Virus simile (?) a Bagle, [WinXP]

[emanueles]

Ciao a tutti. Premetto che ho già letto il topic generico sulle infezioni e quello specifico per la rimozione di Bagle, ed ho anche provato a seguire i passi indicati, senza risultati. Lo scoglio infatti si presenta subito: al momento di disattivare i punti di ripristino, viene visualizzato un messaggio di errore in cui viene detto che punti di ripristino non può proteggere il sistema, e si consiglia di riavviare il computer e riprovare. Ovviamente al riavvio non cambia un ciufolo. Siccome mi tengo la formattazione come ultima, disperata e spero proprio evitabile soluzione per il mio portatile Asus con Windows XP, volevo chiedervi se sapete darmi qualche dritta per provare a togliere il virus di cattiveria. I problemi principali sono i seguenti:
- La barra di avvio è diventata bianca con grafica elementare, lo stesso
dicasi - riguardo alla grafica - per tutte le finestre che vengono aperte;
- Gli antivirus - AVG, Ad-Aware - sono bloccati, come se non fossero installati, a parte Antivir che gira ma non trova nulla di strano - beato lui nella sua ebetaggine - ;
- Al momento dell' ingresso sul computer del virus, mi si erano aperte un bel pò di finestre di Securemaker che aveva bloccato la minaccia, ma ovviamente quando devi sbagliare a spingere un tasto capita quando le conseguenze sono disastrose, quindi in una di queste finestre ho premuto allow al posto di reject ed il virus si è installato;
- Non riesco più ad accedere ad Internet, nè tramite linea Adsl nè tramite Fastweb con cavo LAN;
- Non funziona più il punto di ripristino, visualizza il messaggio di errore che ho riportato sopra.
Spero proprio che possiate aiutarmi, grazie in anticipo per le eventuali risposte...

[wjmat]

Ciao benvenuto nel pronto soccorso di HU.
Prova con il rescue cd di avira
Tutte le info le trovi qui
http://www.hwupgrade.it/forum/showthread.php?t=1689812
Poi se la situazione migliora vediamo come procedere

[emanueles]

Quote:

Originariamente inviato da wjmat

Ciao benvenuto nel pronto soccorso di HU.
Prova con il rescue cd di avira
Tutte le info le trovi qui
http://www.hwupgrade.it/forum/showthread.php?t=1689812
Poi se la situazione migliora vediamo come procedere

Ok grazie, l' ho appena scaricato, oggi pomeriggio sul tardi provo poi ti faccio sapere...

[emanueles]

Scusate ma sto già annegando nell' informatica. Ho scaricato Avira AntiVir Rescue System, e dato che non avevo la minima idea di cosa fare ho provato con Burn cd inserendo un cd vuoto ed Exit, ma la schermata nera che c' è nella guida non l' ho vista... Probabilmente perchè non ho la più pallida idea di cosa sia il BIOS, perdonate la mia vergognosa ignoranza. Please, ...

[wjmat]

accendi il pc e dal bios assicurati che il boot parta dal cd (qui e qui alcuni esempi per farlo)
solitamente devi premere iltasto Canc o F2 per accedere al menù del bios

[Chill-Out]

Quote:

Originariamente inviato da emanueles

Scusate ma sto già annegando nell' informatica. Ho scaricato Avira AntiVir Rescue System, e dato che non avevo la minima idea di cosa fare ho provato con Burn cd inserendo un cd vuoto ed Exit, ma la schermata nera che c' è nella guida non l' ho vista... Probabilmente perchè non ho la più pallida idea di cosa sia il BIOS, perdonate la mia vergognosa ignoranza. Please, ...

Devi scaricarlo ed avviarlo per masterizzarlo su un qualsiasi CD/DVD, non c'è bisogno di usare Burn

[emanueles]

Ehm sono riuscito a seguire i passi spiegati nella guida, ma mentre la scansione stava avanzando mi si è oscurato lo schermo, non si vede più niente, anche se carica quindi penso che qualcosa stia facendo. Incrocio le braccia e aspetto?
E nel caso finisse e ricomparisse qualcosa per magia, salvo il log?

[wjmat]

Quote:

Originariamente inviato da emanueles

Ehm sono riuscito a seguire i passi spiegati nella guida, ma mentre la scansione stava avanzando mi si è oscurato lo schermo, non si vede più niente, anche se carica quindi penso che qualcosa stia facendo. Incrocio le braccia e aspetto?
E nel caso finisse e ricomparisse qualcosa per magia, salvo il log?

le sto incrociando anche io

[emanueles]

Quote:

Originariamente inviato da wjmat

le sto incrociando anche io

Grazie della solidarietà ... Il problema è che non so per quanto aspettare prima di cominciare a smontare l' hard disk a mazzate...

[wjmat]

se muovi il mouse o se schiacci un tasto che non sia esc non si ripiglia?

[emanueles]

Quote:

Originariamente inviato da wjmat

se muovi il mouse o se schiacci un tasto che non sia esc non si ripiglia?

E' tornato, spingendo un tasto a caso, avevo provato solo col mouse... Si vede poco ma si vede... Batto un colpo quando finisce... Il log alla fine lo devo salvare o esco direttamente?

[wjmat]

Quote:

Originariamente inviato da emanueles

E' tornato, spingendo un tasto a caso, avevo provato solo col mouse... Si vede poco ma si vede... Batto un colpo quando finisce... Il log alla fine lo devo salvare o esco direttamente?

mi pare che il log lo salvi solo in presenza di floppy... se riesci fallo altrimenti batti solo il colpo

[emanueles]

Ok ha finito la scansione, ho riacceso il computer ma non sembra essere cambiato nulla, la grafica della barra è sempre quella, non accede a Internet e gli antivirus sono bloccati... Prossimo passo?

[wjmat]

segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema , fatto la pulizia dei file inutili con ATFCleaner , vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

1. log di Malwarebytes Anti-Malware aggiornato ad oggi
2. log di A-squared scansione deep aggiornato ad oggi
3. log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine
4. log di Dr.Web CureIT scaricato oggi
5. log di ESET SysInspector
6. log di HiJackThis
7. log di Gmer
8. log di PrevxCSI

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.

Se pensi che l'infezione possa essere partita da una chiavetta usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa è una brevissima guida alla pubblicazione dei log
Qui e qui esempi precisi ed ordinati di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, wikisend.com, mediafire.com
caricamento immagini fileqube.com

[Chill-Out]

Quote:

Originariamente inviato da emanueles

Ok ha finito la scansione, ho riacceso il computer ma non sembra essere cambiato nulla, la grafica della barra è sempre quella, non accede a Internet e gli antivirus sono bloccati... Prossimo passo?

Durante la scansione sono stati rilevati files infetti? Se si che azione hai intrapreso?

[emanueles]

Quote:

Originariamente inviato da wjmat

segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema , fatto la pulizia dei file inutili con ATFCleaner , vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

1. log di Malwarebytes Anti-Malware aggiornato ad oggi
2. log di A-squared scansione deep aggiornato ad oggi
3. log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine
4. log di Dr.Web CureIT scaricato oggi
5. log di ESET SysInspector
6. log di HiJackThis
7. log di Gmer
8. log di PrevxCSI

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.

Se pensi che l'infezione possa essere partita da una chiavetta usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa è una brevissima guida alla pubblicazione dei log
Qui e qui esempi precisi ed ordinati di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, wikisend.com, mediafire.com
caricamento immagini fileqube.com

Qui c' è un problema già all' inizio, perchè al momento di disabilitare il ripristino della configurazione di sistema mi dà questo messaggio di errore:

Ripristino configurazione di sistema ha riscontrato un errore durante il tentativo di attivare/disattivare una o più unità. Riavviare il computer, quindi riprovare.

Al riavvio, non cambia nulla. Posso provare a seguire gli altri passi - almeno quelli possibili - , ma il punto di ripristino non me lo toglie...

Quote:

Originariamente inviato da Chill-Out

Durante la scansione sono stati rilevati files infetti? Se si che azione hai intrapreso?

Avevo lasciato la scansione in esecuzione, quando sono tornato al pc era aperta la pagina di uscita indicata nella guida. Qualche avviso durante la scansione era apparso, ma per quello che ho visto mi pare fossero solo avvisi del tipo il file non può essere aperto ecc...

[wjmat]

Start -> Esegui digita inf (invio)
cerca il file sr.inf click dx del mouse e seleziona installa
terminata la procedura riavvia il PC e verifica se si è corretto il Servizio di Ripristino Configurazione di Sistema

[emanueles]

Quote:

Originariamente inviato da wjmat

segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema , fatto la pulizia dei file inutili con ATFCleaner , vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

1. log di Malwarebytes Anti-Malware aggiornato ad oggi
2. log di A-squared scansione deep aggiornato ad oggi
3. log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine
4. log di Dr.Web CureIT scaricato oggi
5. log di ESET SysInspector
6. log di HiJackThis
7. log di Gmer
8. log di PrevxCSI

Allora il ripristino di sistema non ho potuto disabilitarlo per i motivi ben noti, la pulizia con ATF l' ho effettuata, quindi ho eseguito le scansioni richieste. Ecco i log:

Log Malwarebytes: Log Malwarebytes.txt
Log A-squared: http://www.fileqube.com/shared/crCrr117919
Log Kaspersky: http://www.fileqube.com/shared/kZcDlqPE117920
Log Cure: lo editerò quando avrà finito di uploadarlo...
Log ESET: http://www.fileqube.com/shared/yDiGdDb117924
Log HijackThis: http://www.fileqube.com/shared/MpAJaVdo117926
Log Gmer: http://www.fileqube.com/shared/FzgCjj117927

Con PrevxCSI non è stato possibile effettuare la scansione perchè, come detto, non ci si riesce a collegare ad Internet... Non mi pare sia emerso nulla di particolare dalle scansioni anche se non sono un esperto, tranne che mi pare da Cure che ha individuato due tracce di cui una in una cartella attinente ad Msn...

Quote:

Originariamente inviato da wjmat

Start -> Esegui digita inf (invio)
cerca il file sr.inf click dx del mouse e seleziona installa
terminata la procedura riavvia il PC e verifica se si è corretto il Servizio di Ripristino Configurazione di Sistema

Ho provato, mi si apre una finestra con scritto:

Richiesta del file 'sr.sys' contenuto nel CD di Windows XP Edition Service Pack 2. Digitare il percorso del file, quindi scegliere OK.

Non ho al momento a disposizione il file di Windows - l' ho lasciato dove vivo, sono in altra città - . L' indirizzo di default che compare è: C:\WINDOWS\inf\i386
Se premo OK continua ad aprirsi la stessa pagina.

[wjmat]

con a-squred non hai fatto deep scan...

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Codice:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O16 - tutte le voci senza riferimenti a microsoft

[emanueles]

Quote:

Originariamente inviato da wjmat

con a-squred non hai fatto deep scan...

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Codice:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O16 tutte le vocisenza riferimenti a microsoft

Grazie
Scusa devo rifare anche A-squared o basta HijachThis?
Ed inoltre in O16 ne ho una riferita a Msn quindi non direttamente a Microsoft, la metto?
PS Non avevo letto la parte in piccolo, spunto anche quella...