PDA

Visualizza versione completa : SOLO X ESPERTI: explorer infetto, ripristino non funziona...


swan_x
22-06-2009, 12.29.07
ragazzi ho un grave problema, e non riesco a risolvere altrimenti non posterei mai un messaggio simile...ma sono proprio alla fine delle risorse....

ho fatto una scansione con malware antimalware e mi ha trovato su un pc 97 tra valori di registro e file infetti...
ho pulito, riavviato, ma il problema grave è rimasto, infatti explorer.exe è infetto, come anche svhost.exe e qualcosa in system restore (che poi però è stato ripararato e infatti ho provato anche un ripristino, ma non funge)...
malware non funziona più dopo il riavvio, mi da un problema ocx (runtime error 372, ocx obsoleto) ho già disinstallato, riavviato e reinstallato, niente.
ho anche kaspersky installato ma non trova nulla...ho provato con combofix ma non risolve nulla.
anche norman malware cleaner non risolve nulla....
inoltre il ripristino sistema è attivato (ho tentato un ripristino) ma non si avvia...
da pannello controllo-servizi non è possibile visualizzare nulla, forse qualcosa non è avviato e non me li fa vedere...
nemmeno il copia-incolla funziona, devo mettere i file .exe (di antimalware, tipo) e lanciare da li, perchè il copia incolla da usb a desktop non funziona....
inoltre credo (non ho verificato) la scheda di rete non funge (io sono in una LAN) quindi non posso usare internet da li ma devo scaricare su pendrive da un altro pc e poi collegarla e lanciare da qui....

sono rovinato....formatto??? nooooo vi prego! e se copiassi da cd solo il file explorer.exe sovrascivendo quello infetto in c\windows basterebbe?? non credo....ho bisogno di un kit di pulizia, come l'ottimo antimalware che x ora non funge...

il problema persiste anche avviando in mod provvisoria, cambiando utente, e provando da mod provvisoria con prompt dei comandi e anche da qui il ripristino config (anche da stringa di comando) non funziona....

LANCIO UNA SFIDA: AL PIù MERITEVOLE OFFRIRò UNA MAGA-BIRRA ON LINE!!!

Lionsquid
22-06-2009, 13.04.09
sembra un'infezione da conficker, strano che combofix non risolva... hai rinominato il combofix prima di lanciarlo (in mod. provvisoria)??

io taglierei la testa al toro, facendo una scansione avviando da bartpe (o winpe)... se non sai come prepararteli, è preferibile scaricare un cd di avvio come per esempio quello di avira

http://dl1.pro.antivir.de/package/rescue_system/common/en/rescue_system-common-en.iso

dopo la pulizia, rifai la scansione in mod. provvisoria usando un combofix rinominato e in alternativa ad esso il NAVILOG

http://www.steven.altervista.org/files/tools1.html



non hai fatto cenno a gmer... prova ad usarlo per vedere se mostra processi rootkit nascosti

Kurtferro
22-06-2009, 13.07.17
Intanto disattiva il ripristino di sistema che è meglio, pulisci la cartella dei temporanei, da esegui %temp%,
prima di tutto prova con questo:
http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=en
se non basta prova anche con questo
http://dl1.pro.antivir.de/package/removaltool/win32/en/removaltool-win32-en.exe
e fatti un cd con questo
http://dl1.pro.antivir.de/package/rescue_system/common/en/rescue_system-common-en.iso

antirootkit
http://dl1.pro.antivir.de/down/windows/antivir_rootkit.zip

swan_x
22-06-2009, 15.26.12
@ Lionsquid
perchè rinominare combofix??? e rinominare come?? lanciato così non vede nulla....
gmer non lo conosco....è utile???

@ Kurtferro
perchè disattivare il ripristino??? che tanto non funziona....
x il resto ora provo! grazie!

Kurtferro
22-06-2009, 15.34.15
lo devi rinominare nel caso non riesci ad avviarlo, non mi sembra il tuo caso, il ripristino diventa un archivio di virus

swan_x
22-06-2009, 16.00.04
io riesco a lanciarlo combofix...non riesco a copiarlo da pendrive a desktop, ma lo lancio direttamente da pendrive e da li parte...solo che non trova nulla!

