Virus HLDRRR.exe-Win32.HLLM.Beagle mi disinstalla antivirus e no modalità provvisoria

[rricom]

Salve, ho paura di aver beccato un grande virus.

HLDRRR.exe Win32.HLLM.Beagle

Ho WXP SP2 HD con tre partizioni.
L'ho preso da un allegato email, la prima cosa che mi ha fatto mi ha cancellato gli eseguibili dell'antivirus e firewall che avevo installati: Avg. Spyboot e Outpost. Alchè ho installato Comodo firewall ed appena mi sono colegato a internet mi ha bloccato il tentativo di uscita di C:\WINDOWS\system32\drivers\hldrrr.exe, se lo cerco non lo trovo, neanche visualizando i file nascosti e di sistema. Se cerco di installare un altro antivirus o antispayware non me li installa: ad au certo punto dell'installazione dice che non riesce a scrivere su una certa cartella o lo finisce di installare ma poi o viene subito cancellato o quando lo faccio partire mi apre un secondo la finestra di gestione e poi si chiude subito. Queso comportamento vale anche per altri prog tipo gestione/pulizia registro ecc.
Una scnsione con HijackThis non sembra dare notizie utili (mi sono però fidato di una interpreatzione del log automatica fatta in un sito)
Ho individuato nel registro queste voci:
1- KEY_CURRENT_USER/software/Microsoft/Windows/ShellNoRoam/MUICache/ con valore C:\WINDOWS\system32\drivers\hldrrr.exe impostato a: install, lo cancello ma quando riavvio il pc ritorna e avolte non riesco neppure a cancellarlo
2- HKEY_LOCAL_MACHINE/System/Software/Comodo/Personal Firewall/Apps/4/ con valore Filename impostato a: C:\WINDOWS\system32\drivers\hldrrr.exe (ma questo credo sia il blocco fatto da Comodo).
3- Riesco ad installare Spyware Doctor che dalla scansione non mi trova nulla ma ad ogni riavvio del pc mi da' un messaggio: individuatro processo nascosto C:\WINDOWS\system32\drivers\hldrrr.exe eliminarlo al prossimo riavvio? Dico si ma poi si ripresenta.
Dopo questa operazione è comparsa anche la voce:
HKEY_LOCAL_MACHINE/System/ControlSet002/Control/SessionManager PendingFileRenameOperations valore \??\C:\WINDOWS\system32\drivers\hldrrr.exe.

Altra Cosa grave:
1- non riesco a ripristinare il sistema ad un punto precedente
2- non riesco ad entrare in una qualche modalità provvisoria, mi da' il messaggio: "Press ES to cancel STPD.sys" se premo esc si riavvia se premo invio si avvia normalmente
3- tentando l'avvio con cd es Hiren's boot cd e poi facendo la scnsione antivirus non mi legge il disco C dice inaccessibile, vedo le partizioni.


PS preciso che riesco ad avviare il pc ad usarlo, a navigare, sembra non abbia problemi ma non riesco ad installare programmi di difesa.
Ora ho disabilitato il ripristino di sistema

Sono disperato, possibile che si carichi in memoria? come faccio a debellarlo? Su internet ho trovato poche spiegazioni e non funzionano.
Vorrei formattare, ma chissà se riesco ad accedere a c, prima volevo sentirvi.
Grazie

Nomi relativi che ho trovato per il virus: Trojan.Loader.D, Trojan-DownloaderWin32.Bagle.D, Worm_Bagle.KO, Win32.HLLM.Beagle, Trojan.Loader.D

Seguendo le istruzioni su questo forum per eliminare i virus Bagle, porto sotto il rapporto di ELIBAGLA:

Codice:

	  Wed Jan 09 17:15:37 2008
EliBagle v10.82  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.82
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.82
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Wed Jan 09 17:18:46 2008
EliBagle v10.82  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.82
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

	  Wed Jan 09 17:19:02 2008
EliBagle v10.82  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   2795
Nº Total de Ficheros:      38024
Nº de Ficheros Analizados: 6966
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

Qui mi fermo perchè il punto 2 della guida alla rimozione del forum dice di installare kaspersky ma non riesco.
:-((

[Riverside]

Chi ti ha detto di aprire un nuovo post?.
Per le infezioni relative a Beagle è presente, sul forum, un thread apposito.
Quindi, per favore, posta in quella discussione.

[murack83pa]

edit

[eleonora390]

Quote:

Originariamente inviato da Riverside

Chi ti ha detto di aprire un nuovo post?.

Addirittura Riverside!!!!!

[Riverside]

Quote:

Originariamente inviato da eleonora390

Addirittura Riverside!!!!!

dici che non va bene?

[eleonora390]

Direi un po troppo Germanico anni 40!!!!

[rricom]

Ah scusate non volevo andare a sovrappormi alle risposte date agli altri, allora che faccio lo metto la' io o qualcuno me lo sposta?
Grazie

[murack83pa]

semplicemente devi postare li
questo 3d sarà chiuso dal mod
ciao

[lancetta]

Quote:

Originariamente inviato da Riverside

dici che non va bene?

edit

[rricom]

Come immaginavo... io ho spostato il post nell'altra sezione ma da ieri sera ad oggi si sono aggiunte una ventina di risposte ad un altro utente ad alla mia nessuno ha risposto. Come faccio?

[Riverside]

Quote:

Originariamente inviato da rricom

Come immaginavo... io ho spostato il post nell'altra sezione ma da ieri sera ad oggi si sono aggiunte una ventina di risposte ad un altro utente ad alla mia nessuno ha risposto. Come faccio?

