Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Virus GdF: impossibile accedere anche in modalita' prov.
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
mcanonic
Comune mortale
Comune mortale


Registrato: 02/05/12 18:14
Messaggi: 4
MessaggioInviato: 02 Mag 2012 18:22    Oggetto: Virus GdF: impossibile accedere anche in modalita' prov. Rispondi citando
Ciao a tutti,
ho letto i precedenti post ma non sono riuscito a venirne a capo. Anzitutto, pure la modalita' provvisoria (con/senza rete) fa subito comparire il desktop del virus senza possibilita' di accendere al menu di avvio ne al task manager.

Unico modo con cui riesco ad entrare e' con prompt dei comandi, da cui ho provato a cercare i file WPBT0.dll o 0.<una serie di altrinumeri>.exe tramite il comando:

dir <nome_file> /s

eseguito da C:, senza successo: non trovo nulla.

Ho esaurito le idee su come sconfiggere il virus. Il PC ha WinXP home con SP2 (si lo so, il proprietario del pc non ha aggiornato a SP3 e sara' la prossima cosa che faro' una volta che riusciro' nuovamente ad usarlo).

Grazie a chi mi vorra' dare una mano,
Massimo
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 02 Mag 2012 18:59    Oggetto: Rispondi citando
Ciao e benvenuto.Ciao
Citazione:
eseguito da C:, senza successo: non trovo nulla.

Perchè l'infezione si trova nell'Editor del registro.
Solitamente, infetta l'Userinit.

Possiedi una pennetta formattata?
Se sì, scarica nella pennetta questo file:
link

Inserisci la Pendrive nel Pc infetto.
Avvia il pc in Modalità provvisoria. (f8)
Scegli Modalità provvisoria"Prompt dei Comandi".
Seleziona il tuo account
Nel Prompt Dei Comandi digita notepad e clicca Invio.
Si aprirà un file di testo
Nel menu in alto clicca file e seleziona Apri.
Cerca la lettera a cui è riferita la pennetta usb.
Questa operazione serve per verificare con certezza quale lettera è assegnata alla pennetta.

Una volta identificata la lettera della pennetta:

Nel Prompt dei comandi digita E:\frst.exe dove E è la lettera che è stata assegnata alla tua Pendrive, per cui nel comando sostituisci E con la lettera a cui si riferisce la pennetta usb.
Clicca Invio

Il tool si avvierà.
Clicca Yes per accettare le condizioni di contratto.
Premi su SCAN.
A scansione finita, verrà prodotto un log sulla pendrive stessa, chiamatoFRST.TXT
Postalo qui.

Per postare il log:
Collegati ad internet e vai alla pagina WikiSend: link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Top
Profilo Invia messaggio privato
mcanonic
Comune mortale
Comune mortale


Registrato: 02/05/12 18:14
Messaggi: 4
MessaggioInviato: 03 Mag 2012 00:18    Oggetto: fatto! Rispondi citando
Ciao, grazie e complimenti per la chiarezza della spiegazione per fare lo scan del sistema.

Ecco cosa ha prodotto il log:
FRST.txt

Riesci a vedere qualcosa di sospetto?

A me pare che questo:
Codice:

[wkysvmzmirzutoi] C:\Documents and Settings\All Users\Dati applicazioni\ekdgbhpkivglfsxgdwus.exe [59904 2012-04-26]

non sia una cosa bella.

Grazie,
M[/code]
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 03 Mag 2012 17:48    Oggetto: Rispondi citando
Ciao.
Citazione:
A me pare che questo:
Codice:

[wkysvmzmirzutoi] C:\Documents and Settings\All Users\Dati applicazioni\ekdgbhpkivglfsxgdwus.exe [59904 2012-04-26]

non sia una cosa bella.

No, non è bella: direi piuttosto antipatica. Cool
Mi preoccupa di più la non segnalazione dell'Userinit.

Scarica e copia questo file nella pennetta:

link

Avvia nuovamente FRST, e clicca sul pulsante fix una sola volta.
Finita l'eliminazione, verrà creato un log ((Fixlog.txt)) sempre nella pennetta usb:
Postalo qui.

Adesso, dovresti poter accedere al pc.
Il mio dubbio rimane per l' Userinit. (sembra che manchi)

In caso di accesso al pc:
Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
Clicca su "Change parameters"
Metti la spunta sulle caselline: verify driver digital singatures e poi Detect TDLFS file system .
Conferma cliccando OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.

Poi: (scansione molto importante)
Segui le istruzioni di questo topic per usare MBAM: (ricorda di aggiornarlo prima della scansione)
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.
NON eliminare i file che trova.
Limitati a postare il log.
Top
Profilo Invia messaggio privato
mcanonic
Comune mortale
Comune mortale


Registrato: 02/05/12 18:14
Messaggi: 4
MessaggioInviato: 06 Mag 2012 21:09    Oggetto: sfondo desktop ritrovato ma poco altro Rispondi citando
Ciao e grazie per il supporto. Purtroppo mi sono fermato al primo step:

Citazione:
Avvia nuovamente FRST, e clicca sul pulsante fix una sola volta.
Finita l'eliminazione, verrà creato un log ((Fixlog.txt)) sempre nella pennetta usb:
Postalo qui.


Eccolo:
Fixlog.txt

Purtroppo dopo averlo riavviato ottengo lo sfondo del dektop, il puntatore del mouse si muove, posso fare ctrl+alt+canc e riavviare ma nulla di piu'.

Non riesco quindi a proseguire la tua procedura. Non so bene cosa fare ora, se non riprovare a usare FRST oppure a fare il boot da un cd winXP e provare ad usare la R per provare a riparare. Che dite?

Grazie,
Massimo

P.S.: In questo forum ho solo il testa al messaggio il punsalte "rispondi" e non il pulsante "quota" per poter aver tutto il messaggio quotato. Mi sbaglio?
Top
Profilo Invia messaggio privato
mcanonic
Comune mortale
Comune mortale


Registrato: 02/05/12 18:14
Messaggi: 4
MessaggioInviato: 06 Mag 2012 22:03    Oggetto: Rispondi citando
Ho ritrovato il desktop usando questo procedimento:
ftp://ftp.f-secure.com/anti-virus/tools/shellfix.txt

Spero di aver risolto.

M
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 07 Mag 2012 17:28    Oggetto: Rispondi
Citazione:
P.S.: In questo forum ho solo il testa al messaggio il punsalte "rispondi" e non il pulsante "quota" per poter aver tutto il messaggio quotato. Mi sbaglio?

No non sbagli.
C'è solo il tasto rispondi.
Citazione:
Ho ritrovato il desktop usando questo procedimento:

Sì, è una normale procedura che si esegue quando explorer non funziona.
E hai potuto eseguirla perchè lo script di FRST ha funzionato.

Citazione:
Spero di aver risolto.

Il mio consiglio è di eseguire lo stesso le indicazioni che ti ho postato, e che prima non potevi eseguire.
Se le esegui, posta i vari log. (TDSSKiler, Malwarebytes)
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi