Olimpo Informatico

[Mistral]

Cerco di spiegarmi meglio.
Una settimana fa il mio PC ha subito un attacco mortale nonostante la presenza di Avast e l'uso di Zone Alarm.
Il sistema è rimasto bloccato, qualsiasi operazione è stata impedita. Il processore lavorava come uno schiavo, a vuoto.
Naturalmente non avevo a disposizione nessun strumento per tentare un intervento di ripristino.
Ho deciso così, dopo 4 anni, di formattare il disco rigido e ricaricare il SO.
Appena ricaricato ( Win XP SP1) mi sono collegato per scaricare Avast e fare gli aggiornamenti necessari.
Alla prima apertura di Avast mi sono trovato infettato sulla partizione di avvio con circa un centinaio di VirTob e simili e la successiva riparazione ha portato ad un degrado totale del sistema.
Ho ricaricato il SO, mi sono collegato ad Avira ed installato il nuovo antivirus, poi Zone Alarm ed infine ho cercato Win Update per aggiornare il tutto.
E qui viene il bello.Non riesco a collegarmi alla Home Page e neppure al sito Microsoft se non terminando il processo svchost di rete e successivo F5; ogni 7-10 minuti la mia selezione ( Aggiorna automaticamente e installa) viene disattivata. Per Avira non ci sono problemi ( almeno così sembrava...).
Dopo aver tentato a più riprese di riparare l'inconveniente seguendo la procedura Microsoft senza alcun risultato, riesco a scaricare il SP2 ma non riesco ad installarlo.
In seguito anche Avira smette di funzionare e decido di reinstallare il SO.

Situazione presente: lavoro con SP1, Zone Alarm e mi ritrovo i 6500 files di 8 lettere combinate in modo matematico.exe del peso di 92K agganciato a files HTML, sia nella partizione attiva che nelle altre.
Ho pulito tutto a mano.
Non ho ancora installato un antivirus ( visto i precedenti...) e non ho ancora aggiornato il sistema.
Ho bisogno di una guida sicura anche perchè comincio ad essere un po' stufo di ricaricare il sistema.....
Grazie e scusate la prolissità.

[Renzo(ita)]

Ciao Mistral, visto che ormai il disco è formattato, io farei un altro tentativo, non sono un esperto perciò non garantisco.

Potresti riprovare a reinstallare windows con una ulteriore procedura; in pratica, all' avvio dell' installazione da CD, c'è una videata in cui ti chiede se vuoi installare nella partizione C:\ oppure se vuoi cancellare la partizione; scegli di cancellare la partizione, poi la rifai e prosegui con l'installazione.

In pratica è come fare "fdisk" da floppy, se c'è un virus nel settore di boot in questo modo si cancella.

Spero di essere stato sufficentemete chiaro, nel caso che funzioni facci sapere

[Mistral]

Grazie Renzo, sei stato chiarissimo.

Dopo aver ripulito ( a mano..) tutte le partizioni e ricaricato i programmi di base (adesso installerò un antivirus, per ora mi sono masterizzato un Avira avviabile),il sistema sembra reggere bene.
Se malauguratamente dovesse andare male farò come mi hai suggerito.

[bdoriano]

Dovresti postare un log di hiajckthis per verificare com'è la situazione attuale.

[Mistral]

Eccomi.

Ho proceduo a scaricarmi il SP2.
Questa è la situazione dopo aver installato Avast....
In pratica mi dice che trova il VirTob anche su IE.
Se sposto nel cestino IE resto naturalmente bloccato....
E' un gran casino....

Grazie per l'aiuto ( se riuscirò a continuare...)

[Mistral]

Questo è il log richiesto.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 3.49.02, on 23/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D47AE9ED-270F-4F1C-B264-84A1B0B5832F}: NameServer = 85.37.17.8 85.38.28.73
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3911 bytes

[bdoriano]

Virtob = VIRUT!

Hai sicuramente gran parte degli eseguibili infetti, anche quelli che hai salvato su chiavette o HD esterni.

Virut NON SI PUO' RIMUOVERE con i tools tradizionali partendo dal pc infetto. E' obbligatorio partire con i LiveCD ed eseguire scansioni multiple.

Segui queste indicazioni alla lettera, senza bypassarne nemmeno una!

1. Disinstalla tutti i programmi di sicurezza, tanto sono già infetti e non possono fare nulla. (antivirus, antispyware, firewall, etc...)
   
2. Scollega tutte le periferiche USB (chiavette e HD esterni) e tienili scollegati. Inoltre, non usarle su altri PC, altrimenti rischi di diffondere l'infezione.
   
3. Disabilita il ripristino di sistema e tienilo disattivato fino al termine delle operazioni di pulizia.
   (tanto sono infetti anche i vari punti di ripristino precedenti)
   
4. Scarica e installa CCleaner.
   Configuralo anche per la rimozione dei Disinstallatori aggiornamenti di Windows
   Rimuovi tutti i files temporanei e i files del cestino.
   
