www.MegaLab.it

[Andy97]

Mi sono dimenticato di fare il controllo con Vipre.

Prima di fare quanto riportato nel messaggio precedente esegui un controllo con vipre rescue.

Istruzioni:

• Se è possibile, Scarica il programma di salvataggio per il computer infetto, altrimenti scarica il programma VIPRE Rescue su un drive USB o un altro supporto rimovibile.
• Inserire il supporto nel computer infetto.
• Passare alla directory che contiene il programma VIPRE Rescue.
• Fare doppio clic su VIPRERescue9XXX.exe
• Alla richiesta, "Vuoi estrarre il salvataggio di VIPRE scanner sul computer?" fare clic su Sì.
• Ti verrà richiesto di indicare una cartella di destinazione per scompattarlo . Mantenere l'impostazione predefinita (C: \ VIPRERESCUE) o entrare in una nuova cartella, quindi fare clic su Unzip. Assicurarsi che la casella "Una volta fatto unzipping apri:. \ deep_scan.bat"sia selezionata.
• Il programma Rescue VIPRE salverà il file nella cartella di destinazione. Fare clic su OK al prompt.
• Il programma Rescue VIPRE aprirà una finestra della riga di comando ed eseguirà una scansione completa.
• Al termine delle scansione copiare il log e postarlo su MegaLab (il log si trova in C:\VIPRERESCUE\ è un file xml)

Traduzione un po' penosa ma ero di fretta

Domani mattina o pommeriggio farò questi controlli e ti farò sapere.
L'unico problema rimasto è ancora quello dei file nascosti. Infatti, andando in C:/, non vedevo niente di niente. Ora riesco a vedere perché ho impostato windows per visualizzare i file nascosti. Un virus deve aver reso tutti i file del computer in "sola lettura" e "nascosti".
Al3x aveva detto che su un suo pc con Windows $Vista, si era verificato lo stesso problema: un virus aveva impostato tutti i file con i TAG "hidden" e "only read"

[hashcat]

Per ripristinare la visualizzazione file e cartelle nascosti permanentemente prova a fare così:

Apri il prompt dei comandi e digiti regedit.exe:

A questo punto dovrebbe aprirsi l'Editor del Registro di sistema:

Codice: Seleziona tutto

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Sotto la sezione nome cerchi Hidden (come tipo REG_DWORD) e imposti il valore a 1(esadecimale)
1) Visualizza file e cartelle nascoste
2) Non Visualizza file e cartelle nascoste



Se trovi un valore con nome Hidden e tipo REG_SZ cancellalo.

Poi recati in:

Codice: Seleziona tutto

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

Bisogna creare una voce di nome CheckedValue e di tipo REG_DWORD con valore 1.



Se è presente una voce di nome CheckedValue di tipo REG_SZ deve essere eliminata.

Questa procedura è stata fornita da DRINK788 (rielaborata da me).

[Al3x]

Al3x aveva detto che su un suo pc con Windows $Vista

precisiamo non si trattava di un mio pc ma di un portatile di un tizio, fosse capitato al sottoscritto, mi sarei messo a fare il fruttivendolo (fruttarolo dalle mie parti ).

Mi permetto di darti un paio di consigli:

- avvia il computer con un antivirus da pendrive di quelli che non richiedonol'avvio di Windows (MegaLabCD per esempio), se si tratta della stessa bestiaccia, si trova nell'MBR e viene caricata prima del sistema operativo
- crea un utente e migra i dati nel nuovo profilo, ripristinare i permessi corretti su tutta la gerarchia delle cartelle dell'utente originario è un lavoraccio infame e senza garanzia di risultati corretti.

[Andy97]

Al3x aveva detto che su un suo pc con Windows $Vista

precisiamo non si trattava di un mio pc ma di un portatile di un tizio, fosse capitato al sottoscritto, mi sarei messo a fare il fruttivendolo (fruttarolo dalle mie parti ).

Mi permetto di darti un paio di consigli:

- avvia il computer con un antivirus da pendrive di quelli che non richiedonol'avvio di Windows (MegaLabCD per esempio), se si tratta della stessa bestiaccia, si trova nell'MBR e viene caricata prima del sistema operativo
- crea un utente e migra i dati nel nuovo profilo, ripristinare i permessi corretti su tutta la gerarchia delle cartelle dell'utente originario è un lavoraccio infame e senza garanzia di risultati corretti.

