Topic: virus [Bagle] hldrrr.exe

ciao perla75,
ti ho modificato il titolo inserendo nello specifico il file e virus che ti sei beccata. l'ho preso l'altro giorno anche io e liberarsene non e' stato semplice. in piu' avendo tu windows ME non so se ci sono i tools adatti.

Naturalmente avrai notato che questo virus ti ha cancellato dei files inerenti al tuo antivirus, firewall, e/o antispyware che quindi non riescono a partire. in piu' potrebbe averti tolto la possibilita' di andare in modalita' provvisoria. ti indico qui sotto alcune guide trovate in rete che mi sono state utili:
Bagle (sono 5 pagine, leggile tutte soprattutto l'ultima se lo hai preso tramite emule)
Guida rimozione Bagle

Penso che molti dei tools indicati nelle due guide probabilmente non funzioneranno con windows Me (con sicurezza so che Avenger e Antirootkit del panda non funzionano, ma non so se Elibagle sia lo stesso. ti consiglio cmq di provare e fargli fare una scansione)

Per il Ripristino modalita provvisoria se non ti funziona:
scarica il file Safeboot.zip dall indirizzo WEB http://www.didierstevens.com/files/data/SafeBoot.zip

A questa pagina puoi scaricare Gmer e Sophos antirootkit che dovrebbero funzionare anche con windows ME.

puoi provare anche questo removal tool della sophos baglegui.com

Le operazioni che ti consiglio di fare a questo punto sono le seguenti:

1)adesso che sei in modalita' normale, prima di tutto devi disattivare il ripristino configurazione (e' importantissimo se no il virus ti ritorna ad ogni avvio). avvia poi hijackthis, apri la sezione Open the Misc Tools section, Open process manager, sottolinea il file hldrrr.exe e clicca su Kill process. e poi fixa le chiavi segnalate anche da notwen.

2)cerca poi  di fare delle scansioni online, soprattutto con Kasperky. o se no con altri siti (trovi i link delle scansioni nella homepage di questo sito: pcprimipassi.it) segnati tutti i files che ti trovano da una parte (salvati se riesci i resoconti sul desktop in un file .txt)

3)scarica ed installa tutti i tools che sono segnati in quelle guide (Elibagle, Gmer, combofix), e quelli che ti ho segnato io, (tranne quelli che nn funzionano naturalmente) e cerca di far fargli fare una scansione a tutti quanti. con Gmer, i files in rosso che trova, cliccaci con il tasto destro e poi digli di eliminare il processo/servizio. segnati o salvati pero' prima tutti i resoconti delle scansioni da una parte. scarica anche il file per il ripristino della modalita' provvisoria. (in tutto questo, cerca se puoi di NON RIAVVIARE IL SISTEMA)

4)visto che avenger non funziona con ME, dovrai manualmente mettere le mani sul registro, ed usare un programma come Killbox per cancellare i files (alcuni files come hldrrr.exe e un certo wintems.exe saranno sicuramente nascosti e quindi non rintracciabili per essere cancellati "normalmente")

prendendo dalle guide che ti ho segnato sopra lo script per Avenger vedrai che ci sono i percorsi dei files da controllare e cancellare (nel tuo caso si troveranno nella cartella SYSTEM e non system32:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys

le cartelle da cancellare:
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires

le chiavi del registro da eliminare:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKEY_CURRENT_USER\Software\FirstRRRun
HKEY_CURRENT_USER\Software\DateTime4

poi vai sotto questa chiave:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

e cancella nel settore di destra i valori inerenti a :
hldrrr.exe
german.exe
wintems.exe
drvsyskit
(i files che ti ho segnalato in rosso ti consiglio di usare la funzione cerca nel registro e nel pc e cancellare ogni cosa che trovi al riguardo..mi raccomando pero', che sia il nome corretto del file.)

controlla ovviamente i resoconti delle varie scansioni che hai fatto ed elimina ogni valore/chiave/files infetto dal virus che hanno trovato che non e' presente in questa lista.

utilizza killbox per eliminare i seguenti files, inserendo nella casella bianca il percorso del file:
C:\WINDOWS\SYSTEM\drivers\hldrrr.exe
C:\WINDOWS\SYSTEM\wintems.exe
C:\WINOWS\....e fallo per ogni file che hai trovato nelle scansioni e quelli indicati nello script di avenger. clicca poi sulla X bianca/rossa e controlla che dica o "file does not seem to exist" oppure "file deleted", se esce fuori che non l'ha potuto eliminare, prova a mettere una spunta su "delete on reboot".

5)Importante: prima di riavviare, e' fondamentale cancellare la temp di windows, e la cartelle dei file Temp di Internet explorer o firefox.

6)a questo punto, dopo che hai fatto tutto quanto, riavvia il pc ma cerca di andare in modalita' provvisoria. una volta in modalita' provvisoria, assicurati che il ripristino configurazione sia sempre disattivato. poi dovresti fare andare la scansione con Elibagle (se funziona ovviamente), e tutti i tools che hai a disposizione (Gmer, antirootkit, combofix ecc ecc) in piu' utilizza killbox per assicurarti che non ci siano i files che avresti dovuto cancellare prima. io controllerei poi di nuovo il registro, e cancella quello che trovi delle chiavi/valori segnati prima o dalle scansioni che fai.

7) dopo tutta la pulizia fatta dalla modalita' provvisoria, riavvia in quella normale e vedi se ti riappare quella voce nel log di hijackthis (hldrrr.exe) o tra i processi attivi. se non c'e', direi che il virus e' andato. e appena puoi, scaricati di nuovo tutti i programmi antivirus, firewall, antispyware, ccleaner che avevi in precedenza e fagli fare una scansione completa del pc. controlla anche i servizi disattivati da questo virus (nella prima guida dovrebbe parlarne). riattiva a quel punto anche il ripristino configurazione.

-purtroppo a me sono serviti 2-3 riavvii, con annesse pulizie, prima di riuscire a non farmi apparire quella voce all'avvio. sembra che scordandosi un solo file, soprattutto quelli nella temp che hanno numeri random, anche avendo fatto tutte le pulizie a dovere, faccia propagare il virus ad ogni avvio.

fammi sapere se riesci..e auguri ovviamente