Fai presente la questione; a me è sfuggito come credo ad altri.
Forse non te ne sei reso conto ma in questa sottosezione, offre assistenza un numero ridotto di utenti.
Con una media di più di 100 post al giorno da gestire, credimi, non è facile seguire tutti e tutto.
Tra l'altro, anche noi, come tutti, abbiamo un lavoro e una vita quotidiana. insomma non viviamo di P.C. ed al P.C. -.

P.S.:Non capisco la ragione per la quale, questo post, non sia stato ancora chiuso.

[lancetta]

Quote:

Originariamente inviato da rricom

Come immaginavo... io ho spostato il post nell'altra sezione ma da ieri sera ad oggi si sono aggiunte una ventina di risposte ad un altro utente ad alla mia nessuno ha risposto. Come faccio?

mi sono andato apposta a rileggere il tuo post (praticamente identico a questo)
scusami non è per polemica (di solito non ne faccio mai) però giacchè ho fatto le 2.30 stanotte per stare appresso ad un mare di utenti in difficoltà (nel 3d bagle non era uno solo come hai detto tu) in tutta la sezione,mi sento un pò pizzicato sul vivo....
1)non hai seguito la procedura alla lettera (dove sono i log di avenger,panda,kasper ecc...?)
2)non stiamo qui a pagamento,ma semplicemente aiutiamo per puro spirito di cortesia,e passione....come diceva il socio abbiamo anche noi una vita..
3)hai usato una procedura tutta tua...può anche andare bene,ma che sia di complemento alla procedura del thread indicato e non come unica e sola....poi vabbè il pc è tuo....
4)può capitare di perdersi un post in mezzo a tutto quel bordello(scusate se non abbiamo solo 2 occhi e 2 mani ) basta semplicemente richiedere per uppare il proprio post,ma sempre con cortesia e pazienza...ripeto:non siamo pagati,e manco conosciamo le persone aiutate (e non immagini quanti arrivano qui risolvono e vanno via senza nemmeno dire un fetente di grazie)
altrimenti ci sono sempre i tecnici a pagamento..nessuno vi costringe..

Adesso se ti vuoi uniformare a tutti gli altri e seguire prima la procedura saremo lieti di aiutarti

E QUESTO VALE PER TUTTI!

Scusate il piccolo sfogo ma quanno ce vò ce vò!!!......ECCHECACCHIO!!!

[xcdegasp]

Quote:

Originariamente inviato da rricom

Come immaginavo... io ho spostato il post nell'altra sezione ma da ieri sera ad oggi si sono aggiunte una ventina di risposte ad un altro utente ad alla mia nessuno ha risposto. Come faccio?

scusa ma il "come immaginavo" mi sembra un pelino fuori luogo e poco educato nel frangente...
può capitare di attendere delle ore tra la tua richiesta e una qualsiasi risposta, del resto è un forum mica una chatboard!
quindi abbi pazienza che appena uno è disponibile ti aiuterà sicuramente e ti posso rassicurare diocendo che nessuno è rimasto senza aiuto se dimostra collaborazione con gli utenti che prestano assistenza.

sicuro che sia stato un piccolo disguido chiudo il thread inquanto doppione

[rricom]

Chiedo scusa, scusatemi tanto, il guaio che mi e' capitato mi ha fatto essere un po' precipitoso, e il vedere che la mia richiesta era rimasta dietro tante pagine mi ha scoraggiato, invece bastava fare un quote ed attendere un po'.
Chiudete pure il post.... ci sentiamo nella sezione giusta.
Scusate ancora.

[lancetta]

Quote:

Originariamente inviato da rricom

Chiedo scusa, scusatemi tanto, il guaio che mi e' capitato mi ha fatto essere un po' precipitoso, e il vedere che la mia richiesta era rimasta dietro tante pagine mi ha scoraggiato, invece bastava fare un quote ed attendere un po'.
Chiudete pure il post.... ci sentiamo nella sezione giusta.
Scusate ancora.

Va bene...non c'è problema mi scuso ancora per lo sfogo..però a volte.....
Fai la procedura e ci vediamo nel 3d dedicato

[Abraxas314]

Salve,

il mio italiano é non così buono che io sia in grado di scrivere una guida technica in italiano. Ma provo in inglese. Va bene?

1. Use your Windows 2k/XP System CD to start the recovery console.
2. Login as Adminstrator
3. DISABLE the SROSE-Service with DISABLE srose from the command line
4. switch to system32 and delete hldrrr.exe and srose.sys
5. switch to WINNT and delete the COMPLETE Foldern Tasks AND TEMP (but create a new one, because it is not created again by the system after reboot!)
6. try also to delete files like hidr.exe or wintems.exe

7. try to reboot and start your system in safe mode (with no network!)
8. login as Administrator
9. start regedt32.exe (to change the security properties of keys protected by worm) AND regedit to scan for the keys and entries you are looking for (regedt32 has no search functionality).
look for hldrrr.exe, firstrrr, srose - delete (maybe after resetting the security options to be able to delete the complete keys) these entries or complete keys
10. clean up your Run and RunOnce-Key-Entries.

Spero che vada...


Posso darti un consiglio per il futuro? Usa il computer solo in modo dell'utente. Have at least two partitions. One for the system with only WRITE/CHANGE-permission for the Adminstrator and only READ-permission for all the others. Never be ONLINE beeing logged in as Administrator, ...

[Chill-Out]

Dear Abraxas314 welcome to our forum, about Bagle removal you can read here
http://www.hwupgrade.it/forum/showthread.php?t=1562611
Bye have a nice day