Olimpo Informatico

[abexxx84]

Buongiorno,
è gia il secondo caso che vedo di computer infestati da uno o piu virus che all'avvio del sistema operativo carica solo la schermata di sfondo ma nessuna icona ne barra delle applicazioni,


come primo passo ho scansionato il disco attaccandolo su un pc muletto con un buon antivirus, anche piu di uno...

siccome l'unica cosa che riesco a fare è utilizzare il taskmanager
ho utilizzato hijackthis per eliminare dal registro i file di avvio dannosi

tentato ripristini manuali e automatici, ma nulla!


non so cos'altro inventarmi per non formattarlo! qualche consiglio?

[bdoriano]

Evidentemente non si avvia il processo explorer.exe.

Segui queste istruzioni per controllare le chiavi del file di registro.

Fai questa scansione con Norman Malware Scanner

[abexxx84]

intanto tengo molto a ringraziarti per la disponibilità,


allora i valori delle chiavi di registro di explorer.exe sono

(predefinito) reg_SZ (valore non ipostato)
Debugger reg_SZ C:\windows\w32dbg.exe



i valori di ieexplore.exe sono:


C:\windows\explore_32.exe



mentre per useinit

C:\windows\system32\userinit.exe



ma nn sto seguendo i tuoi passaggi cosa dovrei fare? sono coerenti?

per quanto riguarda Norman Malware Scanner panda antivirus me lo blocca la pagina web o il download che sia perche dannoso, procedo lo stesso? lo disattivo e vado? ma anche se lo scarico dal mio pc non è detto che riesca poi a installarlo e a farlo lavorare dal taskmanager provo al limite

[bdoriano]

Le chiavi di registro sono infette.
Per quello non ti parte explorer.exe, viene bloccato da Panda.

Le chiavi iexplore.exe e explorer.exe non dovrebbero esistere.
La chiave userinit deve contenere il valore C:\windows\system32\userinit.exe, (con la virgola finale).

Si, procedi tranquillo con Norman. Lo esegui dal Task Manager e dovrebbe sistemarti automaticamente anche le chiavi infette cancellando anche i 2 virus presenti (C:\windows\w32dbg.exe e C:\windows\explore_32.exe).

[abexxx84]

no panda non ce l'aveva su, l'ho installato io dopo per vedere se riusciva a disinfettami il virus all avvio ma nisba!

bene infette! ma non le posso cancellare direttamente io dal registro?

e per quanto riguarda la virgola gliela devo aggiungere io oppure aspetto che il programma faccia da se?


ora aspetto che finisca la scansione e poi ti dico

[abexxx84]

nulla, fatta la scansione, ha eliminato molti file ma il problema persiste, ahhh non mi ha creato nessun log! ora lo sto rifacendo ma lo crea sul desktop in automatico?

ps. un mio problema è che non so se è stato disattivato il ripristino automatico, e come faccio a toglierlo da taskmanager?

[abexxx84]

ok cancella tutto l'ha salvato su ALLUSER

NFix_2008-05-22_09-51-27.log


ok sembra che il ripristino automatico sia disattivato perche ho rilanciato il programma ma questo giro non ha trovato nulla

[bdoriano]

Norman ha eliminato alcune schifezzuole ed evidenziato che le infezioni sono diverse.

Se riesci, modifica le chiavi di registro "a mano" come ti ho indicato nel mio precedente messaggio.

Vediamo di ripristinare il desktop e di procedere con il resto dei controlli.

[abexxx84]

scusa come a mano? ho perso il segno...
come le modifico?

cioè cancello le 2 voci e metto la virgola?

[bdoriano]

1. Avvia il pc in modalità provvisoria
   
2. con CTRL+ALT+CANC apri il Task manager
   
3. seleziona e chiudi il processo Explorer.exe
   
4. scegli: file -> nuova operazione --> digita regedit -->invio
   
5. nel file di registro trova la chiave:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
   
6. clic con destro su explorer.exe e scegli Elimina
   nel caso non si faccia eliminare:
   • clic con destro su explorer.exe,
     
   • seleziona l'opzione autorizzazioni,
     
   • seleziona il tuo account
     
   • spunta la casella controllo completo nella colonna consenti.
   • poi di nuovo clic con destro-->elimina.
   
   
7. nel file di registro trova la chiave:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe
   
8. clic con destro su iexplore.exe e scegli Elimina
   nel caso non si faccia eliminare:
   • clic con destro su iexplore.exe,
     
   • seleziona l'opzione autorizzazioni,
     
   • seleziona il tuo account
     
   • spunta la casella controllo completo nella colonna consenti.
   • poi di nuovo clic con destro-->elimina.
   
   
9. Trova la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   
10. individua nella finestra di destra Userinit
    
11. deve contenere il valore C:\windows\system32\userinit.exe, (inserisci la virgola finale)
    
12. Chiudi regedit
    
13. Riavvia il pc
    
14. Segui le istruzioni di questo topic per postare il log di combofix.

[abexxx84]

ohhh mio dio grazie! è ripartito cancellando quelle voci di registro!!!!!!

[bdoriano]

Guarda che non abbiamo finito.

• Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
  
• Fai una scansione con Norman Malware Cleaner .
  
