Incomincio dicendo che un pò di giorni fa andai a casa di un mio amico e vidi che il suo pc era in condizioni penose: msn non si connetteva, nod32 era scaduto, internet non apre le pagine e la maggiorparte dei programmi di sicurezza tra cui Ccleaner non partono. Allora mi munisco della mia chiavetta e ci carico sopra combofix, atf cleaner, elibagla, bagled e altro...inserita la chiavetta viene infettata (me ne sono accorto perchè tornando a casa l'ho collegata al mio pc e avira mi bloccava il virus). Procedo con il download del Kaspersky cd rescue e lo avvio...caricato il tutto l'aggiornamento non parte e l'antivirus mi scansiona solo la chiavetta poichè il disco fisso non veniva riconosciuto e mi trovò un trojan. Riavvio il pc, cambio nome a combofix e lo faccio partire, quando mi viene richiesto di riavviare il pc ecco che compare la mitica schermata blu e mi tocca riavviare di nuovo; il pc si riaccende e non si caricano le icone allorchè aprii il task manager e digitai explorer.exe e tutto comparì compresa la schermata della creazione del log di combofix che tolsi subito poichè mi ero stufato. Conclusioni la connessione ad internet non va e penso che il desktop non compaia più...mi aiutate per favore??? Sto nei guai poichè mi so preso la responsabilità e quindi vorrei completare la disinfezione prima di questa domenica. Grazie Ciao :(

servirebbero i vari log perchè noi non sappiamo cosa sia stato fatto e che malware ci fossero.
venirti incontro è quindi per noi un brancolare nel buio ma per quel che possiamo fare possiamo indicarti u n thread per fare comparire il desktop:
http://www.hwupgrade.it/forum/showthread.php?t=1555416

per la connessione internet avresti dovuto continuare la lettura della guida dedicata a Bagle dove nella parte finale c'è scritto cosa fare per problemi alla connessione!
http://www.hwupgrade.it/forum/showthread.php?t=1933977

edit

La situazione si fa più grave...ieri sono andato dal mio amico e acceso il pc compare l'insolita schermata dove scegliere l'utente (cosa che non appariva le altre volte poichè l'avvio di winodows era quello rapido) e cliccando sull'icona vengo rimandato alla schermata di login. Subito torno a casa e faccio una ricerca riguardo la discussione creata in questo forum per ripristinare il file USERINIT.EXE e ho optato per la creazione del UBCD4WIN. Ecco che sorgono alcuni dubbi: Non so che SP è installato nel pc del mio amico; non so quali applicazioni devo togliere dalla lista di UBCD4WIN per ottenere un iso leggera e con software antivirus e antispyware; avendo il SP 3 installato sul mio pc, controllo se il mio file userinit.exe ha l'hash corrispondente a quello dell'SP3, ma è uguale a quello dell'SP2. Vi prego aiutatemi è urgente!!! Se potete passatemi un file USERINIT.EXE buono versione compatibile con l'SP2...Grazie Ciao :doh:

per userinit se leggi qui http://www.hwupgrade.it/forum/showpost.php?p=26286766&postcount=3
è indicato come ricavare la versione del sp in base all'hash di userinit.exe
ma comunque sono indicate cartelle in cui puoi trovare quel file

per le applicazioni di ubcd è indicato chiaramente cosa togliere e cosa aggiungere, per problemi chiedi in quel 3d

gli hash di userinit erano invertiti, lisistemo al volo ;)

Mi potete passare il file Userinit.exe per windows xp home edition SP2? Io non posso perchè ho la versione 3 del ServicePack.

prova a cercare una copia nelle cartelle indicate nel 3d

Ripeto che ho la versione 3 del service pack, quello dell'amico mio penso che sia il 2...e quindi non ho il file adatto!!! Pleaseee....

le cerchi con ubcd nelle cartelle di quel pc ;)
edit:
allegate copie nel suo 3d ;)

Ripeto che ho la versione 3 del service pack, quello dell'amico mio penso che sia il 2...e quindi non ho il file adatto!!! Pleaseee....

non credo sia un problema caricare quello del sp3 purchè non sia di Vista :)

Grazie tante per aver caricato il file...prima sono andato a casa del mio amico e ho bootato il cd creato con UBCD4WIN...siccome non trovavo le cartelle dove avevo messo il file, ho lanciato la scansione di SUPERAntispyware aggiornato durante la creazione del cd...vedremo cosa trova!!! Ciao :D

Ciao ragazzi, ne approfitto della discussione perchè anche io ho da poco sistemato un pc con userinit infetto. Altri problemi erano la schermata di avviso di infezione da spyware e il classico bollino rosso con croce bianca in basso. Anche la connessione non funzionava e il firewall era bloccato
Sono riuscito a risolvere con malwarebytes+prevx+combofix+a-squared (e ovviamente scansione con antivirus aggiornato).

