Aiiuto MALWARE

[LucioFire]

ragazzi scusate gli errori di scrittura ...sto scrivendo dalla ps3.in pratica oggi ho preso un malware...mi é stato segnalato da avast.l ho messo nel cestino d avast ma mi ha fatto grossi danni!ho fatto una scansione completa e usato ccleaner ma nn ho risolto.mi trova il file infetto ma nn lo ripara...come faccio?in pratica nn riesco ad aprire internet explorer o altri programmi (c sono riuscito solo 2 volte e poi si impalla.. ora nn lo apre nemmeno)e la cpu non fa altro ke processare dati (lucina sempre rossa)help

[loric]

ragazzi scusate gli errori di scrittura ...sto scrivendo dalla ps3.in pratica oggi ho preso un malware...mi é stato segnalato da avast.l ho messo nel cestino d avast ma mi ha fatto grossi danni!ho fatto una scansione completa e usato ccleaner ma nn ho risolto.mi trova il file infetto ma nn lo ripara...come faccio?in pratica nn riesco ad aprire internet explorer o altri programmi (c sono riuscito solo 2 volte e poi si impalla.. ora nn lo apre nemmeno)e la cpu non fa altro ke processare dati (lucina sempre rossa)help

Boh... comincia disabilitando il system restore (Ripristino configurazione di sistema), poi, in modalità provvisoria con supporto di rete, svuota le cartelle dei file temporanei di Windows (%TMP%) e ripeti la scansione con avast, accertandoti che sia aggiornato con l'ultima versione del database delle signature dei virus.

Se non dovessi risolvere neanche così, credo che dovrai chiedere aiuto su uno dei tanti siti sulla sicurezza fornendo *tutte* le informazioni utili, a partire, per esempio, dal log di una scansione con hijackthis.

[LucioFire]

grazie xo potresti dire come fare dettagliatamente le operazioni ke hai scritto sopra?ho windows XP.purtroppo no n sono esperto

aggiornamento:


premendo ctrl+alt+canc sono andato a vedere i processi attivi in quel momento...c'è tantissima roba...ho cercto di eliminarne alcuni(con criterio) e sono riuscito ad aprire la pagina di explorer e entrare qui...se vi può essere utile per aiutarmi, posso fare delle foto in cui si vedono tutti i programmi attivi all'avvio...purtroppo non mi permette di fare copia\incolla

panico panico!

[loric]

grazie xo potresti dire come fare dettagliatamente le operazioni ke hai scritto sopra?ho windows XP.purtroppo no n sono esperto

Vado a memoria perché non ho qui un Windows sottomano. Per disabilitare il system restore:

1) Right click col mouse sull'icona "Risorse del computer" sul desktop (oppure lo trovi nel menù "Start") e scegli "Proprietà.

2) Ti si aprirà una finestra con un Tab control (i.e. è divisa in "schede").

3) Scegli "Ripristino configurazione di sistema". Da lì clicca su disabilita ripristino etc. etc. Un dialog box ti chiederà di confermare perché l'operazione cancella i vecchi punti di ripristino.

4) Riavvia. Durante il riavvio, immediatamente dopo i vari messaggi del BIOS, premi ripetutamente F8. Ad un certo punto il boot si fermerà e ti verrà mostrato un menu i avvio. Scegli "modalità provvisoria con supporto di rete".

5) Quando windows si sarà caricato, potrà mostrarti una dialog box che ti avverte che il sistema gira in modalità provvisoria e ti propone di lanciare la console di ripristino del sistema. Tu NON lanciare la console di ripristino di sistema e aspetta che windows finisca di caricarsi.

6) visto che non sei molto pratico, non ti propongo di cancellare i file temporanei di Windows e la cache del browser.

7) lancia il tuo antivirus, fa' l'aggiornamento delle firme dei virus, poi fa' una scansione completa ed incrocia le dita.

[LucioFire]

purtroppo ho dovuto disinstallare l antivirus perche mi dava sempre errore e mi bloccava tutto!adesso provo a vedere se in modalita provvisoria mi fa navigare e ne scatico 1 altro

[LucioFire]

ho scaricato avira antivir...solo che quando spacchetto il file non mi parte l'istallazione..."spacchetta" e basta....

edit...ho provato un altro antivirus (nod32) ma anche questo quando vado ad istallare non funziona e mi dice : "non è possibile effettuare l'istallazione a causa dei criteri impostati dall'amministratore di sistema"...mannaggia sto diventando matto!!!!

[loric]

purtroppo ho dovuto disinstallare l antivirus perche mi dava sempre errore e mi bloccava tutto!adesso provo a vedere se in modalita provvisoria mi fa navigare e ne scatico 1 altro

Pessima idea. In modalità provvisoria probabilmente avrebbe funzionato. Il problema è che in modalità provvisoria probabilmente non riuscirai ad installarne un altro.

Non fare altri casini, scarica Hijackthis da qui:

Download HijackThis 2.0.2 - FileHippo.com

Eseguilo con windows in modalità provvisoria e posta il log di uno scan.

[LucioFire]

Grazie Loric...ecco lo scan:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.17.03, on 02/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Bing
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MBBalloon] C:\Programmi\HOTALBUMMyBOX\MBBalloon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [AliceRE_McciTrayApp] C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\templ ate\DRIVEN~1\syncer\MCCITR~1.EXE
O4 - HKLM\..\Run: [DAKOTA_Utility] C:\Programmi\Conitech\WLAN\DAKOTA_Utility.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio rapido HP Photosmart Premier.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: MediaChecker.lnk = C:\Programmi\HOTALBUMMyBOX\MediaChecker.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to AMV Converter... - C:\Programmi\MP3 Player Utilities 4.18\AMVConverter\grab.html
O8 - Extra context menu item: Add to Windows &Live Favorites - Sign In
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 4.09\MediaManager\grab.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: wbsecsvc - Winbond - C:\Programmi\Conitech\WLAN\WBSECSVC.EXE
--
End of file - 6451 bytes



Per la cronaca sono riuscito ad istallare AntiVir...però non ho ancora fatto nulla..meglio che aspetto le vostre istruzioni(in pratica l'ho scaricato in modalità provvisoria...sono uscito e rientrato in modalità ormale e sono riuscito ad istallarlo...è aggiornato con le ultime relase)ora sono tornato in modalità provvisoria visto che è l'unico modo per andare su internet

[LucioFire]

raga scusate se non uso il tasto edit ma dalla play non me lo fa fare . allora,in modalita provvisoria ho fatto girare antivir ke ha trovato 4 files infetti ke ora sono in quarantena(almeno credo). in seguto ho provato a far girare windows in modalita normale .mi sembra ke la cpu lavori normalmente.poi ho lanciato explorer e mi sono comparsi mess da parte di antivir ed é partita 1 nuova scansione(mi sembra dedicata ai files nascosti)quando ha finito ke devo fare?parlo soprattutto di come gestire i file infetti . grazie a tutti

[loric]

raga scusate se non uso il tasto edit ma dalla play non me lo fa fare . allora,in modalita provvisoria ho fatto girare antivir ke ha trovato 4 files infetti ke ora sono in quarantena(almeno credo). in seguto ho provato a far girare windows in modalita normale .mi sembra ke la cpu lavori normalmente.poi ho lanciato explorer e mi sono comparsi mess da parte di antivir ed é partita 1 nuova scansione(mi sembra dedicata ai files nascosti)quando ha finito ke devo fare?parlo soprattutto di come gestire i file infetti . grazie a tutti

Metti i file infetti in quarantena.

Sarebbe anche opportuno che ci dicessi quale virus ha trovato.