Grave problema virus

[Guitar man]

ogni volta che avvio window dopo qualche secondo mi si blocco tutto freccietta del mouse compresa installo antivir e mi rileva un trojan di nome hldll.exe(o una cosa del genere ) ma non riesco a disinstallarlo visot che ogni volta che avvio mi si blocca tutto solo quando disinstallo l'antivirus tutto torna normale o provato ad installare anche mcafe 2007 ma non parte niente lo stesso non mi avvia nemmeno il software devo disinstallare tutto che posso fare sono disperato aiutatemi mi prego non voglio formattare.

[ania]

Quote:

Originariamente inviato da Guitar man

ogni volta che avvio window dopo qualche secondo mi si blocco tutto freccietta del mouse compresa installo antivir e mi rileva un trojan di nome hldll.exe(o una cosa del genere ) ma non riesco a disinstallarlo visot che ogni volta che avvio mi si blocca tutto solo quando disinstallo l'antivirus tutto torna normale o provato ad installare anche mcafe 2007 ma non parte niente lo stesso non mi avvia nemmeno il software devo disinstallare tutto che posso fare sono disperato aiutatemi mi prego non voglio formattare.

Ciao Guitar man
NON sono sicura di avere ben compreso la situazione nella quale ti stai venendo a trovare, tuttavia, le tue difficoltà con i software antivirus mi farebbero venire alla mente il worm Bagle.

Prova a dare uno sguardo a questa ottima guida che ha scritto Amantide per il Portale MegaLab :

http://www.megalab.it/articoli.php?id=948
"Bagle: un worm che attacca gli antivirus"

SE si tratta davvero di Bagle, e questo lo puoi appurare solo tu -e pure facilmente- andando a cercare l'esistenza nel tuo sistema dei sintomi dell'infezione descritti nell'articolo, poi, una volta certo di quello con cui hai a che fare, seguendo alla lettera le indicazioni date nella dettagliata e precisa guida alla rimozione che ti ho linkato, che peraltro è la migliore guida che io conosca, dovresti cavartela benone anche da solo e senza essere costretto a formattare.

ciao

[Guitar man]

Una volta eseguito il file infetto, Bagle si installa come:
%System%\hldrrr.exe
Trovato il file il virus è questo (grazie per l'esaustivo link) ora pero ho installato il programma che mi consilgia la guida Hijackthis.
Ma mi risulta un po ostico qualcuno conosce qulche latro metodo per eliminare questa seccatura?

[ania]

Quote:

Originariamente inviato da Guitar man

Una volta eseguito il file infetto, Bagle si installa come:
%System%\hldrrr.exe

Trovato il file, il virus è questo (grazie per l'esaustivo link) ora però ho installato il programma che mi consilgia la guida, Hijackthis.

Ma mi risulta un pò ostico qualcuno conosce qualche altro metodo per eliminare questa seccatura?

@Guitar man
sapere con che cosa si ha esattamente a che fare è il primo indispensabile passo, perchè questo può consentirti di approntare una strategia di risoluzione del problema.

Dalle tue parole NON ho ben compreso :
1_SE ti risulta complessivamente troppo ostico il metodo di rimozione del worm Bagle suggerito nella guida scritta da Amantide per il Portale MegaLab.it, oppure
2_SE le difficoltà che hai riscontrato sono da intendersi limitate al'uso del software Hijack This.

Ti rispondo prendendo in esame entrambe le fattispecie ora, perchè più tardi non potrò farlo.

1_La guida alla rimozione del worm Bagle che ti ho consigliato è quella che seguirei io se mi trovassi ad avere la mia macchina infetta dal worm in questione.

Naturalmente, non escludo che esistano altre modalità per rimuovere Bagle, anzi, altre modalità esisteranno sicuramente, ma allo stato attuale delle mie conoscenze, io non saprei elaborarle e metterle a punto in modo autonomo, per questo motivo sceglierei di affidarmi per la risoluzione del problema alla guida che ti ho linkato, perchè è un metodo già sperimentato e testato, e validato da persone capaci e che stimo.

Sicuramente ci sono molte persone capaci e competenti in materia che saprebbero provvedere alla rimozione del worm Bagle facendo appello alle loro conoscenze ed esperienze in questo settore, e queste persone saprebbero certamente suggerirti anche modalità alternative per eliminare "la seccatura del worm Bagle", tuttavia, non è detto che troveresti queste "modalità alternative" -che pure potrebbero esserti suggerite- meno ostiche o più elementari rispetto al metodo suggerito dalla guida scritta da Amantide per il Portale MegaLab.it.

Per concludere, io personalmente non conosco, nè saprei suggerirti un metodo alternativo alla rimozione del worm Bagle, rispetto a quello descritto nella guida scritta da Amantide, che ti ho linkato.