Vorrei capire però (per non trovarmi impreparato), dove il malware va a modificare per bloccare la connessione e il firewall di windows.. o quantomeno come fare a ripristinarli manualmente. Il firewall per esempio anche dopo averlo riattivato dal servizio si presentava così
http://img520.imageshack.us/img520/2258/firewallbloccato.th.png (http://img520.imageshack.us/my.php?image=firewallbloccato.png)

e si è sistemato solo dopo che ho usato combofix.Penso che avesse più trojan/malware insieme (sicuramente dropper tra questi) perchè era proprio incasinato. Se interessa posso fornire i vari log

grazie in anticipo e scusate se ho inzozzatto il thread in qualche modo, ma credo che possa tornare utile anche a breaker

x il Padrino: non fa niente se ti sei intromesso nella discussione, anzi volevo chiederti se hai usato UBCD4WIN per rimpiazzare il file userinit.exe infetto. Come firewall puoi usare ZoneAlarm (http://www.zonealarm.com/security/it/zonealarm-pc-security-free-firewall.htm) che è un'ottima alternativa a quello integrato in windows. ;)

x xcdegasp & wjmat: ieri dopo che abbiamo lasciato il pc scansionare (ore 16:25) abbiamo scoperto che al nostro ritorno (ore 19:30) il computer si era spento. Noi abbiamo spento solo il monitor!!! Mah...che casino! Oggi, sempre se ho voglia perchè la situazione è diventata insostenibile, proverò a rimpiazzare userinit.exe :doh:

allora per rimpiazzare "userinit.exe" ho usato anche io un live cd, MiniPE XT; come firewall io personalmente uso ancora sygate configurato a puntino, in quel pc invece c'è attivo quello di windows.

A me interessava principalmente la procedura per riattivare quei due servizi manualmente (connessione e firewall), di modo da essere un pò autonomo le prossime volte, anche con la minaccia ancora attiva. Per esempio gi OpenDNS bypassano le modifiche create dal malware in ogni caso?

Eri, per caso, infetto da bagle? Comunque per ripristinare la connessione scarica XP TCP/IP Repair (http://www.xp-smoker.com/downloads/xptcprep.exe) avvia l'installazione ed avvialo. Clicca su Reset TCP/IP, poi su su Repair Winsock, infine riavvia il pc.

Eri, per caso, infetto da bagle? Comunque per ripristinare la connessione scarica XP TCP/IP Repair (http://www.xp-smoker.com/downloads/xptcprep.exe) avvia l'installazione ed eseguilo. Clicca su Reset TCP/IP, poi su su Repair Winsock, infine riavvia il pc.

ciao, non credo fosse beagle. Forse erano un bel pò (trojan dropper di sicuro). Ho ancora i log salvati di tutti i programmi che ho usato

Scusa per il doppio post...comunque hai utilizzato il programma per ripristinare la connessione? Come è andata? Ciao :)

no per la connessione non ho usato quel prog (che ho visto ora con la guida). appena ho lanciato prevx csi mi ha avvisato che erano state apportate delle modifiche alla connessione e le ha corrette (non mi ricordo se si è risolto in quel momento)

Mmm...ok...ma tu hai prevx csi con la licenza? :rolleyes:

no, questa modifica me l'ha fatta in automatico con la free

Ma adesso funziona internet? Perchè così installerò direttamente prevx sul pc del mio amico.

si, tutti i servizi li ho ripristinati. PrevX l'ho usato in abbinamento con Avenger. Portati anche malwarebytes e a-squared

Fai attenzione con Combofix e usalo come ultima spiaggia. Segui attentamente la guida qui (http://www.bleepingcomputer.com/combofix/it/come-usare-combofix)

