www.MegaLab.it

[giovel]

Ciao a tutti.
Da emule ho preso un virus che Avast non ha rilevato.
Ho avuto i seguenti effetti sul pc:
- si sono aperte decine di finestre di ie explorer
- si sono chiusi Avast e Spyboot (di ques'ultimo si è cancellato l'eseguibile)

Ho provato a lanciare Avast e ho fatto una scansione solo della cartella C:\WINDOWS: in C:\WINDOWS\system32\drivers è stato trovato il file infetto "srosa.sys" e sono riuscita a cancellarlo.
Pensadvo di avere sistemato tutto invece poco dopo la connessione wireless si è disabilitata senza possibilità di ripristinarla.

Dato che volevo fare una scansione antivirus online, ho pensato di riavviare il pc.
Da quel momento il computer è in totale blackout: durante l'avvio di windows (ho provato in tutte le modalità possibili: safe mode con e senza rete, modalità normale, ecc ecc) compare per un attimo una schermata blu, il pc riparte da zero e l'avvio di windows inizia da capo... e dopo poco succede la stessa cosa, continuamente, all'infinito...
In pratica non riesco più ad avviare il pc e sono disperata.

Non conoscevo questo virus: dagli altri post che ho letto, mi pare di avere capito che un rimedio c'è, se il pc parte. Ma se il pc non si avvia, che cosa posso fare?

Per favore, sapete aiutarmi?

Ho un pc portatile con windows tablet edition.

Grazie per il vs. aiuto.

[crazy.cat]

Ma se il pc non si avvia, che cosa posso fare?

Bisogna agire da fuori il tuo sistema operativo a questo punto.

Preparando questo cd
http://www.MegaLab.it/2726
e andando a cancellare il resto dei file infetti che trovi segnalati nel post
http://www.MegaLab.it/forum/viewtopic.php?t=34010
e sopratutto le chiavi di registro
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
c'è un programma all'interno del cd per richiamare il registro di configurazione che si trova sul tuo hard disk.

Non sei la prima a cancellare solo un file e poi a trovarsi il pc in schermata blu.
Se riesci a prepararti il cd vediamo se in questo modo si riesce a sbloccare il tuo pc.
Male che vada sempre da cd puoi recuperarti i tuoi dati e prepararti al format.

anche per te era il file trusted.exe che ha provocato il problema?
O avevi preso dell'altro?

[giovel]

Ciao! Grazie 1000 per la tua risposta.

Sto scaricando i file per la creazione del cd.

Volevo chiederti una cosa: all'inizio del post con le spiegazioni su come creare e utilizzare il cd c'è scritto che per creare il CD di PE Builder è necessario avere il CD-ROM d'installazione di Windows oppure che si può utilizzare la cartella di installazione di Windows presente sul computer, ma non è garantito che contenga tutti i file necessari alla creazione del CD.

Io ho un acer tablet e non ho il cd di windows: in dotazione ci sono solo i cd di ripristino (che preferirei non utilizzare per non resettare tutto...).

Posso procedere con la creazione del cd comunque, vero?

Non so che cosa mi abbia fatto prendere questo maledetto virus...

Ti faccio sapere appena ho fatto il cd e seguito le tue istruzioni.

Ciao e grazie ancora

[crazy.cat]

Posso procedere con la creazione del cd comunque, vero?

Prova, non è detto che funzioni.
Non hai un amico che ti possa prestare il cd di xp?

[giovel]

Da quanto c'è scritto alla pagina http://www.MegaLab.it/2726/3
i file che ho scaricato cercano i file di installazione di windows. Io ora sto utilizzando un altro pc (perché appunto il mio non parte): come faccio a creare il cd?

Sono nel panico all'idea di non poter far nulla se non formattare...

[giovel]

Sono riuscita a fare il cd: tempo fa avevo creato un cd di windows partendo dai file di windows presenti nel pc.

Ho masterizzato il file iso e l'ho inserito nel pc: purtroppo non riesco a farlo avviare da cd. Ho controllato le impostazioni di boot nel bios e mi pare che siano corrette: nell'ordine, CD ROM drive, HD disk, ecc ecc.

Potrebbe dipendere dal virus? Che cosa posso fare a questo punto?

[crazy.cat]

Il file iso deve essere masterizzato come cd di boot, non come cd di dati.

