| Autore |
 Discussione  |
|
marlo
Senior Member
201 Messaggi |
 Inserito il - 17/04/2008 : 01:15:11
|
Ciao oggi avviando un exe mi si è spento e riavviato il pc.
All'avvio va in esecuzione hldrrr.exe che in task manager, mi manda la cpu alle stelle, e mi disattiva avira.
Potete aiutarmi? posto un log:
hijackthis471.log
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 17/04/2008 : 07:25:44
|
disattiva il ripristino configurazione sistema:
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
Scaricati elibagla:
htt*://[www].zonavirus[.com]/datos/descargas/95/elibagla.asp
Ti sposti in fondo alla pagina e clicca sul bottone descarger elibagla
Salva il file sul desktop
Disconnettiti da internet e disattiva il tuo antivirus.
Doppio click sull'icona per avviare il programma:
Metti il segno di spunta a eliminar ficheros automaticamente e clicca sul bottone Explorar.
Al termine della scansione, comunque sia andata, dovrai riavviare il pc.
Al riavvio, dovresti trovare il log C:\InfoSat.txt.
postalo 
Scarica htt*://[www].wikifortio[.com]/634658/Tools-Anti-Bagle.zip e avvia il file Megalabit_avenger
Esegui avenger e all'interno del box bianco copia/incolla:
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\klif.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\mdelk.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\srosa.sys
c:\Documents and Settings\user\Dati applicazioni\hidn\hidn2.exe
c:\Documents and Settings\user\Dati applicazioni\hidn\hldrrr.exe
c:\Documents and Settings\user\Dati applicazioni\m\data.oct
c:\Documents and Settings\user\Dati applicazioni\m\flec006.exe
folders to delete:
c:\WINDOWS\exefld
c:\WINDOWS\exefnd
C:\WINDOWS\exefqd
C:\WINDOWS\system32\drivers\downld
c:\Documents and Settings\user\Dati applicazioni\hidires
c:\Documents and Settings\user\Dati applicazioni\hidn
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\pci32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
drivers to disable:
srosa
pci32
drivers to delete:
srosa
pci32
(Modifica mettendo al posto dello "USER" il tuo user. Non lasciare spazi. Il nome del tuo user lo trovi in C:\Documents and Settings)
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
Posta il report rilasciato
Scarica Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, scheda Pulizia, eseguire l’operazione “avvia pulizia"
Scheda Registro, eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
|
Modificato da - Leleago in data 17/04/2008 18:00:55 |
 |
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 17/04/2008 : 11:43:19
|
Ciao Leleago grazie per l' aiuto.
Ho effettuato la prima parte delle tue indicazioni.
Posto il log InfoSat.txt
InfoSat15.txt
Procedo con la seconda parte ciao. |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 17/04/2008 : 11:46:51
|
|
|
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 17/04/2008 : 12:01:48
|
Ho effettuato la seconda parte, al riavvio è apparsa la schermata blu di errore irreversibile.
Ho dovuto riavviare con ultima configurazione sicuramente funzionante, altrimenti non si riavviava.
Non ho trovato nessun report.
Procedo con Ccleaner e posto un log di HijackThis appena fatto.
Effettuata pulizia.
log:
hijackthis473.log |
Modificato da - marlo in data 17/04/2008 12:12:37 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 17/04/2008 : 12:32:02
|
| il report di avenger lo trovi in c:\avenger prova a guardare |
|
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 17/04/2008 : 12:47:12
|
purteoppo non c'è |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 17/04/2008 : 12:53:31
|
| riprova a rieffettuare la procedura con avenger |
|
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 17/04/2008 : 13:11:03
|
Ho rifatto la procedura, e ho dovuto provare a riavviare più volte perche il sistema non si riavviava.
Cmq al riavvio ho trovato il log:
avenger84.txt |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 17/04/2008 : 15:10:40
|
fai una scansione con kaspersky:
htt*://[www].kaspersky[.com]/service?chapter=161739400
1.Clicca su Kaspersky Online Scanner
2.Scarica un componente ActiveX da Kaspersky, Clicca su "Yes."
3.Attendi la fine del download
4.Clicca su "Next"
5.Clicca su "Scan Settings"
6.Assicurati che siano spuntate le seguenti voci
Scan using the following Anti-Virus database:
Extended
spunta le voci di "Scan options"
Scan Archives
Scan Mail Bases
7.Clicca su "OK"
8.Scegli "My computer"
Attendi la fine della scansione,se viene rilevato qualcosa salva il rapporto cliccando su "Save as Text"
1.Scarica il file - htt*://download.bleepingcomputer[.com]/sUBs/combofix.exe
2. Doppio click su combofix.exe & e segui le istruzioni
3. Quando avrà finito, creerà log ....
Postare il log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt |
Modificato da - Leleago in data 17/04/2008 15:15:08 |
|
|
|
marlo
Senior Member
201 Messaggi |
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 17/04/2008 : 18:12:57
|
Esegui avenger e all'interno del box bianco copia/incolla:
folders to delete:
C:\Qoobox\Quarantine
C:\Qoobox
registry values to delete:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
registry keys to delete:
HKEY_CURRENT_USER\Software\DateTime4
HKEY_CURRENT_USER\Software\FirstRRRun
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
Posta il report rilasciato
Fai un'ulteriore pulizia con Ccleaner!
Infine:
1. Vai in Risorse del computer, tasto destro mouse, gestione, servizi e controlla che questi servizi siano abilitati: Aggiornamenti automatici, Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/ Condivisione connessione Internet (ICS).
Per avviare un servizio, dovete cliccare con il tasto destro su Proprietà --> Automatico --> Ok --> Avvia --> Ok
2. Controlla se funziona la modalità provvisoria
3. Se puoi visualizzare file e cartelle nascosti.
4. Se ti funzionano correttamente internet, windows media player, ricerca guidata
5. Disinstalla Antivir e reinstallalo. Scarica da [www].free-av[.com] l'ultima versione di antivir e configuralo secondo questa guida:
htt*://[www].p2psin.net/forum/programmi-freeware/17655-avira-antivir-personaledition-classic-7-06-00-270-antivirus-gratuito.html |
Modificato da - Leleago in data 18/04/2008 07:04:32 |
|
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 17/04/2008 : 21:00:55
|
Ho eseguito avenger, mi ha dato degli errori relativi alle stringhe, e credo siano riportati nel report:
avenger85.txt
procedo con Ccleaner? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 17/04/2008 : 21:16:01
|
Citazione:
HKEY_CURRENT_USER
Programs to launch on reboot...
|
|
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 17/04/2008 : 21:24:28
|
Citazione:
Messaggio inserito da Sibilla
Citazione:
HKEY_CURRENT_USER
Programs to launch on reboot...
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 18/04/2008 : 07:05:47
|
|
procedi con ccleaner e con gli altri passaggi |
|
|
|
Discussione |
|
Virus hldrrr.exe
Forum Bloccato