5. Scarica le immagini ISO dei seguenti LiveCD (possibilmente da un pc non infetto) e masterizzale su CD:
   
   • drWeb Live CD
     
   • Kaspersky Rescue Disk
   
   
6. Armati di tanta, tantissima pazienza
   
7. Riavvia il pc infetto con la LiveCD di drWeb ed esegui una scansione completa dei dischi interni del tuo pc
   
8. Riavvia il pc infetto con la LiveCD di Kaspersky ed esegui una scansione completa dei dischi interni del tuo pc.
   
9. Ripeti i punti 7 e 8 almeno 2 volte!
   
10. Quando le successive scansioni non ti rilevano più l'infezione, puoi riavviare il pc SENZA COLLEGARE LE PERIFERICHE USB e installa immediatamente Panda USB Vaccine
    Per il momento, non installare nient'altro.
    
11. Per assicurarti che il pc sia pulito, segui le istruzioni di questo topic per postare il log di combofix
    
12. Fai questa scansione completa con Kaspersky
    Prima di disinstallarlo, procedi a una scansione completa di tutte le tue periferiche USB.
    
13. Installa Avira Antivir e aggiornalo immediatamente.
    
14. Riattiva il ripristino di sistema e posta un log di hijackthis.

[Mistral]

Grazie per le indicazioni che seguirò alla lettera!
Ero arrivato ad una conclusione non più ottimistica della tua dopo aver scansionato in modo approfondito tutto il sistema.
Il CD di installazione non mi risulta infetto ( se non altro...).
Perchè pensi che l'antivirus debba essere contaminato da VirTob=Virut?
Non dovrebbero sempre preservarsi dalle contaminazioni?
E' solo una curiosità.
Se scansiono un CD infetto l'antivirus mi rileva l'infezione, se ne scansiono uno pulito non viene, giustamente,rilevato alcunchè di riprovevole.
Farò comunque come mi hai suggerito ( anche perchè mi interessa salvare il lavoro della partizione di archivio, anch'essa infetta).
Se il tutto andrà a buon fine mi rifarò sentire.
Se malauguratamente non fosse sufficiente, spianerò tutto il disco rigido, ripartirò da zero e mi farò ugualmente sentire.
Grazie per l'aiuto.

[R16]

Ciao.

[bdoriano]

Confermo che è la procedura che ho adottato sul pc di un mio cliente e ha funzionato egregiamente.

[Mistral]

Situazione al momento:
i CD di salvataggio funzionano perfettamente anche se il tempo per la pulizia è di una lunghezza quasi "intollerabile"ed il suggerimento di min 2 volte è perfino restrittivo ( dopo 2 passaggi alternati di cui il secondo a zero rilevamenti, c'è stato un rilevamento alla terza scansione....)
Il piccolo problema che mi si è presentato dopo più di due giorni di scansione è stato quello di non riuscire più ad aprire il sistema ( si caricava fino alla schermata utente e poi "luppava" ricaricandosi ).
Penso sia un contrattempo accettabile e forse inevitabile dal momento che Explorer era infettato e sia Kaspersky che Dr Web non potevano ripararlo se non con la cancellazione del files compromesso.
Ho dovuto ricaricare il SO.
E' comunque una esperienza che mette a dura prova la pazienza ( quella di eliminare il Virut ), ma tant'è.....
Sta di fatto che ora mi ritrovo un sistema da F1 anche se la pagina di installazione del software ( Start> Inpostazioni>Pannello di controllo>Installazione Applicazioni ) non mi riporta i programmi attualmente installati....
Il vaccino di Panda elimina solo l'autorun se ho ben capito, ma è sufficente per immunizzare da un contagio da CD?
Ho letto da qualche parte che Virut non ha bisogno di un file .exe attivato per installarsi ma basterebbe la semplice apertura dei contenuti del CD.
E' vero o sono leggende?
Inutile dire che continuo a scansionare il disco con Avira e di notte con gli off line.
Mi farò risentire.
Grazie a Bdoriano e Renzo.

[bdoriano]

Virut aggiunge almeno un ADS a explorer.exe e va eliminato con una versione di Kasperky offline scanner e/o NOD32 standalone.
Un tool utile per la scansione e rimuovere l'infezione di Virut dai files infetti è AVG rmvirut da utilizzare da riga di comando.

Avira non è efficace a rimuovere l'infezione, dato che si "limita" a cancellare i files infetti senza neanche tentare di ripulirli.

