www.MegaLab.it

[longola]

salve, dopo aver preso un file da emule il file exe ha aperto una finistra di dialogo e poi il computer si è riavviato da solo.
al riavvio, ho visto l'uso della CPU al 100% e la presenza del file hldrrr.exe tra i processi; l'ho disatttivato e cercato di fare come descritto nellae pagine del sito, ma ecco cosa mi è risultato:

ogfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\drivers\hidr.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\hidr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "C:\WINDOWS\system32\hldrrr.exe" not found!
Deletion of file "C:\WINDOWS\system32\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "C:\WINDOWS\system32\trusted.exe" not found!
Deletion of file "C:\WINDOWS\system32\trusted.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "C:\WINDOWS\system32\drivers\pci32.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\pci32.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: folder "C:\WINDOWS\exefnd" not found!
Deletion of folder "C:\WINDOWS\exefnd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: folder "C:C:" not found!
Deletion of folder "C:C:" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\pci32" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\pci32" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Completed script processing.

*******************

Finished! Terminate.

il sitema si è riavviato, il file è ricomparso e lo ho disattivato di nuovo mentre ho riattivato manualmente antivirus, firewall e centro sicurezza pc di windows xp home edition service pack3.... potete aiutarmi???

edit: scusate per prima!

[Amantide]

Ciao e benvenuta longola

Fai la scansione completa con Kaspersky online ed allega qui il report della scansione.

[longola]

grazie Amantide! allora prima ancora di fare la scansione ho effettuato la procedura proposta http://www.MegaLab.it/forum/viewtopic.php?f=33&t=34966qui hldrrr.exe è scomparso; poi ho riavviato il computer e tra i prcessi del task maneger ho verificato che non vi era più ma sono rimasti altri virus; riporto il log della scansione con Kaspersky online

Friday, October 17, 2008
Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Friday, October 17, 2008 17:30:05
Records in database: 1319315


Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes

Scan area My Computer
C:\
D:\
E:\
F:\
G:\

Scan statistics
Files scanned 72032
Threat name 2
Infected objects 3
Suspicious objects 0
Duration of the scan 01:43:56

File name Threat name Threats count
C:\Documents and Settings\Aldous\Impostazioni locali\Temp\Rar$EX00.703\@PROMT_English-Russian_Office_Translator_7.0_(With_Crack).exe Infected: Trojan-Downloader.Win32.Bagle.ads 1

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\04EC0000.VBN Infected: Trojan-Downloader.Win32.Bagle.mm 1

C:\Programmi\Asus\Power4 Gear\BatteryLife.exe 1 Infected: Trojan-Downloader.Win32.Bagle.ads 1

The selected area was scanned.

Grazie ancora...siete fortisimi!!!!

[Amantide]

C:\Documents and Settings\Aldous\Impostazioni locali\Temp\Rar$EX00.703\@PROMT_English-Russian_Office_Translator_7.0_(With_Crack).exe Infected: Trojan-Downloader.Win32.Bagle.ads 1

He he... Bisogna scansionare sempre con l'antivirus i file appena scaricati, soprattutto se sono gli eseguibili scaricati dalla rete p2p. E' stato questo file a portarti nei guai.
Svuota tutto il contenuto della cartella C:\Documents and Settings\Aldous\Impostazioni locali\Temp\ ed
elimina questo file anche dalla cartella dei file scaricati di eMule ( o chessò, altro programma di p2p che usi di solito).

Anche questo file in rosso è da eliminare, in quanto è stato infettato da Bagle.
C:\Programmi\Asus\Power4 Gear\BatteryLife.exe 1 Infected: Trojan-Downloader.Win32.Bagle.ads 1

Fai anche la scansione con Malwarebytes' Anti-Malware.

[longola]

scusa la mia ignoranza... posso adoperare il semplice "elimina" con cestino?

[Amantide]

scusa la mia ignoranza... posso adoperare il semplice "elimina" con cestino?

Usa Unlocker, è sempre utile averlo installato nel pc.

