HLDRRR.EXE – Remove Spyware-Virus (wintems.exe, srosa.sys)
AdvertisementsHLDRRR.EXE este cunoscut de majoritatea anti-virusilor ca fiind Spyware sau Trojan-Downloader.Win32.Bagle.sn, insa a scapat mult timp si inca mai scapa de anti-virusi foarte cunoscuti, precum Norton si Avira.
Zilele trecute am avut o experienta superba cu acest executabil – virus. Daca il intalniti pe PC-urile dvs. trebuie sa fiti siguri ca aveti calculatorul virusat si ca aveti nevoie de un anti-virus serios.
De unde apare hldrrr.exe.
Acest executabil vine pe PC-ul dvs. de cele mai multe ori atunci cand se downloadeaza si se instaleaza un toolbar pentru Internet Explorer, se acceseaza si se 
instaleaza programe ciudate de pe site-uri virusate sau se deschid fisiere executabile venite prin email / spam ca attachment. Este cunoscut ca fiind virusul celor fara experienta minima in calculatoare, care instaleaza orice program deschis in pop-up si care nu stiu sa se fereasca de reclamele si mail-urile inselatoare.
Alaturi de executabilul hldrrr.exe mai apar in sistem si urmatoarele: wintems.exe, srosa.sys plus folderele "down" si "downld".
Raport Kaspersky Anti-Virus
Trojan program : Trojan-Downloader.Win32.Bagle.sn / Trojan.Tooso.R
Localizat: C:\WINDOWS\system32\drivers\hldrrr.exe
Nivel pericol: High
In cazul meu, hldrrr.exe a aparut in folderul "%System%\WINDOWS\system32\drivers\" insa acest executabil mai poate fi gasit si in alte foldere ale system32 sau chiar in root-ul acestui folder de sistem.
Remove Virus File – hldrrr.exe
1. Daca anti-virusul dvs. a detectat acest virus dar nu poate sa-l sterga, urmariti raportul de scanare si vedeti exact unde este localizat fisierul hldrrr.exe. Deschideti Task Manager (Ctrl+Shift+Esc), mergeti in tab-ul Processes si dati kill la procesul hldrrr.exe.
2. Deschideti Command Prompt si dati comenzile: (dupa fiecare comanda apasati Enter)
cd C:\WINDOWS\system32\drivers (pentru a ajunge in folder)
del hldrrr.exe
del down
del downld
Celelalte fisiere care insotesc hldrrr.exe, wintems.exe si srosa.sys sunt localizate in "system32".
cd .. (pentru a ajunge in folderul "parent" al folderului curent.)
del wintems.exe
del srosa.sys
3. Dupa ce am sters fisierele malware va trebui sa ne curatam registrii (windows registry) .
Deschidem editorul de registrii si mergem la :
HKEY_CURRENT_USER\Software
Facem click pe plusul de la Software si cautam folderul FirstRRRun. Click-dreapta si Delete.
Mergem la urmatorul registru pentru a sterge key-ul "drvsyskit"
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
In lista din partea dreapta cautam si stergem "drvsyskit".
4. Restart computer.
In mod normal dupa operatiunile de mai sus ar trebui sa scapati de acest virus, insa pentru a va asigura ca nu mai sunt si alte aplicatii malware in calculatorul dvs. este recomandat sa folositi un anti-virus bun pentru a scana calculatorul.
*Acest virus l-am gasit pe un sistem de operare Windows XP protejat de Avira AntiVir Personal. Raportul detaliat al virusului si devirusarea a fost facuta cu Kaspersky Anti Virus 2010.
Advertisements
O da, klumea. Stealth, nu va contrazic, dar eu folosesc NIS 2010 si tin sa spun ca acest troian nu a trecut de el, dar nu bag mana in foc ca ar putea s-o faca, poate am fost eu norocos.
Ca fapt divers, cateva informatii si de la Symantec despre acest troian, pt cine intereseaza:
Discovered: June 16, 2006
Updated: June 16, 2006 9:17:31 PM
Also Known As: W32/Bagle-KF [Sophos], Troj/BagleDl-BS [Sophos], TROJ_BAGLE.AE [Trend]
Type: Trojan
Infection Length: 10,735 bytes; 12,726 bytes
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Damage Level: Medium
Trojan.Tooso.R has been renamed from W32.Beagle.KF.
Cu stima, DannutZ.