disinfezione su windows 7: storia di un peggioramento senza fine

[ledoweb]

E alla fine eccomi qui, disperato, a chiedere aiuto!
L'altroieri sono tornato a casa dopo una settimana di vacanza, accendo il pc e dopo il login sento puzza di guai: pronto a rovinarmi la giornata, appare un bel messaggio che dice "windows ha riscontrato un errore irreversibile e si riavvierà tra un minuto".
Bene, lasciamolo fare: il pc l'avevo riacceso da un'ibernazione evidentemente durata troppo, quindi alla fine non era così strano un errore di quel genere.
Se non che, appena fatto questo riavvio, e appena rifatto il login, si ripresenta lo stesso identico messaggio che non ne vuole sapere di andare via.
Ok, c'è qualcosa che non va: in quel brevissimo minuto che mi separa dall'ennnesimo riavvio, apro il task manager e do un'occhiata ai processi attivi, trovando in un attimo la causa del problema. Millemila processi, chiaramente virus (roba tipo 5vlmnm.exe, sv78qlvlv.exe ecc.) si annidavano nella mia ram, pronti come sempre a far danni.
Parte la controffensiva. Con kaspersky disattivato a causa della licenza scaduta, apro il fido malwarebytes anti-malware e faccio una scansione veloce. Tac: 26 files infetti! Con un certo gusto clicco su elimina selezionati e faccio il riavvio di rito. Rifaccio il login, e stavolta mi accoglie una finestrella con scritto "system updated succeffully": storco il naso. Però almeno non c'è traccia del fantomatico errore irreversibile. Solo il Ccc (catalyst control center) non parte e mi dà un altro errore. Poi, la pace. Forse tutta questa storia si è risolta in tempi brevi, penso. Apro il task-manager... e mi rimangio tutto.
Ci sono gli stessi processi di poco prima, ad occhio anche di più. Comincio a temere per il mio terabyte di dati importantissimi, così penso ad una nuova stratgia d'attacco. Intanto, noto che firefox, chrome e internet explorer sono già stati presi d'assalto, chi mi rimanda sempre e comunque a google.com, chi mi impedisce l'accesso a qualsiasi sito di antivirus, pure l'accesso al web è precluso.
Provo a chiudere il trojan dai vari processi che avevo notato prima: ogni singolo exe in esecuzione smette di rispondere, e devo riavviare.
Mi rimane un'ultima, disperata alternativa: prendo il Cd bootabile di Gdata 2010, lo infilo e lo faccio partire. Che bello, KDE Linux! (:@) Faccio una bella scansione completa, e dopo tre ore ho eliminato più di 75 files infetti, tutti che in qualche modo sembravano collegati al virus che mi sta rovinando la giornata. Riavvio...
È finita. Proprio mentre scrivo ora,cosi come ieri, ho davanti una schermata nera ed un unica piccola finestra:
"Errore di inizializzazione del processo di accesso"
-Inizializzazione del processo di accesso interattivo non riuscita.
Per ulteriori dettagli, vedere il registro eventi.
OK

Avrete già capito che chiudere il messaggio o dare Ok porta sempre alla stessa schermata. Con il cd di windows 7 è impossibile qualsiasi 'ripristino configurazione di sistema', perchè gdata ha eliminato i files infetti anche dalle varie immagini recovery e quindi il processo non va a termine; la console di ripristino è inutile, ho provato fixboot, fixmbr e sfc /scannow, che dice che il sistema va riavviato per concludere l'operazione e invece non è vero.

Vi scrivo dal mio nexus one, con le mani tra i capelli. Perdonate i numerosi errori di scrittura che sicuramente avrò fatto, e vi prego datemi una mano. Non so più cosa fare, e formattazione non ci penso proprio: ho troppi programmi da reinstallare per buttarmi su una cosa così...

Configurazione del pc: phenom xII 955 BE su Asus M4A785TDV-EVO, HD 5870 e HDD da 1,5 TB. Scheda audio Creative X-Fi titanium e 4gb di ram Corsair XMS @1333mhz.
Windows 7 Ultimate.
Ah, e la modalità provvisoria non parte più. Da lo stesso errore della modalità normale.
Una situazione magnifica no? T_T

[Khronos]

partiamo dal principio col precisare che:
il sistema operativo, e la sua "ibernazione durata troppo", non hanno colpe.

Quote:

Originariamente inviato da ledoweb

Con kaspersky disattivato a causa della licenza scaduta

quanto è stato attivo il sistema, in internet, e a che livello era l'UAC, con antivirus disattivato?

