successfully.
File "C:\WINDOWS\system32\unsvchosts.exe" deleted successfully.
Folder "C:\WINDOWS\system32\drivers\downld" deleted successfully.
Folder "C:\Documents and Settings\All Users\Dati applicazioni\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine" deleted successfully.
Registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


ho anche effettuato una scansione con kaspersky

http://www.mediafire.com/?sharekey=8364 ... b31a861143

MessaggioInviato: sab ago 23, 2008 6:21 pm
da ste_95
Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld
C:\Documents and Settings\All Users\Dati applicazioni\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

MessaggioInviato: dom ago 24, 2008 4:42 pm
da pmarco66
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\windows\system32\drivers\hldrrr.exe" not found!
Deletion of file "C:\windows\system32\drivers\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\drivers\mdelk.exe" deleted successfully.

Error: folder "C:\WINDOWS\system32\drivers\downld" not found!
Deletion of folder "C:\WINDOWS\system32\drivers\downld" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\Documents and Settings\All Users\Dati applicazioni\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

MessaggioInviato: dom ago 24, 2008 5:07 pm
da ste_95
Segui le istruzioni di questa pagina per ripristinare la rete senza fili, la modalità provvisoria e la visualizzazione dei file nascosti.

MessaggioInviato: lun ago 25, 2008 9:33 am
da pmarco66
il virus sembra debellato
grazie ste_95
ho ancora piccoli problemi:
l'avvio del pc risulta piu' lento (63 processi aperti?)
l'audio non c'e' piu'
il simbolo alimentazione dello startup rimane sempre come collegamento alla rete elettrica anche se il pc funziona solo con batterie
e' sufficente fare la scansione con kaspersky per scongiurare la presenza di virus?
sempre con kaspersky
ho trovato virus (proprio bagle penso) in pennetta e hd portatile?
li posso togliere senza formattare nulla?
ancora grazie

MessaggioInviato: lun ago 25, 2008 10:02 am
da ste_95
pmarco66 ha scritto:l'avvio del pc risulta piu' lento (63 processi aperti?)

Scarica HijackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Posta sul forum il risultato facendo attenzione a queste regole.

l'audio non c'e' piu'

Reinstalla i driver audio.

il simbolo alimentazione dello startup rimane sempre come collegamento alla rete elettrica anche se il pc funziona solo con batterie

Prova a installare questo.

e' sufficente fare la scansione con kaspersky per scongiurare la presenza di virus?

Ormai Kaspersky è in discesa, ti consiglio Avira Antivir.
sempre con kaspersky

ho trovato virus (proprio bagle penso) in pennetta e hd portatile?
li posso togliere senza formattare nulla?

Dai una passata con il Perlovga Removal Tool su tutte le unità.

MessaggioInviato: lun ago 25, 2008 2:30 pm
da pmarco66
pennette e hd esterni ripuliti!!!
ora sto facendo la scansione del computer con avira come da te suggerito
il problema audio e simbolo batteria lo devo ancora affrontare
ti allego il log di hijackthis
http://www.mediafire.com/?sharekey=f449 ... b9a8902bda

MessaggioInviato: lun ago 25, 2008 2:46 pm
da ste_95
Seleziona a sinistra queste voci in premi il pulsante Fix Checked in basso:

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

L'avvio dovrebbe così almeno leggermente velocizzarsi. [^]

MessaggioInviato: lun ago 25, 2008 5:00 pm
da pmarco66
non ho ben capito la procedura per eliminare i processi da te indicati...
ho anche un'altro problema: il virus bagle che mi ha fatto impazzire è partito da un pc da cui stavo trasferendo dei files.
Pensando di risolvere il problema da solo, ho cercato di far partire il pc in mod provvisoria; visto che non ci riuscivo con f8 sono andato su ms config ed ho attivato safeboot in boot.ini
risultato non si riavvia il pc in nessuna modalità
allora ho cercato il ripristino di windows con il cd windows: risultato niente da fare
come posso riavviare il pc e ripulirlo
grazie

MessaggioInviato: lun ago 25, 2008 6:20 pm
da ste_95
Crea il MegaLabCD e fai il boot da quello all'avvio. Dopo che lo hai avviato apri il menù Start -> Programmi -> Gestione Risorse -> A43 File Management.

Da qui, apri il file boot.ini del disco C:\ e togli l'attributo safeboot. Riavvia e tutto dovrebbe tornare a posto.

non ho ben capito la procedura per eliminare i processi da te indicati

Cosa non è chiaro?