Ciao a tutti, ho bisogon del vostro aiuto in merito a questo virus tosto.
Praticamente ho 2 pc ed entrambi sono stati infettati da questo virus. All'avvio di windows xp (sp3) a parte la lentezza del computer si aprono le schermate di sicurezza dell'antivirus segnalandomi pericolosi dei file tipo explorer.exe, outlook.exe, pdf...ecc me ne segna tipo anche una cinquantina...e ovviamente tutto è bloccato finchè non disabilito l'antivirus...
Nei 2 pc ho 2 antivirus diversi... avira e avast.

Ecco cosa ho fatto:
1- disinstallato e reinstallato entrambi gli antivirus
2- sia in modalità provvisoria che non ho fatto una scansione con malwarebytes. Ha segnalato un bel pò di cose, ho eliminato tutto ma al riavvio...tutto come prima
3- sia in modalità provvisoria che non ho fatto una scansione con combofix. Ha segnalato e fixato un bel pò di cose ma al riavvio...tutto come prima
4- ho avviato msconfig e disabilitato tutti i servizi in avvio e i programmi in avvio... al riavvio...l'antivirus mi segnala tutto come prima
5- su internet ho trovato questo file fix "avg_remover_expiro.exe" che in teoria doveva eliminare il tipo di minaccia.
Al suo avvio segnala che c'è un virus, avvio la procedura al riavvio, fa tutta la scansione e fix vari..ma al riavvio...tutto come prima
6- ho avviato anche HijackThis per vedere se c'erano servizi strani ma mi sembrava in ordine
7- ho avviato un live cd con avira rescue system common. Ha segnalato e fixato un bel pò di cose ma al riavvio...tutto come prima

Non so più cosa provare.
Vorrei non formattare tutto perchè ho tantissi file...

Spero in voi.
Grazie

Spero non sia quel vecchio virus nascosto in un file crack di un gioco che infetta tutti gli exe, dll e scr. Se così fosse non puoi farci nulla, tutti i file eseguibili di quel PC saranno infettati man mano che usi il sistema, non usare file eseguibili di quel PC altrove altrimenti fanno la stessa fine. Da quei PC puoi conservare solo i file dati (non eseguibili) il resto deve essere distrutto, altrimenti se li rimetti dopo la formattazione ti ritroverai nuovamente nelle stesse condizioni. Ora per essere sicuro di avere quel virus, devi fare qualche scansione con lo stesso strumento dopo ogni riavvio, se le infezioni aumentano notevolmente ogni volta è sicuro che hai beccato questo virus. Ricordati di ripulire tutti gli eseguibili da pendrive, HD esterni telefonini etc. altrimenti non ne esci più fuori.
Dimenticavo verifica la grandezza dei file, questo virus fa ingrossare i file, confronta i file con quelli installati su un PC pulito.

Se non è quel virus prova a fare queste operazioni:

- Avvia il sistema in modalita provvisoria
- Disattiva il ripristino di windows
- Disattiva gli aggiornamenti automatici
- Esegui CCleaner e pulisci tutte le temp
- Esegui HiJackThis e fixa tutto
- Esgui una scansione con Malwarebyte ben aggiornato

Fatto questo vedi cosa succede, se sei ancora infettato, il rischio di avere quel virus e molto probabile, i virus di oggi non permettono l'installazioni di antivirus o altri programmi di protezione, se a te è permesso, questo fa pensare a quel vecchio e fetente virus.

