Olimpo Informatico

estelos · Eroe Registrato: 26/09/09 14:36 Messaggi: 54

Ciao ho grossi problemi da ieri, quando aprendo un .exe seppur controllato preliminarmente con AVG 8.5 mi sono trovato infettato da un coctails micidiale di virus. dopo alcuni tentativi di risanare la situazione ho formattato l'HD su cui c' è il sistema operativo (WINDOWS XP sp3) ed ho sistemato cosi la questione. L'altro HD che ho dopo la formattazione l'ho controllato con MBAM ed era tutto a posto . come antivirus infatti uso AVG e MBAM.

Avevo trovato VIRUT con altri virus tra cui WIN32/HEUR.

Oggi il problema si è ripresentato con AVG che inizia a segnalarmi decine di .exe infetti con presenza di WIN32/HEUR. Un altro antivirus scaricato mi dava presenza di Virus.Win32.Virut.ce.

MBAM nn rileva niente. Il virus addirittura nn mi fa eseguire gli aggionamenti dell'antivirus e blocca alcune pagine di accesso ai server degli antivirus (es MBAM e Superantispyware)

Ho seguito le vostre indicazioni al thread seguente :

http://forum.zeusnews.com/viewtopic.php?t=41572&start=0&postdays=0&postorder=asc&highlight=

dove un utente segnalava il Virus.Win32.Virut.ce.

vi posto i risultati dei testi da richiesti ma considerate che Superantispyware nn è aggiornato per i suddetti problemi (l'ho scaricato da un sito che nn è quello originario)

http://wikisend.com/download/616584/hijackthis.log
http://wikisend.com/download/491648/mbam-log-2009-09-26 (15-28-46).txt
http://wikisend.com/download/931566/report suspect.txt
http://wikisend.com/download/931566/report suspect.txt

vi chiedo un aiuto perche qui nn riesco a fare granchè in alcun modo, grazie.

Riverside

Sei nei guai fino al collo amico mio (cosi impari a scaricare porcherie da Emule o da Torrent) : Virut è una brutta bestia da rimuovere e non è detto che ci riesca (come hia potuto vedere, non lo rimuovi neppure formattando).

Per ora procedi in questo modo:

Se hai Windows XP

OPERAZIONI PRELIMINARI:

Disattiva il Ripristino configurazione di sistema:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino alla risoluzione del probema

Svuota del suo contenuto la cartella Prefetch:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila e individua la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

Se hai Windows VISTA

Disattiva il Ripristino configurazione di sistema:
● Start
● Pannello di controllo
● seleziona Sistema e manutenzione
● seleziona l?icona Sistema
● nel menu a sinistra clicca su Protezione sistema
● togli la spunta alle voci che fanno riferimento ai dischi ai quali disattivare il Ripristino configurazione di sistema [di norma è C:/]
● conferma, la modifica, con Applica e poi con OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino alla risoluzione del probema

Disattiva l'UAC (User Account Control):
● Start
● Pannello di controllo
● Account Utente e Protezione per la Famiglia
● Account utente
● Attiva o disattiva Controllo account utente
● togli la spunta alla voce Per proteggere il computer utilizzare il controllo dell'account utente

Disabilta Windows Defender

● Start
● Tutti i programmi
● seleziona Windows Defender
● dal menu Strumenti scegli Opzioni
● in Opzioni amministratore deseleziona la casella di controllo Usa Windows Defender
● conferma l'operazione cliccando su Salva
● se viene chiesto di specificare una Password di Amministratore o di confermare, digita la password o conferma

==================================

Eseguiti i passaggi di cui sopra, esegui esattamente la: procedura che è indicata qui

Una volta terminata la procedura, se tutto andrà bene, avrai rimosso Virut (ma non ti assicuro nulla): torna qui e sistemeremo il resto.

Al termine della procedura verrà rilasciato un log o un report della operazione di rimozione: salvalo ed allegalo qui.

Per allegare il log utilizza questo servizio di upload: clicca qui per wikisend
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento del file.

Non installare né SpyBot e neppure Adware: limitati sono alla procedura per l'uso di Trend Micro Sysclean Package

estelos · Eroe Registrato: 26/09/09 14:36 Messaggi: 54

Grazie per l'interessamento.

ho fatto quanto detto, ecco il file log relativo.

http://wikisend.com/download/500830/REPORT.LOG

ti prego di darmi ulteriori istruzioni dato che è chiaro che ci sono ancora virus.

saluti

Riverside

estelos · Eroe Registrato: 26/09/09 14:36 Messaggi: 54

intanto per rispondere alla tua domanda ti dico che ho 2 HD (c e d), su c c'era win xp, che ho riformattato. i file che volevo recuperare da c li ho salvati in d prima della formattazione. Ho l'impressione che la nuova infezione sia venuta da d dopo la formattazione.

riguardo le cose che mi hai chiesto di fare, non riesco a far partire combofix... mi dice continuamente che è pronto per lavorare ma rimane li cosi...

ti allego i log richiesti tranne quello di combofix.

http://wikisend.com/download/508170/NORMAN1.log
http://wikisend.com/download/556398/NORMAN2.log
http://wikisend.com/download/463052/hijackthis.log

Riverside

estelos · Eroe Registrato: 26/09/09 14:36 Messaggi: 54

Ma dai file log che ti ho inviato cosa ne desumi? lo vedi da li che c'è VIrut? a me solo un antivirus me l'ha rilevato, uno a pagamento nella versione prova, tutti gli latri antivirus mi trovano tutta una serie di altri virus in continuazione. ma dove risiede sto maledetto? possibile non ci siano software che lo possano debellare?

ed infine, io ho dati che non posso assolutamente perdere, cose personali che nn abbandono piuttosto mi tengo un computer infetto. si tratta di foto file di testo etc... che nn sono .exe. possibile nn salvarli in qualche modo prima di procedere con le formattazioni degli HD?

