Olimpo Informatico

[ryuk]

Cercando di scaricare una versione di msn da un link che ho trovato in una email, che mi è arrivata (e che apparentemente sembrava innocua), ho contratto il virus! Avast mi ha segnalato la presenza di un malware/virus, denominato "autorun.inf" trovato nell'unità g, che corrisponde all'unità che si attiva, quando si utilizzano delle penne usb.
Tale virus infetta la chiavetta usb che il pc legge; appena inserisco una qualsiasi penna usb nel pc, avast mi segnala la presenza del virus.

ho fatto una prima scansione antivirus di tutto il sistema con avast, e ho messo nel cestino alcuni virus che ha trovato...però del virus autorun.inf non c'è traccia. ora ho provato ad eseguire di nuovo un'altra scansione,
vedrò domani se verrà segnalata la presenza di nuovi virus.
però penso che il virus autorun.inf sia ancora presente nel mio pc.

cosa posso fare per eliminare questo virus dal pc?

quali programmi posso scaricare?
sarebbe meglio fare il minor numero di operazioni di trasferimento file dalla chiavetta per evitare di infettare l'altro pc.

caratteristiche del mio pc:
PENTIUM III 700 mhz
sistema operativo utilizzato: WINDOWS XP PROFESSIONAL.

grazie

[R16]

Ciao.
Per prima cosa NON inserire la chiavetta nel pc.
Vediamo se il pc è infetto. (alla chiavetta ci penseremo dopo)
Pulisci i files temporanei con CCleaner
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Scarica e installa la versione Free di SuperAntispyware:
link
la configuri come da immagini :
http://www.zeusnews.it/zz_upload/img/PSV/SAS/7477731.jpg
http://www.zeusnews.it/zz_upload/img/PSV/SAS/9926902.jpg
Esegui una scansione completa.

Segui le istruzioni di questo topic per usare MBAM:
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.

Segui le istruzioni di questo topic per usare Combofix:
http://forum.zeusnews.com/viewtopic.php?t=45224

Carica i log di MBAM, SuperAntispyware, Combofix, su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
link

[ryuk]

ciao! ho appena letto il mex! mi metto subito all'opera... ora ke mi hai detto di ccleaner, devo dirti che ieri per alleggerire il pc ho fatto la pulizia completa del disco, utilizzando il programma "disk cleanar" spero che ciò non comporti problemi.
appena termino di fare le operazioni che mi hai scritto ti avviso...
ciao

[R16]

[ryuk]

ciao! dopo aver pulito i file temporanei con ccleaner, seguendo la procedura del link che mi hai scritto, ho scaricato il programma free di SuperAntispyware, solamente che ho alcuni problemi.

In primo luogo mi è apparsa da subito una finestra con il seguente contenuto:
"cambiamento rilevato nella home page

Superantispyware ha rilevato che l'home page del browser non è ancora stata cambiata.
se non era sua intenzione il computer potrebbe avere spyware o adware.

Home page per internet explorer (prima del cambiamento)
________________________________(non c'è scritto nulla sotto)

Home page per internet explorer (dopo il cambiamento)
http://www.google.it"

(in quel pc, home page di internet explorer è proprio www.google.it)

nella stessa finestra alla fine mi viene chiesto di optare per 2 scelte cliccando su una delle 2 possibiltà e cioè:
il bottone "permette il cambiamento" e il bottone "blocca il cambiamento"

subito dopo che è apparsa questa finestra, si è aperto il programma Superantispyware, contemporaneamente è comparsa una finestra con scritto "la scansione non è ancora finita. Siete sicuri di annullare la scansione", e viene chiesto "si" o "no". tale finestra inizia a comparire all'infinito,io clicco continuamente su no, però quando questi pop up vengono chiusi, tempo 2 secondi e continuano a riapparire all'infinito.

inoltre il pc, che prima era già lento, sta andando ancora + lentamente.

cosa mi consigli di fare?
grazie mille

[R16]

[ryuk]

ciao! ho installato nel pc MBAM; fortunatamente questa volta l'installazione è andata a buon fine!
prima di effettuare la scansione ho scaricato gli aggiornamenti.
ho fatto dunque una scansione completa selezionando le unità (C e D) che corrisondono ai miei 2 HD. le altre unità le ho tralasciate, dato che non ci sono nel pc nè floppy, nè cd o dvd.
domani mattina ti faccio sapere l'esito della scansione, e se compare un file di testo alla fine, lo salvo sul desktop, e poi te lo copio qui su questo post.