Kurtferro
22-06-2009, 16.06.31
cmq prova con il tool della microsoft a volte è efficace.

swan_x
22-06-2009, 16.32.45
quello di microsoft non ha trovato nulla....(e ti pareva!)
avira removal toolkit lo sto lanciando come admin e sta facendo la scansione....
l'altro non si avvia neppure....

swan_x
22-06-2009, 16.41.03
non ha trovato nulla....

swan_x
22-06-2009, 19.09.39
ho provato dr web! cure it che nonostante x me non sia uno tra i migliori, è l'unico che mi ha trovato 2 file infetti da trojan! uno in win\pss e uno in doc&setting\mio user!
però trovati, eliminati, nulla è cambiato....

domani farò altre scan complete, sperando non si bruci l'HD x i continui scan!

Kurtferro
22-06-2009, 20.00.11
E' strano che non ti venga trovato nulla, e quello che ti viene trovato potrebbe anche essere solo falsi positivi o residui di altre eliminazioni, a questo punto ti conviene formattare.

prova a postare il log di hijackthis cmq

swan_x
22-06-2009, 23.02.19
non trovano perchè è explorer.exe stesso ad essere infetto!!
malware antimalware me lo aveva segnalato ma poi mi ha chiesto il riavvio e ora non si avvia più!! mai succecca una cosa del genere...mi ha sempre trovato i problemi e risolti, ora invece ho riavviato e le cose sono peggiorate....
il problema è che oltre ad explorer.exe infetto avrò anche delle chiavi infette che mi fanno dei casini....come potrei rimuovere delle chiavi geneate da trojan???

Semi.genius
23-06-2009, 00.01.21
Ho avuto un problema simile. Prova prima di tutto ad eseguire GMER: http://www.gmer.net/#files e premi Download Exe. Potrebbe non funzionarti (come è capitato me) perché il rootkit guarda l'hash e rinominandolo non cambia.

Se effettivamente GMER non ti parte o non ti rileva niente (scritte rosse a livello processi e a livello rootkit), ho avuto successi con IceSword: http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip e la trial di Unhackme: http://www.antirootkit.com/software/Unhackme.htm

Prova comunque in ordine e fammi sapere

Kurtferro
23-06-2009, 00.06.00
non puoi scollegare il disco e collegarlo a un'altro pc come secondario e fare scansione da li? cosi eviti il caricamento dei virus

swan_x
23-06-2009, 10.03.26
@ Semi.genius
gmer lo avevo provato...ma fo solo una scansione x poi salvare il log...non elimina il problema...e lanciato su altra macchina che funziona, trova dei malware che in realtà sono driver, quindi non mi sembra utile al mio problema....gli altri 2 mai sentiti...e ho già una lista di prova di prog vari, ma cmunque li terrò da conto!

@ Kurtferro
l'idea non è male...però dovrei fare un lavoraccio, collegandolo, io sono in ufficio, mentre così lascio andare la scansione e io posso lavorare con altri tranquillamente....
ci vorrebbe un disco di boot (o boot da usb) che faccia uno scan prima dell'avvio di win....

swan_x
23-06-2009, 18.44.08
niente da fare....ho provato di TUTTO...avrò fatto 100 scansioni dell'intero HD con altrettanti prog diversi, ognuno trova qualcosa (a dir suo) ma il problema persiste...
l'unico valido rimane malware anti-malw che però non si avvia .....
dovrò formattare.....formatto????? che dite?

eproperzi
23-06-2009, 19.51.17
niente da fare....ho provato di TUTTO...avrò fatto 100 scansioni dell'intero HD con altrettanti prog diversi, ognuno trova qualcosa (a dir suo) ma il problema persiste...
l'unico valido rimane malware anti-malw che però non si avvia .....
dovrò formattare.....formatto????? che dite?penso che ti convenga formattare ..nella reistallazione metti in primis explorer8 .senno' ti prendi gli aggiornmenti del browser di default

Geppetto56
23-06-2009, 22.04.19
niente da fare....ho provato di TUTTO...avrò fatto 100 scansioni dell'intero HD con altrettanti prog diversi, ognuno trova qualcosa (a dir suo) ma il problema persiste...
l'unico valido rimane malware anti-malw che però non si avvia .....
dovrò formattare.....formatto????? che dite?
Ho un idea un po pazza ma potrebbe anche funzionare , cerca di individuare il file di avvio tramite tasto destro percorso poi fai start>esegui>"nome file" , una volta il norton quando si "bloccava" in questo modo si riusciva a farlo ripartire

swan_x
24-06-2009, 09.43.24
@ Geppetto56

il file di avvio??? forse non è chiaro, ma è explorer.exe ad essere infetto e al riavvio del pc, dopo la schermata di caricamento di windows, impiega un tot di secondi a comparire il desktop....poi appare con le icone, ossia una volta caricato explorer.exe, ma appunto questo è infetto e da qui cominciano i problemi....
non è un altro file, è explorer!!!

swan_x
24-06-2009, 09.57.50
cerco qualcosa che mi faccia una scansione in fase di boot, prima dell'avvio di win e che mi trovi errori, ma tutto quello che ho provato non rileva nula...perchè è explorer ad essere infetto e gli antivirus non lo rilevano....