• Riavvia il computer in modalità normale
  
• Segui le istruzioni di questo topic per eseguire combofix.
  
• Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  
  • Carica il log di Norman Malware Cleaner su WikiSend come indicato qui e posta il link che ti viene assegnato
    
  • Il log di Combofix generalmente non è molto lungo, quindi postalo direttamente nel messaggio

[abexxx84]

ComboFix 08-05-21.3 - Administrator 2008-05-29 17.22.54.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.291 [GMT 2:00]
Eseguito da: E:\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\setup.ini

.
((((((((((((((((((((((((( Files Creati Da 2008-04-28 al 2008-05-29 )))))))))))))))))))))))))))))))))))
.

2008-05-22 10:54 . 2008-05-22 10:54 <DIR> d-------- C:\WINDOWS\system32\Debug
2008-05-22 09:44 . 2006-02-20 18:13 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di stampa
2008-05-22 09:44 . 2006-02-20 18:13 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di rete
2008-05-22 09:44 . 2006-02-20 18:13 <DIR> d-------- C:\Documents and Settings\Administrator\Preferiti
2008-05-22 09:44 . 2006-02-20 17:19 <DIR> d--h----- C:\Documents and Settings\Administrator\Modelli
2008-05-22 09:44 . 2006-02-20 18:13 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Avvio
2008-05-22 09:44 . 2008-05-29 17:23 <DIR> d--h----- C:\Documents and Settings\Administrator\Impostazioni locali
2008-05-22 09:44 . 2006-02-20 18:13 <DIR> d-------- C:\Documents and Settings\Administrator\Documenti
2008-05-22 09:44 . 2006-02-20 18:13 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dati applicazioni
2008-05-22 09:44 . 2008-05-29 16:45 <DIR> d-------- C:\Documents and Settings\Administrator
2008-05-21 17:35 . 2008-05-21 17:38 <DIR> d-------- C:\Programmi\CCleaner
2008-05-21 09:16 . 2008-05-21 09:16 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\sentinel
2008-05-21 09:13 . 2008-05-21 09:13 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Backup
2008-05-21 09:11 . 2008-05-22 09:49 <DIR> d-------- C:\Programmi\File comuni\Panda Software
2008-05-21 09:08 . 2008-05-21 09:08 <DIR> d-------- C:\Documents and Settings\fernanda.PC-FERNANDA\Dati applicazioni\InstallShield
2008-05-21 09:07 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-05-07 12:42 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-05-06 14:28 . 2008-05-06 14:28 <DIR> d-------- C:\WINDOWS\Sun

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-22 07:49 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-05-21 07:20 --------- d-----w C:\Programmi\Spybot - Search & Destroy
2008-05-21 07:20 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-05-07 10:41 --------- d-----w C:\Programmi\CA
2008-04-17 14:57 --------- d-----w C:\Programmi\Java
2007-11-08 08:22 42,528 ----a-w C:\Documents and Settings\NOTEBOOK\Dati applicazioni\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-07 21:33 53248 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-01-11 01:33 143360 C:\WINDOWS\system32\VTTrayp.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 11:09 77824 C:\WINDOWS\SOUNDMAN.EXE]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.5.0_14\bin\jusched.exe" [2007-10-05 03:32 75256]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 14:00 15360]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Avvio veloce di Adobe Reader.lnk - C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
Microsoft Office.lnk - C:\Programmi\Microsoft Office\Office\OSA9.EXE [2000-01-21 10:15:56 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\Lpd.exe"=

S1 ShldDrv;Panda File Shield Driver;C:\WINDOWS\system32\DRIVERS\ShlDrv51.sys []
S2 PavProc;Panda Process Protection Driver;C:\WINDOWS\system32\DRIVERS\PavProc.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\bootcd\wintools\autorun.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-29 17:23:58
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-05-29 17.25.17
ComboFix-quarantined-files.txt 2008-05-29 15:25:15

22 Directory 75,859,415,040 byte disponibili
25 Directory 75,851,563,008 byte disponibili

84

[abexxx84]

NFix_2008-05-29_16-46-43.log

[bdoriano]

Ora direi che ci siamo.

Giusto per sicurezza:

• Disabilita il tuo antivirus
  
• Collegati a BitDefender (con IE) e fai la scansione completa.
  
• Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
  Salva il risultato della scansione in un file (in formato TXT), carica il file su WikiSend e posta qui il Forum Link che ti viene assegnato.

[abexxx84]

ehh ho esaurito il tempo a disposizione ho dovuto riconsegnarlo! ti ringrazio davvero tanto, ma t è arrivato il mio messaggio prvato?

[digithom]

Ciao a tutti ...

sono nuovo di questo forum e mi sono iscritto praticamente solo per poter avere la possibilità di ringraziare bdoriano per la soluzione fornita in questo thread.
Ho avuto lo stesso problema ed ho seguito le istruzioni (di una chiarezza unica).
Quando ho riavviato il PC ed ho visto il Desktop di windows funzionare di nuovo, quasi non ci credevo

Grazie ancora !


Ciao, Thomas.

[bdoriano]

Ciao digithom e benvenuto,

se vuoi, puoi presentarti qui.