www.MegaLab.it

[carlo*]

Ok adesso lo cerco, poi devo lasciare. Domani ho una levataccia; ringrazio tutti per la disponibilità. Mi rimetto in contatto domani sperando di trovare qualcuno nel primo pomeriggio.

[carlo*]

Ciao a tutti, c'è nessuno in linea?
Ho eseguito una scansione rapida con Malwarebytes e mi ha trovato 98 file infetti.

http://www.savefile.com/files/1797705

Spero di avre postato giusto il log. Grazie

[ste_95]

Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

[carlo*]

Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

Ok adesso mi metto al lavoro. Grazie Ste

[carlo*]

latform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

File "C:\windows\system32\drivers\hldrrr.exe" deleted successfully.

Error: file "C:\WINDOWS\system32\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "C:\WINDOWS\system32\drivers\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Folder "C:\WINDOWS\system32\drivers\downld" deleted successfully.
Registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Completed script processing.

Questo è il risultato.
Alla riaccensione è riapparso il virus ed anche una finestrella con Windows - disco non presente
Exception Processing Message c0000013 Papameters...
Annulla - Riprova - Continua

Sono un po preoccupato
P.S. Posso riattivare il punto di ripristino del sistema?

[Amantide]

Riesci a lanciare ora ComboFix? Il suo log ora ci sarebbe di grande aiuto.

[carlo*]

Riesci a lanciare ora ComboFix? Il suo log ora ci sarebbe di grande aiuto.

Ciao Amantide, sono riuscito a lanciare ComboFix. Ti allego il report

http://www.savefile.com/files/1798018

Non vedo più avast il mio antivirus. Come mai? Lo devo reinstallare? Grazie

[ste_95]

L'antivirus era stato spazzato via da Bagle, che ora sembra essersene andato anche lui. TI consiglierei comunque di sostituirlo con qualcosa di più efficiente come Avira Antivir.

[Amantide]

Per quanto riguarda il log di ComboFix, aspetta 5 minuti che lo sto elaborando

[Amantide]

Ora devi rilanciare The Avenger ed agendo come la prima volta incollare ed eseguire questo script:

Codice: Seleziona tutto

Files to delete:
C:\Documents and Settings\Compaq_Proprietario\jailfqhl.exe
C:\Documents and Settings\Compaq_Proprietario\erkqjkxf.exe
C:\Documents and Settings\Compaq_Proprietario\dwhckxgw.exe
C:\Documents and Settings\Compaq_Proprietario\Dati applicazioni\GDIPFONTCACHEV1.DAT
C:\Documents and Settings\All Users\Dati applicazioni\ezsid.dat

Dopo aver reinstallato un nuovo antivirus, va benissimo quello suggerito da ste_95, fagli eseguire la scansione completa del sistema.

[carlo*]

Amantide carissima, mi sembra proprio che il Bagle non ci sia più. Proseguo con Avenger e poi installo un nuovo antivirus. Mi trovavo bene con Avast perché era in Italiano. Saluti e grazie ancora.

[carlo*]

Amantide, ti allego il risultato di Avenger :
Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "C:\Documents and Settings\Compaq_Proprietario\jailfqhl.exe" deleted successfully.
File "C:\Documents and Settings\Compaq_Proprietario\erkqjkxf.exe" deleted successfully.
File "C:\Documents and Settings\Compaq_Proprietario\dwhckxgw.exe" deleted successfully.
File "C:\Documents and Settings\Compaq_Proprietario\Dati applicazioni\GDIPFONTCACHEV1.DAT" deleted successfully.
File "C:\Documents and Settings\All Users\Dati applicazioni\ezsid.dat" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Ciao

[Amantide]

Proseguo con Avenger e poi installo un nuovo antivirus. Mi trovavo bene con Avast perché era in Italiano. Saluti e grazie ancora.

Non ti preoccupare che Antivir è di facile comprensione pur essendo in inglese.

