Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

virus che blocca antivirus

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

virus che blocca antivirus

Messaggioda MANUELA » lun ago 13, 2007 4:17 pm

Vi prego aiutatemi!
Ho preso un virus che mi ha bloccato ogni funzionamento di antivirus e firewall, presumo aprendo un file .exe che avevo scansionato ma di cui Nod32 non mi aveva segnalato nulla.
Solo spyware terminator mi ha segnalato il tentativo di avviarsi di un file HIDR, l’ho bloccato, ma l’antivirus e zone alarm sono bloccati e le icone sparite.
Ho cercato info in internet, e ho cancellato dal registro i file che trovavo con le parole HIDR e HLDRR, e ho provato a ricreare nel file di registro il valore HKLM\System\CurrentControlSet\Control\SafeBoot, perché era stato specificato che questa “riga” era stata cancellata dal virus per impedire l’avvio in mod.provvisoria.
Speravo di aver fatto tutto giusto, ma nonostante ciò il pc non mi si riavvia in modalità provvisoria, e prima di darmi l’avviso che non è possibile avviare in provvisoria mi dice “premere ESC per non caricare SPTD.SYS”.
Ogni volta che cerco di installare qualunque antivirus o firewall, mi dà errore e mi blocca.
Inoltre il pc ha dei blocchi, si blocca internet, o le pagine word, o qualunque cosa io stia facendo.
Sul pc ho suddiviso in due identità, una per me una per i miei figli.
Spero di avervi detto tutto quanto poteva servire.

Vi invio i log di HijackThis e di Gmer.
Vorrei risolvere senza formattare, perché non saprei davvero da che parte cominciare..né finire.
Grazie tantissimo in anticipo.
Manuela
Avatar utente
MANUELA
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: lun ago 13, 2007 3:02 pm

Messaggioda crazy.cat » lun ago 13, 2007 4:41 pm

Intanto un consiglio, vedo che hai tre programmi installati e attivi che alla fine svolgono la stessa funzione.
Ne basta e avanza uno, se ewido non ha il controllo in tempo reale attivo, ti basterebbe disinstallare uno tra winpatrol e spywareterminator.
C:\SICURE~1\WINPAT~1\winpatrol.exe
C:\SICURE~1\SPYWAR~1\SpywareTerminatorShield.exe
C:\SICUREZZA - prg\ewido anti-spyware 4.0\guard.sys

Questo file NPUPano.dll è sospetto, lo puoi caricare sul sito www.virustotal.com per farlo analizzare e vedere cosa ti rispondono.
O12 - Plugin for .UVR: C:\Programmi\Internet Explorer\Plugins\NPUPano.dll

In questo articolo si tratta del tuo virus e di tutti i programmi che ti servono per toglierlo e ripristina quello che ti manca
http://www.MegaLab.it/2657

Questo è lo script che devi dare in pasto ad avenger:

Files to delete:
C:\Documents and Settings\Fiorella e Matteo\Dati applicazioni\hidires\m_hook.sys
C:\Documents and Settings\Fiorella e Matteo\Dati applicazioni\hidires\hidr.exe
C:\Documents and Settings\Fiorella e Matteo\Dati applicazioni\hidires\rosa.sys
c:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hldrrr.exe

folders to delete:
c:\Documents and Settings\Fiorella e Matteo\Dati applicazioni\hidires
c:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrr


Segui bene le istruzioni dell'articolo e dopo aver dato lo script ad avenger ti viene restituito un file di log copia il testo del risultato qui nella discussione che vediamo come è andata.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda -superluca- » lun ago 13, 2007 5:51 pm

ma come è possibile che nod32 non si sia accorto che quel file conteneva il worm Bagle??
Manuela lo aggiorni ogni tanto l'antivirus?
perché gli aggiornamenti dei database per bagle sono usciti da tempo ormani (un mese fa avg mi aveva eliminato un exe che conteneva bagle)...
Avatar utente
-superluca-
Senior Member
Senior Member
 
Messaggi: 264
Iscritto il: dom feb 04, 2007 8:43 pm
Località: A casa mia e dove se no!!!!


eccomi

Messaggioda MANUELA » lun ago 13, 2007 6:14 pm

circa gli aggiornamenti del nod, li faceva in automatico ma ce l'avevo da poco, avevo disinstallato avast e avevo scaricato dal sito ufficiale la versione trial.

poi
ho fatto tutto, ma non credo ci siano buone notizie, allego il log di avenger

nel frattempo winpatrol continua a segnalarmi nuovi programmi di avvio, che sono in C, e che potete vedere nella videata del mio C che vi mando:

sono file .bat, tipo:

c:\dfybayeu.bat
c:\fexkkrle.bat
eccetera, sono tutti dentro C, nella videata che vi mando.

dell'articolo che mi Crazycat mi hai indicato, ho fatto tutto tranne toccare le chiavi di registro, perché mi pare che nel log di avenger qualcosa non quadra.

grazie per avermi risposto subitissimo, io sono veramente in crisi, il pc mi serve e non posso usarlo in qs.condizioni.

