Olimpo Informatico

[rosenda]

Buongiorno, l'altra sera appena mi sono collegata ad internet mi si è bloccato il computer ed è apparsa la schermata del visur della polizia di stato. Ho cercato su internet le indicazioni da seguire per sbloccare il computer ma non succede nulla. Ho un sistema operativo windos xp e appena do l'invio per la modalità provvisoria mi esce un'altr schermata con la scelta del sistema operativo e dando l'invio parte una lunga serie di c:// eccetera eccetera fino a che lo schermo diventa nero con un cursore che lampeggia qualche secondo e poi mi riappare la schermata del virus
Non so più cosa fare ho un sacco di dati che stupidamente non ho salvato altrove e non posso perderli

Help me please
Rosenda

[R16]

Ciao.
Proviamo con questo metodo:
Possiedi una pennetta formattata?
Se sì, scarica nella pennetta questo file:
link

Inserisci la Pendrive nel Pc infetto.
Avvia il pc in Modalità provvisoria. (f8)
Scegli Modalità provvisoria"Prompt dei Comandi".
Seleziona il tuo account
Nel Prompt Dei Comandi digita notepad e clicca Invio.
Si aprirà un file di testo
Nel menu in alto clicca file e seleziona Apri.
Cerca la lettera a cui è riferita la pennetta usb.
Questa operazione serve per verificare con certezza quale lettera è assegnata alla pennetta.

Una volta identificata la lettera della pennetta:

Nel Prompt dei comandi digita E:\frst.exe dove E è la lettera che è stata assegnata alla tua Pendrive, per cui nel comando sostituisci E con la lettera a cui si riferisce la pennetta usb.

Clicca Invio

Il tool si avvierà.
Clicca Yes per accettare le condizioni di contratto.
Premi su SCAN.
A scansione finita, verrà prodotto un log sulla pendrive stessa, chiamato FRST.TXT
Postalo qui.

Per postare il log:
Collegati ad internet e vai alla pagina WikiSend:
link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

*******************************

[rosenda]

Sto provando la procedura che mi avete inviato ma quando apro il file .exe dalla chiavetta sul computer infetto, il blocco note mi fa vedere solo un sacco di simboli, che faccio?

[R16]

[rosenda]

si ho seguito alla lettera i comandi e fatto tutto come mi avete scritto

[R16]

Vorrei un'informazione:
Quando avvii il pc, per qualche secondo ti appare il desktop?
Oppure la schermata del virus è istantanea.

[rosenda]

Ciao ho eseguito la procedura per intero, come mi avete scritto, sono riuscita a far partire il programma facendo scan, ma alla fine mi è apparsa la scritta: impossibile completare l'operazione per i servizi di gestione disco. se riesco vi allego il file
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 14-02-2013
Ran by mariella at 17-02-2013 17:18:29
Running from H:\
Service Pack 3 (X86) OS Language: Italian Standard
Attention: Could not load system hive.

Error: Impossibile accedere al file. Il file è utilizzato da un altro processo.
ATTENTION:=====> THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY.


