ciao a tutti

dopo anni e anni sono costretto a tornare a scrivere su questo forum per chiedere consigli su questo problema :cry:

ieri sera durante la consultazione di alcuni siti ( attendibili ) , prevx mi avvisava della presenza di un malware , così interrompevo la navigazione per fare una scansione del sistema con Avira aggiornato , trovavo un virus e lo eliminavo ......

per sicurezza rifacevo una nuova scanzione con prevX e i file sospetti/infetti erano diventati 9 :eek:

task manager era pieno di processi " ambigui " così ho deciso di provare con Combofix , ma durante l'esecuzione sono apparsi più messaggi di errore ... ho deciso di resettare per riavviare in modalità provvisoria .... e così ho perso definitivamente li "timone" del pc , adesso si riavvia di continuo senza caricare il sistema operativo , al momento dell'avvio c'è una schermata blu di 1 nanosecondo , che stress questi virus è una battaglia continua :doh:

ho cercato sul forum ma non c'è niente di " recente " riguardante questo problema

potreste darmi qualche indicazione ?

grazie in anticipo

Scarica TDSSKiller: http://support.kaspersky.com/downloads/utils/tdsskiller.zip
● estrai il contenuto del file zippato sul Desktop
● doppio click su TDSSKiller.exe per avviare l'applicazione e successivamente sul pulsante Start Scan

Giunti a questo punto, inizia la scansione del tuo sistema alla ricerca di software malevolo:
● se viene trovato un file infetto, l'azione di default sarà Cure, clicca quindi su Continua
● se viene trovato un file sospetto, l'azione di default sarà Skip, clicca quindi su Continua

Una volta terminata la scansione, si presenterà una di queste due opzioni:
● non è necessario il riavvio del sistema: clicca su Report e salva il contenuto in un file di testo
● è necessario riavviare il sistema: clicca su Riavvia ora
● una volta riavviato il sistema, il report del programma da allegare si trova in C:\ in questa forma:
TDSSKiller.[Version]_[Date]_[Time]_log.txt

grazie Himaco per l'interessamento ma in effetti ha ragione Claudio , non riesco ad entrare nel sistema operativo :(

ho anche il cd di XP home , ma visto che sono poco pratico volevo sapere da voi utenti del forum se questi sintomi sono legati a un virus/malware in particolare e se ci sono altre " tecniche " per " ripristinare XP senza rischiare di perdere tutto :muro:

l'unica è agire attraverso un cd rescue tipo avira rescue system (http://www.hwupgrade.it/forum/showthread.php?t=1689812) oppure kaspersky rescue cd (http://www.hwupgrade.it/forum/showthread.php?t=1878747), ovviamente scaricadolo e masterizzandolo da un altro pc.. esempio il pc di un vicino di casa, della morosa, di un amico, della biblioteca comunale, di un internet point, ...
fatta la scansione con il cd poi prova ad avviarlo normalmente in caso estremo in "modalità provvisoria" e proviamo poi a seguire la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

ok grazie , immaginavo .... vi terro informati sull' intervento ;)

fammi solo capire una cosa, qual'è il momento in cui si riavvia ? riesci a vedere il logo di windows che carica il sistema o non arriva nemmeno lì ?

in ogni caso io farei prima la scansione con il rescue e solo dopo l'eventuale proposta di console di ripristino :)

allora vi aggiorno sulla situazione con i primi interventi .......

1) Avira R. Cd si blocca al caricamento della 2 " stringa " di cui non ricordo il nome , ci prova per circa 2 minuti poi mi da un'errore ( forse è il disco venuto male )

2) kaspersky rescue cd , parte ..... poi quando arrivo alla schermata dove sciegliere tra A P etc. etc. si blocca :doh: nessun tasto funziona

in entrambe però se tento di avviare da hd mi viene fuori questo messaggio :
" NTLDR mancante "

X _NightFox_ si riesco a vedere il logo , prima del logo ad ogni riavvio mi ritrovo nella schermata della modalità provvisoria , una volta selezionata ( le ho provate tutte ) appare il logo , poi una schermata blu di errore di mezzo secondo ........ poi il riavvio :muro:

ora provo a rimasterizzare i due rescue CD , ma penso che il problema più che il virus o malware si dovuto al danneggiamento di file di sistema ..........

che ne dite ?

