rricom
09-01-2008, 17:36
Salve, ho paura di aver beccato un grande virus.
HLDRRR.exe Win32.HLLM.Beagle
Ho WXP SP2 HD con tre partizioni.
L'ho preso da un allegato email, la prima cosa che mi ha fatto mi ha cancellato gli eseguibili dell'antivirus e firewall che avevo installati: Avg. Spyboot e Outpost. Alchè ho installato Comodo firewall ed appena mi sono colegato a internet mi ha bloccato il tentativo di uscita di C:\WINDOWS\system32\drivers\hldrrr.exe, se lo cerco non lo trovo, neanche visualizando i file nascosti e di sistema. Se cerco di installare un altro antivirus o antispayware non me li installa: ad au certo punto dell'installazione dice che non riesce a scrivere su una certa cartella o lo finisce di installare ma poi o viene subito cancellato o quando lo faccio partire mi apre un secondo la finestra di gestione e poi si chiude subito. Queso comportamento vale anche per altri prog tipo gestione/pulizia registro ecc.
Una scnsione con HijackThis non sembra dare notizie utili (mi sono però fidato di una interpreatzione del log automatica fatta in un sito)
Ho individuato nel registro queste voci:
1- KEY_CURRENT_USER/software/Microsoft/Windows/ShellNoRoam/MUICache/ con valore C:\WINDOWS\system32\drivers\hldrrr.exe impostato a: install, lo cancello ma quando riavvio il pc ritorna e avolte non riesco neppure a cancellarlo
2- HKEY_LOCAL_MACHINE/System/Software/Comodo/Personal Firewall/Apps/4/ con valore Filename impostato a: C:\WINDOWS\system32\drivers\hldrrr.exe (ma questo credo sia il blocco fatto da Comodo).
3- Riesco ad installare Spyware Doctor che dalla scansione non mi trova nulla ma ad ogni riavvio del pc mi da' un messaggio: individuatro processo nascosto C:\WINDOWS\system32\drivers\hldrrr.exe eliminarlo al prossimo riavvio? Dico si ma poi si ripresenta.
Dopo questa operazione è comparsa anche la voce:
HKEY_LOCAL_MACHINE/System/ControlSet002/Control/SessionManager PendingFileRenameOperations valore \??\C:\WINDOWS\system32\drivers\hldrrr.exe.
Altra Cosa grave:
1- non riesco a ripristinare il sistema ad un punto precedente
2- non riesco ad entrare in una qualche modalità provvisoria, mi da' il messaggio: "Press ES to cancel STPD.sys" se premo esc si riavvia se premo invio si avvia normalmente
3- tentando l'avvio con cd es Hiren's boot cd e poi facendo la scnsione antivirus non mi legge il disco C dice inaccessibile, vedo le partizioni.
PS preciso che riesco ad avviare il pc ad usarlo, a navigare, sembra non abbia problemi ma non riesco ad installare programmi di difesa.
Ora ho disabilitato il ripristino di sistema
Sono disperato, possibile che si carichi in memoria? come faccio a debellarlo? Su internet ho trovato poche spiegazioni e non funzionano.
Vorrei formattare, ma chissà se riesco ad accedere a c, prima volevo sentirvi.
Grazie
Nomi relativi che ho trovato per il virus: Trojan.Loader.D, Trojan-DownloaderWin32.Bagle.D, Worm_Bagle.KO, Win32.HLLM.Beagle, Trojan.Loader.D
Seguendo le istruzioni su questo forum per eliminare i virus Bagle, porto sotto il rapporto di ELIBAGLA:
Wed Jan 09 17:15:37 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.82
a "[email protected]". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.82
a "[email protected]". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Wed Jan 09 17:18:46 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.82
a "[email protected]". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Wed Jan 09 17:19:02 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 2795
Nº Total de Ficheros: 38024
Nº de Ficheros Analizados: 6966
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Qui mi fermo perchè il punto 2 della guida alla rimozione del forum dice di installare kaspersky ma non riesco.