==================== One Month Created Files and Folders ========

2013-02-17 17:18 - 2013-02-17 17:18 - 00000000 ____D C:\FRST
2013-02-12 09:05 - 2013-02-12 09:12 - 00000000 ____D C:\Windows\pss
2013-02-12 08:49 - 2013-02-12 08:49 - 00000000 __SHD C:\Documents and Settings\Administrator.MARIO\PrivacIE
2013-02-12 08:49 - 2013-02-12 08:49 - 00000000 __SHD C:\Documents and Settings\Administrator.MARIO\IETldCache
2013-02-12 08:49 - 2006-04-24 09:45 - 00000000 ___RD C:\Documents and Settings\Administrator.MARIO\Menu Avvio
2013-02-12 08:49 - 2006-04-24 09:45 - 00000000 ___HD C:\Documents and Settings\Administrator.MARIO\Risorse di stampa
2013-02-12 08:49 - 2006-04-24 09:45 - 00000000 ___HD C:\Documents and Settings\Administrator.MARIO\Risorse di rete
2013-02-12 08:49 - 2006-04-24 09:45 - 00000000 ___HD C:\Documents and Settings\Administrator.MARIO\Modelli
2013-02-12 08:49 - 2006-04-24 09:45 - 00000000 ___HD C:\Documents and Settings\Administrator.MARIO\Impostazioni locali
2013-02-12 08:49 - 2006-04-24 01:45 - 00000194 ___SH C:\Documents and Settings\Administrator.MARIO\ntuser.ini
2013-02-12 08:49 - 2006-04-24 01:41 - 00000000 __RHD C:\Documents and Settings\Administrator.MARIO\Dati applicazioni
2013-02-12 08:49 - 2006-04-24 01:12 - 00001094 ____A C:\Documents and Settings\Administrator.MARIO\Desktop\Centro di supporto e assistenza.lnk
2013-02-12 08:49 - 2006-04-24 00:52 - 00000000 ___RD C:\Documents and Settings\Administrator.MARIO\Preferiti
2013-02-12 08:49 - 2006-04-24 00:52 - 00000000 ___RD C:\Documents and Settings\Administrator.MARIO\Documenti
2013-02-11 18:05 - 2013-02-11 18:05 - 00000000 __SHD C:\Documents and Settings\Administrator\PrivacIE
2013-02-11 18:05 - 2013-02-11 18:05 - 00000000 __SHD C:\Documents and Settings\Administrator\IETldCache
2013-02-11 18:05 - 2006-04-24 09:45 - 00000000 ___RD C:\Documents and Settings\Administrator\Menu Avvio
2013-02-11 18:05 - 2006-04-24 09:45 - 00000000 ___HD C:\Documents and Settings\Administrator\Risorse di stampa
2013-02-11 18:05 - 2006-04-24 09:45 - 00000000 ___HD C:\Documents and Settings\Administrator\Risorse di rete
2013-02-11 18:05 - 2006-04-24 09:45 - 00000000 ___HD C:\Documents and Settings\Administrator\Modelli
2013-02-11 18:05 - 2006-04-24 09:45 - 00000000 ___HD C:\Documents and Settings\Administrator\Impostazioni locali
2013-02-11 18:05 - 2006-04-24 01:45 - 00000194 ___SH C:\Documents and Settings\Administrator\ntuser.ini
2013-02-11 18:05 - 2006-04-24 01:41 - 00000000 __RHD C:\Documents and Settings\Administrator\Dati applicazioni
2013-02-11 18:05 - 2006-04-24 01:12 - 00001094 ____A C:\Documents and Settings\Administrator\Desktop\Centro di supporto e assistenza.lnk
2013-02-11 18:05 - 2006-04-24 00:52 - 00000000 ___RD C:\Documents and Settings\Administrator\Preferiti
2013-02-11 18:05 - 2006-04-24 00:52 - 00000000 ___RD C:\Documents and Settings\Administrator\Documenti
2013-02-11 15:35 - 2013-02-11 15:35 - 00094720 ____A C:\Documents and Settings\mariella\3372670.dll
2013-01-24 09:30 - 2013-01-24 09:30 - 00000000 ___AH C:\Windows\System32\Drivers\Msft_Kernel_vodafone_K3805-z_cdc_ecm_01009.Wdf
2013-01-24 09:30 - 2013-01-24 09:30 - 00000000 ___AH C:\Windows\System32\Drivers\Msft_Kernel_vodafone_K3805-z_cdc_acm_01009.Wdf
2013-01-24 09:29 - 2013-01-24 09:29 - 00004125 ____A C:\Windows\Wdf01009Inst.log
2013-01-24 09:29 - 2013-01-24 09:29 - 00000000 __HDC C:\Windows\$NtUninstallWdf01009$
2013-01-24 09:29 - 2013-01-24 09:29 - 00000000 ___AH C:\Windows\System32\Drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf
2013-01-24 09:29 - 2013-01-24 09:29 - 00000000 ___AH C:\Windows\System32\Drivers\Msft_Kernel_vodafone_K3805-z_dc_enum_01009.Wdf
2013-01-24 09:29 - 2008-11-07 18:55 - 00016928 ____N (Microsoft Corporation) C:\Windows\System32\spmsgXP_2k3.dll
2013-01-24 09:28 - 2013-01-24 09:28 - 00001974 ____A C:\Documents and Settings\All Users\Desktop\SMS.lnk
2013-01-24 09:28 - 2013-01-24 09:28 - 00001891 ____A C:\Documents and Settings\All Users\Desktop\Vodafone Mobile Broadband.lnk
2013-01-18 07:28 - 2013-01-18 07:46 - 00000000 ____D C:\Documents and Settings\mariella\Desktop\Fatture pdf

