www.MegaLab.it

[nicola82]

ragazzi nod32 mi segnalava un trojan (se non sbaglio 'svchost.exe') che mi ha eliminato. al riavvio successivo windows non visualizza più il desktop, la barra di avvio... nulla. apro il task manager, digito 'explorer' e non funziona nulla. i file ci sono dentro c: (se vado dentro windows\system32\ esiste quel file - e sotto \windows ci sono eseguibili che sono virus). con avenger ho provato ad eliminare dopo il riavvio il file incriminato ma non riesco a sbloccare la cosa, nemmeno da modalità provvisoria.


come faccio??

[crazy.cat]

forse spoolw.exe ?

Scaricati questo
http://www.MegaLab.it/3270
lo estrai e lanci dal task manager il file rimuovi.cmd e poi riavvii il pc.

Fammi sapere se ha funzionato.

[nicola82]

perfetto, ha funzionato.
ora sto facendo una scansione approfondita con l'euristica avanzata di nod. ma come è potuto succedere? cosa devo fare per avere la sicurezza di avere il pc pulito? non è che stanno in giro altri file (eseguibili sotto windows o file batch sotto la root...

[Pct]

per quanto riguarda avere il pc pulito, non ti saprei dire, aspetta la risposta di crazy.cat, per il programma per la sicurezza, devi averne uno con cui ti trovi bene,comunque ti consiglio di leggerti questo, se ne hai voglia, poi fai tu

http://www.MegaLab.it/2738

[crazy.cat]

cosa devo fare per avere la sicurezza di avere il pc pulito?

prova a fare una scansione sul sito della kaspersky e vedi se nel log finale ci sono virus, poi vediamo come eliminarli.

Quel virus che hai preso viene riconosciuto dalla maggior parte degli antivirus però scrive due chiavi nel registro e al primo riavvio del pc il desktop sparisce.
Per quello ho scritto un articolo, che Zane dovrebbe pubblicare la prossima settimana, e preparato quel file cmd per la rimozione dei file e delle chiavi di registro.

[PcPhilosophus]

Volevo ringraziare lo staff di questo sito per avermi fatto trovare la soluzione a questo virus: stavo tentando di far riapparire il desktop e start in tutti i modi ma non ci riuscivo nemmeno eseguendo msconfig e mettendo avvio normale.

Avevo pensato di riparare windows dal cd dell'installazione, avrebbe funzionato?

Intanto vi ringrazio perché non è la prima volta che questo sito mi è d'aiuto...

Ciaooo

[crazy.cat]

Avevo pensato di riparare windows dal cd dell'installazione, avrebbe funzionato?

Forse no.
A meno che il ripristino non cancellasse le due chiavi scritte dal virus nel registro di configurazione.

Benvenuto nel forum.

[PcPhilosophus]

Volevo fare un'altra domanda inerente questo virus, io lo ho scannerizzato con il nod32 e mi ha trovato che mi aveva messo 203 VIRUS!!!!!
Ora sono disinfettati, ma ora vorrei sapere cosa intaccavano?
199 dei virus erano come questo:

C:\System Volume Information\_restore{2C2C54C0-C792-461E-AE38-DBC4A1497007}\RP39\A0015893.exe - Win32/TrojanDownloader.Agent.NRO cavallo di troia

e soprattutto devo fare qualcosa x essere più sicuro che siano stati disinfettati meglio?

[crazy.cat]

Questo è il ripristino della configurazione, cartella che è un covo di tutti i virus passati per il pc.

C:\System Volume Information\_restore{2C2C54C0-C792-461E-AE38-DBC4A1497007}\RP39\A0015893.exe - Win32/TrojanDownloader.Agent.NRO cavallo di tr**a

Dato che parecchi antivirus non riescono ad agire in quella cartella, il consiglio è sempre quello di disattivare il ripristino per eliminare i virus.
http://www.MegaLab.it/2330

[nicola82]

anch'io sono alle prese con questo problema, su un win xp home sp2 fat32.
ho allegato i log e specialmente su O15 della trusted zone di hijackthis appena li cancello questi ricompaiono. nod32 e virit mi hanno rimosso le infezioni e il rootkit in questione lzx32.sys. i vari tool di gromozon, quello linkato su MegaLab non funzionano. il file in questione lzx32.sys non esiste più nemmeno nella dir \windows\system. ma il desktop non parte, non riconosce explorer pur essendo presente in windows. la chiave pe386 è stata cancellata dal registro e anche con rootkit buster, rustok reanimator che utilizza partizan per rimuovere il trojan non funzionano. non so dove sbattere la testa.. mi è rimasto solo uno spigolo vivo...