:-((
HLDRRR.exe Win32.HLLM.Beagle
Ho WXP SP2 HD con tre partizioni.
L'ho preso da un allegato email, la prima cosa che mi ha fatto mi ha cancellato gli eseguibili dell'antivirus e firewall che avevo installati: Avg. Spyboot e Outpost. Alchè ho installato Comodo firewall ed appena mi sono colegato a internet mi ha bloccato il tentativo di uscita di C:\WINDOWS\system32\drivers\hldrrr.exe, se lo cerco non lo trovo, neanche visualizando i file nascosti e di sistema. Se cerco di installare un altro antivirus o antispayware non me li installa: ad au certo punto dell'installazione dice che non riesce a scrivere su una certa cartella o lo finisce di installare ma poi o viene subito cancellato o quando lo faccio partire mi apre un secondo la finestra di gestione e poi si chiude subito. Queso comportamento vale anche per altri prog tipo gestione/pulizia registro ecc.
Una scnsione con HijackThis non sembra dare notizie utili (mi sono però fidato di una interpreatzione del log automatica fatta in un sito)
Ho individuato nel registro queste voci:
1- KEY_CURRENT_USER/software/Microsoft/Windows/ShellNoRoam/MUICache/ con valore C:\WINDOWS\system32\drivers\hldrrr.exe impostato a: install, lo cancello ma quando riavvio il pc ritorna e avolte non riesco neppure a cancellarlo
2- HKEY_LOCAL_MACHINE/System/Software/Comodo/Personal Firewall/Apps/4/ con valore Filename impostato a: C:\WINDOWS\system32\drivers\hldrrr.exe (ma questo credo sia il blocco fatto da Comodo).
3- Riesco ad installare Spyware Doctor che dalla scansione non mi trova nulla ma ad ogni riavvio del pc mi da' un messaggio: individuatro processo nascosto C:\WINDOWS\system32\drivers\hldrrr.exe eliminarlo al prossimo riavvio? Dico si ma poi si ripresenta.
Dopo questa operazione è comparsa anche la voce:
HKEY_LOCAL_MACHINE/System/ControlSet002/Control/SessionManager PendingFileRenameOperations valore \??\C:\WINDOWS\system32\drivers\hldrrr.exe.
Altra Cosa grave:
1- non riesco a ripristinare il sistema ad un punto precedente
2- non riesco ad entrare in una qualche modalità provvisoria, mi da' il messaggio: "Press ES to cancel STPD.sys" se premo esc si riavvia se premo invio si avvia normalmente
3- tentando l'avvio con cd es Hiren's boot cd e poi facendo la scnsione antivirus non mi legge il disco C dice inaccessibile, vedo le partizioni.
PS preciso che riesco ad avviare il pc ad usarlo, a navigare, sembra non abbia problemi ma non riesco ad installare programmi di difesa.
Ora ho disabilitato il ripristino di sistema
Sono disperato, possibile che si carichi in memoria? come faccio a debellarlo? Su internet ho trovato poche spiegazioni e non funzionano.
Vorrei formattare, ma chissà se riesco ad accedere a c, prima volevo sentirvi.
Grazie
Nomi relativi che ho trovato per il virus: Trojan.Loader.D, Trojan-DownloaderWin32.Bagle.D, Worm_Bagle.KO, Win32.HLLM.Beagle, Trojan.Loader.D
Seguendo le istruzioni su questo forum per eliminare i virus Bagle, porto sotto il rapporto di ELIBAGLA:
Wed Jan 09 17:15:37 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.82
a "[email protected]". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.82
a "[email protected]". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Wed Jan 09 17:18:46 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.82
a "[email protected]". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Wed Jan 09 17:19:02 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 2795
Nº Total de Ficheros: 38024
Nº de Ficheros Analizados: 6966
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Qui mi fermo perchè il punto 2 della guida alla rimozione del forum dice di installare kaspersky ma non riesco.
:-((