==================== One Month Modified Files and Folders ========

2013-02-17 17:12 - 2004-08-30 12:26 - 00001158 ____A C:\Windows\System32\wpa.dbl
2013-02-15 18:52 - 2012-07-12 08:14 - 00000358 ___AH C:\Windows\Tasks\avast! Emergency Update.job
2013-02-15 18:52 - 2009-07-20 09:23 - 00000159 ____A C:\Windows\wiadebug.log
2013-02-15 18:52 - 2009-07-20 09:23 - 00000050 ____A C:\Windows\wiaservc.log
2013-02-15 18:52 - 2004-08-30 12:26 - 01202532 ____A C:\Windows\WindowsUpdate.log
2013-02-15 18:51 - 2004-08-30 12:26 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-02-15 18:47 - 2006-04-24 09:45 - 00000000 __RHD C:\Documents and Settings\All Users\Dati applicazioni
2013-02-15 18:45 - 2006-07-22 15:21 - 00000306 ___SH C:\Documents and Settings\mariella\ntuser.ini
2013-02-15 18:45 - 2004-08-30 13:56 - 00000227 ____A C:\Windows\system.ini
2013-02-15 18:45 - 2004-08-30 12:08 - 00000608 ____A C:\Windows\win.ini
2013-02-15 18:45 - 2004-08-30 12:01 - 00000211 _RASH C:\boot.ini
2013-02-12 09:13 - 2012-09-17 17:00 - 00054156 ___AH C:\Windows\QTFont.qfn
2013-02-12 09:13 - 2012-09-17 17:00 - 00001409 ____A C:\Windows\QTFont.for
2013-02-12 09:13 - 2004-08-30 12:26 - 00032562 ____A C:\Windows\SchedLgU.Txt
2013-02-12 09:12 - 2013-02-12 09:05 - 00000000 ____D C:\Windows\pss
2013-02-12 09:04 - 2006-10-20 20:24 - 00000040 ____A C:\XP_TV.ini
2013-02-12 09:04 - 2006-04-24 01:33 - 00001850 __ASH C:\hpqp.ini
2013-02-12 08:49 - 2013-02-12 08:49 - 00000000 __SHD C:\Documents and Settings\Administrator.MARIO\PrivacIE
2013-02-12 08:49 - 2013-02-12 08:49 - 00000000 __SHD C:\Documents and Settings\Administrator.MARIO\IETldCache
2013-02-11 18:05 - 2013-02-11 18:05 - 00000000 __SHD C:\Documents and Settings\Administrator\PrivacIE
2013-02-11 18:05 - 2013-02-11 18:05 - 00000000 __SHD C:\Documents and Settings\Administrator\IETldCache
2013-02-11 15:35 - 2013-02-11 15:35 - 00094720 ____A C:\Documents and Settings\mariella\3372670.dll
2013-02-11 15:33 - 2013-01-07 10:21 - 00000000 ____D C:\Documents and Settings\mariella\Desktop\CURRICULUM MARIO
2013-02-11 15:33 - 2006-04-24 09:45 - 00000000 ____D C:\Programmi
2013-02-11 15:19 - 2009-08-10 14:39 - 00000430 ____A C:\Windows\System32\Drivers\etc\hosts.ics
2013-02-05 07:53 - 2006-07-22 16:31 - 00000306 ___SH C:\Documents and Settings\rosenda\ntuser.ini
2013-02-01 17:52 - 2006-07-22 16:31 - 00000000 ___RD C:\Documents and Settings\rosenda\Documenti
2013-01-31 14:52 - 2006-07-22 16:31 - 00000000 __RHD C:\Documents and Settings\rosenda\Dati applicazioni
