Buonasera, ho un computer infetto da un virus che non riesco ad identificare...
Non posso seguire la Vs. guida alla disinfezione perchè, nonostante la connessione ad Internet funzioni, non mi permette di collegarmi ad alcuno dei siti da voi indicati per gli strumenti di analisi e disinfezione.
Riesco solo a far funzionare HijackThis e allego il log.
Ho tentato di usare Gmer, che riconosce alcuni rootkit evidenziati in rosso, ma il sistema va in crash se tento la scansione completa o di rimuoverli manualmente ad uno ad uno. Ho provato a copiare tali voci, ma il sistema è andato in crash dopo pochi istanti ed ora non vuole più riavviarsi. Provo a farlo ripartire, vi sono grata se intanto potete dare un occhio al log di Hijack.

PS: mi era compars anche una finestra di errore di svchost.exe: "l'istruzione a =x596c17c2 ha fatto riferimento alla memoria =x596c17c2. La memoria non poteva essere read".
Potete aiutarmi? Vi ringrazio anticipatamente.

Il computer è ripartito dopo aver usato il comando Bootcfg /rebuild nella console di ripristino (ed una prima schermata blu di errore).
Compare di nuovo la finestra di errore di svchost.exe di prima.
Allego nuovo log di Hijack, casomai fosse cambiato qualcosa.
Spero solo che il computer resti acceso fino alla Vs. risposta.... Per ora non tento di nuovo con Gmer, temendo un nuovo crash.

Segui esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

Scusami se non ho seguito la procedura corretta, ma il computer non riesce ad accedere ai siti da cui scaricare i programmi indicati nella vs. guida. Ho anche provato a scaricare i programmi da un altro pc in una chiavetta usb, ma quando li copio nel computer infetto non funzionano. HijackThis è l'unico programma che sono riuscita a fargli eseguire. Gmer si avvia, ma il sistema va in crash appena esegue la prima parte della scansione (quella in cui individua le voci in rosso)
Allego nuovamente il log di Hijack, spero hostato correttamente:
http://wikisend.com/download/503806/hijackthis.txt
Ti chiedo gentilmente di spiegarmi se c'è un modo per eseguire i programmi richiesti nell Guida...

Scusami se non ho seguito la procedura corretta, ma il computer non riesce ad accedere ai siti da cui scaricare i programmi indicati nella vs. guida. Ho anche provato a scaricare i programmi da un altro pc in una chiavetta usb, ma quando li copio nel computer infetto non funzionano. HijackThis è l'unico programma che sono riuscita a fargli eseguire. Gmer si avvia, ma il sistema va in crash appena esegue la prima parte della scansione (quella in cui individua le voci in rosso)
Allego nuovamente il log di Hijack, spero hostato correttamente:
http://wikisend.com/download/503806/hijackthis.txt
Ti chiedo gentilmente di spiegarmi se c'è un modo per eseguire i programmi richiesti nell Guida...

Segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1689812 per creare e disinfettare il PC con Avira Rescue, sei fermo al SP2, non vedo antivirus ne firewall ed utilizzi IE6 per navigare, la cosa non mi meraviglia.

Grazie per il link.
Il computer infetto ha però il lettore cd fuori uso... C'è qualche programma avviabile da chiavetta usb o il mio è proprio n caso disperato?
Il computer era effettivamente senza antivirus e firewall al momento dell'infezione (non è mio.....!). Invece è fermo al SP2 e a IE6 perchè, dopo l'infezione, per farlo ripartire ho "riparato" l'installazione di Windows XP tramite chiavetta preparata a partire dal cd di installazione, perdendo così gli aggiornamenti.

Grazie per il link.
Il computer infetto ha però il lettore cd fuori uso... C'è qualche programma avviabile da chiavetta usb o il mio è proprio n caso disperato?
Il computer era effettivamente senza antivirus e firewall al momento dell'infezione (non è mio.....!). Invece è fermo al SP2 e a IE6 perchè, dopo l'infezione, per farlo ripartire ho "riparato" l'installazione di Windows XP tramite chiavetta preparata a partire dal cd di installazione, perdendo così gli aggiornamenti.

