|
|
Rank: Member
Iscritto dal : 10/3/2009
Posts: 21
|
Salve a tutti, stavolta l'ho combinata, purtroppo. Mi sono fatto infettare da un virus subdolo....penso sia VIRUT. Ho debellato diversi virus negli anni ma questo non so proprio da dove iniziare....mi affido a voi, sperando che non si debba ricorrere ad una formattazione (nel frattempo mi sto copiando tutti i file e le email su un disco esterno).
vi spiego dall'inizio, dopo avere eseguito il famoso file eseguibile spacciato per crack..di non so qual programma ormai il mio buon vecchio antivirus Avast (aggiornato ovviamente) è andato in tilt con continui messaggi di virus trovati....ho riavviato....e al riavvio mi è spuntata una schermata in alto a sinistra tipo configurazione desktop, colori ecc..ecc.. e poi mi spunta un desktop fasullo dal quale non potevo piu accedere a nessuna cartella poiche non mi riconosceva i diritti. Riavvio nuovamente e all'inserimento di nome utente e password (utilizzo windows vista) mi da un messaggio di errore (entro nel panico assoluto). Ho eseguito un ripristino tramite il cd di istallazione di vista al giorno precedente e quantomeno ora accedo al mio pc tranquillamente ma esso risulta infettato in molti eseguibili e processi attivi sempre con nomi diversi.
Resto a completa disposizione di qualcuno che voglia darmi una mano contro questo mostro!!!! grazie
|
|
|
|
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Si può provare, e spera che non sia il Virut. Scarica ed installa MalwareBytes: clicca qui per il download : http://www.aiutamici.com/software?id=80346Prima di fare la scansione AGGIORNALO. (è molto importante) Esegui una scansione completa del sistema. Posta il log. Scarica Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exeSalvalo sul desktop. Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione. Doppio click su combofix.exe (comparirà una videata.) Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO. E' probabile che ti siano inviati messaggi dall'antivirus, tu ignorali. Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni. Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui. Disinstalla combofix in questo modo: ( dopo che avrò visto il log) Start Esegui nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di Combofix e ( qoobox) Alla fine, posta un log di HJT.
|
|
Rank: Member
Iscritto dal : 10/3/2009
Posts: 21
|
SUBITO UN PROBLEMA :è normale che non mi fa scaricare l'aggiornamento di malwarebytes? inoltre provo ad entrare in malwarebytes.org e mi da indirizzo non trovato sia con firefox che con explorer. Con l'altro Pc dal quale vi scrivo il sito risulta invece accessibile....
|
|
Rank: Member
Iscritto dal : 10/3/2009
Posts: 21
|
sto procedendo senza aggiornare ok?
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
zingaraccio ha scritto:sto procedendo senza aggiornare ok? Cominciamo male. Si, prova senza aggiornare. Poi prova questi Tooll specifici per il Virut: (senza illuderti tanto) Prova questa procedura: (eseguila alla lettera) http://www.carloneworld.it/Download_Sysclean_Trend_Micro.htmPoi i Tooll: http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixVirut.comhttp://www.avg.com/filedir/util/avg_rem_sup.dir/rmvirut/rmvirut.exeIn questo link, (leggilo bene) devi mettere gli eseguibili (2) all'interno di una sola cartella: http://gratis.avg.it/rimozione-dei-virus.ndi-67762 Falli girare sia in Modalità provvisoria,(prima) che in Modalità normale.(dopo)
|
|
Rank: Member
Iscritto dal : 10/3/2009
Posts: 21
|
scusa mi sono perso....devo continuare con malwarebytes, combofix, HJT postare i log e poi scaricare trend micro e seguire la procedura e i tool di rimozione per virut?
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Forse è meglio, che provi i tooll prima, in quanto nutro dei fieri dubbi che Combofix e company, funzionino.
Una volta eseguiti i tooll prova il resto.
|
|
Rank: Member
Iscritto dal : 10/3/2009
Posts: 21
|
intanto che l'ho fatto posto il log di malwarebytes (non aggiornato)
Malwarebytes' Anti-Malware 1.41
Versione del database: 2775
Windows 6.0.6000
03/10/2009 18.11.20
mbam-log-2009-10-03 (18-11-20).txt
Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 302710
Tempo trascorso: 2 hour(s), 39 minute(s), 44 second(s)
Processi delle memoria infetti: 0
Moduli della memoria infetti: 1
Chiavi di registro infette: 4
Valori di registro infetti: 9
Elementi dato del registro infetti: 0
Cartelle infette: 1
File infetti: 8
Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)
Moduli della memoria infetti:
c:\Windows\System32\BtwSrv.dll (Trojan.Agent) -> Delete on reboot.
Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\btwsrv (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\btwsrv (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\btwsrv (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Quarantined and deleted successfully.
Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ter8m (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\BuildW (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\FirstInstallFlag (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Ulrn (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Update (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\UpdateNew (Malware.Trace) -> Quarantined and deleted successfully.
Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)
Cartelle infette:
C:\Program Files\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
File infetti:
c:\Windows\System32\BtwSrv.dll (Trojan.Agent) -> Delete on reboot.
C:\Users\marco\Downloads\Nuova cartella (2)\Adobe.Photoshop.CS4.Extended.v11.0.ONLY.Keymaker-CORE\Adobe.Photoshop.CS4.Extended.v11.0.ONLY.Keymaker-CORE\keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EQAHP4FH\w[1].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MYN9UFQM\w[1].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PO9RXI21\w[1].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT73BC.tmp (Malware.Tool) -> Quarantined and deleted successfully.
C:\Windows\Temp\Installer.exe (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
C:\Windows\System32\FInstall.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Un piccolo macello lo ha fatto. DEVi riavviare il pc
Nessun miglioramento?
|
|
Rank: Member
Iscritto dal : 10/3/2009
Posts: 21
|
ma il pc funziona abbastanza bene ho riavviato e adesso in modalità provvisoria sto facendo scansione con sysclean....ma prima che termino tutte le scansioni che mi hai consigliato passeranno un paio di giorni....speriamo bene
|
|
Rank: AiutAmico
Iscritto dal : 11/7/2006
Posts: 1,180
|
amici miei, questi programmi craccati sono quanto di peggio possa offrire la rete, sono pieni zeppi dei peggiori virus tipo bagle, virit, spero per te che non si tratti di questi.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
antonpaco ha scritto:amici miei, questi programmi craccati sono quanto di peggio possa offrire la rete, sono pieni zeppi dei peggiori virus tipo bagle, virit, Virit non direi....  @zingaraccio Quando finisci la scansione, fai delle prove per vedere cosa non funziona. Poi per me, è importante che tu riesca a fare, una scansione con Combofix.
|
|
Rank: Member
Iscritto dal : 10/3/2009
Posts: 21
|
allora dopo qualche tentativo ho deciso di formattare il sistema....e non se ne parla più.....
oggi man mano che installavo i vecchi programmi che mi servivano mi sono accorto che non riesco ad accedere ai siti degli Antivirus....molto strano....o qualcosa resiste dopo la formattazione....o nei documenti di cui avevo fatto il backup c'è qualche traccia di virus....o più semplicemente ho beccato un nuovo virus( e questa è sfiga).
Cosa fare? l'unico problema che ho è l'accesso ai siti antivirus....se digito avast per esmpio mi dice errore caricamento pagina(firefox). la stessa cosa con NOD, Symantec, panda...e microsoft. per il resto tutto funziona bene e non ci sono processi sospetti in esecuzione
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Fai la scansione con Combofix, e posta il log.
|
|
Rank: Member
Iscritto dal : 10/3/2009
Posts: 21
|
aiuto......questa finestra mi fa paura..mi spunta --------------------------- Error
!! ALERT !! It is NOT SAFE to continue! The contents of the ComboFix package has been compromised. Please download a fresh copy from: http://www.bleepingcomputer.com/combofix/how-to-use-combofixNote: You may be infected with a file patching virus 'Virut'
OK
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Mi sembra chiaro: hai ancora il Virut. Segui il consiglio di scaricare quella versione di Combofix. Sì, spesso questo virus resiste anche alla formattazione. Si deve fare una formattaziona "lenta" o a "Basso Livello". Ma non si può escludere che lo hai imbarcato reistallando i vecchi software, forse infetti. Disistalla la versione di Combofix che hai installato, è compromessa. http://download.bleepingcomputer.com/sUBs/ComboFix.exehttp://www.forospyware.com/sUBs/ComboFix.exehttp://subs.geekstogo.com/ComboFix.exe
|
|
Rank: Member
Iscritto dal : 10/3/2009
Posts: 21
|
niente da fare non riesco a far partire combofix....ho anche provato a scaricare da un altro pc e tramite pennino portarlo nel pc infetto.....niente...anzi mi sono accorto che anche il pennino è infetto
|
|
Rank: Member
Iscritto dal : 10/3/2009
Posts: 21
|
scusa dimenticavo....non riesco neanche a disinstallare combofix come mi hai detto...e in c c'è solo la cartella qoobox
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Prova una scansione con Malwarebytes. Aggiornalo prima (se te lo permette) http://www.aiutamici.com/software?id=80346
|
|
|
Guest |