[R16]

Elimina tutto quello che trova MBAM.
Poi posta il log.
E' molto importante la scansione con Combofix. (e devo vedere il log)

P.S:
Per favore, NON quotare le mie risposte, mi trovo meglio.

[ryuk]

va bene! per ora ha trovato un file infetto il pc..ma penso ke andrà avanti tt la notte...
domani mattina vedrò di utilizzare anke l'altro programma...
ciaooo

[ryuk]

ciao!
la scansione completa è terminata da poco. Ho eliminato tutto ciò che MBAM ha trovato, ho salvato il log che qui ti riporto.

ora mi preparo per la scansione su combifix.
ho letto però nel link che mi hai lasciato che bisogna scaricare un file diverso a seconda che si disponda di windows xp pro, senza service pack, con sp1 o con sp2.

come faccio a riconoscere se ho una sp ed eventualmente se è la 1 o la 2? il sistema operativo non è originale, e nn l'ho installato io...

ecco il log

Malwarebytes' Anti-Malware 1.43
Versione del database: 3459
Windows 5.1.2600 Service Pack 1
Internet Explorer 6.0.2800.1106

31/12/2009 13.48.51
mbam-log-2009-12-31 (13-48-51).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 270652
Tempo trascorso: 13 hour(s), 46 minute(s), 33 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 2

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\APP\bin\geturl.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programmi\Mitsubishi\Sublime\XMLTMPL\curl.exe (Trojan.Agent) -> Quarantined and deleted successfully.

[ryuk]

ook su pannello di controllo, cliccando su sistema ho scoperto la versione di xp

MICROSOFT WINDOWS XP PROFESSIONAL VERSIONE 2002

SERVICE PACK 1

procedo con combifix!

ciao

[ryuk]

sono riuscito a capire la versione sistema operativo, andando su pannello di controllo, e poi cliccando su sistema.

il mio s.o. è

MICROSOFT WINDOWS XP PROFESSIONAL 2002 SERVICE PACK 1

ho letto il link di combifix e volevo chiederti 2 cose.

1) come disabilitare manualmente la protezione di avast? in teoria da quanto ho capito dovrei disabilitarlo subito all'inizio, per evitare problemi.

2) ho letto sempre in quel link che il programma si collega al sito della microsotf; l'utilizzo del programma combifix vale sia per un sistema operativo originale, sia per uno crackato???

attendo la tua risposta, e poi procedo con combifix!

ciao

[R16]

Non centra niente la versione di Windows per fare la scansione con Combofix. (a meno che, non si tratti di Windows7)
Per disabilitare Avast:
vedi in basso a destra vicino l'orologio l'icona di Avast?
fai un click sopra all'icona, e ti apparirà una schermata. clicca su "pausa"(o qualcosa del genere) e disattiverai avast.

Scarica Combofix

link

Salvalo sul desktop.

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (comparirà una videata.)
Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.
E' probabile che ti siano inviati messaggi dall'antivirus, tu ignorali.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
Carica il log di Combofix, su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
link
Per essere più precisi:
Collegati ad internet e vai alla pagina WikiSend: link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[ryuk]

ciao! scusa, prima di fare il processo di scansione con il programma combofix dovrei chiederti alcune cose (riesco solo ora a chiedertele, prima avevo problemi di connessione).

come disabilitare il firewall?? (sarebbe quello d windows??)
devo pure disabilitare ad-aware e MBAM? come faccio per disabilitare quest'ultimo?

ho letto poi che durante l'operazione di scansione non posso toccare neanche il mouse; per controllare come procede il processo, penso che mi converrà evitare che il pc vada in stand by, quanto durerà tale processo?

infine per quanto riguarda la connessione ad internet abbiamo detto che dopo aver scaricato combofix chiudo la connessione.
posso riconnettermi solo una volta terminato il processo di scansione giusto?

mi scuso per le troppe domande ma ho letto che questo processo è abbastanza delicato
Appena ho tempo faccio la scansione e ti faccio sapere.

buon anno!
ciao!

[R16]

1) Se hai un Firewall, esterno, (NON quello di Windows) lo disattivi.
2) Ad-aware lo puoi anche disistallare, non serve a niente. lo sostituisce MBAM.
3) Non occorre disabilitare Mbam.
4) Perchè il pc dovrebbe andare in stand by....tu durante la scansione, tieni le manine in tasca, beviti un Drink, fumati una sigaretta (se fumi) fai quello che vuoi ma NON toccare il pc, finchè non ti compare sul desktop il log.
5) La durata della scansione, dipende da quanto è infetto il pc. Di norma, dura 15-20 minuti.
6)Finita la scansione (è possibile un riavvio automatico del pc) puoi attivare la connessione.
Se non riesci a connetterti riavvia il pc.