2_Se il problema è l'uso del programma Hijack This, è un problema che si può risolvere in modo piuttosto semplice.

Hijack This è un programma stand alone che devi semplicemente scaricare dalla rete, non richiede installazione, lo devi scompattare in una cartella a lui espressamente dedicata, ad esempio in C:\Programmi, dove depositerai l'eseguibile, e poi devi eseguirlo.

Ai fini della rimozione di Bagle, non dovrai fare grandissimo uso di Hijack This, ma è un programma che in futuro potrebbe esserti utile, quindi se avrai tempo e voglia di leggerti qualcosa in merito, penso che le informazioni che potresti acquisire su HJT ti potrebbero tornare spesso utili.

In questo caso in particolare, Hijack This ti serve per andare a verificare l'esistenza del file : hldrr.exe nel logfile che ti viene restituito al termine della scansione.

In rete potresti trovare moltissime Guide ad Hijack This, io te ne linko qualcuna, ma ti suggeirisco la lettura della prima , quella scritta da crazy.cat per il Portale MegaLab.it, perchè mi sembra una delle più chiare fra quelle a disposizione, e ti dice le cose che al momento possono esserti più utili, poi, se in futuro vorrai approfondire l'argomento, ne troverai e potrai studiare anche numerose altre :

http://www.megalab.it/articoli.php?id=453

http://www.ilsoftware.it/articoli.asp?ID=2459

http://www.tweakness.net/articoli/hijack.htm

Comunque, allo stato attuale delle cose , c'è una nuova release beta di HJT che puoi scaricare da qui:
http://www.trendsecure.com/portal/en...hijackthis.php

e nello stesso sito linkato, potrai leggere anche le FAQ, ed una breve guida introduttiva all'uso del software.


ciao!!!

[wizard1993]

secondo amantide esistono altre due procedure per togliere la belva; se qualched'uno riesce a rintracciarla sono più contento

[ania]

Quote:

Originariamente inviato da wizard1993

secondo amantide esistono altre due procedure per togliere la belva; se qualched'uno riesce a rintracciarla sono più contento

@wizard1993
Ai tempi in cui fu scritto questo thread:
http://www.hwupgrade.it/forum/showth...9#post16304629
"rimunovere beagle.gx"

Amantide -molto gentilmente- si era dichiarata disponibile a mostrarti almeno due o tre metodi alternativi utili alla rimozione di Bagle, ma questo non vuol dire che già allora non conoscesse molti, molti più metodi alternativi, e che due o tre fossero soltanto quelli che ti avrebbe mostrato per semplicità.

Allo stato attuale delle cose, posso pensare che Amantide probabilmente ne conosca molti altri di metodi alternativi, tuttavia, detto molto sinceramente ed anche "senza stare troppo a girarci intorno", non vedo la necessità "scomodare/disturbare" una persona per affrontare un problema che almeno come primo approccio -a mio modesto parere- si potrebbe e dovrebbe tentare di risolvere seguendo la guida che la stessa Amantide ha pubblicato sul Portale megalab.it.

Chi ti dice infatti che gli altri metodi alternativi che Amantide potrebbe pure suggerire sarebbero per l'utente "Guitar man" meno ostici di quello suggerito nella guida pubblicata su MegaLab ?

Perchè io immagino che se Amantide ha scelto di pubblicare quella guida e quel metodo in particolare, avrà avuto le sue buone ragioni, non ultima forse anche il fatto che quel metodo potrebbe essere -azzardo un'ipotesi- il più facilmente esperibile da un utente "non troppo o non esattamente advanced."

Comunque, ti rammento anche che Lucas84, di metodi alternativi utili alla rimozione di Bagle "te ne potrebbe mostrare almeno 100", anche se non saprei dire con certezza se l'espressione "almeno 100" sia stata usata "in senso lato o in senso letterale", presumo che l'espressione avesse un "senso lato" per dire, "moltissimi modi diversi, senza dover stare necessariamente a seguire pedestremente una guida scritta e messa a punto da altri".

Quindi mi verrebbe da pensare che :

1_un dato problema può essere risolto in moltissimi modi diversi, come spesso accade nella vita, e

2_il fatto di riuscire a trovare quei modi, svariati e diversi, dipende tutto e solo dalle competenze, dalla genialità, dalla fantasia, dalla passione, dalla buona volontà, dall'impegno, dalla tenacia, dalla caparbietà, dall'esperienza, di chi si cimenta con il tentativo di risolvere il problema in oggetto.