2013-01-31 13:10 - 2011-11-18 09:16 - 00000000 ____D C:\Documents and Settings\rosenda\Desktop\2010
2013-01-29 18:58 - 2006-07-22 15:21 - 00000000 ___RD C:\Documents and Settings\mariella\Documenti
2013-01-29 18:44 - 2006-07-22 15:21 - 00000000 __RHD C:\Documents and Settings\mariella\Dati applicazioni
2013-01-29 17:37 - 2009-09-21 14:26 - 00000000 ____D C:\Windows\System32\LogFiles
2013-01-29 13:07 - 2006-04-24 09:45 - 00000000 ___RD C:\Documents and Settings\All Users\Documenti
2013-01-24 09:31 - 2012-09-12 13:23 - 00096687 ____A C:\Windows\setupapi.log
2013-01-24 09:30 - 2013-01-24 09:30 - 00000000 ___AH C:\Windows\System32\Drivers\Msft_Kernel_vodafone_K3805-z_cdc_ecm_01009.Wdf
2013-01-24 09:30 - 2013-01-24 09:30 - 00000000 ___AH C:\Windows\System32\Drivers\Msft_Kernel_vodafone_K3805-z_cdc_acm_01009.Wdf
2013-01-24 09:30 - 2012-09-12 13:23 - 00008457 ____A C:\Windows\setupact.log
2013-01-24 09:29 - 2013-01-24 09:29 - 00004125 ____A C:\Windows\Wdf01009Inst.log
2013-01-24 09:29 - 2013-01-24 09:29 - 00000000 __HDC C:\Windows\$NtUninstallWdf01009$
2013-01-24 09:29 - 2013-01-24 09:29 - 00000000 ___AH C:\Windows\System32\Drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf
2013-01-24 09:29 - 2013-01-24 09:29 - 00000000 ___AH C:\Windows\System32\Drivers\Msft_Kernel_vodafone_K3805-z_dc_enum_01009.Wdf
2013-01-24 09:29 - 2012-09-12 13:23 - 00114337 ____A C:\Windows\FaxSetup.log
2013-01-24 09:29 - 2012-09-12 13:23 - 00053336 ____A C:\Windows\ocgen.log
2013-01-24 09:29 - 2012-09-12 13:23 - 00042464 ____A C:\Windows\tsoc.log
2013-01-24 09:29 - 2012-09-12 13:23 - 00037149 ____A C:\Windows\comsetup.log
2013-01-24 09:29 - 2012-09-12 13:23 - 00022549 ____A C:\Windows\ntdtcsetup.log
2013-01-24 09:29 - 2012-09-12 13:23 - 00017871 ____A C:\Windows\iis6.log
2013-01-24 09:29 - 2012-09-12 13:23 - 00006948 ____A C:\Windows\ocmsn.log
2013-01-24 09:29 - 2012-09-12 13:23 - 00005562 ____A C:\Windows\msgsocm.log
2013-01-24 09:29 - 2012-09-12 13:23 - 00001374 ____A C:\Windows\imsins.log
2013-01-24 09:29 - 2006-04-24 00:54 - 00000000 ____D C:\Windows\System32\ReinstallBackups
2013-01-24 09:28 - 2013-01-24 09:28 - 00001974 ____A C:\Documents and Settings\All Users\Desktop\SMS.lnk
2013-01-24 09:28 - 2013-01-24 09:28 - 00001891 ____A C:\Documents and Settings\All Users\Desktop\Vodafone Mobile Broadband.lnk
2013-01-18 07:46 - 2013-01-18 07:28 - 00000000 ____D C:\Documents and Settings\mariella\Desktop\Fatture pdf


