www.MegaLab.it

da carlo* » ven set 19, 2008 4:07 pm

Buonasera a tutti
Ho preso un virus tramite un programma scaricato da Emule e da quello che ho letto in giro deve essere uno dei peggiori:
Con Trojan Remover ho trovato questa dicitura:
Windows/System32/drivers/hldrrr.exe
HKLM/SYSTEM/CURRENT CONTROLSET/SERVICES/srosa/”Imagepath”
Windows/System32/drivers/srosa.sys
HKCU/SOFTWARE/MICROSOFT/WINDOWS/CURRENT VERSION/RUN
drvsyskit
All'inizio gli antivirus non partivano e il computer era molto lento. Poi ho aperto Task Manager e bloccato il processo del File hdrrrl.exe ed ora il computer funziona come prima e gli antivirus partono (SPy Bot ad esempio). Non c'è più però la modalita visualizza file nascosti e ogni volta che accendo il computer all'inizio ricompare il virus (con Avast lo sposto nel cestino).
Ho sentito che forse basta far eseguire regseeker e levare hdrrrl dall'avvio automatico per far scomparire il virus per poi eliminare il resto con Kaspery. E' affidabile come ipotesi oppure no? Ho visto altre procedure su vari siti ma mi sembrano veramente complesse per chi non è esperto e non vorrei trovarmi a metà procedimento e non sapere a che santo votarmi.
Chiedo anche se si può procedere in questo stato (convivenza con il virus eliminando la voce dal Task Manager) per molto tempo?
Grazie per l'eventuale interessamento

da **TheHacker66** » ven set 19, 2008 6:09 pm

Ciao, hai visto la nostra guida a riguardo? Molti poco esperti sono riusciti ad eliminare bagle seguendola senza problemi..

Fami sapere se invece vuoi un aiuto passo-passo.

[ciao]

da carlo* » ven set 19, 2008 6:20 pm

Ciao
Sicuramente avrei bisogno di un aiuto passo dopo passo. Grazie
P.S. Tra l'altro , dato che che blocco il processo di hdrrrl.exe con Task Manager gli antivirus o spyware vari funzionano tutti.

da **TheHacker66** » ven set 19, 2008 6:54 pm

Scaricati intanto Gmer e eseguilo. clicca su "scan" e poi, quando ha terminato, clicca su save e salva il log. Postalo poi qui secondo queste indicazioni.

da carlo* » ven set 19, 2008 7:50 pm

Ho appena dato l'ordine Scan a GMer. Ci sentiamo appena ha finito.
Purtroppo dopo 5 minuti si blocca. Che fare?

da carlo* » ven set 19, 2008 8:11 pm

TheHacker66 ha scritto:Scaricati intanto Gmer e eseguilo. clicca su "scan" e poi, quando ha terminato, clicca su save e salva il log. Postalo poi qui secondo queste indicazioni.

Non capisco come si fa a scaricare MediaFire, è tutto in Inglese con una miriade di voci. Porta pazienza.

da **TheHacker66** » ven set 19, 2008 8:33 pm

carlo* ha scritto:Purtroppo dopo 5 minuti si blocca. Che fare?

Allora hai una variante di Bagle, con cui non serve Gmer.. Proviamo prima con uno script generico per Avenger. Scaricalo, avvialo e clicca su "imput script manually", poi clicca sulla lente di ingrandimento. Nella finestra che ti comparirà incolla questo:

Codice: Seleziona tutto: Files to delete: %SystemDrive%\WINDOWS\system32\drivers\hidr.exe %SystemDrive%\WINDOWS\system32\drivers\srosa.sys %SystemDrive%\WINDOWS\system32\wintems.exe %SystemDrive%\WINDOWS\system32\hldrrr.exe %SystemDrive%\WINDOWS\system32\trusted.exe %SystemDrive%\WINDOWS\system32\drivers\pci32.sys %SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe folders to delete: %SystemDrive%\WINDOWS\exefnd %SystemDrive%\WINDOWS\exefld %SystemDrive%\WINDOWS\system32\drivers\down registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA HKLM\SYSTEM\CurrentControlSet\Services\pci32 HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

Poi clicca sul semaforo, ti si presenteranno due avvisi e poi il pc verrà riavviato. Posta poi qui il log di avenger (usando il pulsante LOG quando scrivi il messaggio).

da carlo* » ven set 19, 2008 8:48 pm

TheHacker66 ha scritto:
carlo* ha scritto:Purtroppo dopo 5 minuti si blocca. Che fare?

