Olimpo Informatico

[AX88DI]

Salve a tutti, sono nuovo del forum.
E' dal primo pomeriggio che sto combattendo in maniera infruttuosa contro il famigerato Malware "2010 antivirus".
Sono in possesso di una lacunosa conoscenza informatica classica degli "smanettoni" quale sono... ma ho fatto comunque dei tentativi per la rimozione di questo fastidioso, tentacolare virus del c***o.

vi spiego brevemente la situazione perchè credo che il mio sia un caso atipico:

navigavo tranquillamente in rete uando improvvisamente è partito l'istaller di questo "2010 antivirus" (da una pagina innocua quale il mio profilo facebook). istantaneamente insospettito ho bloccato l'interfaccia a finestra e l'iconcina nella barra delle applicazioni fermando il download del presunto "aggiornamento" che il bastardello stava effettuando.
Ora, lavoro su xp professional e come antivirus ho l'inutilissimo AVG Free ediction (che ovviamente non ha rilevato alcunchè)...

nonostante il tempestivo blocco di tutte le attività, il malware si è sicuramente insidiato nel sistema in quanto tutti i sintomi segnalati sui siti vari si riversano a ruota libera sul mio povero pc. (ad eccezione del blocco di internet e delle finestre popup)

Tutti, ma proprio tutti gli antivirus scaricati nelle ultime ore si bloccano (ho letto che ne inibisce l'avvio). alcuni al momento della scansione (Avira) altri invece, non partono proprio (Malwarebytes’ Anti-Malware)
svchost.exe, nel task manager oscilla tra il 95 e il 99 di utilizzo cpu e mi rallenta in maniera oscena ogni operazione.

ho tentato leliminazione manuale dei file dal sistem32 ma addirittura la cartella scorre "a scatti" e quando arrivo al svchost si blocca...

che devo fare?!?!?! aiutatemi per favore... sono veramente disperato. il pc impiega buoni 30 secondi per aprire il browser o qualsiasi altra cosa... sto impazzendo. Devo lanciare il portatile fuori dalla finestra?

[chemicalbit]

Ciao , benvenuto/a !

(Se vuoi, fai un salto Al caffe' dell'Olimpo a presentarti agli utenti del forum.)

svchost.exe è un file legittimo di Windows, che serve a contenere ed eseguire altri programmi (ad es. in DLL). Il che ovviamente può riguardare altri programmi buoni come altri programmi maligni.
svchost non va assolutamente rimosso (pena l'impossibilità di far ripartire Windows).

Un po' di pulizie e controlli generici:
Fai, nel seguente ordine queste operazioni

1. Pulisci i files temporanei con CCleaner
   
2. Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
   
3. scarica e installa la versione Free di SuperAntispyware;
   la configuri come da immagini: Immagine 1 e
   Immagine 2; esegui una scansione completa del sistema
   
4. Segui le istruzioni di questo topic per creare un log di HiJackThis.
   
   
5. Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
   
   • Carica il log di SuperAntiSpyware su WikiSend e posta il Forum Link che ti viene assegnato.
     
   • Carica il log di HijackThis su WikiSend e posta il Forum Link che ti viene assegnato.

[R16]

Ciao AX88DI.
Oltre a provare le indicazioni di chemicalbit, hai provato a guardare nel Task Manager se c'è un processo relativo a "2010 antivirus".
Se per caso lo trovi, lo termini.

Poi fai girare questo tool:
Scarica ed avvia rkill.com per terminare i processi in esecuzione del malware
link

Finita la scansione, non spegnere o riavviare il pc.
Fai subito una prova, per vedere se Malwarebytes parte.
Se non funziona, prova in modalità provvisoria.
Se riesce, elimina tutto quello che trova.
Posta il log.

[AX88DI]

Ragazzi, intanto vi ringrazio infinitamente per il tempo che mi state dedicando, rispondendo con ordine:

ho eseguito in succesione le due operazioni di pulizia senza troppi problemi.
una volta terminato l'utilizzo di HiJackThis è comparso il primo segno di vita da parte di Avira tramite il report seguente:

"rilevato malware
C:\windows\system32\userint.exe virus o programma indesiderato TR\crypt.XPAC.gen"

cliccando su dettagli, nel desiderio di essere più esauriente con voi, il messaggio è scomparso...

ma questo è il minimo! ho scaricato SuperAntispyware, eseguito regolarmente l'aggiornamento da database e all'avvio riporta lo stesso errore che visualizzava con Malwarebytes’ Anti-Malware:

"SUPERantispyware\antispyware.exe
Impossibile accedere alla periferica, al percorso o al file specificato. è probabile che non si disponga delle autorizzazioni necessarie"

non riesco a entrare nemmeno come Amministratore...
non sono riuscito quindi a portare a termine il processo da te suggerito Chemicalbit.

rispondendo al post di R16 invece:
sono tutte operazioni che ho già compiuto con quei programmi. sia in modalità normale che provvisoria senza ottenere un beneamato cavolo di niente.

non saprei proprio che fare e come intervenire.