Manuela
Avatar utente
MANUELA
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: lun ago 13, 2007 3:02 pm

Messaggioda crazy.cat » lun ago 13, 2007 6:29 pm

Lo script di avenger è andato male.
Mi sembra di ricordare che già una volta avevamo avuto dei problemi con un utente che aveva un nome di account con gli spazi come il tuo.

Prova a fare una scansione con questo programma ed elimina quello che trova
http://research.pandasoftware.com/blogs ... ootkit.zip
Il resto dovrai toglierlo a mano, o dalla modalità provvisoria, oppure aiutandoti con Unlocker o Killbox.

Hai provato a far analizzare quel file che ti ho detto?
A questo punto fai analizzare anche uno di quei file .bat.
C'è qualche altro vermetto che gira nel tuo pc.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda -superluca- » lun ago 13, 2007 6:29 pm

crazy.cat sei sicuro che sia bagle?

dal log di avenger (almeno da cio che ne ho capito dato che nn sono un esperto di log) risulta che nn ha trovato i file da eliminare...e poi nel log di HijackThis nn risulta in esecuzione il file C:\WINDOWS\system32\hldrrr.exe, sintomo del bagle... forse nn è lui... comunque a te la risposta definitiva io sto solo cercando di imparare da questa forum [;)]
Avatar utente
-superluca-
Senior Member
Senior Member
 
Messaggi: 264
Iscritto il: dom feb 04, 2007 8:43 pm
Località: A casa mia e dove se no!!!!

Messaggioda crazy.cat » lun ago 13, 2007 6:33 pm

-superluca- ha scritto:crazy.cat sei sicuro che sia bagle?

Lo script non è passato:
Fatal error: integrity of Services key failed verification check! Security may be fatally compromised. Exiting immediately.
Could not open script file!


E' bagle, fidati.
Non sempre glieseguibili si vedono nel log di hijackthis.

X manuela
puoi rifare un log con gmer solo della sezione autostart, vorrei vedere una cosa più di preciso.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda -superluca- » lun ago 13, 2007 6:41 pm

gia... crazy.cat scusa se a volte faccio troppe domande ma imparare a riconoscere e rimuovere malware mi piace molto... e per imparare bisogna chiedere agli esperti... [;)]
Avatar utente
-superluca-
Senior Member
Senior Member
 
Messaggi: 264
Iscritto il: dom feb 04, 2007 8:43 pm
Località: A casa mia e dove se no!!!!

Messaggioda crazy.cat » lun ago 13, 2007 6:42 pm

-superluca- ha scritto:gia... crazy.cat scusa se a volte faccio troppe domande

Nessun problema, tu chiedi e se posso rispondo.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

nuova scansione gmer

Messaggioda MANUELA » lun ago 13, 2007 6:54 pm

quel file NPNano.dll e anche un paio degli ultimi generati su C di cui ti ho mandato la videata, fatti controllare con virustotal.com, niente, trovato niente.

La modalità provvisoria non mi permette di avviarla.


IL log Gmer lo allego, ma non ho capito bene - scusa eh non sono esperta penso si sia capito - come farlo "solo dalla sezione autostart", io lo apro e c'è scan, clicco e va.
Te lo allego. Non sono più uscite quelle righe che io sulla scansione di prima vedevo in rosso.
Non ci capisco piu un tubo.
Avatar utente
MANUELA
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: lun ago 13, 2007 3:02 pm

Messaggioda Riverside » lun ago 13, 2007 7:37 pm

MANUELA ha scritto:La modalità provvisoria non mi permette di avviarla.

Ciao Manuela, intanto segui questa procedura:

1) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch; la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella).

