Bel virus.... pls help

Fista · 06-08-2009, 14:46

Allora la situazione è drammatica e sto veramente in crisi.

Infezione da presunto sasser o blaster.

Considerando che:
Nod 32 aggiornato
spybot sempre attivo
windows XP aggiornato.

Come l'ho preso non lo so difficlmente ho preso virus.

SIntomi:

Impossibile accede alle preferenze di sistema (se clicco su proprietà di risorse del computer mi dà errore run dll32

altra cosa strana... l'interfacci di xp si setta automaticamente in "menu classico"

Internet è bloccato.

Ho 5 svchsot aperti, quando ho provato a terminarli al terzo che terminavo mi ha dato il messaggio famoso del blaster di riavvio (da quello ho evinto che sia un blaster)

Il problema è che non posso formattare causa documenti importanti sul pc e cmq non ho un hard disk su cuif ar eil back up abb. grande.
quindi la formattazione è l'ultimissima ipotesi.

ora la domanda...
Che virus è? è una nuova versione del blaster?

cosa poso fare?

Pls hlelp

xcdegasp · 06-08-2009, 16:06

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

Fista · 06-08-2009, 17:48

il problema è che mi blocco subito se seguo quella guida dato che non posso aprire proprio le opzioni per disabilitare il ripristino!

Ho provato pure a modificare i file di registro ma niente da fare!

si avvicina sempre più il format...

xcdegasp · 07-08-2009, 00:43

allora salta quel punto e vai avanti..

Fista · 10-08-2009, 13:32

ecco i log...
ci ho messo un po' perche internet fa' le bizze con questo virus

f secure
report f secure scan.txt

mblast
mbam-log-2009-08-07 (19-32-20).txt

prevex
prevex scan.log

per quanto riguarda DR web mi crashia a meta scansione...

Eset non ha trovato nulla

Pls help sto veramente in un guaio...

xcdegasp · 10-08-2009, 14:20

i log di a-squared, gmer e hijackthis che fine hanno fatto?
potresti rifare la scansione con malwarebytes (aggiornalo prima di lanciare la scansione)?

dal log di prevx compare solo

Codice:

[G] c:\windows\system32\svchost.exe	[PX5: 8BCD8342005527D0384D00B1B67183008C6ED59A]

che è il servizio lecito di windows pertanto se hai killato uno dei processi aperti per conto di svchost.exe è corretto che il pc si sia riavviato essendo processi indispensabili per avere windows stabile.

Fista · 10-08-2009, 15:09

ecco
a secure

a2scan_090810-135038.txt

quindi il riavvio puo' essere stato causato da quello.
resta cmq il problema dell'audio e del non accesso alle preferenze di sistema.
e cmq internet che se ne va'. devo rimettere apposto i file di registro come sta nella vostra guida e riavviare.. allora rifunziona.

insomma che virus ho? :|

provo a riscannare con malwarebytes... vediamo che succede...

cmq grazie in anticipo della solerzia e dell'interessamento

xcdegasp · 10-08-2009, 15:23

devi mettere tutto in quarantena quello che trova a-squared inquanto è confermato che siano oggetti dannosi:
http://www.siteadvisor.com/sites/fee...oads/19384612/

Fista · 10-08-2009, 18:24

messi in quarantena e elminati... ora provo a riavviare...

spero di risolvere.

Fista · 10-08-2009, 20:58

niente...

ci sta sempre ormai non so più che fare...
possibile che non si riesca a levare un virus in nessun modo?

xcdegasp · 10-08-2009, 23:16

devia vere pazienza ma se non fai gli altri log mancanti solo la sfera di cristallo può aiutarti..

Fista · 11-08-2009, 16:17

dopo un lungo tempo di scansione ecco

Gmer

gmer scan.log

e hijack

hijackthis.log

altra scannata con a scan e' uscito un virus quarantenizzato e levato ma non è cambiato il risultato.

log ascan con virus

a2scan2_090810-154116.txt
dr web non ne vuole sapere di finire crashia prima...
spero bastino

di nuovo grazie sei l'unico che risponde :P

xcdegasp · 12-08-2009, 00:08

i due log (gmer e hijackthis) sono puliti però vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

Fista · 12-08-2009, 14:05

pero' non capisco come faccio a rimettere a posto il pc...
magari ha sconfigurato qualche file di sistema di windows...
il risultato è che l'audio non funziona più
e non ho accesso alle propietà di sistema!

quindi installare/disisntallare periferiche è impossibile.

in caso come poso fare a riparare i file di sistema? reinstallo windows?

fermo restando che sono pulito... cosa molto dubbia!

xcdegasp · 13-08-2009, 00:05

abbia pazienza perchè darti assistenza dicendoti in modo semplice cosa fare e dandoti indicazioni corrette senza arrecare ulteriori problemi dalla distanza non è proprio facile quindi ti chiedo un po' di pazienza ma stai tranquillo che risolviamo

intanto hai fatto quello che ti avevo scritto? altrimenti siamo sempre lì a rincorrerci visto che quelle cose chiudono falle enormi da cui è entrato il Virus.Win32.Agent.HFI!IK

Fista · 13-08-2009, 00:42

si scusami ho visto anche che hai postato nell'alro post, ma in effetti facendo una accurata ricerca quel "collega di virus" ha praticametne gli stessi problemi miei...