[chemicalbit]

Sistema operativo?

[bdoriano]

Se hai possibilità, segui queste istruzioni per usare Kaspersky 2008 LiveCD

[AX88DI]

XP professional!!!!

[AX88DI]

[AX88DI]

[bdoriano]

Se hai problemi di connessione, direi di usare drWeb LiveCD.
Lascerei l'uso di Avira LiveCD come opzione secondaria.

[AX88DI]

Ho provato con drWeb live, come da voi suggerito... ragazzi... non porta a termine una sola scansione con nessun antivirus. nemmeno con quello.
Tra oggi e ieri ho lasciato agire il pc con le procedure di scanning di avira e ha impiegato 8 ore... (OTTO OREEEE!) per eseguire una scansione fermandosi al 40%...
ho come il sospetto di essere incappato in un problema più complesso... (un'insieme di virus? o che altro?!?!?!?)
mi sembra veramente strano che nemmeno un AV su cd riesca a scansionare... non che sia un esperto.
se riuscite ad aiutarmi o avete altri suggerimenti benvengano!
avete già fatto tanto!
Altrimenti, credo che darò retta al malsano pensiero fisso di questi giorni: formattone

Anche se sarebbe una sconfitta troppo grande
per non parlare della sessantina di giga da salvaguardare.

[chemicalbit]

[AX88DI]

Semplicemente non procede! l'ho lasciato diverse ore al lavoro ma resta fisso sul 32% e anche nella "mini interfaccia" sembrava incredibilmente rallentato... non so se ha una qualche correlazione, ma anche con Avira si ferma a quella percentuale fatidica con qualche scarto in più... ho lasciato il pc lavorare tutte le notti e i giorni ma ne uno ne l'altro ha dato risultati. addirittura con Avira non registra nemmeno i report (come se non avessi mai avviato 6 scansioni dei file di sistema, dei processi in corso e del disco fisso)

Ho letto il nuovo topic di Samfisher e i problemi riscontrati sono i medesimi.
con la questione aggiuntiva che i file corrotti segnalati dal mio "compagno malcapitato" sono bloccati probabilmente grazie alla logica dei "permessi alterati" di cui Sam parla. Quindi non eliminabili.
ora, seriamente parlando, vorrei sinceramente evitare una formattazione totale. la mole di dati è allucinante e come se non bastasse (per avvertire anche gli altri utenti della questione) sembra che inibisca addirittura l'avvio delle procedure di masterizzazione sia con Nero, sia con CDburnerXP che con la procedura automatica di windows...
questo virus è un olocausto informatico.

[Luko]

Scusate l' intromissione
drWeb Live CD ha dei tempi di scansione biblici, per la scansione su un HD da 80GB pieno a metà ha richiesto 11h.

[AX88DI]

Ci sono novità sostanziali. sono riuscito a eliminare il file infetto nell'esecuzione automatica: "C:\documents and settings\Melissa Saccon\Menu Avvio\Programmi\Esecuzione automatica\updyrb32.exe" grazie a Unlocker.. sembra che svchost non sia più "sovraccarico" e il pc sembra nn essere più così rallentato... ora bisognerà procedere con la ricerca della moltitudine di altri dannatissimi file e le conseguenze periferiche dell'infezione.

se mi potete dare una mano...

Intanto, un grande ringraziamento a tutti voi!!!!!!!

[chemicalbit]

Ora riesci a fare le varie scansioni?

[bdoriano]

Ok, visto che sembra trattarsi della stessa bestiolina...

Procedi con questi passaggi:

1. Procurarsi i seguenti programmi, utilizzando un pc pulito:
   
   • Scarica rkill da uno dei links seguenti (è lo stesso programma con nomi diversi):
     rkill.com
     rkill.exe
     rkill.scr
     eXplorer.exe
     iExplore.exe
     (se non dovesse funzionare il primo, procedi con i successivi)
     
     
   • Scarica MBAM da uno dei siti seguenti:
     Sito ufficiale
     Sito MajorGeeks
     Sito FileForum
     
     
   • Scarica il database aggiornato (MBAM-RULES) di MBAM da uno dei siti seguenti:
     Sito MajorGeeks
     GT500
     
     
   • Scarica SuperAntiSpyware Portable
   
   
2. Disconnetti il pc infetto da internet
   
   
3. Avvia il pc infetto in modalità provvisoria:
   premere ripetutamente il tasto F8 all'avvio fino a visualizzare il menu Opzioni avanzate di Windows.
   Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu "Modalità provvisoria", quindi premere "Invio".
   
   
4. Copia sul desktop i files scaricati precedentemente
   
   
5. avvia rkill
   se non dovesse funzionare al primo colpo, ritenta nuovamente (magari scaricando uno dei files rinominati).
   
   
6. dovrebbe comparire una finestra DOS:
   

   Citazione:

   Rkill by Lawrence Abrams (Grinler) BleepingComputer.com Terminating known malware process. Please be patient.

   
   al termine, la finestra verrà chiusa e comparirà una finestra con un log contenente un elenco dei processi terminati dal rkill.
   
   
7. Sempre mantenendo il pc scollegato da internet, installa MBAM e, per il momento, non avviarlo
   
   
8. Installa l'aggiornamento di MBAM scaricato precedentemente
   
   
9. Esegui una scansione completa con MBAM del pc infetto ed elimina tutte le voci infette riscontrate.
   
   
10. quando chiede di riavviare il pc, riavvialo nuovamente in "modalità provvisoria".
    
    
11. Avvia la scansione completa con SuperAntiSpyware Portable ed elimina tutte le voci infette riscontrate.
    
    
12. riavvia il pc in "modalità provvisoria con rete"
    
    
13. avvia nuovamente MBAM, fagli scaricare gli aggiornamenti ed esegui una nuova scansione.
    Se vengono rilevate altre voci infette, eliminale.
    
    
14. Esegui una scansione con Eset Online Scan:
    
    • Clicca qui per aprire la pagina di ESET OnlineScan
      
    • Clicca il bottone
      
    • Solo per chi usa un browser differente da Internet Explorer, è necessario scaricare un file sul proprio desktop:
      
      • Clicca su e salva il file sul desktop
        
      • Doppio click sull'icona salvata sul desktop
      
      
    • Metti il segno di spunta a
      
    • Clicca il bottone
      
    • Accetta tutti gli avvisi di sicurezza del tuo browser
      
    • Metti il segno di spunta anche a
      
    • Clicca il bottone Start
      
    • Il programma scaricherà tutte le parti necessarie alla scansione (il motore di scansione e i database virali aggiornati)
      Sii paziente, a seconda della velocità della tua linea potrebbero volerci parecchi minuti.
      
    • Quando la scansione sarà completata, clicca su
      
    • Clicca su e salva il file sul desktop.
      Carica il file salvato su wikisend e posta il forum link che ti viene assegnato
      
    • Clicca il bottone
      
    • Clicca il bottone
    
    Se non vengono rilevate minacce, non verrà fornito alcun log
    
    
15. Avvia il pc in modalità normale e fai queste scansioni:
    
    • Scarica questo programma (OTL) e salvalo sul desktop
      
    • Doppio click sull'icona di OTL per avviarlo
      
      
    • Metti il segno di spunta su Scan All Users
      
    • Clicca il bottone Quick Scan
      
    • Aspetta pazientemente fino al termine dei lavori
      
    • Verranno creati 2 logs:
      
      • OTListIt.txt (ridotto a icona)
        
      • Extra.txt (ridotto a icona)
      
      
    • Carica entrambi i logs su wikisend e posta i forum links che ti verranno assegnati
    
    Usare Rootkit UnHooker
    
    • Scarica Rootkit UnHooker e salvalo sul desktop
      
    • Doppio click sull'icona di RKUnhookerLE per avviarlo
      
    • Clicca Report
      
    • Clicca Scan
      
    • Metti il segno di spunta su Drivers e Stealth
      
    • Togli il segno di spunta alle altre voci
      
    • Clicca OK
      
    • Aspetta pazientemente fino al termine dei lavori
      
    • Clicca File
      
    • Clicca Report
      
    • Salva il log sul desktop
      Carica il file salvato su wikisend e posta il forum link che ti viene assegnato
    
    Nota: potresti ricevere questo messaggio "Rootkit Unhooker has detected a parasite inside itself! It is recommended to remove parasite, okay?". Ignoralo tranquillamente.

Per il momento, questa è la procedura grezza da utilizzare.
Più avanti farò altre prove e vedrò di affinarla.

[Gbr_Mone]

piccolo appunto: ci sono anche dei casi in cui il metodo con rkill non funziona; abbiamo (oramai) risolto con combofiix.

Rinominare il file combofix durante il download, viene specificato nella guida che puoi trovare cliccando qui.
messaggio editato

[bdoriano]

MBAM non funziona se installato precedentemente all'invasione del virus.
Va reinstallato dopo aver eseguito RKill.

[Gbr_Mone]

ah ok non avevo letto quella parte. cmq l'importante è risolvere in un modo o nell'altro