2) Disattiva il ripristino configurazione di sistema

3) Scarica Ccleaner
link download: http://www.ccleaner.com/download/downloadpage.aspx?1
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● torna nel menu a sinistra, clicca, prima sulla voce Pulizia; una volta terminata la pulizia, clicca sulla voce Problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

4) Scarica Panda Antirootkt
link download: http://research.pandasoftware.com/blogs ... ootkit.zip
scompatta il file Zip, sul Desktop (verrà creata una icona di Startup)
lancia il Tool (che aggiornerà, automaticamente, da Server, la sua black list) ed eseguirà una scansione completa del sistema per verificare la presenza, o meno, di Rootkit

5) scarica questo software della TrendMicro:
download del motore scansione
crea una apposita cartella (sul Desktop) e, al suo interno, inserisci Sysclean
scarica le definizioni dei virus per Windows (vengono aggiornate, quotidianamente):
download delle definizioni
scompatta all’interno della cartella creata, il file zippato contenente le definizioni
Poi:
lascia disabilitato il ripristino configurazione di sistema
riavvia il P.C., in modalità provvisoria (se continua a non farti andare in modalità provvisoria, sospendi la procedura e fammelo sapere, altrimenti, procedi)
esegui Sysclean ed attendi il responso finale.
Riavva il P.C., verifica se ti fa aggiornare l’antivirus (sei sicura che non sia scaduto i periodo di prova di 30 giorni? altrimenti non te lo farà aggiornare) ed esegui una scansione completa del sistema
Al computer, utilizziamo una scrittura per icone, paragonabile agli antichi geroglifici. Siamo tornati indietro di 2000 anni.
Avatar utente
Riverside
Senior Member
Senior Member
 
Messaggi: 195
Iscritto il: ven ago 03, 2007 4:49 pm
Località: Riverside House

passo passo

Messaggioda MANUELA » lun ago 13, 2007 8:29 pm

sto facendo passo passo quello che mi hai scritto

ho un dubbio, sono al PUNTO 3, ULTIMA RIGA
ho cliccato su RIPARA SELEZIONATI, mi chiede se voglio "eseguire il back up delle modifiche al registro"

non so che rispondere.... abbiate pietà.
Avatar utente
MANUELA
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: lun ago 13, 2007 3:02 pm

Messaggioda mariom » lun ago 13, 2007 9:18 pm

Ciao, si è consigliabile fare il back up del registro di sistema [:)]
Quando il gioco si fa duro, i duri iniziano a giocare
Avatar utente
mariom
Aficionado
Aficionado
 
Messaggi: 119
Iscritto il: dom lug 23, 2006 10:44 am

Re: passo passo

Messaggioda Riverside » lun ago 13, 2007 9:23 pm

MANUELA ha scritto:ho un dubbio, sono al PUNTO 3, ULTIMA RIGA
ho cliccato su RIPARA SELEZIONATI, mi chiede se voglio "eseguire il back up delle modifiche al registro" non so che rispondere.... abbiate pietà.

Puoi anche non farlo ..... la cancellazione è sicura.
Al computer, utilizziamo una scrittura per icone, paragonabile agli antichi geroglifici. Siamo tornati indietro di 2000 anni.
Avatar utente
Riverside
Senior Member
Senior Member
 
Messaggi: 195
Iscritto il: ven ago 03, 2007 4:49 pm
Località: Riverside House

purtroppo

Messaggioda MANUELA » lun ago 13, 2007 10:37 pm

ok ci sto provando
Avatar utente
MANUELA
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: lun ago 13, 2007 3:02 pm

Re: purtroppo

Messaggioda Riverside » lun ago 13, 2007 10:54 pm

MANUELA ha scritto:Sono letteralmente disperata.....

OK, altrimenti fai una una scansione on line da qui:
http://www.pandasoftware.com/activescan/it/activescan_principal.htm
Al computer, utilizziamo una scrittura per icone, paragonabile agli antichi geroglifici. Siamo tornati indietro di 2000 anni.
Avatar utente
Riverside
Senior Member
Senior Member
 
Messaggi: 195
Iscritto il: ven ago 03, 2007 4:49 pm
Località: Riverside House

Messaggioda crazy.cat » mar ago 14, 2007 7:10 am

Ho sbagliato lo script, non mi ero accorto del doppio account che avete su quel pc ed ho preso solo il primo nome.
Alla sezione autostart ci arrivi premendo le doppie >>.
Riprova con questo.

Files to delete:
C:\Documents and Settings\Manuela\Dati applicazioni\hidires\m_hook.sys
C:\Documents and Settings\Manuela\Dati applicazioni\hidires\hidr.exe
C:\Documents and Settings\Manuela\Dati applicazioni\hidires\rosa.sys
c:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hldrrr.exe

folders to delete:
c:\Documents and Settings\Manuela\Dati applicazioni\hidires
c:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrr
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

nulla di fatto

Messaggioda MANUELA » mar ago 14, 2007 9:07 pm

nessun risultato.