Losko
24-06-2009, 17.32.52
Prova con i Rescue CD forniti dalle più famose case Antivirus. Creati un CD masterizzando la ISO che dovrai scaricare. Creato il CD avvia il pc con questo e fai una scansione e vedi se risolvi.

swan_x
24-06-2009, 17.50.50
avira rescue già provato....nulla!
kasper ho il prog installato su pc e non trova nulla....
sto provando avast...
tentato spyboot, norman cleaner, combofix, malware antimalware non mi parte....

Geppetto56
24-06-2009, 20.00.21
Cut...
e se copiassi da cd solo il file explorer.exe sovrascivendo quello infetto in c\windows basterebbe?? non credo....ho bisogno di un kit di pulizia, come l'ottimo antimalware che x ora non funge...

Cut....
LANCIO UNA SFIDA: AL PIù MERITEVOLE OFFRIRò UNA MAGA-BIRRA ON LINE!!!
Riparti da questa idea ricupera dal cd il file NON sovrascrivere nulla , per ora , creati un cd di avvio o prova a ricercare il vecchio tritatutto del norton commander elimina explorer infetto e sostituiscilo con quello sano , la difficolta sara data da non fare avviare windows non ricordo se la versione che si trova in rete permette di fare l'avvio da cd creando un sistema autonomo , anche perche la pagina se non ricordo male è in inglese
http://www.altap.cz/salam_en/norton_commander.html

Semi.genius
24-06-2009, 20.25.31
Scusa, GMER anche se non elimina da solo è sempre uno dei più potenti antirootkiter..non cè proprio nessuna scritta rossa? non puoi postare il log?

Per via della scasnsione offline, ancora GMER ti permette di scansionare offline. Lo avii da un cd fatto con Bart PE o con WinPE

swan_x
25-06-2009, 12.44.14
Gmer mi funziona sul pc infetto, ma non trova nulla!!!

ho trovato una soluzione....ho scaricato "Ultimate Boot CD for Windows" e anche Hiren's BootCD, che nelle ultime versioni hanno incorporato "malwarebytes antimalware", l'unico che mi trovava qualcosa....ma ora ho provato a lanciarlo dal cd fatto da HiREN'S e mi ha dato un "runtime error 50003" (ma dico io non li testano prima di metterli in giro???)
(tra l'altro ora anche Hiren's (versione 9.9) ho un mini winXP da lanciare come il buon BartPE!! con molto prog da lanciare poi da win)
allora ho cercato una soluz in rete, dice di rinominare 2 file di sistema, fatto ma nulla non parte....come non partono molti altri antirootkit messi nel cd (parlo di Hiren's)....
ora provo a fare il cd dalla iso di "Ultimate Boot CD for Windows" x vedere se da qui almeno "malwarebytes antimalware" (che è integrato) mi funziona....

alle prossime news....la ricerca del maledetto continua!!!

swan_x
26-06-2009, 12.50.12
niente da fare...
ho fatto il mio bel cd di boot con hiren's, con malwarebytes incluso....e non funzionava.
allora ho fatto un altro cd con BartPE, con malwarebytes incluso e qui funzionava!!
fatto scansioni complete, trovate alcune chiavi riavviato ma nulla....come prima!
ho creato anche un log con hijackthis....magari qualcuno può dirmi qualcosa a riguardo...a me sembra tutto ok...ma non si sa mai!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm1 2.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.pdf995.com/download.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-1938628515-673431627-1861999855-1118\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Scarica con FlashGet - C:\WINDOWS\addins\app\ashget\jc_link.htm
O8 - Extra context menu item: &Scarica tutto con FlashGet - C:\WINDOWS\addins\app\ashget\jc_all.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistiche sulla protezione del traffico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213259813468
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = STUPRAUSS.local
O17 - HKLM\Software\..\Telephony: DomainName = STUPRAUSS.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{870BC6E1-E587-4B90-8412-8A045764B506}: NameServer = 192.168.0.10
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = STUPRAUSS.local
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm1 2.exe

--
End of file - 4460 bytes

swan_x
26-06-2009, 15.44.38
penso di aver capito il problema....
io non ho nessun virus! ecco perchè nessuno trova nulla! il problema è che avendo fatto pulizia con 1000 prog diversi qualcun avrà cancellato qualche chiave nel registro...
il problema è che il mio desktop è bloccato: non posso fare copia-incolla, trascinare le icone da nessuna parte, la funzione ricerca è disabilitata, così come la scheda di rete, il pannello dei servizi....ma soprattutto nel desktop posso solo eliminare i file ma non spostarli o trascinarli....idee???