[crazy.cat]

E' poi un virus diverso dall'altro che avevi preso.

Hai ancora questo file nel pc?
E' sconosciuto.

O23 - Service: VODNIDO - Sysinternals - www.sysinternals.com - C:\DOCUME~1\OLIDATA\IMPOST~1\Temp\VODNIDO.exe

Questi file sono stati cancellati?
c:\windows\system32\lsasss.exe - probabilmente una variante di Win32/TrojanDownloader.Agent.AWF cavallo di troia
c:\windows\system32\msantivir.exe - probabilmente una variante di Win32/TrojanDownloader.Agent.AWF cavallo di troia
C:\WINDOWS\ctfmon32.dll -

Prova a fare una scansione con questo programma e posta il risultato.
http://noahdfear.geekstogo.com/FindAWF.exe

Rifai la scansione con hijackthis e cancella questa riga
F2 - REG:system.ini: Shell=explorer.exe

[nicola82]

quei file sono stati cancellati, tutti. killbox me li aveva eliminati.

ecco il log richiesto:

-----------------------------------------------


Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C Š XP
Numero di serie del volume: 385E-12F0

Directory di C:\WINDOWS\BAK

0 File 0 byte
2 Directory 16.066.510.848 byte disponibili
Il volume nell'unit… C Š XP
Numero di serie del volume: 385E-12F0

Directory di C:\WINDOWS\SYSTEM32\BAK

09/07/2001 10.50 155.648 NeroCheck.exe
1 File 155.648 byte
2 Directory 16.066.510.848 byte disponibili
Il volume nell'unit… C Š XP
Numero di serie del volume: 385E-12F0

Directory di C:\PROGRA~1\QUICKT~1\BAK

17/01/2006 17.41 98.304 qttask.exe
1 File 98.304 byte
2 Directory 16.066.510.848 byte disponibili
Il volume nell'unit… C Š XP
Numero di serie del volume: 385E-12F0

Directory di C:\WINDOWS\SYSTEM32\SHELLEXT\BAK

0 File 0 byte
2 Directory 16.066.510.848 byte disponibili
Il volume nell'unit… C Š XP
Numero di serie del volume: 385E-12F0

Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK

0 File 0 byte
2 Directory 16.066.510.848 byte disponibili
Il volume nell'unit… C Š XP
Numero di serie del volume: 385E-12F0

Directory di C:\PROGRA~1\GOOGLE\GOOGLE~2\12908~1.500\BAK

28/10/2006 19.43 163.576 GoogleToolbarNotifier.exe
1 File 163.576 byte
2 Directory 16.066.510.848 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
98304 17 Jan 2006 "C:\Programmi\QuickTime\bak\qttask.exe"
52272 16 Feb 2007 "C:\Programmi\Google\googletoolbar3user.exe"
26694 9 Oct 2007 "C:\WINDOWS\Installer\{1E04F83B-2AB9-4301-9EF7-E86307F79C72}\googleearth.exe_407B9B5CDAC54F44A756B57CAB4E6A8B.exe"
13411824 9 Oct 2007 "C:\Documents and Settings\OLIDATA\Desktop\Google_Earth_BZXV.exe"
68856 13 Jun 2007 "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
69632 12 Sep 2007 "C:\Programmi\Google\Google Earth\googleearth.exe"
138168 16 Feb 2007 "C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe"
163576 28 Oct 2006 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\bak\GoogleToolbarNotifier.exe"


end of report

[crazy.cat]

E questo?

Hai ancora questo file nel pc?
E' sconosciuto.

O23 - Service: VODNIDO - Sysinternals - www.sysinternals.com - C:\DOCUME~1\OLIDATA\IMPOST~1\Temp\VODNIDO.exe

Non era quello che pensavo....

[nicola82]

ovviamente è cancellato...

non posso formattare o sovrascrivere windows!!!

[nicola82]

FORSE CI SIAMO...

nella seguente chiave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe


è presente la voce DEBUGGER "c:\windows\system32\ephktmhd.ver"

questo file era quello che mi ha rilevato nod32 in fase di scansione e che ha eliminato

[crazy.cat]

è presente la voce DEBUGGER "c:\windows\system32\ephktmhd.ver"

Cancella la chiave.

[nicola82]

se si poteva cancellare l'avrei fatto...

mi da errore sull'eliminazione della chiave

[tecnico24]

prova con questo:
http://www.regxplor.com/

[ste_95]

impostati i valori massimi su quella chiave...

[nicola82]

che significa impostare i valori massimi sulla chiave?