In nero express c'è la funzione Immagine, progetto,copia poi scegli Immagine disco o progetto salvato selezioni l'immagine Iso e dai il via alla scrittura.

[giovel]

Ciao! Grazie 1000 per il tuo ultimo messaggio!
Il pc è partito dal cd... in effetti avevo masterizzato come un normale disco dati!
Adesso provo ad andare avanti seguendo le istruzioni per la rimozione del virus e poi ti faccio sapere.
Grazie!

[giovel]

Ho letto le discussioni http://www.MegaLab.it/2657/2 e http://www.MegaLab.it/forum/viewtopic.php?t=34010 (come mi hai indicato).
Ora che sono riuscita a far partire il pc da cd, quale è la prima cosa che devo fare?
Dal pc non vedo la lan (ho una scheda wireless ma sembra che non si configuri). Volevo procedere con l'installazione di Gmer (come indicato alle pagine http://www.MegaLab.it/2657/2) ma non so come trasferire i file da un pc all'altro (le pendrive non si vedono...)
Scusa se rompo, ma un delirio del genere non mi era mai successo e non sono così pratica...
Grazie per la tua risposta

[giovel]

Ho avviato il pc da cd selezionando l'opzione "Avvia il MegaLab CD utility per Windows".
Tramite chiavetta usb sono riuscita a trasferire gli eseguibili di Gmer e Avenger su disco C del pc infetto. Purtroppo però non riesco a farli funzionare.
Quando avvio Gmer compare il seguente messaggio di errore:

---
CreateFile "F:\I386\gmer.dll": Access is denied.
---

F: è l'unita del cd ma io ho copiato l'eseguibile su C: e lanciato da lì.

Per quanto riguarda Avenger, ho copiato uno scritp del post http://www.MegaLab.it/2657/3 ma quando lo lancio compare questo errore:

---
Fatal error: could not create new script file.
Error code: 1813.
Could not log error---aborting now!
---

Dove ho sbagliato?
Grazie per la pazienza...

[crazy.cat]

Non puoi farlo con gmer o avenger dal cd, bisogna fare le cose a mano.

Nel menù del cd c'è la voce del registro di configurazione, ci sono due editor del registro di configurazione remoto.
Apri un dei due e ti porti alle chiavi
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
e le cancelli.

come cerchi ed elimini gli altri exe che vedi indicato nel primo post in rilievo, sopratutto quello che trovi nella cartella dei drivers dove c'era anche srosa.sys.

[giovel]

Grazie grazie grazie! Ti faccio un monumento!!!!

Ci sono riuscita: ho seguito le istruzioni e sono riuscita a far ripartire il pc da disco fisso.
Una volta avviato, ho fatto una scansione con Gmer, che aveva trovato ancora qualcosa, e poi ho fatto girare Avenger. Ora nei log di Gmer non ci sono righe rosse e quindi penso che il virus dovrebbe essere debellato.

Volevo chiederti le seguenti cose:
- come faccio a ricollegarmi a internet? Ora il pc non si collega, nel senso che non vede la rete wireless. La scheda è installata correttamente e anche i driver sono ok ma la spia della connessione wireless è spenta (anche se la connessione è abilitata)

- la modalità provvisoria di avvio ora funziona correttamente o devo fare qualcosa per ripristinarla? Non ho provato ad avviare in modalità provvisoria perché ho paura che mi si blocchi di nuovo...

- in generale, considerando il tipo di virus e i danni che fa, c'è qualcos'altro che devo fare al mio pc per riportarlo al corretto funzionamento?

- c'è qualche antivirus potente che posso provare per essere certa di non avere più quel virus nel pc?

Grazie davvero per il tuo preziosissimo aiuto.

[giovel]

Ho seguito tutto quanto indicato alla pagina http://www.MegaLab.it/2657/4, ho installato sul registro i file "safeboot" e il ripristino di "zero configuration reti senza fili".

Ora il pc in modalità normale non si avvia più (solita schermata blu).
Ma se lo avvio in modalità provvisoria con networking parte e si collega a internet.

Mi è venuto un dubbio circa la chiave
HKEY_CURRENT_USER\Software\FirstRRRun
Presa dall'entusiasmo, ho cancellato proprio la cartella gialla FirstRRRun: non ho visto se cliccandoci sopra, nella parte destra della finestra del registro, c'era una chiave (che magari doveva essere cancellata, lasciando al suo posto la cartella FirstRRRun).

Che disperazione.....