Ti ringrazio ancora perchè senza di te in effetti starei in mezzo a una strada e giustamente come hai ricordato tu tutto questo alla fine è un forum no profit quindi

seguendo quanto detto in quel forum ho usato combo fix... ecco i log

combofix
log combofix.txt

HO anche aggiornato il reader (grazie del consiglio è ottimo quel programma e ho sempre odiato l'adobe che è pesantissimo) e gli altri programmi...

inoltre ho effettuato una scansione con boot da CD tramite il cd di drweb (avira cd rescue non mi funziona in pratica come selezione la prima opzione mi starta l'installazione e poi si resetta il pc)

la scansione ha trovato un file zip che ho cancellato. niente più..

xcdegasp · 13-08-2009, 08:28

ok, allra combofix ha rimosso:
C:\setup.exe

c:\windows\Downloaded Program Files\PurpleBean.exe

c:\windows\Installer\37fdbd.msi

c:\windows\system32\mfc45.dll

il cd bootable di dr.web ha fatto altra pulizia, riusciresti a provare anche il cd bootable di kaspersky? http://www.hwupgrade.it/forum/showthread.php?t=1878747

dovremo esserci vicini...

Fista · 13-08-2009, 09:55

Buongiorno!

in effetti siamo vicini perchè quando ho startato il pc stamattina mi ha dato un errore proprio di quel file... evidentemente il virus stava cercando di lansciarlo ma non l'ha trovato... bho speriamo..

cmq sto scaricando e masterizzando da un altro pc karspersky

xcdegasp · 13-08-2009, 10:26

Fista · 13-08-2009, 18:40

allora aggiornamento

karspesky (4 ore per la scansione) ha trovato solo un trojan eliminato.

il problema sussiste...
non posto il log perchè al 98% si è resettato il gruppo di continuità

what now?

( e ora?) la situazione rimane

06-08-2009, 14:46	#1
Fista Junior Member Iscritto dal: Oct 2005 Messaggi: 15	Bel virus.... pls help Allora la situazione è drammatica e sto veramente in crisi. Infezione da presunto sasser o blaster. Considerando che: Nod 32 aggiornato spybot sempre attivo windows XP aggiornato. Come l'ho preso non lo so difficlmente ho preso virus. SIntomi: Impossibile accede alle preferenze di sistema (se clicco su proprietà di risorse del computer mi dà errore run dll32 altra cosa strana... l'interfacci di xp si setta automaticamente in "menu classico" Internet è bloccato. Ho 5 svchsot aperti, quando ho provato a terminarli al terzo che terminavo mi ha dato il messaggio famoso del blaster di riavvio (da quello ho evinto che sia un blaster) Il problema è che non posso formattare causa documenti importanti sul pc e cmq non ho un hard disk su cuif ar eil back up abb. grande. quindi la formattazione è l'ultimissima ipotesi. ora la domanda... Che virus è? è una nuova versione del blaster? cosa poso fare? Pls hlelp

06-08-2009, 16:06	#2
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

07-08-2009, 00:43	#4
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	allora salta quel punto e vai avanti.. __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

10-08-2009, 14:20	#6
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	i log di a-squared, gmer e hijackthis che fine hanno fatto? potresti rifare la scansione con malwarebytes (aggiornalo prima di lanciare la scansione)? dal log di prevx compare solo Codice: [G] c:\windows\system32\svchost.exe [PX5: 8BCD8342005527D0384D00B1B67183008C6ED59A] che è il servizio lecito di windows pertanto se hai killato uno dei processi aperti per conto di svchost.exe è corretto che il pc si sia riavviato essendo processi indispensabili per avere windows stabile. __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV Ultima modifica di xcdegasp : 10-08-2009 alle 14:25.

10-08-2009, 15:23	#8
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	devi mettere tutto in quarantena quello che trova a-squared inquanto è confermato che siano oggetti dannosi: http://www.siteadvisor.com/sites/fee...oads/19384612/ __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

06-08-2009, 17:48	#3
Fista Junior Member Iscritto dal: Oct 2005 Messaggi: 15	il problema è che mi blocco subito se seguo quella guida dato che non posso aprire proprio le opzioni per disabilitare il ripristino! Ho provato pure a modificare i file di registro ma niente da fare! si avvicina sempre più il format...

10-08-2009, 13:32	#5
Fista Junior Member Iscritto dal: Oct 2005 Messaggi: 15	ecco i log... ci ho messo un po' perche internet fa' le bizze con questo virus f secure report f secure scan.txt mblast mbam-log-2009-08-07 (19-32-20).txt prevex prevex scan.log per quanto riguarda DR web mi crashia a meta scansione... Eset non ha trovato nulla Pls help sto veramente in un guaio...