[longola]

per eliminare la cartella C:\Documents and Settings\Aldous\Impostazioni locali\Temp\ ieri sera ho adeperato avenger, mentre il falso file della console asus è stato cancellato normalmente .. ho eseguito poi Malwarebytes' Anti-Malware, che ha trovato due file che ha eleminato normarlemente; stamattina ho acceso il computer per verificare i "danni": il windows messenger non si connette (errore,n°81000306) e tra le opzioni cartella è scomparsa la voce "mostra cartelle e file nascosti"; a ciò pongo anche un'altra domanda; per fare una copia veloce della mia tesi sulla memoria estrena ieri sera inviai la cartella all'unità H:... è possibile che il bagle abbia infettato l'unità esterna? come posso fare per controllare in sicurezza?

[ste_95]

Segui le istruzioni di questa pagina per ripristinare la rete senza fili, la modalità provvisoria e la visualizzazione dei file nascosti.

L'unità che hai collegato al computer è quasi sicuramente infetta, quindi reinseriscila tenendo premuto Shift, e segui le istruzioni di questo articolo.

[longola]

...ho eseguito il ripristino della modalità provvisioria e della visualizzazione file nascosti senza problemi, mentre la procedura di riattivazione della wireless non mi è tanto chiara specie per quanto riguarda l'attivazione di NDISUIO e RPC. Per quanto riguarda l'unità esterna fortunatamente non è stata infettata; ho rifatto una scansione con Kaspersky online con tutte le unità inserite ed ecco quello che mi è stato riportato

Sunday, October 19, 2008
Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Sunday, October 19, 2008 00:10:48
Records in database: 1322430


Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes

Scan area My Computer
C:\
D:\
E:\
F:\
G:\
H:\

Scan statistics
Files scanned 76458
Threat name 2
Infected objects 2
Suspicious objects 0
Duration of the scan 02:16:38

File name Threat name Threats count
C:\Avenger\Temp\Rar$EX00.703\@PROMT_English-Russian_Office_Translator_7.0_(With_Crack).exe Infected: Trojan-Downloader.Win32.Bagle.ads 1

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\04EC0000.VBN Infected: Trojan-Downloader.Win32.Bagle.mm 1

procedo all'eliminazione del temporaneo in Avenger?

[ste_95]

La rete wireless ti funziona? In caso, non c'è bisogno di ripristinarla.

Cortesemente, prima di cancellare la cartella Avenger, creane uno zip, caricalo su www.mediafire.com e mandami il link in privato, quindi, eliminalo pure.

Grazie.

[longola]

non ho la possibilità adesso di verificare la funzionalità della wireless; con il intel pro set wireless dovrebbe funzionare, mentre se voglio avviare zero configuration mi dà un messaggio di errore 1068 avvio dei componenti aggiuntivi non risuciti

La cartella di avenger è grande 2,24 giga procedo lo stesso a creare l'archivio???

[ste_95]

non ho la possibilità adesso di verificare la funzionalità della wireless; con il intel pro set wireless dovrebbe funzionare, mentre se voglio avviare zero configuration mi dà un messaggio di errore 1068 avvio dei componenti aggiuntivi non risuciti

Copia questo in un nuovo file txt, quindi salvalo cambiando l'estensione in reg.

Codice: Seleziona tutto

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"UuidSequenceNumber"=dword:0cdae01e
[HKEY_CURRENT_USER\Session\Information]
"ProgramCount"=dword:00000004

Facci poi doppio clic confermando, e riavvia il computer.

La cartella di avenger è grande 2,24 giga procedo lo stesso a creare l'archivio???

Zippa soltanto il file che Kaspersky ha rilevato nella scansione, grazie.

[longola]

rete wireless con windows ora ok! per quanto riguarda il file, aspetto un tuo ok prima di cancellare la cartella

[ste_95]

Grazie mille per il file, era proprio quello che cercavo.

[longola]

GRAZIE a Voi!!!!

[longola]

ci sono novità sul file che ho inviato zippato???

[ste_95]

Volevi sapere qualcosa in particolare?

Penso che lo proverò nel week-end...

[longola]

innanzitutto la sua pericolosità rispetto ad altri dello stesso tipo e se era un'evoluzione o di tipo più semplice...