Win32:Bamitail-AO

[Orm]

Ho un pc con Win Xp SP4, infettato che da un paio di giorni e che mi da seri problemi.
All'inizio mi appariva solo lo sfondo del desktop senza le icone. Tramite task manager sono riuscito a fare qualche scansione del sistema (nod32 non rilevava niente, malwarebytes idem, avira un trojan in winlogon.exe, che essendo un file di sistema non eliminava neanche in safe mode).
All'ennesimo riavvio non riuscivo neanche ad arrivare alla schermata di login di windows... il pc si riavviava in continuazione.
Ho pensato di sganciare l'hd principale (quello infettato) e montarlo come secondario su un altro pc. Altra scasione con avast e mi rileva questo virus Win32:Bamitail-AO, che infetta 2 file: winlogon.exe in \windows\system32 e a0005035.exe in system volume information\restore\...
Non riesce la riparazione dei file...però al tempo stesso ho timore di fare danni irreparabili nell'eliminarli (senza contare tracce del file nel registro di sistema).
In rete non ho trovato informazioni affidabili (almeno a mio parere) su questo virus e neanche tool particolari per la rimozione (a parte un certo spydig qui , di cui però non sò se fidarmi).

Consigli? Idee?

Grazie

Ciao

[Chill-Out]

Quote:

Originariamente inviato da Orm

Ho un pc con Win Xp SP4, infettato che da un paio di giorni e che mi da seri problemi.
All'inizio mi appariva solo lo sfondo del desktop senza le icone. Tramite task manager sono riuscito a fare qualche scansione del sistema (nod32 non rilevava niente, malwarebytes idem, avira un trojan in winlogon.exe, che essendo un file di sistema non eliminava neanche in safe mode).
All'ennesimo riavvio non riuscivo neanche ad arrivare alla schermata di login di windows... il pc si riavviava in continuazione.
Ho pensato di sganciare l'hd principale (quello infettato) e montarlo come secondario su un altro pc. Altra scasione con avast e mi rileva questo virus Win32:Bamitail-AO, che infetta 2 file: winlogon.exe in \windows\system32 e a0005035.exe in system volume information\restore\...
Non riesce la riparazione dei file...però al tempo stesso ho timore di fare danni irreparabili nell'eliminarli (senza contare tracce del file nel registro di sistema).
In rete non ho trovato informazioni affidabili (almeno a mio parere) su questo virus e neanche tool particolari per la rimozione (a parte un certo spydig qui , di cui però non sò se fidarmi).

Consigli? Idee?

Grazie

Ciao

Ciao, fai girare Combofix esattamente come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1984665

[Orm]

eseguendo combofix con l'hd infettato, messo come secondario non rileva nulla (e metterlo come principale non posso, altrimenti non riesco neanche ad accedere a windows, visto che continua a riavviarsi).
Spydig sembra faccia una scansione interessante... ma solo quella è gratuita...

Ora ne sto facendo una con trend micro online e cerco di recuperare Kaspersky.

[Chill-Out]

Quote:

Originariamente inviato da Orm

eseguendo combofix con l'hd infettato, messo come secondario non rileva nulla (e metterlo come principale non posso, altrimenti non riesco neanche ad accedere a windows, visto che continua a riavviarsi).
Spydig sembra faccia una scansione interessante... ma solo quella è gratuita...

Ora ne sto facendo una con trend micro online e cerco di recuperare Kaspersky.

Mi alleghi il log su uno dei server remoti indicati nelle Regole di sezione, thx.

[Orm]

scan con trend micro... niente di infetto.
Ho installato kaspersky, l'ho fatto lavorare e mi ha corretto quei due file di cui sopra.
Allora ho riprovato a montare l'hd come principale nel suo pc, e ritorno alla situazione in cui non vedo più lo sfondo del desktop.
Avendo difficoltà da qua a far partire Kaspersky, ho lanciato combofix di cui allego il log.

http://www.filedropper.com/combofix_2

Dopo la sua scansione, continuo a non vedere il mio desktop e per giunta il mio windows non risulta più aver superato il test di originalità...
Ho fatto un sfc /scannow per provare a ripristinare winlogon.exe ed explorer.exe, ma dopo il riavvio la situazione è sempre la medesima.

Heeelp me!!

[James Axton]

Quote:

Originariamente inviato da Orm

In rete non ho trovato informazioni affidabili (almeno a mio parere) su questo virus e neanche tool particolari per la rimozione (a parte un certo spydig qui , di cui però non sò se fidarmi).

Spydig sembra faccia una scansione interessante... ma solo quella è gratuita...

Guarda che il sito, e di conseguenza il software, da te indicato è considerato non sicuro, a rischio di essere rogue - e se non lo è, è hostato su un sito poco affidabile - fossi in te lo rimuoverei ASAP.
Installa WOT per firefox o IE...

[Orm]

Quote:

Originariamente inviato da James Axton

Guarda che il sito, e di conseguenza il software, da te indicato è considerato non sicuro, a rischio di essere rogue - e se non lo è, è hostato su un sito poco affidabile - fossi in te lo rimuoverei ASAP.
Installa WOT per firefox o IE...

l'ho disinstallato, subito dopo la prima scansione. Avevo letto di segnalazioni come la tua.. ma non sapevo più cosa provare.
Grazie per il consiglio di WOT... appena riesco a rimettere in piedi il sistema.

[Chill-Out]

Quote:

Originariamente inviato da Orm

l'ho disinstallato, subito dopo la prima scansione. Avevo letto di segnalazioni come la tua.. ma non sapevo più cosa provare.
Grazie per il consiglio di WOT... appena riesco a rimettere in piedi il sistema.

Per forza non vedi il Desktop c:\windows\explorer.exe è sparito, dimmi se hai il disco di installazione di Win.

[Orm]

Quote:

Originariamente inviato da Chill-Out

Per forza non vedi il Desktop c:\windows\explorer.exe è sparito, dimmi se hai il disco di installazione di Win.

sì, ce l'ho (aggiornato al sp3 però, non al 4).

ho fatto appunto sfc /scannow per ripristinare anche quel file... ma non è cambiato nulla.

[Chill-Out]

Quote:

Originariamente inviato da Orm

sì, ce l'ho (aggiornato al sp3 però, non al 4).

ho fatto appunto sfc /scannow per ripristinare anche quel file... ma non è cambiato nulla.

Il SP4 non esiste, comunque:

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.

digita:

expand X:\i386\winlogon.ex_ C:\windows\system32 e batti invio

expand X:\i386\explorer.ex_ C:\windows e batti invio

NB: sostituisci la X con la lettera assegnata al tuo lettore CD

digta exit per uscire, estrai il CD e riavvia.

[Orm]

ovviamente sp4 per xp non esiste (ho confuso la num. degli sp di xp con quella di win2k).

grazie cmq per tutto. ho avuto qlc difficoltà ad attivare la console di ripristino e poi a riavere i.e. funzionante, ma ora pare tutto ok.

Ciao.

[Chill-Out]

Quote:

Originariamente inviato da Orm

ovviamente sp4 per xp non esiste (ho confuso la num. degli sp di xp con quella di win2k).

grazie cmq per tutto. ho avuto qlc difficoltà ad attivare la console di ripristino e poi a riavere i.e. funzionante, ma ora pare tutto ok.

Ciao.

Prego