vengo subito al dunque :D

non mi era mai capitato di incappare in una roba del genere

in pratica ogni tanto si aprono le finestre a caso (tipo documenti)

la cosa piu' caratteristica e' che sto malware non mi permette di utilizzare le comuni utility di manutenzione (tipo process explorer e autoruns di sysinternals) e non mi permette nemmeno di installare vir-it lite

stessa cosa in mod provvisoria.

Smanettando pero' sono riuscito a capire almeno il problema dove risiede. secondo me il problema si annida nell'explorer.exe infatti terminandolo tramite task manager riesco ad aprire tutte le applicazioni prima menzionate...tuttavia risulta inutile perche' non avendo explorer caricato non vedo nessun processo sospetto (in processexplorer)

ciao, ho paura che la guida alla disinfezione tu non riesca ancora a seguirla....

scarica da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) l'ultima versione di Hijackthis, mettila in una sua cartella dedicata, lancialo e clicca su "Do a system scan and save a log file" e carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598) il log che verra visualizzato e salvato nella cartella di Hijackthis

ciao, ho paura che la guida alla disinfezione tu non riesca ancora a seguirla....

scarica da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) l'ultima versione di Hijackthis, mettila in una sua cartella dedicata, lancialo e clicca su "Do a system scan and save a log file" e carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598) il log che verra visualizzato e salvato nella cartella di Hijackthis

da hijack non risulta niente di anomalo

possiamo vederlo anche noi? ;)

possiamo vederlo anche noi? ;)

no...in questo momento non ho il pc a portata di mano...

cmq fidati, nessun bho sospetto (solo adobe), nessun servizio sospetto (controllati tutti)

Proviamo con la guida e vediamo dove riesci ad arrivare
Fai tutto da modalità provvisoria fino a kaspersky

Leggi le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) e poi segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di A-squared scansione deep aggiornato ad oggi
log di Kaspersky Virus Removal Tool scaricato oggi
log di Dr.Web CureIT scaricato ed aggiornato ad oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
log di PrevxCSI


Con la pulizia files inutili, ads e le scansioni lunghe di antispyware (1) ed antivirus (2 e 3) avrai un pc già parzialmente ripulito, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.


Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log
Questo (http://www.hwupgrade.it/forum/showpost.php?p=22872366&postcount=1) è un esempio preciso ed ordinato di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube (http://fileqube.com/)

ieri sera ho usato gmer e ho scoperto che il pc e' infetto da un mbr rootkit...
drweb invece mi riportava backdoor.maosboot rootkit sul file services.exe (e diceva eradicato)

ho letto la guida in rilievo....oggi propo a rimuovere...



ma come si prendono sti virus?

a volte semplicemente navigando su alcuni siti...

leggi il punto 8 del trattamento che ho in firma per bloccare i siti pericolosi

forse conviene quanto prima seguire interamente la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

allora ho risolto! :D

una prima infezione (mbr rootkit) e' stata debellata con gmer + drweb + altri...

pero' restava il problema dell'impossibilta' di aprire hwupgrade/forum, sys utility tipo sysinternals, virit lite, cioe' in pratica i programmi (o addirittura le cartelle) si chiudevano appena appariva qualche parola chiave ritenuta nociva dal virus....

dopo varie peripezie sono riuscito a scovare il prob.... in pratica c'era una chiave nel registro

hklm/soft/windows nt/image file execution option/explorer.exe

in cui c'era il valore incriminato
"debugger --> c:\win..\sys..32\eiwudksjhfds.yru...."

quindi l'explorer partiva taroccato da questo debugger...

la chiave si autorigenerava ogni volta che la cancellavo

l'unico modo per eliminare sto maligno e' stato un AV portentoso.... COMBOFIX!!!! ha trovato cose che nessun av era riuscito a trovare...

allora ho risolto! :D

una prima infezione (mbr rootkit) e' stata debellata con gmer + drweb + altri...

pero' restava il problema dell'impossibilta' di aprire hwupgrade/forum, sys utility tipo sysinternals, virit lite, cioe' in pratica i programmi (o addirittura le cartelle) si chiudevano appena appariva qualche parola chiave ritenuta nociva dal virus....

dopo varie peripezie sono riuscito a scovare il prob.... in pratica c'era una chiave nel registro

hklm/soft/windows nt/image file execution option/explorer.exe

in cui c'era il valore incriminato
"debugger --> c:\win..\sys..32\eiwudksjhfds.yru...."

quindi l'explorer partiva taroccato da questo debugger...

la chiave si autorigenerava ogni volta che la cancellavo

l'unico modo per eliminare sto maligno e' stato un AV portentoso.... COMBOFIX!!!! ha trovato cose che nessun av era riuscito a trovare...

non per smorzare il tuo entusiamo ma lo stesso effetto lo si otteneva e in maggior sicurezza (inquanto con piena visione del pc) seguendo la guida, comofix è solo un tool :p

non per smorzare il tuo entusiamo ma lo stesso effetto lo si otteneva e in maggior sicurezza (inquanto con piena visione del pc) seguendo la guida, comofix è solo un tool :p

non per smorzare il tuo entusiasmo...ma io ho seguito la guida ma sono riuscito a risolvere tutto tranne quest'ultimo problema ;)

con sysinspector potevi vedere la chiave e a chi era collegata comeinterazione quindi perquesto dico che combofix era superfluo e osservare gli altri file in esecuzione sia come startup che come servizi e a che chiavi associati per comprendere se ci sono altre infezioni o meno :)
certo questo puoi farlo solo ed esclusivamente tu visto che non ci sono log in questo thread :)

con sysinspector potevi vedere la chiave e a chi era collegata comeinterazione quindi perquesto dico che combofix era superfluo e osservare gli altri file in esecuzione sia come startup che come servizi e a che chiavi associati per comprendere se ci sono altre infezioni o meno :)
certo questo puoi farlo solo ed esclusivamente tu visto che non ci sono log in questo thread :)

ma il problema infatti e' stato eliminare il problema...

anche se fossi riuscito a scoprire l'inghippo con sysinspector non avrei potuto eliminarlo...ma cmq sto solo dicendo che ho risolto...magari se qualcun altro ha avuto questo problema di explorer puo' venirne a capo

sono contento che hai risolto, ma dal log di eset avremmo visto la stringa e te l'avremmo fatta sistemare manualmente ;)

se ti sembra di essere a posto (non vedendo log non possiamo garantirti nulla)
dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide