www.MegaLab.it

[speggio91]

e rieccomi qui tra voi dopo tanto tempo, gente di MegaLab.
Questa volta sono incappato su un grosso problema:
mi sono beccato un virus che non ne vuole sapere di andarsene dal mio pc!!
Tutto è cominciato questa mattina che appena avviato il pc sul desktop c'erano presenti diversi collegamenti pornografici che mi hanno fatto insospettire, e un messaggio d'errore di avira premium security suite che avvisava la mancanza di una file (avgnt.exe) e che, quindi il programma non poteva avviarsi. Così ho fatto una prima scansione rapida sia con malwarebytes pro che con superantispyware pro (trial) entrambi hanno rilevato elementi di vari trojan agent che adware agent, tracking,vundo oltre che ad un browser hijacker e ad un rogue.Poi si erano installati programmi come jcore (comunque eseguibili di un virus).Con superantispyware li ho eliminati tutti senza problemi, ma quando ho riavviato il pc c'erano ancora eseguibili che si sono generati in memoria che appesantivano molto la cpu. Quindi terminati tali eseguibili ho rifatto scansioni sia con mb che con super ottenendo diversi risultati e affidandomi sopprattutto ad super. Inoltre ho notato che la protez in tempo reale di super ad ogni avvio mi segnala questi eseguibili e librerie: MS18_WORD.exe, reader_s.exe , entrambi hano più di una copia in punti diversi del pc. Il belli è che ho provato a rimuoverli, ma essi, ad ogni avvio, si rigenerano. Inoltre da poche ore, se provo a fare una scansione con super, dopo qualche minuto il pc si riavvia con una schermata blu!!
Poi le protezione in tempo reale mi segnalano file .tmp infettati in giro per il pc.
Ho provato anche a reinstallare il caro e vecchio avira, ma una volta lanciato il setup e dopo la prima decompressione mi esce un'errore che vi allego e che fà terminare l'installazione . Quindi sono senza alcuna soluzione, anche percè se cerco di andare su diversi siti (virustotal) la pagina non si carica, anche se non so se sia dovuto al virus, ma se provo su un'altro pc collegato in lan nella mia rete, posso navigare ovunque. Quindi vi prego trovatemi una soluzione almeno per riuscire a farmi installare avira così magari la metà dei problemi è risolta.
grazie in anticipo, aspetto molte risposte..
PS: mi sono ricordato di disattivare il ripristino config sistema

[ste_95]

Scarica ComboFix , salvandolo sul desktop con un nome di fantasia, ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto inserendolo tra i tag LOG, in questo modo:

Codice: Seleziona tutto

[LOG]qui va inserito il log[/LOG]

[speggio91]

allora,
ho cliccato sul link per combofix ma dopo alcuni secondi mi dice "impossibile contattare il server". ho provato con un secondo pc sempre collegato alla stessa rete e il risultato non cambia.
Prova a postare un link alternativo.. ho cercato su google ma tutti i link reindirizzano sul sito principale..
poi per curiosità ho allegato i files che vengono rilevati da superantisp all'avvio di windows

[ste_95]

Scaricalo da qui.

[speggio91]

ok grazie x il link

ahimè! nemmeno combofix ne vuole sapere di avviarsi!! ti allego l'errore... preciso che una volta chiusa la finestra, l'eseguibile si cancella da solo e non so dove vada a sparire...

forse se provassi ad avviarlo in modalità provvisoria, potrebbe funzionare.. che ne dici?

[crazy.cat]

Prova a masterizzare questo cd
http://dl.antivir.de/down/vdf/rescuecd/rescuecd.iso
come cd di boot per fare la scansione fuori dal tuo sistema operativo e impedire al virus di attaccare e distruggere quello che scarichi.
Se è veramente il virut dovrai formattare.

[speggio91]

grazie crazycat!
quello è avira rescue cd? ieri sera mi era venuta in mente la tua stessa idea e quindi l'ho già scaricato e masterizzato. Una volta avviato e fatto scansione di tutti i files mi rilevava una enorme quantità di falsi positivi, dentro a qualsiasi cartella di programmi, antivirus compresi!! così ho lasciato perdere... però avevo visto che tra le opzioni si poteva fare una smart scan ma non so se risolverà qualcosa..

[ste_95]

Potrebbe essere davvero Virut se hai tutti gli eseguibili infetti.
Come vengono rilevati i malware?

[speggio91]

in che senso?? intendi dire dalla protezione in tempo reale??