Riverside

estelos · Eroe Registrato: 26/09/09 14:36 Messaggi: 54

Ti ringrazio per il tempo che stai perdendo con me.

ma non ne posso piu del tuo tono arrogante che hai dalla prima replica.

ma cosa vuoi?? non ho bisogno del tuo moralismo superficiale

ma che ne sai di cosa ci faccio col computer? frughi nei miei file e ti permetti commenti pubblici sui mie file!!!!!!!!!!!!!!!!!! ... questo non è un comportamento professionale... lasciami perdere.

se mi vuoi aiutare va bene, se ogni tua replica deve contenere frasi allusive e moraliste lascia perdere, che il tuo tempo lo puoi dedicare a qualcosa di piu costruttivo che rompere l'anima alla gente.

fai parte dello staff di zeus? spero di si ... in ogni caso ne ho abbastanza

Riverside

zeross · Amministratore Registrato: 19/11/08 12:04 Messaggi: 8148 Residenza: Atlantica

@Estelos se sei in grado di eseguire delle masterizzazioni allora ti conivene incominciare a salvare su disco cdr tutto quello che ha per te importanza particolare.

ricordati che allo stato attuale della tua infezione cosi come appare dai log che posti non esiste speranza concreta di arrestare la cancrena che affligge il tuo file system.

La impossibilità di accedere ai dati e di recuperarli come ti ha detto con il suo tipico modo Riverside è solo questione di tempo ( calcolato in accessi e riavvi del sistema operativo) cosi quando giungera il momento dovrai per forza ricorrere solo alla formattazione.,

estelos · Eroe Registrato: 26/09/09 14:36 Messaggi: 54

grazie per il consiglio. dunque mi confermi che se non esporto .exe non dovrei spostare l'infezione?parli di cdr, ma va bene anche dvdr, immagino?

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao estelos.
Hai una situazione disperata.
E puoi tentare azioni disperate, come far girare questi tooll specifici per il Virut, con la speranza (assai remota) che le varianti che hai preso coincidino con i tooll.
link[url]

link[/url]

In questo link, (leggilo bene) devi mettere gli eseguibili (2) all'interno di una sola cartella:
link
Falli girare sia in Modalità provvisoria,(prima) che in Modalità normale.(dopo)

Se per miracolo, riesci a entrare in siti antivirus, prova a fare una scansione con Kasperky, o BitDefender.

zeross · Amministratore Registrato: 19/11/08 12:04 Messaggi: 8148 Residenza: Atlantica

Qualsiasi supporto masterizzabile va bene.

Invece per tua sfortuna non sono solo gli .exe, .inf, .com e .dll a costituire il problema visto che un eventuale file con doppia estensione ( tipo .mp3.exe) ti mostrerebbe la prima estensione nelle sue proprietà ma in realtà sarebbe un eseguibile, anche se te lo vedi come un file audio.
Mad

Per non parlare di quel file che al loro interno contengono iframe o controlli activex, oppure macro come quelli di office Evil or Very Mad

Non è possiible garantire che tu non esporti file infetti su cd/dvd ma nel momento che tu bonifichi il computer e ti doti di un altro tipo di difese ( ovvero no ad AVG che ha fallito sul campo) potrai identificare sul disco quali sono i gli eventuali file infetti e selezionare di trasferire solo i file puliti.

E evidente che che alcuni file potrebbero essere compromessi e non ripristinabili per cui dovrai incominciare fin da adesso a valutare le strategie migliori per non perdere i dati veramente irriproducibili. 8)

estelos · Eroe Registrato: 26/09/09 14:36 Messaggi: 54

al momento le funzionalitàdel sistema sono quasi integre.
devo inoltre segnalare che avira antivir che ho installato oggi si sta comportando piuttosto bene nel trovare VIRUT, al contrario di tutti gli altri antivirus usati sinora (AVG, Malwarebyte, AVAst ed altri). ora ha appena finito uno scan che non da virus. non mi illudo ma ancora riesco a lanciare molte applicazioni.
per esempio ora riesco di nuovo ad accedere a tutti i server antivirus, cosa che ieri non era possilbie

ora provero a fare scansioni online che non ho ancora fatto e ad usrae tools specifiche.

grazie a tutti comunque

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Dopo aver eseguito i tooll, fai anche questa operazione:
Scarica Windows Worms Doors Cleaner

link
Avvia WWDC, e se compaiono delle voci rosse, cliccaci sopra su tutte per correggerle e poi riavvia il PC.
Avvia nuovamente WWDC e le voci dovrebbero essere tutte verdi.

Disistalla Combofix cosi:
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di Combofix e (qoobox)

Lo reistalli:
link
E fai una scansione.
Attenzione: disattiva temporaneamente l'antivirus, e fai la scansione sconnesso da internet.
Posta il log .

Riverside

Divertente Wink

...... proseguite 8)

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

zeross · Amministratore Registrato: 19/11/08 12:04 Messaggi: 8148 Residenza: Atlantica

Se vogliamo essere di aiuto ad Estelos evitiamo di trasformare questo luogo in un arena. Speak to the hand

Adesso dobbiamo solo aspettare di sapere altre informazioni da parte dell'utente. Not talking

Daltronde tutti sappiamo il problema rappresentato da questi virus particolarmente aggressivi, e se non sistema l'unita D questo problema non ha soluzione. Damn!

e per sistemare l'unità D deve salvare tutto quello che ha perchè verrà il momento che gli dovremo dire di formattare tutto il disco con una utility di basso livello Light

Quello che si poteva fare e dire è stato fatto e detto. Read

Riverside