[R16]

Ciao a tutti.
Puoi provare anche questo:
link
E' quasi uguale, a quello che ti ha segnalato bdoriano.
La differenza stà che devi scaricare i 2 file, e metterli dentro in un'unica cartella.
Per esperienza personale, dopo un format normale, in cui il Virut, si era ripresentato, i tooll si sono dimostrati validi.

[Mistral]

Per R1 ( che ringrazio): avevo già provveduto a visitare il sito di AVG ed a scaricarmi i files indicati. Peccato che poi abbia lanciato l'eseguibile senza accorgermi che i due files non erano nella stessa cartella...

Per quel che riguarda il problema di Installazione applicazioni ( nessun programma elencato), ho risolto con la modifica al registro come indicato da Microsoft alla pagina
http://support.microsoft.com/?id=266668
Alla voce dati mi ritrovavo con il valore "Gestioni applicazioni Shell" invece del valore corretto "%DESC_ShellAppMgr%".

Per Bdoriano: mi dispiace per l'esito del Derby...
ADS è un acronimo di cui mi sfugge il significato; puoi chiarirmi le idee, per cortesia?

Per il momento le cose sembrano a posto... vedremo domani...

Grazie ancora a tutti

[Mistral]

Le cose non sono assolutamente a posto.

Comincio a dubitare che si possa venire fuori da una infezione di Virut. Non basta neanche passare le giornate a disinfettare il PC con una sfilza infinita di cosidetti "removal tools" se poi, dopo giorni di pausa, ci si ritrova con un rilevamento inaspettato dello stesso virus (Virut).

Leggetevi questo:
http://miekiemoes.blogspot.com/2009/02/virut-and-other-file-infectors-throwing.html
e questo :
http://www.computer-juice.com/forums/f49/unable-remove-virus-26442/?hl=it
Ora capisco perchè viene definito " Il virus che risorge".
Date un'occhiata anche al link "Sotto il cofano" se avete qualche rudimento di programmazione e vi sarà più chiaro il motivo per cui il ragazzaccio polacco creatore di questo flagello (Xmax) si sta attirando l'odio di tutto il mondo informatico.
Alla prossima.

[bdoriano]

Si, sono links che conosco e che ho usato per documentarmi dopo aver eliminato l'infezione.

C'è un passaggio che ho dimenticato di suggerire, tra il punto 9 e il punto 10, c'era da fare queste operazioni:

• Avvia il pc in modalità provvisoria
  
• Clicca Start
  
• Clicca Esegui...
  
• Digita:

  Codice:

  cmd

  
  
  
• Clicca su ok
  
• si apre la finestra DOS, digita:
  

  Codice:

  sfc /scannow

  
  premi invio e attendi pazientemente il termine delle operazioni.
  
• al termine della scansione, digita:
  

  Codice:

  exit

  
  premi invio
  
• Riavvia il pc

In questo modo, vengono ripristinati i files originali del sistema operativo.

PS: sto preparando una guida dettagliata sul "combattimento" con Virut. Tra qualche giorno la metterò online.

[Mistral]

Torno, non da vincitore ma neanche troppo abbacchiato...
Dopo il mio ultimo post ho ritrovato Virut più arzillo che mai ( nel frattempo mi eo scaricato NOD32, avevo tentato il ripristino dei files di sistema corrotti dalla linea di comando con cmd ( ma non in modalità provvisoria) e, cosa più importante, ero stato a casa di un amico a farmi controllare tutti i CD off-line contenenti Dr Web e Kaspersky (risultavano tutti puliti).
Tutto funzionava alla perfezione ( eccetto l'impossibilità di scaricare gli aggiornamenti da Win Update dove mi veniva la finestra di "Errore 403, tu non hai i diritti ecc ecc").
Tutto bene ( per modo di dire) ma senza futuro.
Dopo l'ennesimo controllo anti Virut ho deciso di riformattare.
Dopo la nuova installazione ho ricontrollato con Virut removal di AVG con esito positivo ( non poteva essere diversamente).
Installazione ADSL e collegamento ad Avira per lo scaricamento dell'antivirus ( non perchè Avira mi sia più simpatico di Avast o AVG, ma perchè l'installazione è più veloce).
Lo scaricamento si è bruscamente interrotto dopo l'iscrizione e sono riapparse le solite bestialità che si leggono o incontrano quando compare Virut...
Per farla breve, Virut si attiva nel mio sistema quando tento di fare un collegamento a Microsoft o ad un sito antivirus.
Mi sono ricordato di avere a disposizione un disco di XP SP3 di origini "dimenticate" e , perso per perso, ho riformattato e reinstallato.
L'incubo era finito!
Ora posso dire, dopo una settimana di rodaggio e di stress vari sul sistema, che la presenza di protezioni aggiuntive tipo SP2 e SP3 impediscono al virus di attivare le istruzioni che riceveva durante il primo collegamento in rete dopo il caricamento.
Non dimenticherò quello che Virut mi ha fatto passare....