Quanto affermo l'ho dedotto da qui:
http://www.hwupgrade.it/forum/showth...9#post16304629
"rimunovere beagle.gx"

Quote:

Originariamente inviato da wizard1993

di metodi per eliminare il virus suddetto c'è n'è solo uno, quindi se lo script di avanger è quello, solo quello può essere, se l aprocedura di avvio il programma è quella solo quella può essere, dato che non esisteno altri pogrammi che fanno lo stesso lavoro di avanger, ho dovuto per forza rivolgermi a quello.
le chiavi di registro le ho fregate dai sisti della symantec e della trendmicro e il file per riparare la modalità provvisoria da un tread su wininzio, dal tuo articolo, per quanto sia forte la somiglianza, non ho preso nulla

Quote:

Originariamente inviato da Amantide

Come fai ad affermarlo? Vuoi che ti mostro almeno 2-3 metodi alternativi per rimuovere questo worm? (Cmq. si scrive Avenger, non Avanger).

Quote:

Originariamente inviato da lucas84

PS:Io se vuoi te ne mostro 100 di modi per rimuoverlo, infatti non ho mai usato la tua guida.

ciao!!!

[wizard1993]

quel 3d me lo ricordo bene; come so il lavoro che gira intorno ad un solo articolo ( cosa che mi sono reso conto dopo ) dato che sono anch'io un probabile redattore di megalab se l'articolo che gli ho scritto sarà reputato buono. comunque a mio avviso seguendo ad esempio il sistema di rimozione trend micro (http://www.trendmicro.com/vinfo/viru...2EGX&VSect=Sn), che per quanto macchinoso sia mi sembre più facile che girarsi le scatole con avenger, per un utente non molto esperto in caso di falliemento, e siolo in quel caso del metodo che te hai citato può essere utile

[lucas84]

Di metodi c'è ne sono molti possono funzionare come non possono funzionare
uno che funziona ed ho appena testato è questo:


Riavviare il pc
Eliminare la cartella hidires in %documenti and setting%\nome utente\dati applicazioni
Effettuare se si vuole un altra scansione con l'antirootkit e una scansione con un av

In tutto tra prima scansione, rimozione e riavvio ho impiegato 7 minuti

Ciao

[ania]

Quote:

Originariamente inviato da lucas84

Di metodi ce ne sono molti possono funzionare come non possono funzionare

uno che funziona ed ho appena testato è questo
...........

In tutto tra prima scansione, rimozione e riavvio ho impiegato 7 minuti

@lucas84
Si, questa soluzione al problema Bagle si candida ad essere "una" o "la scelta d'elezione", perchè sembrerebbe la scelta più rapida ed indolore.

Tuttavia, se ho colto anche un solo frammento di come sei , scommetto che ti sei divertito infinitamente di più a studiare il worm Bagle, e nel mettere a punto tutti gli altri metodi di rimozione che hai approntato , ed hai provato molta più soddisfazione nel vedere il Bagle cancellato dal sistema grazie all'uso dei metodi da te messi a punto , che non nel vedere Bagle spazzato via dall'anti -rootkit di Panda

Ciao!!!

[lucas84]

Manualmente senza nessun software, opterei per la console di windows, ciao

[wizard1993]

Quote:

Originariamente inviato da lucas84

Manualmente senza nessun software, opterei per la console di windows, ciao

sono d'accordo, a voler essere pignoli avviare da cd di windows però se ne può fare a meno

[ania]

Quote:

Originariamente inviato da lucas84

Di metodi c'è ne sono molti possono funzionare come non possono funzionare
uno che funziona ed ho appena testato è questo:


Riavviare il pc
Eliminare la cartella hidires in %documenti and setting%\nome utente\dati applicazioni
Effettuare se si vuole un altra scansione con l'antirootkit e una scansione con un av

In tutto tra prima scansione, rimozione e riavvio ho impiegato 7 minuti

Ciao Gianluca
mi piacerebbe molto porti due domande.

1_guardando lo screenshot mi è venuto un dubbio : è stato rilevato e rimosso solo il file hidr.exe , oppure anche tutto il resto?
Perchè, se l'anti-rootkit di Panda lascia sparsi per il pc almeno uno dei file che Bagle piazza in giro, allora, conviene ancora usare Avenger e rimuovere tutto con la certezza di fare un lavoro completo.

2_come mai il file hidr.exe si trova in :

C:\Documents and Settings\Lucass\Desktop\hidires\hidr.exe

e non si trova invece in

C:\Documents and Settings\Lucass\Dati applicazioni\hidires\hidr.exe

dove mi sembra che dovrebbe trovarsi?

Grazie mille come sempre per quello che potrai dirmi.
Ciao!!!

[wizard1993]

possiamo evitare i discorsi su bagle li abbiamo già provati
http://www.p2pforum.it/forum/showthread.php?t=177332

per me è la variante nuova; a questo punto una scan con gmer mi sembr d'obbligo

[lucas84]

Quote:

Originariamente inviato da ania

Ciao Gianluca
mi piacerebbe molto porti due domande.