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2004-08-19 09:00] - [2008-04-14 03:14] - 1036288 ____A (Microsoft Corporation) 70d7f99d95615c3c278367756287db71

C:\Windows\System32\winlogon.exe
[2004-08-19 09:00] - [2008-04-14 03:14] - 0510464 ____A (Microsoft Corporation) 9259170d29b5a256735fcb8b80280857

C:\Windows\System32\svchost.exe
[2004-08-19 09:00] - [2008-04-14 03:14] - 0014336 ____A (Microsoft Corporation) bb8363abec09aa2f9b363484e282117c

C:\Windows\System32\services.exe
[2004-08-19 09:00] - [2009-02-09 12:22] - 0111104 ____A (Microsoft Corporation) 26845f272435302e0f3322e660a24f7d

C:\Windows\System32\User32.dll
[2004-08-19 09:00] - [2008-04-14 03:13] - 0579584 ____A (Microsoft Corporation) fa94696c0727bd59e517c674cd6e7c72

C:\Windows\System32\userinit.exe
[2004-08-19 09:00] - [2008-04-14 03:14] - 0026624 ____A (Microsoft Corporation) df69726907357c3add243f48902b0331

C:\Windows\System32\Drivers\volsnap.sys
[2004-08-19 09:00] - [2008-04-14 02:49] - 0053376 ____A (Microsoft Corporation) e46c1b5a56da7da603d09dfcc79ec59e


==================== Restore Points (XP) =====================

RP: -> 2013-01-31 12:00 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP538

RP: -> 2013-01-28 21:31 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP537

RP: -> 2013-01-24 09:28 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP536

RP: -> 2013-01-21 11:15 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP535

RP: -> 2013-01-18 09:47 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP534

RP: -> 2013-01-15 18:38 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP533

RP: -> 2013-01-15 18:10 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP532

RP: -> 2013-01-14 16:13 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP531

RP: -> 2013-01-12 12:24 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP530

RP: -> 2013-01-11 08:38 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP529

RP: -> 2013-01-09 22:22 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP528

RP: -> 2013-01-09 18:49 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP527

RP: -> 2013-01-08 11:10 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP526

RP: -> 2013-01-04 10:02 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP525

RP: -> 2012-12-21 12:28 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP524

RP: -> 2012-12-20 10:26 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP523

RP: -> 2012-12-18 17:29 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP522

RP: -> 2012-12-12 11:07 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP521

RP: -> 2012-12-11 11:56 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP520

RP: -> 2012-11-26 10:38 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP519

RP: -> 2012-11-19 15:32 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP518

RP: -> 2012-11-19 13:31 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP517

RP: -> 2012-11-15 09:30 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP516

RP: -> 2012-11-13 12:14 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP515

RP: -> 2012-11-05 16:37 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP514

RP: -> 2012-11-03 11:23 - 024576 _restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP513


==================== Memory info ===========================

Percentage of memory in use: 20%
Total physical RAM: 1022.17 MB
Available physical RAM: 812.97 MB
Total Pagefile: 2461.81 MB
Available Pagefile: 2394.5 MB
Total Virtual: 2047.88 MB
Available Virtual: 1995.38 MB

==================== Partitions =============================

1 Drive c: () (Fixed) (Total:85.82 GB) (Free:42.2 GB) NTFS ==>[Drive with boot components (Windows XP)]
2 Drive d: (HP_RECOVERY) (Fixed) (Total:6.32 GB) (Free:1.36 GB) FAT32 ==>[Drive with boot components (Windows XP)]
4 Drive h: (DATABAR) (Removable) (Total:3.72 GB) (Free:3.72 GB) FAT32

Disco n. Stato Dim. Libera Din Gpt
-------- ---------- ------- ------- --- ---
Disco 0 Pronto 93 GB 0 B

Partitions of Disk 0:
===============

Impossibile completare l'operazione per i servizi di gestione disco.

=========================================================
==================== End Of Log ============================

[R16]

Ciao.
Non ha funzionato perchè non rileva i file dell'infezione.
Non hai risposto a questa mia domanda:

[rosenda]

Per qualche secondo mi appare il desktop e poi la schermata del virus

[R16]

Ok.
Devi essere più veloce del virus:
Proviamo a bloccare il virus con il Task Manager.( CTRL + ALT +CANC)
Quando si apre il Task Manager, cerca il più velocemente possibile il processo "explorer.exe" (NON confonderlo con iexplorer.exe) lo selezioni, e poi clicca "Termina processo".
Magari fai vari tentativi.
Ti spariranno dal desktop tutte le icone, ma il virus resta bloccato.
A questo punto vai su Start e clicca su "Tutti programmi".
Da lì fai partire Malwarebytes (se è installato) oppure l'antivirus.
Se per caso non viene visualizzato Start possiamo far partire un programma sempre dal Task Manager.

N.B:
NON spegnere o riavviare il pc.
L'infezione ripartirebbe a razzo.

[rosenda]

ma questa operazione devo farla dopo quella di prima o devo ricominciare da capo quindi accendendo il computer?

[R16]

Devi spegnere il pc.
Lo avvii.
Nel momento che ti appare il desktop, fai partire il Task Manager.
Cerca il processo explorer.exe e clicca "Rimuovi processo."

[rosenda]

niente troppo veloce il virus... ora non mi da più nemmeno il desktop e parte subito...... aiutoooooooooooooo

[R16]

Prova con un CD auto-avviante:
http://forum.zeusnews.com/viewtopic.php?t=40144
Prova AVIRA AntiVir Rescue System