Help!!! Pc del mio amico infetto...

[breaker27]

Incomincio dicendo che un pò di giorni fa andai a casa di un mio amico e vidi che il suo pc era in condizioni penose: msn non si connetteva, nod32 era scaduto, internet non apre le pagine e la maggiorparte dei programmi di sicurezza tra cui Ccleaner non partono. Allora mi munisco della mia chiavetta e ci carico sopra combofix, atf cleaner, elibagla, bagled e altro...inserita la chiavetta viene infettata (me ne sono accorto perchè tornando a casa l'ho collegata al mio pc e avira mi bloccava il virus). Procedo con il download del Kaspersky cd rescue e lo avvio...caricato il tutto l'aggiornamento non parte e l'antivirus mi scansiona solo la chiavetta poichè il disco fisso non veniva riconosciuto e mi trovò un trojan. Riavvio il pc, cambio nome a combofix e lo faccio partire, quando mi viene richiesto di riavviare il pc ecco che compare la mitica schermata blu e mi tocca riavviare di nuovo; il pc si riaccende e non si caricano le icone allorchè aprii il task manager e digitai explorer.exe e tutto comparì compresa la schermata della creazione del log di combofix che tolsi subito poichè mi ero stufato. Conclusioni la connessione ad internet non va e penso che il desktop non compaia più...mi aiutate per favore??? Sto nei guai poichè mi so preso la responsabilità e quindi vorrei completare la disinfezione prima di questa domenica. Grazie Ciao

[xcdegasp]

servirebbero i vari log perchè noi non sappiamo cosa sia stato fatto e che malware ci fossero.
venirti incontro è quindi per noi un brancolare nel buio ma per quel che possiamo fare possiamo indicarti u n thread per fare comparire il desktop:
http://www.hwupgrade.it/forum/showthread.php?t=1555416

per la connessione internet avresti dovuto continuare la lettura della guida dedicata a Bagle dove nella parte finale c'è scritto cosa fare per problemi alla connessione!
http://www.hwupgrade.it/forum/showthread.php?t=1933977

[wjmat]

edit

[breaker27]

La situazione si fa più grave...ieri sono andato dal mio amico e acceso il pc compare l'insolita schermata dove scegliere l'utente (cosa che non appariva le altre volte poichè l'avvio di winodows era quello rapido) e cliccando sull'icona vengo rimandato alla schermata di login. Subito torno a casa e faccio una ricerca riguardo la discussione creata in questo forum per ripristinare il file USERINIT.EXE e ho optato per la creazione del UBCD4WIN. Ecco che sorgono alcuni dubbi: Non so che SP è installato nel pc del mio amico; non so quali applicazioni devo togliere dalla lista di UBCD4WIN per ottenere un iso leggera e con software antivirus e antispyware; avendo il SP 3 installato sul mio pc, controllo se il mio file userinit.exe ha l'hash corrispondente a quello dell'SP3, ma è uguale a quello dell'SP2. Vi prego aiutatemi è urgente!!! Se potete passatemi un file USERINIT.EXE buono versione compatibile con l'SP2...Grazie Ciao

[wjmat]

per userinit se leggi qui http://www.hwupgrade.it/forum/showpo...66&postcount=3
è indicato come ricavare la versione del sp in base all'hash di userinit.exe
ma comunque sono indicate cartelle in cui puoi trovare quel file

per le applicazioni di ubcd è indicato chiaramente cosa togliere e cosa aggiungere, per problemi chiedi in quel 3d

gli hash di userinit erano invertiti, lisistemo al volo

[breaker27]

Mi potete passare il file Userinit.exe per windows xp home edition SP2? Io non posso perchè ho la versione 3 del ServicePack.

[wjmat]

prova a cercare una copia nelle cartelle indicate nel 3d

[breaker27]

Ripeto che ho la versione 3 del service pack, quello dell'amico mio penso che sia il 2...e quindi non ho il file adatto!!! Pleaseee....