[ste_95]

mi rilevava una enorme quantità di falsi positivi, dentro a qualsiasi cartella di programmi, antivirus compresi!!

Questi intendo.

[speggio91]

venivano rilevati in qualsiasi cartella programmi o in qualsiasi files sul desktop.. leggendo meglio i risultati della scansione, ho notato purtroppo che certi files sono infettati dal virut..
leggendo in altri forum ho letto che l'unica soluzione (come accennava crazycat) è la formattazione.. quindi è inutile che continuiamo a fari buchi sull'acqua e sprecare tempo... mi disp che perderò un sacco di tempo ma me la sono cercata..

[speggio91]

ok allora se non ci sono altre soluz procedo con il format.. ho solo un piccolo problemino: ho un hdd esterno in cui vorrei salvare dei doc ed altro.. se lo collego si infetta pure quello??

[crazy.cat]

se lo collego si infetta pure quello??

Per metterti al sicuro potresti fare il boot con un cd live di linux e fare il trasferimento file con quello, così il virus rimane solo sul tuo pc.
Non portarti via degli eseguibili altrimenti rischieresti veramente.
Virut non mi risulti attacchi i documenti office.

[speggio91]

ok.. ho knoppix e mi arrangio con quello.. però ho notato che se faccio una pulizia con malwarebytes senza essere collegato ad internet e rimuovo un po' di parti del virus, al riavvio non si rigenerano più i files e quindi una parte del pc sembra a posto.. rimane il solito problema dell'installazione di avira o di combofix.. bisognerebbe trovare quella componente che blocca quei processi..
comunque senza internet il virus non si rigenera..

[speggio91]

allora... ho formattato il pc e sto reinstallando windows.. vi ringrazio per il vostro interessamento, anche se alla fine non si è sistemato nulla.
Avete comunque fatto del vostro meglio

comunque ancora ieri che vi ho detto della scansione con avira rescue cd, nella quale ha trovato un grande numero di virus, ebbene riguardando bene erano veramente infetti da virut!! erano "appena" 1000 e passa eseguibili infetti!!
così per fare il backup dei files importanti ho dovuto scartarli quasi tutti e temevo anche che si fossero infettati gli archivi .zip .rar, ma così non è stato per fortuna.. poi per sicurezza ho fatto una scansione con un altro pc al disco esterno con il backup per vedere se era pulito...
comunque dico a tutti di stare davvero attenti che basta un'eseguibile per farti formattare il pc...

ringrazio ancora una volta crazycat e ste_95 che mi hanno seguito... buon'estate a tutti...

[ste_95]

[ferdart]

Ciao ragazzi,
purtroppo credo di aver beccato lo stesso tipo di malware...
ho un hp pavilion dv9084 con xp media center con 2 hd: uno di sistema, con partizione C e partizione "recovery", l'altro per i dati.
Sono in vacanza e ho una connessione scadente tramite umts, quindi non potendo scaricare software antivirus ho deciso di backuppare un po' di dati e formattare direttamente la partizione c tramite la partizione recovery (purtroppo hp non fornisce il DVD di windows come sapete).
Dopo aver formattato, purtroppo i sintomi della presenza del malware erano di nuovo tutti presenti (ms18_word.exe, collegamenti ai siti porno sul desktop, reader_s.exe ecc. ecc.)... mi domando, che sia infetta anche la partizione di ripristino? O l'HD dati?
In attesa di un vostro consiglio vi saluto!

[crazy.cat]

mi domando, che sia infetta anche la partizione di ripristino? O l'HD dati?

E' possibile tutte e due le cose, virut è molto fetente per quello avevo consigliato

Per metterti al sicuro potresti fare il boot con un cd live di linux e fare il trasferimento file con quello, così il virus rimane solo sul tuo pc.

Controlla se trovi un autorun.inf nel disco esterno e degli esegubili strani, magari anche come file nascosti.
Alla partizione di ripristino ci puoi accedere poi via cd di boot, altrimenti non dovresti neppure vederla (se è infetta quella sono cavoli amari...).

[ferdart]

grazie per la risposta veloce!
Norton non rileva nulla sul disco D (dati) e sulla partizione di ripristino, ma mi sono ricordato che prima di formattare la partizione di sistema avevo scioccamente copiato dei file (tra cui alcuni eseguibili) sul disco D.
Probabilmente a questo punto è il caso di formattare prima il disco D e poi nuovamente il disco C, sperando che la partizione di recovery non sia infetta...