[crazy.cat]

Ora il pc in modalità normale non si avvia più (solita schermata blu).

Cosa c'è scritto in quella schermata?
codici e messaggi d'errore.

avevi trovato ed eliminato quelle chiavi di registro che ti avevo indicato?
controlla dalla modalità provvisoria se si sono ricreate.

[giovel]

Vista la schermata blu, avevo avviato scegliendo "avvia nell'ultima modalità funzionante di windows". Dato che avevo ripulito tutto pensavo che fosse a posto. Invece il pc si è avviato ma nei processi del task manager ho trovato due file hidr.exe.

Così ho rilanciato Gmer e ha individuato due processi hidr.exe.
Ho rilanciato Avanger, si è riavviato il pc e mi pare che abbia pulito tutto.

Fatto questo, il pc non partiva in alcuna modalità (nemmeno quella provvisoria): schermata blu troppo veloce, non riesco a leggere cosa c'è scritto.

Così ho riscelto l'opzione "avvia nell'ultima modalità funzionante di windows", il pc si avvia ma ci sono di nuovo due file hidr.exe nei processi del task manager...

Ho cercato manualmente ma non ho trovato nulla dei file che avevo rimosso.

Adesso sto facendo girare ancora gmer. Che cosa mi consigli di fare?

[Riverside]

Così ho riscelto l'opzione "avvia nell'ultima modalità funzionante di windows", il pc si avvia ma ci sono di nuovo due file hidr.exe nei processi del task manager...

Procedi cosi: scarica, installa ed esegui, nell'ordine, i seguenti Software e Tool:

CCLEANER: clicca qui per il download
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

PANDA ANTIROOTKIT: clicca qui per il download
● scompatta il file Zip, sul Desktop (verrà creata una icona di Startup)
● lancia il Tool (che aggiornerà, automaticamente, da Server, la sua black list) ed eseguirà una scansione per verificare la presenza, o meno, di Rootkit, sul P.C.

ASQUARED FREE: clicca qui per il download
● una volta installato, scarica gli aggiornamenti (ti chiederà di riavviare)
● dopo aver riavviato, Killa i due processi che hai individuato dal Task Manager
● esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato.
● al termine, riavvia e controlla nel Task Manager se i due processi tornano, o meno, in esecuzione.
In ogni caso, allega alla discussione, un log di Hthis.

[giovel]

Ciao Riverside,

molte grazie per il tuo aiuto.

Ho già lanciato CCleaner e sono in attesa che finisca la pulizia.

Per gli aggiornamenti di Panda Antivirootkit e Asquared free, la mia connessione a internet non funziona.
Per riuscire a collegarmi sto utilizzando un vecchio pc portatile: scarico i programmi da internet e li trasferisco sul portatile infetto tramite chiavetta usb.
Come posso fare gli aggiornamenti dei due sw?

[Riverside]

Per gli aggiornamenti di Panda Antivirootkit e Asquared free, la mia connessione a internet non funziona.
Per riuscire a collegarmi sto utilizzando un vecchio pc portatile: scarico i programmi da internet e li trasferisco sul portatile infetto tramite chiavetta usb. Come posso fare gli aggiornamenti dei due sw?

Se te li fa installare, inizia a farli girare senza aggiornamento; e dimmi cosa trovano.

[giovel]

Ciao, grazie per la tua risposta.

Panda Anti-Rootkit si blocca al 45% del lavoro: effettua la scansione di "running processes" e di "windows registry" ma mentre effettua la scansione di "user and kernel hooks" si inchioda.

Ho lanciato A-Squared ed è a metà scansione. Sta lavorando da quasi due ore, appena finisce ti dico che cosa ha trovato, ok?

Devo dire che sono sfinita: è da ieri mattina che sto lavorando per ripristinare il pc e confesso di essere un po' demoralizzata... Anche se, grazie al vs. prezioso aiuto, il pc almeno riparte e questo mi fa ben sperare...

[Riverside]

Ho lanciato A-Squared ed è a metà scansione. Sta lavorando da quasi due ore, appena finisce ti dico che cosa ha trovato, ok?

Lascialo terminare e rimuovi tutto quello che trova.

Devo dire che sono sfinita: è da ieri mattina che sto lavorando per ripristinare il pc e confesso di essere un po' demoralizzata...

Mai mollare e darla vinta ad una macchina che ragiona in termini di 10101010101010101010