[wjmat]

le cerchi con ubcd nelle cartelle di quel pc
edit:
allegate copie nel suo 3d

[xcdegasp]

Quote:

Originariamente inviato da breaker27

Ripeto che ho la versione 3 del service pack, quello dell'amico mio penso che sia il 2...e quindi non ho il file adatto!!! Pleaseee....

non credo sia un problema caricare quello del sp3 purchè non sia di Vista

[breaker27]

Grazie tante per aver caricato il file...prima sono andato a casa del mio amico e ho bootato il cd creato con UBCD4WIN...siccome non trovavo le cartelle dove avevo messo il file, ho lanciato la scansione di SUPERAntispyware aggiornato durante la creazione del cd...vedremo cosa trova!!! Ciao

[IlPadrino]

Ciao ragazzi, ne approfitto della discussione perchè anche io ho da poco sistemato un pc con userinit infetto. Altri problemi erano la schermata di avviso di infezione da spyware e il classico bollino rosso con croce bianca in basso. Anche la connessione non funzionava e il firewall era bloccato
Sono riuscito a risolvere con malwarebytes+prevx+combofix+a-squared (e ovviamente scansione con antivirus aggiornato).

Vorrei capire però (per non trovarmi impreparato), dove il malware va a modificare per bloccare la connessione e il firewall di windows.. o quantomeno come fare a ripristinarli manualmente. Il firewall per esempio anche dopo averlo riattivato dal servizio si presentava così


e si è sistemato solo dopo che ho usato combofix.Penso che avesse più trojan/malware insieme (sicuramente dropper tra questi) perchè era proprio incasinato. Se interessa posso fornire i vari log

grazie in anticipo e scusate se ho inzozzatto il thread in qualche modo, ma credo che possa tornare utile anche a breaker

[breaker27]

x il Padrino: non fa niente se ti sei intromesso nella discussione, anzi volevo chiederti se hai usato UBCD4WIN per rimpiazzare il file userinit.exe infetto. Come firewall puoi usare ZoneAlarm che è un'ottima alternativa a quello integrato in windows.

x xcdegasp & wjmat: ieri dopo che abbiamo lasciato il pc scansionare (ore 16:25) abbiamo scoperto che al nostro ritorno (ore 19:30) il computer si era spento. Noi abbiamo spento solo il monitor!!! Mah...che casino! Oggi, sempre se ho voglia perchè la situazione è diventata insostenibile, proverò a rimpiazzare userinit.exe

[IlPadrino]

allora per rimpiazzare "userinit.exe" ho usato anche io un live cd, MiniPE XT; come firewall io personalmente uso ancora sygate configurato a puntino, in quel pc invece c'è attivo quello di windows.

A me interessava principalmente la procedura per riattivare quei due servizi manualmente (connessione e firewall), di modo da essere un pò autonomo le prossime volte, anche con la minaccia ancora attiva. Per esempio gi OpenDNS bypassano le modifiche create dal malware in ogni caso?

[breaker27]

Eri, per caso, infetto da bagle? Comunque per ripristinare la connessione scarica XP TCP/IP Repair avvia l'installazione ed avvialo. Clicca su Reset TCP/IP, poi su su Repair Winsock, infine riavvia il pc.

[breaker27]

Eri, per caso, infetto da bagle? Comunque per ripristinare la connessione scarica XP TCP/IP Repair avvia l'installazione ed eseguilo. Clicca su Reset TCP/IP, poi su su Repair Winsock, infine riavvia il pc.

[IlPadrino]

ciao, non credo fosse beagle. Forse erano un bel pò (trojan dropper di sicuro). Ho ancora i log salvati di tutti i programmi che ho usato

[breaker27]

Scusa per il doppio post...comunque hai utilizzato il programma per ripristinare la connessione? Come è andata? Ciao

[IlPadrino]

no per la connessione non ho usato quel prog (che ho visto ora con la guida). appena ho lanciato prevx csi mi ha avvisato che erano state apportate delle modifiche alla connessione e le ha corrette (non mi ricordo se si è risolto in quel momento)

[breaker27]

Mmm...ok...ma tu hai prevx csi con la licenza?