Quote:

la console di ripristino è inutile, ho provato fixboot, fixmbr e sfc /scannow

sfc /scannow non ti va in porto? cosa riporta?
gli altri 2 comandi a caso (fixboot e fixmbr) hanno precise funzioni altamente inutili in questo caso. e traparentesi, in windows seven non hanno quasi valore, essendoci bcdedit (sempre e comunque inutile in questo caso).

Quote:

Non so più cosa fare, e formattazione non ci penso proprio: ho troppi programmi da reinstallare per buttarmi su una cosa così...

se windows stesso non riesce a riparare la sua installazione con l'unico comando disponibile per farlo (sfc /scannow), se tu non hai tenuto traccia dei file cancellati da gdata su linux (che sono stati infettati chissà come, ripeto, l'UAC com'era?), non puoi fare altro che reinstallare windows da zero.

[egounix]

bella storia, mi sono divertito a leggerla con amici

comunque... tutti quei files infetti, faranno mica parte di quel "terabyte di files importantissimi"?
7+fw+ms security ed ovviamente una navigazione sicura, problemi = 0

a sto punto fai un bel formattone
reinstalli tutto a puntino
finito l'install fai un bel backup complete pc con qualche tool gratuito
e tieni quel terabyte di files importantissimi lontani dall'so

opera/firefox/explorer con adblock-flashblock-noscript.

[acitre]

Credo che ora l'unica cosa che tu possa fare sia far partire il PC con una distro live e salvare i tuoi dati importanti. Successivamente reinstallare tutto e mettere antivir o microsoft security essential (ottimi entrambi, mai avuto problemi) altro che antivirus scaduti e non aggiornati. Anzi piazza pure l'UAC al massimo livello di sicurezza e avrai imparato la lezione

[ledoweb]

Quote:

Originariamente inviato da Khronos

partiamo dal principio col precisare che:
il sistema operativo, e la sua "ibernazione durata troppo", non hanno colpe.

lo so che un'ibernazione può durare quanto vuoi, era ironia come un pò ironico è tutto il mio post. So come funziona un'ibernazione, altrimenti mi sarei fermato a quel livello del problema -.-"

Quote:

Originariamente inviato da Khronos

quanto è stato attivo il sistema, in internet, e a che livello era l'UAC, con antivirus disattivato?

Il sistema è stato attivo qualche giorno, ma senza visita a nessun sito con rischi in particolare... ho per la mente un tool gratuito, in realtà, che secondo me ha fatto tutto sto casino... ma è solo un'ipotesi. L'UAC lo reputo uno strumento inutile a tutti i livelli, e perciò ogni volta che installo 7 (sul mio pc l'ho fatto un pò di volte, ma molto più spesso ad amici) lo disattivo e metto un bel antivirus. L'UAC non fa altro che chiedere conferma ogni volta che parte un'applicazione (se la faccio partire, è chiaro che l'azione è volontaria), mentre se è qualcosa che parte senza il mio permesso... beh, reputo molto più potente un AV. I trojan di solito bucano il SO, non tutti i software AV.

Quote:

Originariamente inviato da Khronos

sfc /scannow non ti va in porto? cosa riporta?
gli altri 2 comandi a caso (fixboot e fixmbr) hanno precise funzioni altamente inutili in questo caso. e traparentesi, in windows seven non hanno quasi valore, essendoci bcdedit (sempre e comunque inutile in questo caso).

Ancora una volta, so alla perfezione di cosa parlo, i comandi non sono nominati a caso nè tantomento eseguiti senza sapere bene dove andare a parare, il mio pc ha un dual boot con ubuntu e in fase di testing quelle funzioni sono state molto utili. Le ho riportate 1 perchè qualche utente meno preciso mi avrebbe potuto comunque consigliare di usarle e 2 perchè una volta il PC si è impuntato sul boot e reputavo, in particolare bcdedit /fixboot, il comando più adatto. LOSO che il mio problema non risiede nel boot, ma tentar non nuoce. bcdedit in sè, invece, è totalmente inutile. è il vecchio bootcfg potenziato no? serve per configurare l'avvio, a che mi sarebbe servito?