Ho anche provato a scaricare i programmi da un altro pc in una chiavetta usb, ma quando li copio nel computer infetto non funzionano

:mbe:

Non sono sicura di interpretare bene la tua faccina...è il primo forum su cui scrivo! Dici che portando sul computer infetto i programmi con una chiavetta usb dovrebbero funzionare? Se è così, riprovo e posto tutti i log per bene.

Non sono sicura di interpretare bene la tua faccina...è il primo forum su cui scrivo! Dici che portando sul computer infetto i programmi con una chiavetta usb dovrebbero funzionare? Se è così, riprovo e posto tutti i log per bene.

Non si tratta di interpretare la faccina, tu stessa affermi come già precedentemente riportato

Ho anche provato a scaricare i programmi da un altro pc in una chiavetta usb, ma quando li copio nel computer infetto non funzionano.

Quindi, visto che il lettore cd non va e non riesco a far girare i programmi indicati nella guida alla disinfezione, non si può far nulla?

Sto riprovando ad eseguire i programmi della guida;per ora Malwarebites sembra funzionare, ma non è riuscito ad aggiornarsi (e comunque ha trovato già 26 files infetti). Proseguirò con gli altri e posterò i log.
Nel frattempo, spostando nel pc sano una chiavetta che era stata in quello infetto, Avast ha trovato che aveva un file infettato da Win32 Vitro: ho visto che sul forum ci sono già vari thred sull'argomento... Intanto disattivo la riproduz autom. delle periferiche

Sto riprovando ad eseguire i programmi della guida;per ora Malwarebites sembra funzionare, ma non è riuscito ad aggiornarsi (e comunque ha trovato già 26 files infetti). Proseguirò con gli altri e posterò i log.
Nel frattempo, spostando nel pc sano una chiavetta che era stata in quello infetto, Avast ha trovato che aveva un file infettato da Win32 Vitro: ho visto che sul forum ci sono già vari thred sull'argomento... Intanto disattivo la riproduz autom. delle periferiche

Malwarebites come non si è aggiornato? è uscito un errore? se si quale?

Malwarebites non si è aggiornato dicendo che non riesce a connettersi al server. Internet è connesso, riesco ad accedere a Google e ad altre pagine, ma se tento di collegarmi con siti di antivirus e simili mi dice che non riesce a collegarsi ai loro server o mi redirige su siti dai nomi "sospetti";iimagino sia per questo che gli aggiornamenti dei vari programmi anti-malware non funzionano.
Ad ogni modo, ispezionando bene il Vs. forum ho trovato il "bigino" dove ci sono le spiegazioni per installare correttamente e aggiornare i programmi richiesti nella Vs. guida anche senza essere connessi ad internet.
Sto cercando di farlo.
Al momento però sono bloccata nel tentativo di disattivare il Ripristino config. di sistema, in quanto è (nuovamente) sparita la relativa scheda da Risorse del Computer>Proprietà e lo strumento consigliato System Restore Repair non vuole funzionare sul pc infetto. In precedenza ero riuscita a far riapparire la scheda e disattivare il servizio; ora che la scheda non c'è più non so se sia attivo o meno...
Ogni suggerimento è bene accetto.
Purtroppo procedo molto lentamente per i continui intoppi e qualche improvviso crash del sistema, tra poco devo anche interrompere per tornare a fare la mamma... Grazie anticipatamente per il tuo interessamento.

Ho disattivato il Ripristino config di sistema.
Dopo cena riprendo i tentativi di eseguire le scansioni richieste nella Guida alla Disinfezione

Sto cercando di aggiornare Malwarebytes usando il file mbam-rules.exe.
Come da istruzioni, ho installato Malwarebytes, l'ho aperto e chiuso e quindi ho eseguito mbam-rules.exe. Ora però quando cerco di avviare Malwarebytes si apre una finestra che dice "error code: 730 (0, 0)"ed il programma non si apre.
Ho provato ad eseguire la procedura anche sul computer sano, ma accade la stessa cosa.
Ho sbagliato qualcosa?

Sto cercando di aggiornare Malwarebytes usando il file mbam-rules.exe.
Come da istruzioni, ho installato Malwarebytes, l'ho aperto e chiuso e quindi ho eseguito mbam-rules.exe. Ora però quando cerco di avviare Malwarebytes si apre una finestra che dice "error code: 730 (0, 0)"ed il programma non si apre.
Ho provato ad eseguire la procedura anche sul computer sano, ma accade la stessa cosa.
Ho sbagliato qualcosa?

