PDA

View Full Version : [GROSSO PROBLEMA] virus sconosciuto NEW WIN32, forse anche vundo, pc inutilizzabile

francesco^^
26-09-2007, 18:59
ho un problema mi sa bello grosso. provo a spiegare dall'inizio.

premetto che la mia configurazione è (era :( ):
winXP SP2 con tutti gli ultimi aggiornamenti
mcafee virusscan enterprise 7 aggiornato al 31/8/07
spybot 1.5 aggiornato
adaware 2007 aggiornato
hijackthis v2

allora ieri navigando in internet a un certo punto ha iniziato a "lampeggiare" la barra degli strumenti, e alla fine è scomparso il desktop. al riavvio, stesso problema.. allora ho iniziato a fare una scansione con spybot e con hijackthis.
il primo non ha rilevato niente, mentre le uniche cose sospette del secondo erano due chiavi (riporto a memoria ma sono corrette):

ddcaxxy.dll --> attivata come oggetto BHO (riconducibile a "virtumonde")
sstqp.dll --> attivata come oggetto BHO

ddcaxxy.dll --> winlogon notify

il computer era instabile, e provando a fixare queste tre chiavi, si rigeneravano subito comunque allo scan successivo.

usando il rilevatore processi di spybot ho disattivato il modulo "sstqp.dll" presente in llsas (o qualcosa di simile) .exe, processo di XP. a quel punto ho potuto eliminare il BHO.

facendo la stessa cosa con "ddcaxxy.dll" (modulo di winlogon.exe) non posso, perché se lo disattivo mi si spegne il pc.

nel rilevatore di avvio automatico sempre di spybot, inoltre, ho trovato la chiave sospetta "senslogn", riconducibile allo spyware "abetterinternet".

ma la cosa forte è questa: se faccio una scansione completa con l'antivirus, mi rileva più di 700 file exe infetti da un generico "new win 32".

inoltre nella cartella c: è stato creato un file di testo dal nome "check_la7.txt" che riporta la scritta incolonnata "check thread" o qualcosa di simile.. una sotto l'altra.

altra anomalia, tutti i servizi di windows (o quasi) sono disattivati: non trasferisce i file, la visuale è simile a win98, se provo a fare partire alcuni exe (tipo "vundofix.exe") non vanno perché dice "server RPC non disponibile"...

ah, questa situazione è valida sia dalla modalità normale che da quella provvisoria.


ora stavo pensando di usare un boot cd di utility per vedere se riesce a fare una pulita dal virus sconosciuto, ma dubito fortemente.

qualcuno ha qualche suggerimento? c'è modo di salvare i dati?

ho cercato di mettervi tutto quello che ho rilevato, non so se è tutto riconducibile a una cosa sola o se ci sono più cose che stanno agendo insieme...


fatemi sapere qualcosa, ora sono su un pc provvisorio...
grazie
Riverside
26-09-2007, 20:11
Beh , prima di formattare, proviamo a fare un tentativo:

Disattiva il Ripristino configurazione di sistema

Poi scarica ed esegui, in modalità provvisoria questi tool:

PANDA ANTIROOTKIT: clicca qui per il download (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

ELISTARTA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/78/elistara.asp)
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ElistarA per scaricare il Tool (per comodità, posizionalo su Desktop)
Non è necessaria l'installazione (è un tool stand-alone)
● eseguilo
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

SYSCLEAN TRENDMICRO clicca qui per il download (http://it.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com)
Non è necessaria l'installazione (è un tool stand-alone)
una volta lanciato, individua e rimuove gli eventuali virus worm e malware presenti nella memoria del P.C., nel file di registro di Windows, nelle cartelle di sistema e in qualsiasi altra ubicazione del disco locale.
● crea, sul Desktop, una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean
● scarica le definizioni dei virus (vengono aggiornate, quotidianamente):
clicca qui per il download (http://it.trendmicro-europe.com/enterprise/support/pattern.php)
● scompatta all’interno della cartella creata, il file zippato contenente le definizioni
● esegui Sysclean ed attendi il responso finale.

HIJACKTHIS: clicca qui per il download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)
● crea una nuova Cartella sul Desktop (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona di Startup)
● lancialo poi clicca su Scan ed una volta che è stata creata la list, clicca su Save Log

Degli ultimi tre, pubblica i log che verranno rilasciati (se riesci, allegali, alla discussione utilizzando la funzione GESTISCI ALLEGATI).
francesco^^
27-09-2007, 00:35
allora, panda antirootkit non ha rivelato niente...

il programma spagnolo ha rivelato la presenza di "conhook" (ddcaxxy.dll) e in teoria l'ha ripulito, anche se al riavvio c'era ancora...

sysclean non partiva...

la cosa grave ora è questa.
ho aggiornato mcafee, ho fatto partire una scansione e IN MEMORIA ha rilevato il virus "virut.gen".
ha scansionato prima winlogon.exe, ed il file non è stato pulito..
poi è passato a services.exe, e la pulizia pare fosse riuscita..
ma è apparso un messaggio del tipo "il computer si arresterà in 50 secondi ecc ecc ecc"... finito il countdown, il pc si è spento.
ora lo riaccendo e compare la schermata nera, con le scritte "modalità provvisoria" ai lati e il cursore in mezzo. lo posso muovere ma non posso fare niente, se faccio ctrl+alt+canc non compare niente

non vorrei che virusscan avesse eliminato o danneggiato services.exe

che posso fare? mi sa che è sempre peggio qui...

ps , non posso postare i log perché il pc ovviamente non si collega ad internet, e oltretutto non posso trasferire i file (prima dell'ultimo danno le normali funzioni di trascinamento o di copia/incolla non andavano più....).

pps: ma non c'è un antivirus aggiornato che parta da un bootdisk e che mi scansioni tutti i file del disco fisso, ripulendoli?!? senza dover accedere a windows?
francesco^^
27-09-2007, 02:09
ok, dalla console di ripristino di xp ho visto che il file services.exe è stato modificato il 26/9 proprio all'ora del "danno"..

winlogon.exe invece dovrebbe essere ok..

dove li posso recuperare dei file "sani" da sostituire?
qualcuno me li potrebbe allegare qui..? (services e winlogon)

ora pensavo di sostituire, riavviare e far partire il remover per "virut" di AVG, che ho scaricato.. magari è la volta buona... che dite?

ps, posso fare qualcos altro di utile dalla console di ripristino..?
BEY0ND
27-09-2007, 12:26
@ riverside

per francesco potrebbe essere d'aiuto l'utilizzo di prevx csi magari da una pen drive?
francesco^^
27-09-2007, 18:39
ora provo a far ripartire il SO sostituendo services.exe
poi provo a far partire lo scanner di prevx
poi provo il tool di rimozione di "virut"

speriamo bene, grazie per ora


come ultima possibilità, comunque, se collego l'HD a un altro pc per recuperare i dati, dite che ce la si fa?

oppure mi è venuto in mente questo: se dalla console di ripristino sposto le cartelle con i dati in un HD esterno (che pero' non è ancora installato...)? riesco?