Quote:

Originariamente inviato da Khronos

se windows stesso non riesce a riparare la sua installazione con l'unico comando disponibile per farlo (sfc /scannow), se tu non hai tenuto traccia dei file cancellati da gdata su linux (che sono stati infettati chissà come, ripeto, l'UAC com'era?), non puoi fare altro che reinstallare windows da zero.

sfc /scannow non è che non riesce a riparare, ma mi dice che per proseguire la scansione del sistema è necessario riavviare il pc ma siccome si tratta di uno strumento eseguito dal dvd di 7 quando riavvio non rimane nessuna traccia di tutto ciò e ricompare lo stesso messaggio. Per tua informazione ho tenuto traccia dei file eliminati da gdata, erano tutti exe non necessari all'esecuzione di windows e che risiedevano per lo più in cartelle esterne al sistema (appdata/roaming/temp o nella cartella esecuzione automatica). Credo di sapere quali file sono essenziali x windows e non li avrei eliminati se gdata mi avesse detto che erano infettati.
Per entrare nel dettaglio del virus, è (anzi era ormai) scritto in una dll che veniva eseguita con rundll32 e che creava prima una copia .tmp di se stesso in memoria e poi andava a creare tutti quegli exe di cui parlo nel primo post.
Ripeto, se l'UAC dovesse essere il mio strumento di difesa starei messo male, e RIPETO che non sono stati infettati file di sistema. Per questo è tutto molto strano

Inoltre, a te e a tutti gli altri, aggiungo che per me un format è molto difficile perchè non ho spazio da altre parti dove archiviare temporaneamente tutti i miei file. Non posso infatti operare su questo stesso disco (chessò, creando una partizione, installandoci windows nuovo nuovo e portandoci i vecchi files) perchè rischierei di ri-infettare tutto se tante volte qualche file del virus dovesse essere rimasto.

PS: io ho provato anche un'altra cosa che non ho scritto nel primo post, operazione che peraltro avevo già fatto e che era sempre riuscita.
Selezionando l'opzione aggiornamento dal dvd d'installazione di windows 7, si possono riscrivere solo i file di sistema lasciando intatti files e programmi. Il problema è che se lo faccio dal dvd bootato, mi dice di far giustamente partire l'operazione dal mio vecchio windows avviato normalmente.

Mah, un modo ci deve essere...

[ledoweb]

forse ho trovato.
SE io faccio partire un'installazione pulita, ma SENZA formattare l'hdd, ho letto che la vecchia installazione di windows viene spostata in windows.old. Ma ci vengono messi anche i files nella cartella Users (cioè Documenti, Immagini e Musica)?

Se sì, faccio così, almeno non devo fare un backup e poi ripristinare tutto. No?

[Khronos]

Quote:

Originariamente inviato da ledoweb

L'UAC lo reputo uno strumento inutile a tutti i livelli, e perciò ogni volta che installo 7 (sul mio pc l'ho fatto un pò di volte, ma molto più spesso ad amici) lo disattivo e metto un bel antivirus. L'UAC non fa altro che chiedere conferma ogni volta che parte un'applicazione (se la faccio partire, è chiaro che l'azione è volontaria), mentre se è qualcosa che parte senza il mio permesso... beh, reputo molto più potente un AV. I trojan di solito bucano il SO, non tutti i software AV.

il problema è semplice.
vista o seven, con UAC attivo, avrebbero semplicemente IMPEDITO la modifica e l'incarcerazione di merda nei loro file.
cosa che è avvenuta, con UAC disattivato.
oltretutto il tuo "famoso AV" era pure disattivato anche lui.

niente da fare, con certi pensieri non si ragiona.
posso permettermi di consigliarti una attenta lettura di un topic su cosa è realmente UAC (non è carta straccia, fidati)?

Quote:

Ripeto, se l'UAC dovesse essere il mio strumento di difesa starei messo male,

l'hai tenuto DISATTIVATO. come fai a saperlo, se l'hai tenuto DISATTIVATO?
se fosse stato ATTIVO e ti fosse successo, allora potremmo parlarne in questo modo. ma l'hai disattivato, quindi di UAC non possiamo parlarne, non è colpa sua. non c'era in questo tuo caso.


senza un backup dei dati da un altra parte, non mi arrischio a suggerirti nulla. il casino è tanto.
ciao

[Contemax59]

Quote:

Originariamente inviato da ledoweb

SE io faccio partire un'installazione pulita, ma SENZA formattare l'hdd, ho letto che la vecchia installazione di windows viene spostata in windows.old. Ma ci vengono messi anche i files nella cartella Users (cioè Documenti, Immagini e Musica)?

Se sì, faccio così, almeno non devo fare un backup e poi ripristinare tutto. No?

Questa procedura funziona, l'ho eseguita su un pc di un mio cliente che non riusciva più a partire a causa di settori difettosi. Dopo averli riparati ho rifatto l'installazione senza formattare e i dati sono rimasti intatti.