Significa che non riesce ad aggiornare il database delle firme virali, da dove l'hai scaricato?

Da qui: http://www.gt500.org/malwarebytes/

Ho provato il link indicato qui http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9 , ma non funziona e non trovo la voce "Last Database" nella homepage di Malwarebytes

Scarica il DB da qui http://mbam.malwarebytes.org/database/mbam-rules.exe se l'aggiornamento non dovesse andare buon fine, devi necessariamente disinstallare MBAM, riavviare la macchina e fare pulizia con il tool specifico http://www.malwarebytes.org/mbam-clean.exe

Ha funzionato, grazie mille.

Si è verificato uno spiacevole imprevisto...
Effettuata la scansione con A-Squared, il programma stava mettendo in Quarantena i files sospetti: mi ha segnalato diversi files che non era riuscito a cancellare (ho la lista se serve), suggerendo di rivolgersi ad un forum di assistenza per la rimozione manuale; poi si è aperta una finestrella di Windows che avvertiva che il sistema stava per essere arrestato poichè C:\Windows\system32\services.exe è terminato in modo non previsto con codice di stato 0; era visualizzato anche un conto alla rovescia, alla fine del quale ho dato il comando Salva Rapporto ad A-squared e chiuso il programma (quindi spero di aver salvato il log). A quel punto sono sparite tutte le icone del desktop. Ho atteso circa un'ora, ma non è successo nulla, per cui ho spento il computer. Al riavvio, visualizza subito il logo di Windows, ma poi impiega circa un'ora per visualizzare il desktop con le icone; impiega qualche minuto solo per aprire o chiudere una cartella e non visualizza in Risorse del Computer le chiavette USB (che sono l'unico mezzo che ho per portare nel computer infetto i programmi per le scansioni)... Però nel bios la chiavetta si vede.
Cosa faccio a questo punto?
Tenente conto, se servisse, che non funziona il lettore cd, però ho una chiavetta che in pratica sostituisce il cd di Windows.
Dimenticavo: l'ho avviato anche in modalità provvisoria, ho visto che carica il desktop ma era privo di icone; forse però non ho atteso abbastanza a lungo, perchè non avevo ancora capito che necessita di tempi lunghissimi. Appena posso riprovo. Se dovesse funzionare meglio, cosa mi consigliate di fare? Ve lo chiedo già ora perchè sono improvvisamente rimasta senza connessione internet a casa (che fortuna!!!) e sto scrivendo dall'ufficio, senza avere accesso al computer infetto; scusate se sono stata confusa...

poi si è aperta una finestrella di Windows che avvertiva che il sistema stava per essere arrestato poichè C:\Windows\system32\services.exe è terminato in modo non previsto con codice di stato 0; era visualizzato anche un conto alla rovescia, alla fine del quale ho dato il comando Salva Rapporto ad A-squared e chiuso il programma (quindi spero di aver salvato il log). A quel punto sono sparite tutte le icone del desktop.

non ho ben capito se la finestrella con il conto alla rovescia ti appare sempre se accedi ad windows in modalità normale. Se si, allora vedi se risolvi con questo metodo: http://www.hwupgrade.it/forum/showthread.php?t=1597177

La finestrella col conto alla rovescia è apparsa solo quella volta lì, ed ero in modalità normale. Adesso il computer si avvia impiegando circa un'ora per visualizzare il desktop, ma non compare più nessun conto alla rovescia nè altri messaggi. Sta lì fermo anche per ore, ma le icone funzionano con estrema lentezza e spesso se apro e chiudo qualche finestra dopo poco si blocca tutto. Anche a spegnersi impiega molto tempo.
Se dovrò eseguire qualche programma per sistemare la situazione, avrei prima bisogno che mi diceste come fare per vedere il contenuto della chiavetta usb (che uso per trasferire i programmi dal pc che riesce a connettersi ad internet), dato che in Risorse del Computer non la visualizza più (ma nel bios sì, e ci scrive pure dentro dei files che poi risultano infetti...). Grazie.

scansiona con il rescue cd di Avira (http://www.hwupgrade.it/forum/showpost.php?p=24459381&postcount=31) messo su chiavetta poi vediamo se le cose migliorano

Grazie Wjmat per il suggerimento, provvedo appena possibile, potrei metterci un po' per varie difficoltà mie...

