www.MegaLab.it

[manero478]

ho scaricato un file credendo fosse una utility..(controllo temp. processore) e all'apparenza cosi sembrava..
anche se appena lanciato non succedeva nulla subito..poi mi chiedeva di aprire un file..cosa per cui non era preposto allora l'ho chiuso.
Poi ho aperto il tack manager e mi sono trovato un IEXPLORER aperto pur non avendolo lanciato dato che uso FIREFOX..così ho cancellato il processo..
ma come per incanto si e riaperto..
allora ricordandomi della volta precedente..(e si gia' l'ho avuto)
ho controllato tutti i processi e ho trovato anche HLDRRR attivo..
casì l'ho chiuso e ante iexplorer..
ho lanciato la scansione l'antivirus e lo spyware AVG...piu' spyware search&destroy..ma non ha trovato nulla...
memore della prima volta ho lanciato GMER e ho fatto i log di autostart e rootkit e HijackThis ..li ho uniti in un file che ti allego....
poi sempre dietro le info dell'ultima volta ho controllato quanto dettomi e cioe :
File remove.txt
C:\WINDOWS\system32\hldrrr.exe
C:\Documents and Settings\Gilberto\Dati applicazioni\hidires\hidr.exe
C:\Documents and Settings\Gilberto\Dati applicazioni\hidires\m_hook.sys
C:\Windows\System32\wintems.exe

folders to delete:
C:\Documents and Settings\Gilberto\Dati applicazioni\hidires

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | german.exe

registry keys to delete:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\m_hook

ma non ho trovato nulla di queste info..
ho fatto la ricerca e ho cancellato l'unico file che ho trovato (hldrrr.exe)
in teoria sembra tutto apposto..ma ho paura a fare la ripartenza..perche l'altra volta il casino e sucesso al riavvio..
pero la differenza sta che quella volta non avevo cancellato il file HLDRRR.EXE in anticipo..
quindi che faccio???
Ho paura a riavviare...
grazie...

[research]

Ciao,da Hijackthis leva questa stringa

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Ti consiglio di sostituire il DAP con un altro acceleratore di download,puoi scegliere download express.

Ciao

PS:Di bagle nemmeno l'ombra

[manero478]

grazie..
allora mo' provo a ripartire..
vediamo che succede...

comunque..
come mai ne l'antivirus ne il firawall hanno impedito al file HLDRRR.exe
di andare in esecuzione??

???????


ciao

[research]

grazie..
allora mo' provo a ripartire..
vediamo che succede...

comunque..
come mai ne l'antivirus ne il firawall hanno impedito al file HLDRRR.exe
di andare in esecuzione??

???????


ciao

Evidentemente non riconoscono il malware,il firewall,poteva avvertirti nel caso il processo voleva accedere ad internet,in questo caso l'unica cosa che poteva salvarti era un software hips oppure un altro antivirus che riconosce il malware

[Amantide]

ho fatto la ricerca e ho cancellato l'unico file che ho trovato (hldrrr.exe)

I log sono puliti e sembra che hldrrr.exe era l'unico file presente.
Devi tener conto che il Bagle che conosciamo noi è composto di 3 varianti di Bagle... a volte anche di più.

come mai ne l'antivirus ne il firawall hanno impedito al file HLDRRR.exe

Il consiglio è lo stesso di prima: sostituire il firewall con uno più aggiornato, io ti consiglio vivamente Comodo Firewall, avverte non solo della tentazione di certi processi di accedere in rete ma anche dei cambiamentie coportamenti sospetti. Aggiungi anche Spyware Terminator e sei apposta.

***edit***
Dimenticavo...
Esegui Hijackthis, vai su Oper the Misc Tools section e seleziona Oper ADS Spy... Togli la spunta accanto alla voce Quick scan e clicca su Scan. A scansione terminata trova e seleziona le seguenti voci e clicca su Remove Selected:
ADS C:\Documents and Settings\All Users\Dati applicazioni\TEMP:2A81F9CE
ADS C:\Documents and Settings\All Users\Dati applicazioni\TEMP:3B71D0B4

[manero478]

allora :
Ho fatto il riavvio del PC e per fortuna non si e' infettato nulla..

per quanto riguarda il firewall ho appunto comodo firewall (aggiornato) messo dietro tua segnalazione....(come mai non mi ha detto nulla di hldrrr.exe??)

l'antyspyware oh avg...ma se non va' bene ...provvedero'..

per hijackthis ti ringrazio e ho fatto quanto mi hai detto e ho cancellato quelle righe, le quali peraltro erano 2 per segnalazione...

ma ancor di piu' ti ringrazio perche' mi hai aperto un mondo nuovo, io neanche sapevo dell'esistenza delle opzioni Oper ADS Spy... o altro..
infatti lo usavo pedestemente..con le impostazioni standard..
...
ora da profano ti chiedo...rimetto la spunta a Quick scan o lo lascio così??

grazie e grazie ancora..

ciao sei mitica

[Amantide]

per quanto riguarda il firewall ho appunto comodo firewall (aggiornato) messo dietro tua segnalazione....(come mai non mi ha detto nulla di hldrrr.exe??)

Evidentemente hldrrr.exe stava li buono buono

l'antyspyware oh avg...ma se non va' bene ...provvedero'..

Per la protezione in tempo reale va meglio Spyware Terminator, tra altro ha anche un modulo HIPS integrato.

ma ancor di piu' ti ringrazio perche' mi hai aperto un mondo nuovo, io neanche sapevo dell'esistenza delle opzioni Oper ADS Spy... o altro..
infatti lo usavo pedestemente..con le impostazioni standard..

Guarda che all'inizi ho usato anche io Hijacthis solo per fare la scansione "tipica"

ora da profano ti chiedo...rimetto la spunta a Quick scan o lo lascio così??

é indifferente... tanto appena riavvii HJT questa opzione si rimetterà all'impostazione di default.

[nickboss100]

ciao avete ragione sono stato troppo duro e schizzofrenico comunque ho dei seri problemi ancora.
non mi mandava in modalità provvisoria e così ho usato elibagle e ho eliminato tre bagle.... ora mi fa andare nella modalità provvisoria ma il problema persiste,da deglli errori al norton e skybot nn rileva nulla ho già postato il log

[crazy.cat]

ciao avete ragione sono stato troppo duro e schizzofrenico comunque ho dei seri problemi ancora.
non mi mandava in modalità provvisoria e così ho usato elibagle e ho eliminato tre bagle.... ora mi fa andare nella modalità provvisoria ma il problema persiste,da deglli errori al norton e skybot nn rileva nulla ho già postato il log

si continua qui
http://www.MegaLab.it/forum/viewtopic.php?t=33104