Dobbiamo far sapere già domani al tizio proprietario del pc se è necessario formattare o se stiamo risolvendo, e non abbiamo tempo per migrare i dati in un secondo account

[Andy97]

[quote="hashcat"][/quote]
non sono a casa, perciò ora non so' dirti. ho mandato la procedura per email a mio padre, così mi fa' sapere e ti dico... Per ora dobbiamo ripristinare la visualizzazione dei file. domani eseguirò la scansione con Vipre e TDSSKiller e vediamo di scegliere l'antivirus e le varie protezioni da mettere

[Al3x]

Dobbiamo far sapere già domani al tizio proprietario del pc se è necessario formattare o se stiamo risolvendo, e non abbiamo tempo per migrare i dati in un secondo account

beh, ci vogliono pochi minuti per copiare i dati di un account, anzi se si prevede la formattazione ciò significa che dovrai salvare i dati altrove e quindi è una operazione che dovresti fare in ogni caso

comunque sia, in bocca la lupo

[Andy97]

Vi aggiorno sullo stato del pc.
1.Ho eseguito le operazioni sul registro di sistema indicate pochi post prima da hashcat, ma non è cambiato nulla, poichè così siamo riusciti ad attivare la visualizzazione dei file nascosti, ma i file del pc rimanevano nascosti e in sola lettura, e non eravamo ancora riusciti a modificare questo comportamento del pc.
2.Intanto ci siamo accorti che il Task Manager era disattivato, e siamo riusciti ad attivarlo entrando in gpedit.msc.
3.Abbiamo effettuato un'altra scansione con Malwarebytes, e sono state rilevate 3 minacce. Dopo averle rimosse, sono ritornati visibili i file sul desktop, e tutti i file nascosti sono ora modificabili nelle loro prprietà in modo da renderli nuovamente visibili.

Rimangono ora altri 2 problemi:

1.Nonostante sia possibile (a differenza di prima) rendere i file nascosti nuovamente visibili, rimangono ancora in sola lettura, e rimuovendo il suddetto flag, al riavvio i file ritornano in sola lettura.
2.Ancora non riusciamo a ripristinare i programmi del menù di avvio. Sono spariti dal menù e non sappiamo come ripristinarli.

[hashcat]

1.Nonostante sia possibile (a differenza di prima) rendere i file nascosti nuovamente visibili, rimangono ancora in sola lettura, e rimuovendo il suddetto flag, al riavvio i file ritornano in sola lettura.
2.Ancora non riusciamo a ripristinare i programmi del menù di avvio. Sono spariti dal menù e non sappiamo come ripristinarli.

Prima di tutto scarica Atf Cleaner:

Esegui la pulizia con tutte le caselle selezionate, poi scarica Ccleaner e fai anche con questo un po' di pulizia, poi ti dirigi (sempre da Ccleaner) nella sezione Registro e assicurando che tutte le caselle siano selezionate clicchi su Trova Problemi e li correggi tutti salvando un backup delle modifiche da qualche parte.

Scarichi Glary Utilities ed esegui la Manutenzione 1-Click assicurandoti che tutte le caselle siano selezionate, riparando in seguito i problemi rilevati.

Hai fatto il procedimento con Combofix e Vipre Rescue (fai prima tdsskiller poi vipre ed infine combofix)?:

http://www.MegaLab.it/forum/viewtopic.php?f=33&t=72169&start=20#p564388

A quest punto riavvia il computer e vedi se la situazione è tornata a posto.

Se non è cambiato nulla fai così:

Per rimuovere l'attributo di sola lettura dai file presenti sul computer basta impartire dal promp dei comandi questo:

Codice: Seleziona tutto

attrib -r C:\*.* /s

Questo comando rimuoverà l'attributo di sola lettura da tutti i file presenti sul computer (basta indicare il percorso per rimuoverlo solo da quella cartella / file e da tutte le sottocartelle) (attrib -r -s C:\Documents and Settings\Default User\Start Menu\*.* /s)

(-r rimuove l'attributo sola lettura -s quello di file nascosto).

Un altra soluzione sarebbe quella di aggiornare al service pack 3 e vedere se il problema si risolve (deve essere eseguita solo dopo aver pulito tutto).

[hashcat]

1.Nonostante sia possibile (a differenza di prima) rendere i file nascosti nuovamente visibili, rimangono ancora in sola lettura, e rimuovendo il suddetto flag, al riavvio i file ritornano in sola lettura.
2.Ancora non riusciamo a ripristinare i programmi del menù di avvio. Sono spariti dal menù e non sappiamo come ripristinarli.

Il problema 1 si verifica su tutti i file e cartelle o solo su alcuni? Se solo su alcuni in quali posizioni (Documenti, desktop ecc.)

2.Ancora non riusciamo a ripristinare i programmi del menù di avvio. Sono spariti dal menù e non sappiamo come ripristinarli.

Non ho ben capito il problema potresti fare uno sceenshot del problema (premere Stamp | R Sist, aprire Paint incollare la schermata, salvare l'immagine, caricarla su imageshack.us ed inserirla nel prossimo messaggio).