Con combofix è successo un casino perchè feci la scansione, riavviai il pc e non era presente nella lista startup il processo explorer.exe. Premetti Ctrl + Alt + Canc, avviai il processo explorer.exe e comparì il desktop con la schermata di combofix che chiusi subito poichè ci metteva troppo tempo per creare il log...Scusa le troppe domande...ma tu il file userinit.exe l'hai cancellato e dopo copiato nella directory Sistem32 oppure l'hai sostituito copiandolo? Quando hai riacceso il pc andava tutto normale? :banned:

allora, ho appena controllato i vari log, e l'userinit.exe infetto l'ho sgamato con malwarebytes che l'ha eliminato. Al riavvio ovviamente non riuscivo ad accedere e così ho usato il livecd per copiarne uno originale su c:\windows\system32

Innazitutto bisogna verificare la presenza del file userinit.exe, se non è presente basto copiarlo nel percorso già diverse volte indicato.

Se è presente, ma è corrotto lo cancello e copio la versione sana del file...ok?

Se è presente, ma è corrotto lo cancello e copio la versione sana del file...ok?

Previa verifica della corruzione

chill per quanto riguarda la connessione non funzionante sono sufficienti gli opendns per navigare e bypassare l'ostacolo, e il programma per il reset tcp/ip per ripristinare la connessione?

e per il firewall come in figura
http://img520.imageshack.us/img520/2258/firewallbloccato.th.png (http://img520.imageshack.us/my.php?image=firewallbloccato.png)

come si fa a ripristinarlo manualmente?

chill per quanto riguarda la connessione non funzionante sono sufficienti gli opendns per navigare e bypassare l'ostacolo, e il programma per il reset tcp/ip per ripristinare la connessione?

e per il firewall come in figura
http://img520.imageshack.us/img520/2258/firewallbloccato.th.png (http://img520.imageshack.us/my.php?image=firewallbloccato.png)

come si fa a ripristinarlo manualmente?

Per ripristinare la connessione TCP Repair, ma il problema del FW mi fà pensare che il PC non è pulito

no ora il pc è pulito perchè non è più come in figura, dopo aver usato combofix si è ripristinato

volevo sapere come farlo manualmente (in caso mi ricapita), perchè quel tipo di blocco firewall è la prima volta che lo vedo e vorrei sapere come risolverlo ed eventualmente che parametri va a modificare il malware

no ora il pc è pulito perchè non è più come in figura, dopo aver usato combofix si è ripristinato

volevo sapere come farlo manualmente, perchè quel tipo di blocco firewall è la prima volta che mi capita e vorrei sapere come risolverlo ed eventualmente che parametri va a modificare il malware

Bisogna mettere mano al Registro, ma le modifiche vanno valutate caso per caso al momento ;)

non c'è qualche reg da lanciare o qualche stringa da esegui per ripristinarlo in ogni occasione? sarebbe molto utile.

non c'è qualche reg da lanciare o qualche stringa da esegui per ripristinarlo in ogni occasione? sarebbe molto utile.

Naturalmente ci sono chiavi di Registro e relativi valori legati al FW ect......ma è bene valutare caso per caso ;)

Si lo so ma per valutare caso per caso c'è bisogno di log e tempo. Se io mi trovo ad affrontare il problema "in diretta" avrei bisogno di qualche comando o qualsiasi cosa che mi ripristini il servizio. Come per esempio descritto in questa guida per riattivare il ripristino di sistema

http://hwupgrade.blogspot.com/2008/11/forzare-la-chiusura-del-rispristino-di.html

Si lo so ma per valutare caso per caso c'è bisogno di log e tempo. Se io mi trovo ad affrontare il problema "in diretta" avrei bisogno di qualche comando o qualsiasi cosa che mi ripristini il servizio. Come per esempio descritto in questa guida per riattivare il ripristino di sistema

http://hwupgrade.blogspot.com/2008/11/forzare-la-chiusura-del-rispristino-di.html

Quello che stò cercando di dirti è questo è questo, se il FW viene disabilitato è assai probabile che un Virus X abbia infettato il PC, il solo ripristino del FW consiste nel curare un sintomo non la causa.

si ma c'è un'altra cosa da considerare, io usando i vari programmi avevo in qualche modo disinfestato i vari file infetti e i processi

ma era cmq rimasta questa magagna (fino a quando non ho usato combofix). Quindi sapere come farlo manualmente tornerebbe cmq utile