Creazione di file irremovibili (per virus "tosti")

KornaKill · 21-02-2009, 08:56

Salve a tutti. E' ormai da mesi che ho sul mio PC un NetSky.R ( C:\WINDOWS\System32\vcmgcd32.dll vcmgcd32.dl_ ), un NetSky.B ( C:\WINDOWS\services.exe ) e un virus di cui non conosco il nome ( C:\WINDOWS\System32\reader_s.exe reader_sl.exe C:\WINDOWS\Temp\VRT1.tmp ). Ora: ho provato tutti i metodi: ComboFix, SpyBot, rimozione manuale msconfig, anche TRK (Trinity Rescue Kit) ma non ho ottenuto alcun risultato. I virus ad ogni avvio sono sempre li. Poi ho pensato: io posso eliminarli, ma loro tornano sempre. E se io creassi un file chiamato come loro, un file che non si può cancellare? Avevo notato questa tecnica su Flash Disinfector (per evitare modifiche su autorun.inf): Flash Disinfector creava un file autorun.inf che non poteva essere rimosso (non so con quale metodo strano). Non è che esiste un modo per creare un file di quel genere da sostituire ai virus? In questo modo all'avvio i file cercherebbero di rigenerarsi, ma non riuscirebbero a sovrascrivere il mio file. Se questa soluzione funziona sarebbe utile anche per moltissimi altri virus.

Aspetto vostre risposte.
Grazie mille e arrivederci.

KornaKill · 21-02-2009, 09:03

Aggiungo inoltre uno screenshot dei processi con process explorer.

Edit By Chill-Out

**Chill-Out** · 21-02-2009, 09:14

Allega lo Screenshot in modo e maniera che non sfalsi il layout del Forum, grazie.

wjmat · 21-02-2009, 09:14

Ciao

segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio), e secondo le regole di sezione, per dettagli sul caricamento log e per snellire i pesanti log di kaspersky e cureit vedi qui

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.

Se il sistema dovesse essere molto compromesso, e non dovessi riuscire a seguire la guida, prova ad effettuare le prime 4 scansioni da modalità provvisoria, se non bastasse effettua prima una scansione con il rescue cd di Kaspersky o di Avira per fare una pulizia preliminare.
In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco e della RAM
Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nel bigino in firma guarda alla voce Portabilità di ogni programma, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente aggiornato sul pc infetto
Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione
Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

link caricamento log generici ► fileqube.com ■ wikisend.com ■ mediafire.com
link caricamento immagini ► fileqube.com ■ picoodle.com ■ imageshack.us

KornaKill · 24-02-2009, 07:37

Il pc ormai non riusciva + a girare normalmente: per aprire firefox 5-10 minuti d'attesa (tutta la CPU e la memoria la usavano i virus). Ho formattato l'HD. Vi ringrazio comunque per l'attenzione.

wjmat · 24-02-2009, 07:44

magari bastava scansionare preventivamente con un rescue cd o in modalità provvisoria, come indicato

Ti consiglio di leggere il trattamento di prevenzione / post disinfezione per proteggere al meglio il tuo "nuovo" pc

KornaKill · 25-02-2009, 20:45

Mah non so. Se neppure con TRK sono riuscito a fare qualcosa, non credo che con win in esecuzione sarebbe uscito qualcosa di più.

21-02-2009, 08:56	#1
KornaKill Junior Member Iscritto dal: Oct 2008 Messaggi: 10	Creazione di file irremovibili (per virus "tosti") Salve a tutti. E' ormai da mesi che ho sul mio PC un NetSky.R ( C:\WINDOWS\System32\vcmgcd32.dll vcmgcd32.dl_ ), un NetSky.B ( C:\WINDOWS\services.exe ) e un virus di cui non conosco il nome ( C:\WINDOWS\System32\reader_s.exe reader_sl.exe C:\WINDOWS\Temp\VRT1.tmp ). Ora: ho provato tutti i metodi: ComboFix, SpyBot, rimozione manuale msconfig, anche TRK (Trinity Rescue Kit) ma non ho ottenuto alcun risultato. I virus ad ogni avvio sono sempre li. Poi ho pensato: io posso eliminarli, ma loro tornano sempre. E se io creassi un file chiamato come loro, un file che non si può cancellare? Avevo notato questa tecnica su Flash Disinfector (per evitare modifiche su autorun.inf): Flash Disinfector creava un file autorun.inf che non poteva essere rimosso (non so con quale metodo strano). Non è che esiste un modo per creare un file di quel genere da sostituire ai virus? In questo modo all'avvio i file cercherebbero di rigenerarsi, ma non riuscirebbero a sovrascrivere il mio file. Se questa soluzione funziona sarebbe utile anche per moltissimi altri virus. Aspetto vostre risposte. Grazie mille e arrivederci.

21-02-2009, 09:03	#2
KornaKill Junior Member Iscritto dal: Oct 2008 Messaggi: 10	Aggiungo inoltre uno screenshot dei processi con process explorer. Edit By Chill-Out Ultima modifica di KornaKill : 21-02-2009 alle 10:24. Motivo: Mi scuso per lo screenshot non conforme...

21-02-2009, 09:14	#3
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Allega lo Screenshot in modo e maniera che non sfalsi il layout del Forum, grazie. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

21-02-2009, 09:14	#4
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Ciao segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio), e secondo le regole di sezione, per dettagli sul caricamento log e per snellire i pesanti log di kaspersky e cureit vedi qui Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi. Se il sistema dovesse essere molto compromesso, e non dovessi riuscire a seguire la guida, prova ad effettuare le prime 4 scansioni da modalità provvisoria, se non bastasse effettua prima una scansione con il rescue cd di Kaspersky o di Avira per fare una pulizia preliminare. In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco e della RAM Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nel bigino in firma guarda alla voce Portabilità di ogni programma, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente aggiornato sul pc infetto Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni. Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo... link caricamento log generici ► fileqube.com ■ wikisend.com ■ mediafire.com link caricamento immagini ► fileqube.com ■ picoodle.com ■ imageshack.us __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

24-02-2009, 07:37	#5
KornaKill Junior Member Iscritto dal: Oct 2008 Messaggi: 10	Ci ho rinunciato! Il pc ormai non riusciva + a girare normalmente: per aprire firefox 5-10 minuti d'attesa (tutta la CPU e la memoria la usavano i virus). Ho formattato l'HD. Vi ringrazio comunque per l'attenzione.

24-02-2009, 07:44	#6
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	magari bastava scansionare preventivamente con un rescue cd o in modalità provvisoria, come indicato Ti consiglio di leggere il trattamento di prevenzione / post disinfezione per proteggere al meglio il tuo "nuovo" pc __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

25-02-2009, 20:45	#7
KornaKill Junior Member Iscritto dal: Oct 2008 Messaggi: 10	Mah non so. Se neppure con TRK sono riuscito a fare qualcosa, non credo che con win in esecuzione sarebbe uscito qualcosa di più.

Strumenti
Mostra una versione stampabile Invia questa pagina per email