Secondo me è l'unica opzione decente che rimane, il tuo "caso" è stato meglio di un episodio di Modern Warfare 2

Buona fortuna
Ciauz

[ledoweb]

Scemo come sono, invece di aspettare una risposta come quella qui sopra ho deciso, per non rischiare, di buttarmi su un'altra procedura: da ubuntu live, ho pensato, creo una bella partizione da 400 gb, ci metto tutte le cose più importanti e poi reinstallo Windows nell'altra partizione: seee troppo facile. Ho iniziato alle dieci, non pensando al fatto che migrazione e modifica di partizioni è un qualcosa di estremamente lungo: lo step 3/4 doveva finire qualche minuto fa (1.20), invece quando è arrivato al 99,9% ha ricominciato tutto da capo e dava 6hr rimanenti. Lo so che è rischiosissimo ma ho spento. Tanto l'opzione per annullare non c'era... Ho fatto una cavolata, probabilmente mandando a donnine tutto quel terabyte di dati. E pensare che sarebbe bastato leggere questa conferma qualche riga più su...
Domani vedró i danni che ho realmente fatto. Potrebbero essere troppo grossi!

[WarDuck]

Devo raccogliere delle statistiche riguardo a quanti tengono UAC disattivato e sistematicamente si ritrovano robbaccia .

[Eress]

In effetti l'UAC non ha mai riscosso molto successo tra gli utenti pc

[WarDuck]

Quote:

Originariamente inviato da Eress

In effetti l'UAC non ha mai riscosso molto successo tra gli utenti pc

Mah sai, in parte forse perché non è stato fatto capire bene all'utente di cosa si tratta, in parte forse poteva essere strutturato in maniera migliore.

[HIVE mind]

mah .. io avrei attaccato l'hd su un altro pc (con protezioni e affini) non come disco di avvio, ma secondario, mi sarei copiato i dati sensibili e poi un bel formattone/lavaggio

troppo brusco? banale? ... mi ha salvato la vita più di una volta
ciao!

[Collision]

Quote:

Originariamente inviato da ledoweb

L'UAC lo reputo uno strumento inutile a tutti i livelli, e perciò ogni volta che installo 7 (sul mio pc l'ho fatto un pò di volte, ma molto più spesso ad amici) lo disattivo e metto un bel antivirus. L'UAC non fa altro che chiedere conferma ogni volta che parte un'applicazione (se la faccio partire, è chiaro che l'azione è volontaria), mentre se è qualcosa che parte senza il mio permesso... beh, reputo molto più potente un AV. I trojan di solito bucano il SO, non tutti i software AV.

Quote:

Originariamente inviato da ledoweb

Ancora una volta, so alla perfezione di cosa parlo...

Ecco, scusa non prendertela, ma invece con le affermazioni di cui sopra hai dimostrato di saperne poco!

[Khronos]

Quote:

Originariamente inviato da Eress

In effetti l'UAC non ha mai riscosso molto successo tra gli utenti pc

perchè è una feature che può essere disattivata.
non mi risulta che i controlli dei privilegi su linux si possano disattivare a muzzo come qua, di conseguenza una volta che li hai imparati non ci fai più caso.
qui c'è stata subito la gara alla richiesta "come tolgo sta richiesta di continuare che sono io l'admin e sotutto?" quindi ha danneggiato tutta l'aura di sicurezza che voleva creare.

[Eress]

Quote:

Originariamente inviato da WarDuck

Mah sai, in parte forse perché non è stato fatto capire bene all'utente di cosa si tratta, in parte forse poteva essere strutturato in maniera migliore.

O al limite potevano renderla una funzione non disattivabile, o almeno non del tutto o meglio ancora con un pizzico di sano sadismo rendere la disattivazione UAC un'operazione per pochi eletti, questo sarebbe stato ottimo specie per quella stragrande maggioranza di utonti con scarsa esperienza. Però alla fine credo che avrebbe potuto incidere negativamente sulle vendite e quindi siamo rimasti sul solito compromesso pasticciato.
Un genere di problema che evidentemente non esiste per gli utenti linux.

[Axios2006]

Quote:

Originariamente inviato da Eress

In effetti l'UAC non ha mai riscosso molto successo tra gli utenti pc

Mi sa che se MS avesse messo l'UAC non disattivabile chissà quante denunce avrebbe ricevuto.

Per quanto mi riguarda l'UAC è sempre attivo e anzi vorrei qualcosa di piùtosto come gestione privilegi. Si sono paranoico.