[carlo*]

Sera a tutti
Quando spengo il computer mi esce sempre una finestra con Termina programma "Teatimer.exe" per poi concludere con: L'applicazione non risponde.??
Come antivirus ora utilizzo Antivira.

[Amantide]

E' un processo di Spybot - Search & Destroy, evidentemente è stato danneggiato da Bagle anche questo programma. Prova a disinstallarlo e reinstallare daccapo.

[carlo*]

Ok grazie.
Dimenticavo: Prima di usare ComboFix avevo utilizzato anche AFT Cleaner.

[carlo*]

Ho reinstallato SpyBot , gli fatto fare la scansione completa e mi dice tutto Ok. Al momento di riavviare il computer mi si apre però ancora la solita finestrella Termina programma Teatimer.exe. Devo forse eliminare il file manualmente da "Cerca file o cartelle"? Saluti

[Amantide]

Al momento di riavviare il computer mi si apre però ancora la solita finestrella Termina programma Teatimer.exe. Devo forse eliminare il file manualmente da "Cerca file o cartelle"? Saluti

Se elimini questo file, SpyBot non ti funzionerà più. Forse va in conflitto con qualche altro programma, puoi anche considerare l'idea di installare un altro antispyware al posto suo.

[disc_nr]

Ciao raga

Anche io sono incappato nella bestiaccia, tuttavia nn ho molti riscontri con le guide ossia ora vi spiego:

esiste il file hldrrr.exe nella cartella nascosta drivers sotto windows\system32

I file malicious sono nella cartella downld e sono stringhe numeriche con . exe finale

non ho riferimenti nel registro ne nelle cartelle di srosa.sys ne degli altri exe di accompagnamento a hldrrr.exe

Mi ha disabilitato la visione dei file nascosti ed il safeboot da registro.

Prima nn funzionava ne IE ne Firefox, impossibile lanciare avenger, gmer, e altri remover.

Io ho proceduto così per avere un po di possibilità di movimento:
staccato fisicamente cavo di rete per sospendere il download dei file malevoli
aperto console di msdos ( esegui -> cmd )
sono andato nella cartella c:\ windows\system32\drivers ed ho rinominato con il comando ren hldrrr.exe in hldrrr.old
ho disattivato il ripristino di sistema da tutte le unità
Non avendo la possibilità di collegarmi a internet causa hldrrr.exe che inibiva ogni connessione mi sono collegato da un portatile su rete lan non infetto ed ho cercato qualche cura, dopo di che mi sono imbattuto nella vostra guida, ho scaricato i vari tools ho fatto un cd per evitare contagio su porta usb ed ho riavviato la macchina infetta.

Ora al riavvio nessuna traccia di alert e nei processi di hldrrr.exe, lancio gmer e faccio scansione rootkit/malware ora funziona come anche hthjthis e avenger, da gmer cancello manualmente i file presenti in downld e drivers, rimuovo i .tmp e i .exe dalla cartella temporanea temp nel profilo\dati applicazioni.

Lancio karpesky remover tools scaricato da link della vostra guida ( sta scansionando da un giorno e mezzo reale ) ed è al 6% circa, per ora nn mi ha trovato nulla di strano.

Avast funziona era installato sull'unità N:\ e nn vorrei sbagliarmi ma mi sa che il bagle cerca i programmi in c:\ infatti mi funziona anche spybot sempre instalalto sull'unità n:\.

Ora mi chiedo e vi chiedo, devo fare altro?

Grazie per la pazienza nel leggere e per i cordiali consigli che sò ariveranno

A presto

Disc

[Amantide]

Ciao e benvenuto
Pare che con il nostro articolo sei riuscito a risolvere da solo la situazione , per sicurezza però, puoi fare anche la scansione con Kaspersky on-line per vedere se ti trova qualche file infetto annidato da qualche parte.
Fai anche la pulizia di tutti i file temporanei, puoi usare CCleaner e meglio se dalla modalità provvisoria.