[Vista] XMS2O58T.EXE - schermo nero, solo Esplora Risorse

[guldo76]

Ciao,
ho un problema con Vista...
AVG oggi mi ha rilevato un malware, tale XMS2O58T.EXE che ha trovato in "C:\USERS\XXXXX\APPDATA\LOCAL\TEMP\" e ha richiesto il riavvio del PC.
Ho riavviato, ma... Vista parte, arriva alla finestra di login, mi fa inserire la password del mio utente, quindi dovrebbe avviare l'ambiente; invece apre soltanto una finestra di Esplora Risorse, funzionante, con solo lo schermo nero di sfondo. Schermo nero, Esplora Risorse, niente altro.
Se faccio doppio click su un file, me lo apre con l'applicazione corrispondente.
Che fine ha fatto l'ambiente grafico di Vista? Come posso rimediare?

In rete non ho rimediato niente di buono, non trovo nulla su XMS2O58T.EXE né XMS2058T.EXE

[Eress]

Proprio il fatto che non trovi nulla conferma che si tratta di un malware, segui la guida:

http://www.hwupgrade.it/forum/showthread.php?t=1599737

[Nicodemo Timoteo Taddeo]

Sembra proprio che AVG (ma il più scarso degli antivirus dovevi usare? ) ha visto solo uno dei componenti del malware, qaullo presente nei temporanei e lo ha eliminato. Però a quanto pare il resto del malware ha agito indisturbato facendo il gran casino.

Che fare ora? Sarebbe discussione della sezione di sicurezza, se proprio si deve scrivere qualcosa qui, direi di procede per verificare se e quale malware è presente a bordo. Cioè stante anche l'impossibilità di usare il sistema installato, userei uno dei CD di boot forniti dai produttori di antivirus che permettono di analizzare le partizioni a sistema operativo "spento". Uno dei più celebri e sicuramente efficaci è quello di Avira, Avira Rescue System:

http://www.avira.com/it/support-down...-rescue-system

Solo dopo aver accertato il fatto che il sistema è pulito, si può pensare di ripararlo, e lo strumento messo a disposizione da microsoft è il comando

sfc /scannow

Dato dal prompt sei comandi. Eventualmente si può procedere anche ad una re-installazione su se stesso dell'intero sistema operativo, ma queste ripeto sono operazioni da compiere dopo che si ha la ragionevole certezza che il malware è stato debellato.


Saluti.

[FulValBot]

avira non vede i rogue. serve malwarebytes.

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da FulValBot

avira non vede i rogue. serve malwarebytes.

È una tua convinzione o sai essere una scelta ben precisa da parte di Avira?

Direi più la prima, non fosse altro perché proprio or ora il mio Antivir ha effettuato un rilevamento di un tale antispyware2011setup.exe scaricato proprio per test:

<snip>
Begin scan in 'C:\Users\nome_utente\Desktop\antispy2011setup.exe'
C:\Users\nome_utente\Desktop\antispy2011setup.exe
[DETECTION] Is the TR/Fake.Rean.579 Trojan

Beginning disinfection:
C:\Users\nome_utente\Desktop\antispy2011setup.exe
[DETECTION] Is the TR/Fake.Rean.579 Trojan
[NOTE] The file was moved to the quarantine directory under the name '4b791b7b.qua'.


End of the scan: venerdì 22 aprile 2011 19:48
Used time: 00:00 Minute(s)

The scan has been done completely.

0 Scanned directories
11 Files were scanned



E questa è la verifica su Virustotal:
http://www.virustotal.com/file-scan/...6eb-1303494883


Saluti.

[guldo76]

Grazie a tutti, sembra che abbia risolto seguendo le istruzioni indicate da Eress, utilizzando PrevxCSI.
Grazie mille

[Eress]

probabilmente era un rootkit mbr, per quelli prevx è insuperabile a beccarli