1_guardando lo screenshot mi è venuto un dubbio : è stato rilevato e rimosso solo il file hidr.exe , oppure anche tutto il resto?
Perchè, se l'anti-rootkit di Panda lascia sparsi per il pc almeno uno dei file che Bagle piazza in giro, allora, conviene ancora usare Avenger e rimuovere tutto con la certezza di fare un lavoro completo.

2_come mai il file hidr.exe si trova in :

C:\Documents and Settings\Lucass\Desktop\hidires\hidr.exe

e non si trova invece in

C:\Documents and Settings\Lucass\Dati applicazioni\hidires\hidr.exe

dove mi sembra che dovrebbe trovarsi?

Grazie mille come sempre per quello che potrai dirmi.
Ciao!!!

Perchè il rootkit nasconde il file hidr.exe e la cartella hidires, quella cartella e il file che vedi nel desktop è la locazione dove ho scompattato il malware(che una volta eseguito si copia nella cartella dati applicazioni) quindi è normale che venga nascosta dal bagle e che panda la rilevi, naturalmente, eliminato il rootkit la cartella ridiventa visibile

Ciao

Quote:

Originariamente inviato da wizard1993

possiamo evitare i discorsi su bagle li abbiamo già provati
http://www.p2pforum.it/forum/showthread.php?t=177332

Non l'ho capita la tua frase o forse ho fatto finta....

[ania]

Quote:

Originariamente inviato da lucas84

Perchè il rootkit nasconde il file hidr.exe e la cartella hidires, quella cartella e il file che vedi nel desktop è la locazione dove ho scompattato il malware(che una volta eseguito si copia nella cartella dati applicazioni) quindi è normale che venga nascosta dal bagle e che panda la rilevi, naturalmente, eliminato il rootkit la cartella ridiventa visibile

Grazie Gianluca ,
adesso non mi resta che meditare sulla cosa
Ammetto che mi restano dei dubbi in merito alla prima domanda che ho formulato.

Quote:

Originariamente inviato da ania

1_guardando lo screenshot mi è venuto un dubbio : è stato rilevato e rimosso solo il file hidr.exe , oppure anche tutto il resto?
Perchè, se l'anti-rootkit di Panda lascia sparsi per il pc almeno uno dei file che Bagle piazza in giro, allora, conviene ancora usare Avenger e rimuovere tutto con la certezza di fare un lavoro completo.

Se la risposta ad essa è in qualche modo implicita in quello che hai scritto -e che io ho inteso riferito in risposta alla mia seconda domanda- ancora non ci sono arrivata

Ammetto che provo molta ammirazione per chi ha studiato ed acquisito le competenze e gli strumenti per potersi permettere di intervenire manualmente senza fare ricorso a nessun software, ma unicamente lavorando sulla console di Windows.

Al momento per quanto mi riguarda, temo che ciò sia destinato a rimanere un traguardo irraggiungibile.

Detto in altri termini:
mi piacerebbe pensare che Panda anti-rootkit spazza via ogni traccia di Bagle, come le può spazzare via un operatore attento, capace, competente, esperto, che lo fà appellandosi alle proprie conoscenze e strumenti, ed allora è vero che io preferirei essere quell'operatore, piuttosto che usare il software, e questo per una questione di sfida con me stessa, di orgoglio, e di fiducia in me stessa, se fallisco preferisco dovermela prendere con me stessa, che non con un software.

Ma visto che allo stato attuale delle cose non ho le capacità e le competenze per essere quell'operatore, mi piacerebbe sapere se in caso di sventurata infezione su una delle mie macchine, otterrei migliori risultati nella rimozione di Bagle utilizzando l'anti-rootkit di Panda, o seguendo alla lettera la procedura messa a punto da Amantide ed illustrata su MegaLab.it.

Comunque, sappi che -allo stato attuale delle cose- nella sventurata ipostesi di infezione di Bagle su una delle mie macchine, per l'immensa stima che ho nel confronti del modo di operare dello Staff di Suspecfile, aprirei un thread in sezione "help me", e mi affiderei a voi.

ciao !!!

[lucas84]

Ho letto la guida di Amantide, in quella guida la fa troppo lunga(senza nulla togliere ad Amantide), adesso mi spiego, quando gmer trova il driver, basta selezionarlo, destro del mouse e scegliere l'opzione restore ssdt è tutto torna visibile, in questo modo, senza riavviare si eliminano i residui, si fanno un paio di scansione e tutto file liscio senza nemmeno usare avenger per eliminare la chiave root basta modificare i permessi manualmente.

Ciao