se leggi bene le istruzioni non ci saranno problemi :)

Me le sono lette le istruzioni e sono così chiare (complimenti!) che penso di farcela anch'io!:)
E' solo che forse dovrò aspettare lunedì per riuscire a riferirvi il risultato, per cui non preoccupatevi se sparisco per un po'! Intanto buon week-end e ancora grazie 1000

aspetteremo impazienti :)
buon week anche a te

Se dopo la scansione suggerita da Wjmat il computer tornasse a funzionare bene, devo rifare da capo le scansioni suggerite nella Guida alla Disinfezione o posso ricominciare da dove ero arrivata?

Ho fatto la scansione con il rescue cd di Avira messo su chiavetta, ma il computer si comporta esattamente come prima: un'ora per visualizzare il desktop malfunzionante e non visualizza la chiavetta in Risorse del Computer. Cosa mi suggerite di fare?

Ciao

Spero ti possa essere utile, ma qalche mese fa pure io non riuscivo a collegarmi ai siti degli antivirus,e ho scoperto che era uno dei sintomi del famoso virus "Conficker", in rete trovi diversi programmi per rimuoverlo.

Anche se credo che ormai il tuo pc sia troppo incasinato puoi sempre provare.



ciao

fai girare e carica il log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

Ok Wjmat, devo concedere al computer il tempo per partire, poi provo.

Emergono 2 problemi:
1) volevo verificare se fosse attivo il firewall di Windows ed eventualmente disattivarlo prima di lanciare Combofix, ma il computer non entra nel pannello di controllo (si apre la relativa finestra, ma compare l'icona della torcia che ricerca all'infinito);
2) tanto per vedere se funziona, ho comunque lanciato il Combofix già scaricato sul computer qualche settimana fa. Il prog. parte, ma compare un finestra che dice:"Alert! Is not safe to continue!The content of the ComboFix package has been compromised. Please download a fresh copy from BleepingComputer. Note: you may be infected with a file patching virus "Virut".
Ho scaricato un nuovo Combofix sulla chiavetta, ma non so come copiarlo sul computer infetto, dato che la chiavetta non viene visualizzata in Risorse del Computer.:help:

kaspersky removal tool o cureit non partono?
riprova e verifica se c'è davvero virut, in quel caso la cosa migliore diventa il backup dati esclusi .exe e .scr e il format

Stasera provo i due strumenti che mi suggerisci, speriamo bene...Intanto grazie e buona giornata

E' morto...:cry:
Non fa più nulla, non carica più nemmeno il logo di Windows.
Immagino non mi resti che formattare tutto, vero?

prova anche con il rescue cd di cureit (http://www.hwupgrade.it/forum/showpost.php?p=24459381&postcount=31) scegliendo l'opzione cura pe ril file infetti e di nuovo a riparare l'installazione di win
se non risolvi direi backup e format

Ok (mi sono accorta ora che posso caricarlo sulla chiavetta con Sardu, mi aveva ingannato il nome diverso e l'ora notturna....). Grazie ancora

Ok (scusa, non l'avevo provato perchè non mi ero resa conto che è compreso fra gli antivirus di Sardu col nome Dr.Web e non sapevo come portarlo sul pc morto...:doh: ) . Se fossi costretta comunque al format, come si fa a fare un backup se il computer non parte proprio?

dovresti staccare l'hdd interno del pc morto e montarlo o internamente come hdd secondario in un pc sano oppure tramite uno di quei box-usb collegarlo a un pc funzionante via porta usb :)

Grazie Xcdegasp, ma mi mancano le competenze ed il coraggio per rimuovere fisicamente l'hdd... Ho modificato il post che quoti perche leggendo bene la firma di Wjmat ho visto che ci sono dei programmi di backup che posso far partire dalla pendrive usando Sardu: spero di poter far qualcosa con quelli, altrimenti mi accontenterò dei files più importanti che avevo preventivamente copiato su un hd esterno.

per spostare files basta una qualsiasi distro linux

Stavolta il computer si è acceso visualizzando il logo di Windows!
Sembra comunque impiegare il solito tempo lunghissimo per arrivare al desktop, per cui non ho atteso e ho lanciato Dr. Web CureIt da chiavetta. Si apre però una finestra con fondo nero stile Dos con scritto "boot:" e puntino lampeggiante. C'è qualcosa che non va? Cosa dovrei scrivergli?
Ho fatto di nuovo la scansione con Avira e nel logo vedo tre messaggi ALERT: [W32/Virut.Gen] (percorso del file) <<<<Contains code of Windows virus W32/Virut.Gen not removable.
Poi ci sono numerosi messaggi WARNING: archive not completely scanned: contents encripted.
Mi pare di capire che c'è proprio Virut, giusto?

