Bagle hldrrr

[CarloBaz]

Salve a tutti
Ho preso un virus tramite un programma scaricato da Emule e da quello che ho letto in giro deve essere uno dei peggiori:
Con Trojan Remover ho trovato questa dicitura:
Windows/System32/drivers/hldrrr.exe
HKLM/SYSTEM/CURRENT CONTROLSET/SERVICES/srosa/”Imagepath”
Windows/System32/drivers/srosa.sys
HKCU/SOFTWARE/MICROSOFT/WINDOWS/CURRENT VERSION/RUN
drvsyskit
All'inizio gli antivirus non partivano e il computer era molto lento. Poi ho aperto Task Manager e bloccato il processo del File hdrrrl.exe ed ora il computer funziona come prima e gli antivirus partono (SPy Bot ad esempio). Non c'è più però la modalita visualizza file nascosti e ogni volta che accendo il computer all'inizio ricompare il virus (con Avast lo sposto nel cestino).
Ho sentito che forse basta far eseguire regseeker e levare hdrrrl dall'avvio automatico per far scomparire il virus per poi eliminare il resto con Kaspery. E' affidabile come ipotesi oppure no? Ho visto altre procedure su vari siti ma mi sembrano veramente complesse per chi non è esperto e non vorrei trovarmi a metà procedimento e non sapere a che santo votarmi.
Chiedo anche se si può procedere in questo stato (convivenza con il virus eliminando la voce dal Task Manager) per molto tempo?
Grazie per l'eventuale interessamento

[hell's bells]

Segui questa procedura:

scarica Malwarebytes
1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare le eventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum

per postare il rapporto segui questa procedura:

1) andare sul sito http://www.savefile.com/
2) clicca su Upload My file
3) clicca su upload oppure registrarsi per avere più opzioni
4) clicca su browser e scegli il file di log, txt ecc dal tuo computer
5) compila i restanti campi e clicca su Upload File
6) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file: ]

[CarloBaz]

Grazie per l'interessamento. Ho iniziato adesso la scansione; non so poi se ce la farò a postare il log, mi sembra complicato. Ci sentiamo.

[hell's bells]

Vai tranquillo, segui le istruzioni e ce la fai, ci sentiamo piu' tardi nel pomeriggio. Se non ci riesci piuttosto fai copia e incolla e posta il report di malewarebytes per intero qui sul forum.

[CarloBaz]

Ciao
Allora ho fermato la scansione completa dopo 1 ora (13 file infetti) perchè ho visto che ci avrebbe messo circa un giorno (era ancora alla prima cartella nei documenti) e ho salvato il log; poi ho eseguito la scansione rapida. Ti riporto i due log.
2008-09-20 14:15:44
mbam-log-2008-09-20 (14-15-38).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 53108
Tempo trascorso: 1 hour(s), 0 minute(s), 48 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 1
Chiavi di registro infette: 9
Valori di registro infetti: 2
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
C:\Programmi\AskSBar\bar\1.bin\ASKSBAR.DLL (Adware.AskSBAR) -> No action taken.

Chiavi di registro infette:
HKEY_CLASSES_ROOT\TypeLib\{f0d4b230-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f0d4b23a-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f0d4b23c-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b15fd82e-85bc-430d-90cb-65db1b030510} (Adware.AskSBAR) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f0d4b231-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{f0d4b231-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f0d4b23b-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{f0d4b23b-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\Programmi\AskSBar\bar\1.bin\ASKSBAR.DLL (Adware.AskSBAR) -> No action taken.
Siccome l'altro è più lungo (98 file infetti) provo ad eseguire la procedura indicatami.

Questo eè il link http://www.savefile.com/files/1797705 (non so se ho fatto giusto)??
Non trovo "If you want to link directly to the file"

[hell's bells]

Ho visto i report, si una discreta serie di files del bagle, rifai la scansione veloce e rimuovi tutto, poi segui questa procedura:

scarica elibagla
disconnetti il pc da intenet, disattiva momentaneamente il tuo antivirus
lancia il programma e spunta '' ELIMINAR FICHEROS AUTOMATICAMENTE'' poi clicca sul tasto "Explorar" quando avrà finito genererà il report in file di testo C:\InfoSat.txt. che posterai qui nel forum

[CarloBaz]

Ciao
Ho risolto con ComboFix e poi ho ripassato con Avenger. Grazie di tutto comunque.

[hell's bells]

Beh combofix potevi pure evitarlo per un bagle, in ogni caso felice che hai risolto.

[CarloBaz]

In che senso? Dici che è pericoloso usarlo?

[hell's bells]

Nel senso che personalmente lo uso solo in casi estremi e per ora non l'ho mai usato fortunatamente, è un tool molto potente, ma puo' succedere che crei qualche problema, specialmente sulle connessioni, con questo non dico che non funzioni ma va usato con cautela, tutto qui.