pictor
19-10-2010, 17:06
Ciao a tutti,
ho bisogno di un aiuto veramente competente!
Nel giro di un'ora il mio PC è stato devastato da un virus (o Rootkit) che non ho idea di come possa aver preso.
Ha oltrepassato vari software di protezione aggiornati e ha distrutto
il mio sistema operativo.
Vi prego di dare una lettura e di darmi un consiglio sul da farsi.
Ma passiamo alla cronaca:
- Prima di pranzo blocco il PC (Windows XP Pro SP3) e vado a mangiare
- Torno e il PC è come se si fosse riavviato e qualcuno avesse
acceduto ad esso. Non è loggato l'utente di dominio (il mio), ma
l'utente Administrator (LOCALE).
Strano..... riavvio.
- Accedo normalmente al mio solito utente di dominio e mi appare un
alert di un nuovo processo eseguito ma che Anvir Task Manager mi dice
essere sospetto e riconosciuto come CIADOOR.qualcosa ...
Il processo ha l'icona di mIRC (che io non utilizzo e non ho installato!) e si chiama
"spoolsv.exe"; mi viene notificato che si trova sotto C:\WINDOWS\temp
\spoolsv\spoolsv.exe, e che quindi è un virus.
- Lo blocco, lo termino, e vado a controllarlo con Avira.
Ma il file non è lì dove indicato.
Mi accorgo che Avira non è avviato (!!!!!), e provando a reinstallarlo
non mi si avvia neanche il file di setup! (!!!!!!).
Molto preoccupato allora tento di fare uno scan con Malwarebytes,
ma ..... mi accorgo che Malwarebyte's non c'è più! O_O
Nella sua directory è rimasta solo una DLL.
- Lo reinstallo (menomale!) e faccio uno Scan Flash. Mi viene rilevato
un elemento infetto: lo rimuovo e Malwarebytes mi dice che ha bisogno
di riavviare.
- Per sicurezza (ho paura dei boot e dei riavvii!) provo ad eseguire
prima uno Scan Veloce (non il Flash).
E inoltre provo ad avviare GMER, per prevenire eventuali Rootkit.
Appena avvio lo scan di GMER ...... schermo blu!!!! (BSOD!)
- Sempre più nel panico spengo e riaccendo e...... ora ogni volta che
avvio (modalità Normale o Provvisoria) mi riappare la schermata blue!
C'è un errore generico che dice che forse si è preso un virus, che
sarebbe da provare un CHKDSK /F ........
..... e non si smuove di lì.
Adesso sono su Ubuntu Live.... e sono sconfortato.
Ho accesso al filesystem Windows ma non so che diamine
fare, cosa controllare, cosa utilizzare.
Mi date una mano per provare a ripristinare Windows e capire come
rimuovere questo virus?! :eek:
PS - Avevo quasi smesso di credere ai virus che ti rompono il
computer.... e questo che ho preso mi pare particolarmente avanzato
visto tutto quello che disattiva e a cui passa indenne.
Non so neanche da dove sia arrivato.... l'unica cosa che mi viene in
mente è l'ultima falla trovata di Firefox (l'altra settimana?), ma
veramente sono esterrefatto. :confused:
[EDIT]
Da Linux ho provato a cercare quella directory dove non avevo trovato il file segnalato (spoolsv.exe) e ho trovato una directory intera!
C:\WINDOWS\temp\spoolsv\ che contiene:
Directory "download" vuota
Directory "logs" vuota
Directory "sounds" vuota
a.reg
aliases.ini
com.mrc
control.ini
Desktop.ini
ident.txt
mirc.ico
popups.txt
remote.ini
run.bat
servers.ini
spoolsv.exe
users.ini
xmas.jpg (l'immagine di un paesaggio.....)
Avete idea di come riparare il tutto e riuscire a tornare operativo? Mi sta bloccando il lavoro!
Grazie!
ho bisogno di un aiuto veramente competente!
Nel giro di un'ora il mio PC è stato devastato da un virus (o Rootkit) che non ho idea di come possa aver preso.
Ha oltrepassato vari software di protezione aggiornati e ha distrutto
il mio sistema operativo.
Vi prego di dare una lettura e di darmi un consiglio sul da farsi.
Ma passiamo alla cronaca:
- Prima di pranzo blocco il PC (Windows XP Pro SP3) e vado a mangiare
- Torno e il PC è come se si fosse riavviato e qualcuno avesse
acceduto ad esso. Non è loggato l'utente di dominio (il mio), ma
l'utente Administrator (LOCALE).
Strano..... riavvio.
- Accedo normalmente al mio solito utente di dominio e mi appare un
alert di un nuovo processo eseguito ma che Anvir Task Manager mi dice
essere sospetto e riconosciuto come CIADOOR.qualcosa ...
Il processo ha l'icona di mIRC (che io non utilizzo e non ho installato!) e si chiama
"spoolsv.exe"; mi viene notificato che si trova sotto C:\WINDOWS\temp
\spoolsv\spoolsv.exe, e che quindi è un virus.
- Lo blocco, lo termino, e vado a controllarlo con Avira.
Ma il file non è lì dove indicato.
Mi accorgo che Avira non è avviato (!!!!!), e provando a reinstallarlo
non mi si avvia neanche il file di setup! (!!!!!!).
Molto preoccupato allora tento di fare uno scan con Malwarebytes,
ma ..... mi accorgo che Malwarebyte's non c'è più! O_O
Nella sua directory è rimasta solo una DLL.
- Lo reinstallo (menomale!) e faccio uno Scan Flash. Mi viene rilevato
un elemento infetto: lo rimuovo e Malwarebytes mi dice che ha bisogno
di riavviare.
- Per sicurezza (ho paura dei boot e dei riavvii!) provo ad eseguire
prima uno Scan Veloce (non il Flash).
E inoltre provo ad avviare GMER, per prevenire eventuali Rootkit.
Appena avvio lo scan di GMER ...... schermo blu!!!! (BSOD!)
- Sempre più nel panico spengo e riaccendo e...... ora ogni volta che
avvio (modalità Normale o Provvisoria) mi riappare la schermata blue!
C'è un errore generico che dice che forse si è preso un virus, che
sarebbe da provare un CHKDSK /F ........
..... e non si smuove di lì.
Adesso sono su Ubuntu Live.... e sono sconfortato.
Ho accesso al filesystem Windows ma non so che diamine
fare, cosa controllare, cosa utilizzare.
Mi date una mano per provare a ripristinare Windows e capire come
rimuovere questo virus?! :eek:
PS - Avevo quasi smesso di credere ai virus che ti rompono il
computer.... e questo che ho preso mi pare particolarmente avanzato
visto tutto quello che disattiva e a cui passa indenne.
Non so neanche da dove sia arrivato.... l'unica cosa che mi viene in
mente è l'ultima falla trovata di Firefox (l'altra settimana?), ma
veramente sono esterrefatto. :confused:
[EDIT]
Da Linux ho provato a cercare quella directory dove non avevo trovato il file segnalato (spoolsv.exe) e ho trovato una directory intera!
C:\WINDOWS\temp\spoolsv\ che contiene:
Directory "download" vuota
Directory "logs" vuota
Directory "sounds" vuota
a.reg
aliases.ini
com.mrc
control.ini
Desktop.ini
ident.txt
mirc.ico
popups.txt
remote.ini
run.bat
servers.ini
spoolsv.exe
users.ini
xmas.jpg (l'immagine di un paesaggio.....)
Avete idea di come riparare il tutto e riuscire a tornare operativo? Mi sta bloccando il lavoro!
Grazie!