1) Gmer: lo scan solo dalla sezione autostart non si avvia, clicco su scan e non fa assolutamente nulla.

2 Avenger ho fatto su una identità lo script che mi avete messo con il nome dei figli come user, e sull'altra identità l'altro script con il mio nome come user. Spero di aver fatto giusto, comunque il risultato è stato lo stesso nel log che mi ha dato al riavvio: error eccetera eccetera, non credo di aver salvato i log perché mi è preso un momento di sconforto che avrei buttato il pc dalla finestra e ho spento tutto per una mezz'ora....

2) ho disattivato il ripristino configurazione di sistema

3) ho cancellato tutti i files dalla cartella Prefetch in entrambe le identità

4) ho rifatto una scansione approfondita con Spyware Terminator, mi ha trovato i file di registro con quel hidrr e l'altro simile che ora non ricordo, e ho fatto delete su tutti i file usciti in rosso, con risultato ok. Poi ho rifatto scansione, nessuna altra segnalazione.

5) ho scaricato CClener e ho fatto tutto come mi avete detto, quindi ho fatto sia "pulizia" che "problemi" e cancellato tutto quello che diceva di ripulire, e riparato tutto quello che segnalava come problemi, fatto il tutto due volte, una per ogni identità.

6)Panda antirootkt sono riuscita ad avviarlo ma si blocca completamente durante la scansione e mi blocca il pc, tanto che devo spegnerlo proprio perché manco si riavvia , dopo alcuni tentativi su entrambe le identità, ho fatto scansione online dal link che mi avete messo ma a un certo punto il la scansione si blocca e non va piu avanti.

7)Ho scaricato su una cartella sul desktop il software della TrendMicro, sysclean ma non mi permette di avviarlo in modalità provvisoria, anzi mi correggo...il pc in modalità provvisoria non ci va proprio, e mi avevate detto che se a questo punto non mi faceva andare in mod.provv., di sospendere tutto e farvi sapere.

Ho letto su un articolo di quelli che mi avete segnalato che il file di registro che bagle cancella, si può scaricare da qualche parte, non so se ho capito male.

Siete stati gentilissimi e disponibili ma io sono molto scoraggiata, ieri sono stata al pc moltissime ore, mi sono comprata un hard disk esterno su cui ho messo tutti i documenti e le cartelle (non di programmi) che mi servono.
Dovrò formattare?
non so manco da che parte iniziare.
Sono anni che ho il pc e ho sempre avuto antivirus e spyware e sono sempre stata attentissima alla sicurezza. Come è potuto accadere ancora non lo so.
Forse se tenevo avast non succedeva, avevo scaricato il nod32 mi pare da poco piu di una settimana, la versione di prova di 30 gg., gli aggiornamenti dei virus li cercava automaticamente ogni giorno....eppure eccomi qua.
Non so davvero piu che fare.
Grazie tantissimo.
Manuela
Avatar utente
MANUELA
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: lun ago 13, 2007 3:02 pm

Messaggioda crazy.cat » mer ago 15, 2007 7:12 am

Questo registro serve per rimettere la modalità provvisoria
http://www.MegaLab.it/3250

siete in tre ad aver preso questa nuova variante del bagle, tutti e tre non riuscite a rimettere l'antivirus.
E' cambiato qualcosa ma non avendo il virus a disposizione è difficile trovare cosa combina.
Prova a resistere, ho aperto una richiesta che qualcuno infetto mi passi il virus per provare a studiarlo.

controlla se hai questo file C:\WINDOWS\system32\trusted.exe nel tuo pc.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda John Doe » mer ago 15, 2007 1:56 pm

E se per caso ci fosse TRUSTED su C:\WINDOWS\system32\trusted.exe nel pc?

Salve a tutti, anch'io come manuela ho lo stesso problema! Ho seguito i vostri consigli, ho eliminato i processi nascosti...ma avast non ne vuole proprio sapere di partire. Però rispetto a prima adesso sono riuscito ad installarlo! [cry+]


COme devo fare?

La formattazione è l'unica via di uscita?

Considerate che adesso ho avast installato, ma non mi appare nelle icone inattive sulla barra delle applicazioni!

In effetti, neanche più spybot mi funziona! In più anche applicazioni come InCd della suite Nero, mi avvisava dell'impossibilità allo start del programma all'avvio!

Aspetto vostre nuove
Il + perfetto dei fiori è il ciliegio, il + completo degli uomini è il guerriero (Basho)
Avatar utente
John Doe
Aficionado
Aficionado
 
Messaggi: 42
Iscritto il: mer gen 03, 2007 12:56 am
Località: NApoli

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 16 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising