System32 changed

[chaozj]

Dopo l'apertura di un link su una mail inviata da un contatto msn conosciuto sono iniziati una serie di problemi che penso siano riconducibili ad un virus/malware. Chi l'ha aperto dice che è comparsa una cartella dentro cui c'era una pagina internet (forse un collegamento) e la cartella con tutti gli oggetti associati. Dice di aver aperto l'una e l'altra e poi di aver chiuso tutte le finestre non capendo cosa fosse.

Vi elenco brevemente i problemi da me riscontrati pochi minuti dopo:
- Scomparsa delle icone sul desktop
- Scomparsa dell'orologio sulla barra delle applicazioni
- Scomparsa dei tasti "DIsconnetti" e " Spegni computer" dal menù START
- Impossibilità di accedere al pannello di controllo ed ai suoi sottomenù.Quando cerco di accedervi mi appare un messaggio di errore intitolato RESTRIZIONI che dice: "Operazione annullata. Sul computer sono attivate delle restrizioni. Contattare l'amministratore di sistema."

dalla scansione con AVG free (antivirus già installato precedentemente) non sono risultati errori o virus, ma solo dei cambiamenti nella cartella system32 di windows, ed in particolare:
user32.dll
ntoskrnl.exe

Come consgliato ho installato ed effettuato una scansione anche con BitDefender 8 Free Edition dopo averlo aggiornato, ma senza aver potuto disabilitere l'opzione del ripristino in quanto non ho accesso al pannello di controllo. Il risultato è stato il rilevamento di diversi virus in più rispetto ad AVG, ma tutti impossibili da riparare e spostati in quarantena. Risultato: TUTTO COME PRIMA!!!! Il pc mi serve per lavorare; non sembrano esserci problemi ulteriori, ma non vorrei creare problemi alla rete di lavoro o ai file che uso.
AIUTOOOOOOOOOOOOOOO

[chaozj]

Vorrei aver consigli sul dafarsi. BitDefender non ha nè riparato nè cancellato i "virus" trovati..mi consigliate di farlo io manualmente? Può essere che essendo solo stati spostati in quarantena continuino ad avere effetti sul pc? Sono molto preoccupato e sto pensando di mandare il pc in assistenza, ma prima volevo un vostro consiglio per cercare di risolvere la cosa da solo!

[Gianky....! :D :)]

Quote:

Originariamente inviato da chaozj

Vorrei aver consigli sul dafarsi. BitDefender non ha nè riparato nè cancellato i "virus" trovati..mi consigliate di farlo io manualmente? Può essere che essendo solo stati spostati in quarantena continuino ad avere effetti sul pc? Sono molto preoccupato e sto pensando di mandare il pc in assistenza, ma prima volevo un vostro consiglio per cercare di risolvere la cosa da solo!

Se sono in quarantena è come se fossero isolati
Invece ti consiglio di scaricare kav 6 aggiornarlo e scansionare da modalità provvisoria..(http://www.kasperskystore.it/eval.html?change_os=ALL)
Forse risolvi

[chaozj]

Dal link che mi hai dato posso scaricare 2 versioni di prova. Quale scelgo? Come faccio ad entrare in mod provvisoria?

[Marco P.]

Devi scaricare la prima che si riferisce al solo antivirus!!

Per la mod. provvisoria, premi F8 prima dell'avvio del sistema operativo, prima quindi del caricamento di windows!!

Ciao

[Bugs Bunny]

fai un log di hijackthis.

puoi mettere hijackthis su floppy denominandolo HJT.exe

inserisci il floppy nell'unità e poi apri il taskmanager e su file>nuova operazione scrivi cmd.exe

poi scrivi

Quote:

start A:\HJT.exe

fai il log,salvi nel floppy e lo posti da un altro pc

[chaozj]

Allora, dopo un paio di giorni vi aggiorno... Kaspersky non ha trovato nulla di rilevante in varie LUNGHE scansioni, più volte si è come bloccato, la prima scansione è durata 18 ore, inoltre un file era protetto da password e non è stato controllato, ma dal nome sembrava perlomeno sospetto! Continuo a non visualizzare le icone, l'orologio, nè posso accedere al pannello di controllo. Tuttavia, e non so se sia rilevante, in modalità provvisoria ho la possibilità di entrare sia col nome utente che uso normalmente (e che dovrebbe essere l'unico esistente) sia come amministratore. Come mai questa possibilità? In teoria l'amministratore è il nome utente..può significare qlcosa?
Infine pensavo alla possibilità di reinstallare il sistema operativo semplicemente sovrascrivendo il vecchio....immagino non sia un lavoro pulito, ma ha anche qualche controindicazione importante????

Per Bugs Bunny:
Non ho capito bene cosa mi hai consigliato..mi spieghi di che si tratta?

Grazie

[wizard1993]

esegi regedit vai in hklm/software/microsoft/windows/current version/policies e cancella tutte i binari

[chaozj]

non ho accesso ad ESEGUI, da dove ci posso andare se non da start?

[AngeL)]

Quote:

Originariamente inviato da chaozj

non ho accesso ad ESEGUI, da dove ci posso andare se non da start?

prova tasto di windows + R

[chaozj]

Compare la solita maledettissima scritta...

RESTRIZIONI
Operazione annullata.Sul computer sono attive delle restrizioni. Contattare l'amministratore di sistema.

Ribadisco che in modalità provvisoria, mi consente di scegliere se entrare come amministratore o col profilo utente. Il problema è che quel profilo utente dovrebbe incorporare anche le funzioni di amministratore!! E' un indizio di qlcosa?
Cmq non riesco ad accedere ad ESEGUI neppure in modalità provvisoria ed entrando come amministratore, perchè compare la stessa scritta.
L'unica area in cui riesco ad accedere è il ripristino configurazione di sistema, ma non mi risultano punti di ripristino validi prima del problema (strano!)
Che faccio?

[wizard1993]

scaricati questa trial
http://www.sofotex.com/RegCOPA-Regis...ad_L38829.html
e rifai quanto sopra detto

[chaozj]

ok, l'ho installato, ed ora?
Non so proprio dove mettere le mani

[wizard1993]

fai la stessa cosa che ti avevo detto di fare con regedit

[chaozj]

l'avevo immaginato...
il fatto è che non so da dove andarci! In qualle cartella devo cercarlo?
HKEY_..........
Ce ne sono diverse ed io non so neppure che siano

[wizard1993]

hkey local machine

[chaozj]

Sono entrato in policies ed a parte le sottocartelle (Explorer,Ext,NonEnum,Ratings,system) c'è un unico file con name (Default) e Type REG_SZ

[wizard1993]

allora non è il malware che pensavo

[chaozj]

accidenti....

e mo che faccio? Ma cosa succede se reinstallo windows senza formattare?

[wizard1993]

usa la funzione ripara