[ryuk]

ciao ecco il forum link che mi hai chiesto. attendo la tua risposta

ComboFix.txt

[R16]

Vorrei levare, un pò di roba, ma con il S.O che hai, non voglio rischiare brutte sorprese.

Disinstalla combofix in questo modo:
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /Uninstall
Attendi la fine dei lavori senza toccare tastiera, mouse o altro.

Ripuliamo la chiavetta :
Bisogna disattivare momentaneamente il riconoscimento automatico delle periferiche USB;
serve il programma TweakUI scaricabile in questa pagina (lo trovi sulla destra verso metà pagina) e installalo:
link
Una volta installato, eseguilo e procedi con questi passaggi:

clicca sul simbolo + la sezione My Computer
clicca sul simbolo [+] la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI


Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue chiavette e fai una scansione delle stesse, con il tuo antivirus. (meglio anche con Malwarebytes)
Quando sei sicuro che tutto è a posto, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso che ti ho indicato.

Dimmi se il problema è risolto, oppure riscontri problemi.

[ryuk]

hey ciao!
domani faccio le operazioni che mi hai detto...

per quanto riguarda le chiavette e gli altri dispositivi usb ho qualcosa da chiederti...

per le normali penne usb che sono state inserite nel pc faccio quello che hai detto tu e nn penso ci siano grossi problemi...quando il pc ha contratto l'infezione era collegato al pc un hd esterno...per assicurarmi l'assenza di virus devo fare la stessa procedura fatta per le chiavette usb vero?

prima di scoprire che il pc fosse effettivamente infetto, gli ho collegato pure un ipod (e anche in questo caso veniva segnalata la presenza del virus autorun.inf nell'unità g) che procedura mi consigli di fare per vedere se ci sono virus lì dentro? per sicurezza questo ipod l'ho formattato ed installato su un mac di mio zio, per cui penso non ci dovrebbero più essere problemi...però se si può verificare la presenza o l'assenza di virus senza sorprese sarebbe meglio...

ultima cosa...sempre prima di scoprire che il vecchio pc fosse infetto (o meglio pensavo non ci fossero più virus), ho collegato la chiavetta proveniente dal vecchio pc, al mio pc (da cui ti scrivo)...il mio pc(intel(R) core(TM)2 Quad cpu q6600 @ 2.40GHz 2,40 GHz), dispone di windows vista 64 bit (originale e sempre aggiornato), di un antivirus (avast)...quando ho inserito la chiavetta mi è stato segnalato il virus da avast...però contrariamente a quanto è successo con l'altro pc, per vericare se anche il mio pc infettasse le chiavette, come faceva il vecchio pc, ho inserito un'altra chiavetta, ma non ho avuto nesusn problema, ed avast non ha segnalato nessun virus. non contento di ciò, ho portato la chiavetta infetta e l'altra chiavetta che avevo messo nel mio pc da mio zio e abbiamo fatto con il suo mac una scansione (con un antivirus che riconosce i virus di windows) ma non è stato segnalato alcun virus...abbiamo quindi formattato le chiavette, e quindi ho provato a inserirle nel mio nuovo pc, e fortunatamente non è stato segnalato alcun virus. ho fatto anche una scansione in maniera approfondita su tutto il sistema del mio pc ma non è stato trovato nessun virus.
a tatto direi che il virus non è entrato nel mio pc nuovo... tu dici che posso star tranquillo?
ci sentiamo domani

ciaoo

[R16]

[ryuk]

ciao! ho installato TweakUI seguendo le istruzioni che mi hai detto...

domani collego le penne usb e l'hd esterno e vedo se ci sono virus controllando sia con avast che con MBAM... appena posso ti faccio sapere l'esito delle scansioni con i 2 programmi.

cmq ho notato che l'antivirus non installa più gli aggiornamenti...li scarica solo, quando il download è al 100% non fa + niente e l'antivirus rimane con la vecchia finestra del download senza xò fare nessuna installazione...
la mancata installazione degli aggiornamenti non so se è stata causata dal virus...mi sembra di ricordare ke prima del virus non ci fossero stati questi problemi...però usando sporadicamente quel pc, non sono sicurissimo al 100% che prima di aver beccato il virus, gli aggiornamenti venissero installati senza problemi (proverò a chiederere a chi ha utilizzato il pc se ha riscontrato qualcosa di strano negli aggiornamenti)...ora quando utilizzo il pc avast mi segnala che non è riuscito a fare gli aggiornamenti...