Geppetto56
26-06-2009, 19.15.43
http://www.wintricks.it/windxp/xptricks9.html
al momento non mi viene altre idee se funziona almeno una parte la mette a posto , unico limite sono gli aggiornamenti che possono impedire la funzione completa

swan_x
29-06-2009, 10.29.14
unico che mi sembra utile è
sfc /revert
che ripristina il valore di default di SFC...
ora provo, anche se mi sembra un pò azzardata la cosa....

swan_x
29-06-2009, 10.34.27
provato. si apre una finestra dos che si chiude immediatamente e nulla di più....
ragazzi formatto, mi sono rotto....

swan_x
29-06-2009, 12.01.49
sfc /scannow
parte, finisce ma non rileva nulla....

swan_x
29-06-2009, 15.58.18
allora....ho messo il cd di xp e lasciando tutto come era sparavo mi sovrascrivesse l'installazione in windows...così non avrei dovuto rimettere tutti i prog e le varie impostazioni...ma non è stato così! ha creato un nuovo account che non vede il mio precedente e ha creato una nuova installazione windows0 che ovviamente non vede nessuno dei miei prog installati prima.....

Geppetto56
29-06-2009, 21.08.56
Lo hai riistallato nella stessa posizione di quello che avevi o in una nuova?
Io con questo sistema ho ricuperato diversi mega di dati non ti riconosce alcune cose ma per il recupero va bene
sfc/scannow dovrebbe rimettere a posti tutti i file di sistema corrotti se fa il percorso compeleto o sono a posto o li ripara

swan_x
30-06-2009, 10.52.05
sfc/scannow non rileva nulla....evidentemente il sistema vede tutti i suoi file a posto....
x la reinstallazione non ho scelto nulla poichè ho dato il comando da dos (col percorso del mio cd di win) e unattend alla fine, così non mi ha chiesto nulla...
però mi ha lasciato la mia vecchia cartella WINDOWS e ha creato WINDOWS.0, dove ovviamente ho perso tutto, settaggi account, attivazione win e tutto il resto....

swan_x
30-06-2009, 10.53.25
ho fatto D:\I386\WINNT32 /unattend

swan_x
30-06-2009, 11.33.43
sapete cosa non si avvia, ho notato??
i servizi svchost.exe
io che sono in rete LAN ne ho ben 6 avviati su un altra macchina, sia in LOCAL che in RETE...su quello che non va invece nulla, nemmeno un servizio svchost.exe....
ovviamente a lanciali da cmd non funziona.....

Geppetto56
30-06-2009, 19.33.33
Facendo l'istallazione con il cd di windows ti chiede dove vuoi installare se in una nuova o nella vecchia installandola in quella vecchia sovrascrivi tutti i file di sistema "perdi" i driver e collegamenti hai programmi ma ritrovi tutti i file che devi recuperare , sempre che non siano stati cancellati o danneggiati , lanciandolo da dos ha creato una seconda installazione se e hai voglia di smanettare da qualche parte sul sito ci sono delle guide che ti indicano quali file ricuperare non ricordo se si trovano sulle guide per il cambio della mobo o su qulche guida per il ripristino di sistema , fai una ricerca , li salvi su di un supporto sicuro e fai pulizia totale visto che la riistallazione viene bene per recuperare i dati ma alla lunga ti crea altri problemi

swan_x
01-07-2009, 11.24.50
wowwwwwwwwwwwwww!!! risoltoooooooooooooooooooooooo!!!!

alla fine ero proprio alla fine....ho detto basta formatto!
metto il cd, mi vede la vecchia installazione e li avevo "invio" x formattare e crearne una nuova o R " ripristina"
tanto x provare ho dato R " ripristina" e HA FUNZIONATOOOOOOOOOOOOO!!!!
tutto è tornato come prima, prog installati e funzionanti e sistema operativo come nuovo, senza perdere nulla dei settaggi della mia LAN!!! che cul....oooooo!!! non ci speravo prorio, e invece.....
spero che questa mia guida possa tornare utile a che si trovi in una sitauzione maledetta simile all mia!!! saluti a tuttiiiiiiiiiii!!!!!!!!!!!!!!

cippico
01-07-2009, 16.01.58
x sicurezza prova a fare un windows update...non si sa mai ci sia bisogno di reinstallare qualche patch...

ciaooo