Olimpo Informatico

[unodipalermo]

Salve, è come se da qualche giorno fossi sotto attacco costante di virus e malware. Appena due giorni fa ho dovuto rimuovere un finto antivirus che si era installato da solo nel pc infettandomi con solo dio sa cosa. Stasera invece mentre navigavo su internet è scomparso tutto ciò che era sul desktop ed è apparso un messaggio della guardia di finanza che mi intimava di pagare una multa con carta di credito per aver visitato siti pedopornografici. Girando su internet ho visto che è ben conosciuto. Il problema è che nelle guide che ho trovato viene detto che basta semplicemente cancellare i file relativi nella cartella esecuzione automatica e nella cartella temp in impostazioni locali, ma in nessun profilo di xp ho trovato nulla. Il guaio aggiuntivo è che questo maledetto virus mi ha anche boicottato la modalità provvisoria. Non posso quindi neanche utilizzare combofix come suggerito. Ogni volta che faccio per entrare appare una schermata blu e il pc si riavvia...con ogni tipo di modalità provvisoria. Ho provato ad accedere al disco utilizzando ubuntu, e anche smontando il tutto e mettendolo come hd esterno su un'altro pc, ma come ho detto, nelle cartelle indicate non c'è nulla...eppure quando avvio normalmente xp compare quel maledetto messaggio. Credo che il mio pc sia infestato da parecchi altri virus oltre a questo se ho avuto tanti problemi in così pochi giorni, come devo procedere?

[bdoriano]

Ciao unodipalermo,

ho proprio giocato ieri sera con un pc con il tuo stesso problema.
In quel caso, il virus si era installato nella cartella (Windows 7): C:\Users\nomeutente\AppData\Roaming.
In XP dovrebbe corrispondere alla cartella C:\Documents and settings\nomeutente\Dati applicazioni.

Avviando il pc da una live linux, dovresti trovare un file eseguibile con un particolare (es.: WhpAkc.exe). Ti basta eliminarlo (o rinominarlo) per poter riutilizzare il pc.

Attenzione, il virus disabilita la visualizzazione delle icone sul desktop e modifica alcune impostazioni di accesso al pc. Quindi, una volta eliminato, continuerai a non vedere le tue icone sul desktop.

• Tasto destro del mouse sul desktop
  
• compare il corrispondente menù contestuale
  
• Disponi icone per
  
• metti il segno di spunta a Mostra icone del desktop

Infine, procedi così:

• segui le istruzioni di questo topic per usare MBAM.
  
  
• scarica e installa la versione Free di SuperAntispyware:
  la configuri come da immagini:
  
  http://www.zeusnews.it/zz_upload/img/PSV/SAS/7477731.jpg
  
  http://www.zeusnews.it/zz_upload/img/PSV/SAS/9926902.jpg
  esegui una scansione completa del sistema
  
• Carica i logs uno dei servizi di hosting indicati in questa discussione
  
  
• usa Windows Repair (All In One) per ripristinare le impostazioni di Windows
  
  
• fai questa scansione con OTL <-- IMPORTANTE

In alternativa, nel caso le operazioni sopra indicate non dovessero funzionare, puoi seguire le istruzioni di questo topic per postare il log di combofix.

[unodipalermo]

Purtroppo il file che mi hai indicato non c'è...ho fatto anche una ricerca su tutta la cartella "documents and settings" col trova di ubuntu ma niente... =(

[bdoriano]

Nel senso che non trovi alcune eseguibile con nome strano nella cartella che ti ho indicato?

O hai cercato proprio il file che ho indicato come esempio?

[unodipalermo]

Ho cercato qualsiasi eseguibile nel percorso che mi hai indicato in tutti i profili presenti in "documents and settings" ma nulla... =/

[R16]

Ciao.
Prova a guardare in "Avvio" tramite msconfig. (utilizzando ubuntu)
Start\Esegui\ digita msconfig
Clicca in alto su "Avvio".
Fra le voci, dovresti trovarne 1 (o più) con nomi a casaccio.
Es:
C:\Windows\jfdbgkuyqbjlgpmusafb.exe
Non dico uguale a quello, ma che gli assomiglia in quanto le lettere sono scritte a caso, e terminano con .exe

Se le vedi le disabiliti, e poi prova a far partire Combofix.

[unodipalermo]

Ehm...come si fa a utilizzare msconfig di xp da ubuntu?

[R16]

[bdoriano]

Ok, evidentemente in XP viene inserito in qualche altra posizione.