Allora hai una variante di Bagle, con cui non serve Gmer.. Proviamo prima con uno script generico per Avenger. Scaricalo, avvialo e clicca su "imput script manually", poi clicca sulla lente di ingrandimento. Nella finestra che ti comparirà incolla questo:

Codice: Seleziona tutto
Files to delete: %SystemDrive%\WINDOWS\system32\drivers\hidr.exe %SystemDrive%\WINDOWS\system32\drivers\srosa.sys %SystemDrive%\WINDOWS\system32\wintems.exe %SystemDrive%\WINDOWS\system32\hldrrr.exe %SystemDrive%\WINDOWS\system32\trusted.exe %SystemDrive%\WINDOWS\system32\drivers\pci32.sys %SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe folders to delete: %SystemDrive%\WINDOWS\exefnd %SystemDrive%\WINDOWS\exefld %SystemDrive%\WINDOWS\system32\drivers\down registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA HKLM\SYSTEM\CurrentControlSet\Services\pci32 HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

Poi clicca sul semaforo, ti si presenteranno due avvisi e poi il pc verrà riavviato. Posta poi qui il log di avenger (usando il pulsante LOG quando scrivi il messaggio).

Ho scaricato Avenger e dato l'exe ma non trovo la scritta "imput script manually"; sotto File, Edit, Load Script c'è l'icona di una cartella, di un mondo e un'altra specie di cartelletta.

da **TheHacker66** » ven set 19, 2008 8:59 pm

Ah scusa ero rimasto al vecchio avenger.. Devi incollarlo dove ti dice "input script here".

da carlo* » ven set 19, 2008 9:10 pm

Scusa ma cosa devo incollare? Forse "imput script manually"? E poi cosa devo premere?

da **Amantide** » ven set 19, 2008 9:14 pm

Per avere la visuale più completa ti chiederei di eseguire la scansione con ComboFix ed allegare qui il log della scansione tramite il tag LOG.

da **Amantide** » ven set 19, 2008 9:19 pm

carlo* ha scritto:Scusa ma cosa devo incollare? Forse "imput script manually"? E poi cosa devo premere?

Guida a The Avenger v.2

da carlo* » ven set 19, 2008 9:21 pm

Buonasera
ComboFix mi dice digita 1 per continuare, ho digitato ma non succede niente.Che sia il virus che lo blocca?

da **TheHacker66** » ven set 19, 2008 9:22 pm

Devi incollare quello che ti ho scritto nel post precedente, dove c'è scritto codice. Quello lo incolli in avenger dove c'è scritto "input script here", poi clicca su execute.

da carlo* » ven set 19, 2008 9:27 pm

Ok , Prima di cominciare levo la spunta anche a scan for rootkits?

da **TheHacker66** » ven set 19, 2008 9:33 pm

sì.posta poi qui il log.

da **Amantide** » ven set 19, 2008 9:35 pm

carlo* ha scritto:Ok , Prima di cominciare levo la spunta anche a scan for rootkits?

Non serve.

da carlo* » ven set 19, 2008 9:44 pm

Scusate portate pazienza ma mi sembra di essere un "diversamente abile"; allora finita la scansione con Avenger alle varie finestrelle ( tutte in inglese ho digitato sempre si quindi si è spento computer, al riavvio mi sono preso un colpo: strani suoni (tipo accordi lugubri) si ripetevano contemporanemente al virus cche ricompariva con tanto di sirena segnalata da Avast , al che in preda al panico ho chiuso tutto compreso anche il file di testo che non avevo visto subito. Rifaccio tutto?

da **ste_95** » ven set 19, 2008 9:57 pm

Il file in questione lo trovi in C:\Avenger\avenger.txt [;)]

da **Amantide** » ven set 19, 2008 10:07 pm

carlo* ha scritto:Buonasera
ComboFix mi dice digita 1 per continuare, ho digitato ma non succede niente.Che sia il virus che lo blocca?

Scusa, avevo scordato di dirti di chiudere eventuali antivirus ed antispyware prima di avviare il ComboFix. Durante la scansione potrebbero scomparire le icone e la barra di applicazioni, non ti preoccupare, è normale.

www.MegaLab.it

Virus Bagle

Virus Bagle

Re: Virus Bagle

Re: Virus Bagle

Re: Virus Bagle

Re: Virus Bagle

Re: Virus Bagle

Re: Virus Bagle

Re: Virus Bagle

Re: Virus Bagle

Re: Virus Bagle

Re: Virus Bagle

Re: Virus Bagle

Re: Virus Bagle

Re: Virus Bagle

Re: Virus Bagle

Re: Virus Bagle

Re: Virus Bagle

Re: Virus Bagle

Re: Virus Bagle

Re: Virus Bagle

Chi c’è in linea