[Andy97]

Ora sta facendo il CheckDisk, comunque il problema dei file in sola lettura si verifica su tutto l'hard disk. Ora che finisce ti faccio uno screenshoot del menù di avvio

[hashcat]

Non ho ben capito il problema potresti fare uno sceenshot del problema (premere Stamp | R Sist, aprire Paint incollare la schermata, salvare l'immagine, caricarla su imageshack.us ed inserirla nel prossimo messaggio).

Ora credo di aver capito ma per sicurezza fai comunque lo screenshot.

Devi aprire il prompt dei comandi e impartire quanto segue:

Codice: Seleziona tutto

regsvr32 /i shell32.dll

Riavviare il computer e controllare se il problema si è risolto, se non è stato risolto proseguire in questo modo:

Per inserire manualmente i collegamenti ai programmi nel menù di avvio devi recarti all'interno di queste due cartelle:

Codice: Seleziona tutto

C:\Documents and Settings\All Users\Menu Avvio\Programmi

Codice: Seleziona tutto

C:\Documents and Settings\***SOSTITUIRE CON IL NOME UTENTE ***\Menu Avvio\Programmi

Per aggiungere i programmi mancanti devi creare in entrambe le posizioni una cartella con il nome del programma (es. Microsoft Office) dentro la quale inserisci i collegamenti ai programmi (Excel, Word) e ai relativi uninstaller.

Ecco una demo veloce:



Dovrebbe funzionare

[Andy97]

Hai capito bene, il menù programmi è vuoto.

[hashcat]

Hai capito bene, il menù programmi è vuoto.

Prova a fare come ho indicato e vedi se risolvi

http://www.MegaLab.it/forum/viewtopic.php?f=33&t=72169&start=40#p564535

<<< EDIT >>>:

Se la cartella Programmi non dovesse esistere in questo percorso creala tu:

Codice: Seleziona tutto

C:\Documents and Settings\All Users\Menu Avvio\

<<< EDIT 2 >>>:

Per quanto riguarda il problema dei file con attributo di sola lettura segui questo procedimento (saltando per il momento Combofix, vipre e tdsskiller):

http://www.MegaLab.it/forum/viewtopic.php?f=33&t=72169&start=40#p564519

[Andy97]

Ok, ha finito lo scan disk. eseguo il procedimento per i file in sola lettura e ti dico

[Al3x]

2.Ancora non riusciamo a ripristinare i programmi del menù di avvio. Sono spariti dal menù e non sappiamo come ripristinarli.

Il Menu Avvio è una cartella che si trova nel profilo di ogni utente, se alla base della gerarchia qualche cartella conserva ancora il flag hidden, il problema permane, è per questo che ti ho suggerito la creazione di un altro utente. Se col nuovo utente il problema scompare allora la mia diagnosi è giusta, altrimenti fò un passo indietro

Per rimuovere l'attributo di sola lettura dai file presenti sul computer basta impartire dal promp dei comandi questo:

Codice: Seleziona tutto

attrib -r C:\*.* /s

non mi sembra una idea saggia, ci sono file di sistema per i quali quell'attributo è e deve rimanere tale, se spiani a mo di caterpillar tutto il disco con quel comando, esponi il sistema ad una situazione inusuale.

anche se è mio dovere mettervi in guardia quando vedo suggerimenti (senza offesa ) rischiosi, si tratta comunque di consigli e siete ovviamente liberi di seguirli o meno

[hashcat]

Per rimuovere l'attributo di sola lettura dai file presenti sul computer basta impartire dal promp dei comandi questo:

Codice: Seleziona tutto

attrib -r C:\*.* /s

non mi sembra una idea saggia, ci sono file di sistema per i quali quell'attributo è e deve rimanere tale, se spiani a mo di caterpillar tutto il disco con quel comando, esponi il sistema ad una situazione inusuale.

anche se è mio dovere mettervi in guardia quando vedo suggerimenti (senza offesa ) rischiosi, si tratta comunque di consigli e siete ovviamente liberi di seguirli o meno

Sono d'accordo con quanto dici, la mia era la sintassi più elementare del comando e come dici tu la più rischiosa.
Nello stesso messaggio infatti ho inserito una sintassi ben più selettiva e non dannosa:

(attrib -r -s C:\Documents and Settings\Default User\Start Menu\*.* /s)

Inoltre ho usato i percorsi di xp in inglese quindi andrebbero corretti

[Andy97]

Ok, i file ora non sono più nascosti e non sono più in sola lettura! Ora passo al menù di avvio.
P.S. Ho lasciato in sola lettura solo i programmi e le cartelle utente

[Andy97]

La maggior parte degli elementi del menù di avvio è ricomparsa. ora inserisco gli altri

[hashcat]

La maggior parte degli elementi del menù di avvio è ricomparsa. ora inserisco gli altri

Se tutto è ok possiamo continuare con la configurazione di sicurezza da adottare

[Andy97]

Qualche programma manca. Il tempo di inserirli e di installare il Catalyst Control Center che sembra non funzionare