Puoi usare il live CD di Kaspersky per eseguire una scansione completa. La guida non è aggiornata all'ultima versione ma dovrebbe aiutarti ugualmente a impostare la scansione.

Nel frattempo faccio qualche test...

[R16]

Ciao unodipalermo
bdoriano, è molto occupato, per cui cercherò di aiutarti a risolvere il problema.

Possiedi una pennetta formattata?
Se sì, scarica nella pennetta questo file:
link

Inserisci la Pendrive nel Pc infetto.
Avvia il pc in Modalità provvisoria. (f8)
Scegli Modalità provvisoria"Prompt dei Comandi".
Seleziona il tuo account
Nel Prompt Dei Comandi digita notepad e clicca Invio.
Si aprirà un file di testo
Nel menu in alto clicca file e seleziona Apri.
Cerca la lettera a cui è riferita la pennetta usb.
Questa operazione serve per verificare con certezza quale lettera è assegnata alla pennetta.

Una volta identificata la lettera della pennetta:

Nel Prompt dei comandi digita E:\frst.exe dove E è la lettera che è stata assegnata alla tua Pendrive, per cui nel comando sostituisci E con la lettera a cui si riferisce la pennetta usb.
Clicca Invio

Il tool si avvierà.
Clicca Yes per accettare le condizioni di contratto.
Premi su SCAN.
A scansione finita, verrà prodotto un log sulla pendrive stessa, chiamato FRST.TXT
Postalo qui.

[unodipalermo]

La modalità provvisoria risulta bloccata con questo malware, comunque sono riuscito ieri notte a debellare il malware prima provando con una live di ubuntu mrt e poi col cd live di kaspersky. Adesso sto finendo le scansioni che mi avete consigliato nel primo post così vi allego i log e i dettagli su come ho eliminato l'infezione.

[unodipalermo]

log di malwarebytes,SuperAntispyware,OTL:

link

link

link

link[/code]

Mi sono liberato del virus facendo una scansione con il cd live di kaspersky, che ha individuato i seguenti file:

virus Heur.Trojan.Win32G c:\windows\system32\k8h00.exe
virus Heur.Trojan.Win32G c:\documents and setting\utente\impostazioni locali\dati applicazioni\ebejnuu.exe

[R16]

Vai in Installaziome Applicazioni e rimuovi TUTTE le versioni Java che trovi.
Fai una pulizia con CCleaner compreso il registro.
Scarica l'ultima versione di Java:
link

Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

[unodipalermo]

Ma quanto ci mette a fare questa scansione? sono già due ore che è fermo bloccato...

[unodipalermo]

ho il sospetto che si sia impallato otl e tutto il pc, devo uscire di casa e ho bisogno di spegnere gli interruttori, è già 4 ore che è in queste condizioni, ctrl alt canc non funziona, che faccio?

[R16]

[unodipalermo]

Niente si si impalla di continuo...inoltre ho ancora la modalità provvisoria inutilizzabile...come la ripristino?

[R16]

Prima di ripristinare la modalità provvisoria, dobbiamo assicurarci che non ci siano altre infezioni:
Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer, e ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log.

[unodipalermo]

Dunque:
Avira non mi ha permesso la chiusura completa, l'opzione non è contemplata, così ho disabilitato la protezione in real time.
Avvio combofix, dopo qualche secondo compare un messaggio che mi intima di chiudere avira per poter proseguire. Allora entro nel task manager e tento di killare il processo di avira. Il pc va in stallo totale, dopo 20 minui mi trovo costretto a riavviare manualmente. Ai successivi riavvii il sistema risulta molto lento e impallatissimo fin dal boot di xp.
Disinstallo avira dopo aver bloccato la connessione a internet e mi limito a disabilitare il firewall visto che il kill del suo processo mi causa altri freeze. Riavvio. Faccio partire combofix, che mi rileva ancora la presenza di avira, e del firewall. Proseguo comunque. Posto il log, reinstallo avira, il sistema rimane lentissimo.

log.txt

[R16]

Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
Clicca su "Change parameters"
Metti la spunta sulle caselline: verify driver digital singatures e poi Detect TDLFS file system .
Conferma cliccando OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.

Scarica aswMBR.exe sul desktop.
link
Fai doppio clic aswMBR.exe per eseguirlo
Ti chiederà di aggiornare le firme.
Clicca Si.
Clicca sul pulsante Scan per avviare la scansione
Al termine della scansione clicca su Save log,e salvalo sul desktop.
Postalo qui.