10-08-2009, 15:09	#7
Fista Junior Member Iscritto dal: Oct 2005 Messaggi: 15	ecco a secure a2scan_090810-135038.txt quindi il riavvio puo' essere stato causato da quello. resta cmq il problema dell'audio e del non accesso alle preferenze di sistema. e cmq internet che se ne va'. devo rimettere apposto i file di registro come sta nella vostra guida e riavviare.. allora rifunziona. insomma che virus ho? :\| provo a riscannare con malwarebytes... vediamo che succede... cmq grazie in anticipo della solerzia e dell'interessamento

10-08-2009, 18:24	#9
Fista Junior Member Iscritto dal: Oct 2005 Messaggi: 15	messi in quarantena e elminati... ora provo a riavviare... spero di risolvere.

10-08-2009, 20:58	#10
Fista Junior Member Iscritto dal: Oct 2005 Messaggi: 15	niente... ci sta sempre ormai non so più che fare... possibile che non si riesca a levare un virus in nessun modo?

10-08-2009, 23:16	#11
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	devia vere pazienza ma se non fai gli altri log mancanti solo la sfera di cristallo può aiutarti.. __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

11-08-2009, 16:17	#12
Fista Junior Member Iscritto dal: Oct 2005 Messaggi: 15	dopo un lungo tempo di scansione ecco Gmer gmer scan.log e hijack hijackthis.log altra scannata con a scan e' uscito un virus quarantenizzato e levato ma non è cambiato il risultato. log ascan con virus a2scan2_090810-154116.txt dr web non ne vuole sapere di finire crashia prima... spero bastino di nuovo grazie sei l'unico che risponde :P

12-08-2009, 00:08	#13
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	i due log (gmer e hijackthis) sono puliti però vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

12-08-2009, 14:05	#14
Fista Junior Member Iscritto dal: Oct 2005 Messaggi: 15	pero' non capisco come faccio a rimettere a posto il pc... magari ha sconfigurato qualche file di sistema di windows... il risultato è che l'audio non funziona più e non ho accesso alle propietà di sistema! quindi installare/disisntallare periferiche è impossibile. in caso come poso fare a riparare i file di sistema? reinstallo windows? fermo restando che sono pulito... cosa molto dubbia!

13-08-2009, 00:05	#15
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	abbia pazienza perchè darti assistenza dicendoti in modo semplice cosa fare e dandoti indicazioni corrette senza arrecare ulteriori problemi dalla distanza non è proprio facile quindi ti chiedo un po' di pazienza ma stai tranquillo che risolviamo intanto hai fatto quello che ti avevo scritto? altrimenti siamo sempre lì a rincorrerci visto che quelle cose chiudono falle enormi da cui è entrato il Virus.Win32.Agent.HFI!IK __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

13-08-2009, 00:42	#16
Fista Junior Member Iscritto dal: Oct 2005 Messaggi: 15	si scusami ho visto anche che hai postato nell'alro post, ma in effetti facendo una accurata ricerca quel "collega di virus" ha praticametne gli stessi problemi miei... Ti ringrazio ancora perchè senza di te in effetti starei in mezzo a una strada e giustamente come hai ricordato tu tutto questo alla fine è un forum no profit quindi seguendo quanto detto in quel forum ho usato combo fix... ecco i log combofix log combofix.txt HO anche aggiornato il reader (grazie del consiglio è ottimo quel programma e ho sempre odiato l'adobe che è pesantissimo) e gli altri programmi... inoltre ho effettuato una scansione con boot da CD tramite il cd di drweb (avira cd rescue non mi funziona in pratica come selezione la prima opzione mi starta l'installazione e poi si resetta il pc) la scansione ha trovato un file zip che ho cancellato. niente più..

13-08-2009, 08:28	#17
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	ok, allra combofix ha rimosso: C:\setup.exe c:\windows\Downloaded Program Files\PurpleBean.exe c:\windows\Installer\37fdbd.msi c:\windows\system32\mfc45.dll il cd bootable di dr.web ha fatto altra pulizia, riusciresti a provare anche il cd bootable di kaspersky? http://www.hwupgrade.it/forum/showthread.php?t=1878747 dovremo esserci vicini... __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

13-08-2009, 09:55	#18
Fista Junior Member Iscritto dal: Oct 2005 Messaggi: 15	Buongiorno! in effetti siamo vicini perchè quando ho startato il pc stamattina mi ha dato un errore proprio di quel file... evidentemente il virus stava cercando di lansciarlo ma non l'ha trovato... bho speriamo.. cmq sto scaricando e masterizzando da un altro pc karspersky

13-08-2009, 10:26	#19
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	__________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

13-08-2009, 18:40	#20
Fista Junior Member Iscritto dal: Oct 2005 Messaggi: 15	allora aggiornamento karspesky (4 ore per la scansione) ha trovato solo un trojan eliminato. il problema sussiste... non posto il log perchè al 98% si è resettato il gruppo di continuità what now? ( e ora?) la situazione rimane Ultima modifica di Fista : 21-08-2009 alle 13:50.

Strumenti
Mostra una versione stampabile Invia questa pagina per email