è appurato che virut c'è
vedi qui per il live cd di cureit
http://www.freedrweb.com/livecd/how_it_works/

Ho riletto la pagina che mi indichi su CureIt, il fatto è che non mi appare la schermata descritta al punto 4, ma uno schermo nero con la scritta "boot:" e puntino lampeggiante; se digito una lettera a caso (per es. la "a") e premo Invio, mi dice "could not find kernel image: a.

Ho riletto la pagina che mi indichi su CureIt, il fatto è che non mi appare la schermata descritta al punto 4, ma uno schermo nero con la scritta "boot:" e puntino lampeggiante; se digito una lettera a caso (per es. la "a") e premo Invio, mi dice "could not find kernel image: a.

con cosa l'hai creata la chiavetta?
se con sardu non va prova con unetbootin e testa con mobalivecd info in firma sotto gestione iso

La chiavetta l'avevo creata con Sardu. Adesso ho provato varie volte con Unetbootin, su due chiavette diverse: con una mi dice "errore disco, premere un tasto per riavviare", con l'altra si apre una schermata intitolata Unetbootin con la sola opzione "Default"; se premo invio o attendo la fine del countdown, riappare la stessa finestra; se premo Tab compare la dicitura "/ubnkern initrd=/ubninit" seguita da un puntino lampeggiante.
Insomma non mi riesce di farlo funzionare....

La chiavetta l'avevo creata con Sardu. Adesso ho provato varie volte con Unetbootin, su due chiavette diverse: con una mi dice "errore disco, premere un tasto per riavviare", con l'altra si apre una schermata intitolata Unetbootin con la sola opzione "Default"; se premo invio o attendo la fine del countdown, riappare la stessa finestra; se premo Tab compare la dicitura "/ubnkern initrd=/ubninit" seguita da un puntino lampeggiante.
Insomma non mi riesce di farlo funzionare....

l'ho creata ora e testandola con mobalivecd riesco ad arrivare almeno al menù di caricamento
hai provato per caso anche su un altro pc a vedere finoi a dove carica?

Allora domani provo sul computer dell'ufficio...

Allora domani provo sul computer dell'ufficio...
visto il tempo che ci stiamo impeigando, con un backup+format avremmo già risolto da tempo
vedi tu come procedere

Ho messo CureIt su chiavetta con Unetbootin usando un altro pc; ho scelto l'opzione DrWeb LiveUSB (Default): carica fino allo schermo verde col ragno e la dicitura "Preparing the LiveCD environment...press ALT+F1 for verbose mode", e resta inchiodato lì. Questo sia testandolo con MobaliveCd che inserendo la chiavetta nel pc infetto.
Procederò con backup + format (sperando di non incappare in altri imprevisti...), ti ringrazio davvero tanto per l'attenzione e la pazienza che hai avuto con me.

anche se cureit avesse girato non ci sarebbe nemmeno stata la certezza di risolvere facilmente

ciao

Ti disturbo un'ultima volta...
Ho visto che ad un altro utente infetto da Virut al quale hai consigliato la formattazione, raccomandavi, dopo il format, di "non accerere alla lan e al web se non prima di aver installato i software di sicurezza.verifica che gli altri pc siano puliti e di non aver in giro chiavette infette".
Come faccio ad installare x es. l'antivirus (pensavo ad Avira) se non devo connettermi al web?
Il computer infetto è stato per un po' in rete con il mio: devo temere di aver infettato anch'esso (che per ora funziona bene ed ha installato Avast)?
C'è qualcos'altro a cui devo stare attenta per evitare di ritrovarmi Virut dopo il format?

se vai subito sul sito di avira non dovrebbe succere nulla :)
attenta invece agli eseguibili che magari ti sono rimasti in giro sulle chiavette

Ok, grazie ancora. Ciao :)

di nulla
ciao