;34285484']Mod, non intendevo suggerire una soluzione diversa da quella da te proposta.
La mia era solo una domanda tecnica alla quale, comunque, hai dato risposta.
Grazie.

no bhè la mia risposta era in considerazione del fatto che agendo da console di ripristino non rimuovi il virus ed anzi se questo ha agito in un modo è probabile che riagisca nello stesso modo se ripristini quel file..
cioè tu rirpistini pippo ma se lui lo ricorrompe dopo che hai risolto? avresti perso inutilmente tempo prezioso.
la scansione anntivirus tramite llivecd ha il vantaggio che può rimuovere in semplicità anche i rootkit ostici o per lo meno di addomesticare il malware rendendolo meno aggressivo :)

come tentativo primario userei quelli poi ci sono i casi limite come questo che i cd rescue non riescono ad avviare il pc :)

esatto vengono tenuti costantemente aggiornati pperchè a tutti gli effetti inglobano l'enciclopedia virale del vero antivrius quindi sì è meglio scaricarli solo quando effettivamente necessario.

in alternativa puoi guardare il thhread di Shardana Antivirus Rescue Disk Utility Multiboot (http://www.hwupgrade.it/forum/showthread.php?t=1906023) che serve per creare una multi raccolta di immagini live-cd su uno stesso supporto :)

puoi anche restare se vuoi provare a dargli una mano usando la guida degli infetti :)

aggiornamento dall'ufficio :doh:

rimasterizzati i CR Rescue , Kasperky continua a bloccarsi nello stesso punto .. boo

Avira funzia , e mi trova 2 infezioni , la prima scansione ( 1 H 20 m ) ho fatto rinominare le infezioni , riprovato ad avviare XP .. schermata blu , seconda scansione , gli ho fatto eliminare le infezioni , ho riprovato ad avviare ma conitnua a persistere il problema :cry:

La cosa anomala che ho riscontrato al momento di salvare il log di Avira è che le lettere assegnate ai dischi fissi sono diverse da quelle che ricordavo , per esempio .... io sono strasicuro che Windows ere sul C mentre adesso me lo ritrovo su D , ho anche un'altro disco più piccolo che ricordo come E ed è ora diventato C , il CD rom da D diventa I ........ è normale ?

Prima di provare i vari passaggi per ripristinare con il cd di XP ho voluto per scrupolo ( proprio con il CD ) controllare da prompt se questa cosa strana risultava , e in effetti :
quando premo R per ripristinare , mi visualizza il SO installaro in : 1) D:\WINDOWS
il CD è su I:
e il disco dove avevo dati e qualche gioco è C::eek:

ora mi stampo bene la guida che mi avete suggerito ma non vorrei che fosse proprio questo " scambio " di " identità " tra HD che mi complica il riavvio ........ ah dimenticavo , anche da Rescue CD di Avira se voglio avviare da disco mi conferma : " NTLDR is missing "

qualche suggerimento ?:help:

il cambio di lettera all'unità mette sicuramente KO windows così come cambiare il nome della cartella windows a caldo :)

devi provare a d avviare il pc con gparted o altri programmi che possano modificare le partizioni (qui trovi un'ottima discussione con già l'elenco dei software free e a pagamento -> http://www.hwupgrade.it/forum/showthread.php?t=2084304 ) così puoi rinominare correttamente le unità e poi provi a riavviare windows normalmente che probabilmente darà lo stesso errore " NTLDR is missing " :)

a quel punto procedi con la Console di Ripristino .


seguirei questo modus operandi giusto per procedere per gradi e confermando che non saltino fuori nuovi problemi..

se tutto va bene .... siamo rovinati ! :D

ok le cose si complicano , non penso di avere le capacità per utilizzare software del genere senza fare danni :O , non è che c'è una via più " campagnola " per risolvere , per espempio , che so ...... staccare l'hd più piccolo , in modo tale da farne restare solo uno ............ oppure staccare quello con il s.o. installato e portarmelo in qui in ufficio per rimettergli i file corrotti o mancanti ........

chiaramente da profano la butto li , sicuramente sono cose che non si possono fare , ma poi come è possibile che ci sia un cambio di lettera all'unità ? Può farlo un virus ?

che storia ............ erano anni e anni che non affrontavo un casino del genere

ma non demordo la macchina non può vincere cosi' facilmente

guarda che qualsiasi sooftware che vada a modificare le partizioni ti chiede mille autorizzazioni prima di applicare non vedo la situazione così drammatica come la descrivi..
è la soluzione più veloce e sono a prova di bambino questi software :)

essendo le partzioni una porzione di disco e non dischi fisici la vedo dura separare il sistema operativo da tutto operando fisicamente all'interno del cabinet.. ma puoi sempre provarci :asd:

bhè se ti arrendi è ovvio che la macchina vinca facilmente ;)

:D sono lieto di comunicarvi che ho ripreso il timone !!! :D

- ora vi indico in sequenza come ho risolto , ma attenzione come spesso accade non penso sia il modo universale per operare nella situaizone in cui mi trovavo ..... diciamo che ho sfuttato il principio del " unplug and pray "

ma andiamo con ordine :

1) preso dallo sconforto , ho aperto il case per scollegare il 2° hd ( che da E era diventato C ) , ho anche approfittato per dare un'aspirata e distinguere l'hardware dalla polvere :D

2) inserito il cd di XP ho provato con il ripristino e finalmente mi trovava il s.o. su C: , ho eseguiito passo passo i comandi della guida postata ( grazie ancora [Claudio] ) e ...... finalmente mi sono reimpossessato del sistema operativo , ma non senza qualche dubbio e colpo di scena :eek:

- infatti al primo riavvio ho dovuto chiamare MS per avere un nuovo codice di attivazione ..... poichè xp mi diceva che non riusciva a visualizzare il vecchio

- una volta rientrato ho cominciato a disinfestare per bene la macchina seguendo le istruzioni della guida , da modalità provvisoria , tra tutto circa 17/18 malware :)

ora ringraziandovi di nuovo per l'aiuto vi voglio chiedere 2 cose che non mi so spiegare :

1) Quando avvio XP prima di caricare il sistema , ritorna per un millisecondo la schermata del " NTLDR mancante " poi mi appare una schermata nera , ( che prima non avevo ) mi chiede quale sistema operativo caricare , ma sembra ci sia solo una scelta cioè " Windows XP home " , però sopra questa scelta c'è uno spazio nero che sembra selezionabile ...... possibile ? Come posso verificare e fixare la corretta installazione del s.o. ?

2) Quando lancio Combofix , mi dice che potrebbero esserci conflitti con sistemi antivirus attivi ( Avira e nod 2.70 ) ma Avira risulta inattivo , almeno da menu e task , mentre Nod è disinstallato da circa 3 mesi ........ :eek:Ho provato a seguire anche i consigli nella guida alla disinfezione , ma ogni volta che lancio Combofix mi trova questa cosa ... posso verificare in altre maniere ?

Grazie ancora raga !!!!!;)

non fare combofix!
pubblica tutti i log che possiedi attualmente così capiamo la situazione altrimenti fai solo danni..

Ok mi aspetta un'altra notte insonne :(

Quali sono i log che meglio indicano lo stato del sistema ?
Posso evitare di fare quelli online ?
Possono bastare : Malwarebytes Anti-Malware ; HiJackThis ; Prevx e Gmer o deve per forza fare anche gli altri ?

oggi sono riuscito a scansionare con Malwarebyte e mi ha trovato altre 4 infezioni ......... ma cavolo il tempo non basta mai !

senza pensare che è un po che non " maneggio " col forum , quindi dovrò anche studiarmi la guida per allegare i Log :D

se leggi da qualche parte nella guida "sorteggia a sorte i programmi tra questi" allora puoi decidere liberamente con cosa scansionare, in caso contrario ti consiglio di attenerti a quanto specificato.
il pc è il tuo, tu sei davanti al pc, io sono altrove e non possiedo la sfera di cristallo, vedi te che fare :O :sofico:


se ritieni sia troppo lunga, noiosa e che il tempo sia denaro allora puoi sempre procedere con la procedura velloce descritta nella guida degli infetti.

ciao ragazzi

allora sono sicuro di aver sistemato il tutto e di essere ( per ora :D ) privo di infezioni al 100 %

ho eseguito tutti i software della guida tranne ESET SysInspector

vi allego i Log più piccini se avete voglia dategli un'occhiata ;)

ciao e alla prossima infezione :D :D :D

ah dimenticavo ho aggiunto PeerGuardian aggiornato con la lista di IP da bloccare di Hwupgrade , speriamo di essere più sicuri nella navigazione

niente zip grazie :O

Scusate l'ignoranza ma i file .zip non si possono allegare ? :eek:

oppure mi considerate un untore ? :D

in ogni caso , forse sono riuscito a metterli su mediafire ..... forse

Approfitto per farti una domanda xcdegasp ... ieri pronvando PeerGuardian ho notato che sul mio account utente funziona ma su quello di mia moglie ( amministratore anche lei ) mi vien fuori un errore di file mancanti , il bello è che se lo disattivo dal mio utente e lo avvio su quello di mia moglie funziona ........ è normale ? o deve funzionare su tutti e 2 gli utenti ?

il allegato i log http://www.mediafire.com/?g868j6i3yoluo

chissà se và :p

leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598), grazie!

ps: l'ignoranza non è mai una scusante, semmai un'aggravante..


qui sei ot per la domanda riguardante peerguardian, se continui a usare i dns di opendns non hai bisogno di usare peerguardian, perchè funzionano in maniera similare. i dns sono costantemente aggiornati e impediscono di collegarsi a siti ritenuti pericolosi/maligni.
per peerguardian invece devi costantemente tenere le liste aggiornate, spesso sono molto invasive bloccando ip che non dovrebbero...

sinceramente io prima di accingermi ad attuare peerguardian rivedrei le mie abitudini, sai anche te che la colpa è tra la sedia e la scrivania :sofico:
antivir va benissimo, online armor anche, spybot puoi cestinarlo e installarne uno più efficace: Thread Ufficiale Degli antispyware (http://www.hwupgrade.it/forum/showthread.php?t=1825614)
e poi puoi legegre i primi messaggi di questo: Protezione del Computer: consigli e valutazioni (http://www.hwupgrade.it/forum/showthread.php?t=2011681)