Oltre alla scansione completa dell'antivirus che hai già installato nel tuo sistema, prova questi software che potrebbero togliere le infezioni in modo automatico, aggiornando PRIMA le definizioni (al contrario, i seguenti programmi richiedono di scaricare l'ultima versione disponibile: adwcleaner, McAfee stinger e MS safety scanner), facendo la scansione COMPLETA del sistema (almeno il drive/hard disk/partizione di sistema):

adwcleaner (clic) (http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner)
superantispyware free (clic) (http://cdn.superantispyware.com/SUPERAntiSpyware.exe)
sophos virus removal tool free (clic) (http://www.sophos.com/it-it/products/free-tools/virus-removal-tool/download-now.aspx)
MBAM free (clic) (http://www.techspot.com/downloads.php?action=download_now&id=4716&evp=0a59f9584bb65ce60f8292a3fc06e555&file=1)
Mcafee stinger 32 bit (clic) (http://downloadcenter.mcafee.com/products/mcafee-avert/Stinger/stinger32.exe) oppure Mcafee stinger 64 bit (clic) (http://downloadcenter.mcafee.com/products/mcafee-avert/Stinger/stinger64.exe)
(a seconda della versione di Windows che usi)
MS Safety Scanner 32 bit (clic) (http://definitionupdates.microsoft.com/download/definitionupdates/safetyscanner/x86/msert.exe) oppure MS Safety Scanner 64 bit (clic) (http://definitionupdates.microsoft.com/download/definitionupdates/safetyscanner/amd64/msert.exe)
(a seconda della versione di Windows che usi)

Ciao, che belle notizie che mi date...

Quando si aprono le finestre alert degli antivirus alcune volte mi segnalano (su pc diversi) questi nomi se può essere utile...
Sul primo pc
- Win32:expiro-CC
- Trojan.FakeMs

Sull'altro
- Spy.Agent.732162
-TR/crypt.XPACK.Gen

Però anche se i virus hanno nomi diversi il problema è identico su entrambi...
E i pc si saranno infettati perchè erano in rete e forse ho installato qualche eseguibile preso dal pc infetto.

N.B. provo con i software di xilo76

Se vi vengono altre idee per eliminare questo virus...
Grazie

Allora facciamo così, vediamo se si tratta di un'infezione "moderna" o il vecchio fetentone:

- Avvia il PC con un Live CD
- Vai nel percorso: C:\WINDOWS\system32\config
- Sposta tutto il contenuto della cartella config in una nuova cartella
- Ora vai in questo percorso: C:\WINDOWS\repair
- Copia il contenuto della cartella repair nella cartella config


Il sistema dovrebbe partire a "primo giorno" come il primo giorno installato, dico dovrebbe perchè hai il SP3, questo registro "stipato" appartiene al reale XP installato, quindi potrebbe partire con il SP nativo o non partire perche il SP3 potrebbe aver cancellato qualche file appartenente ai vecchi SP, ti conviene provare.

Se ti parte il sistema fai subito una scansione senza lanciare altro, le infezioni ora saranno disarmate perchè non legate nel registro. Se tutto va bene, dopo la disinfettazione aggiorna le periferihe da gestione periferiche (saranno trovate perche già presenti), installerai i programmi non stand-alone perchè non hanno più i riferimenti nel nuovo registro e potrebbe necessitare l'installazione di Windows Installer 3.1 se non presente nel tuo sistema originario.

Ciao AMIGA...
Se ti può aiutare nel primo pc ho fatto delle scansioni tutto in modalità provvisoria con alcuni software:

In allegato i report...

combofix.txt
aswMBR.txt
SmitfraudFix.txt (http://wikisend.com/download/757524/SmitfraudFix.txt)
TDSSKiller.2.8.16.0_06.07.2013_13.39.10_log2.txt (http://wikisend.com/download/765966/TDSSKiller.2.8.16.0_06.07.2013_13.39.10_log2.txt)

Che altro cd live posso scaricare? Hai qualche nome?

Spero possano aiutarvi a capire come risolvere il problema.
Grazie

Io farei prima lavorare i programmi automatici e poi, se proprio non se ne esce fuori, procederei a procedure più complicate.
Ancora meglio, salvare i file importanti da una parte e poi reinstallare.

...non so cos'altro provare... :confused:

Sei infettato da un virus auto-replicante (parente al fetentone che accennavo ieri) W32/Expiro, ora me lo studio intanto scollega il PC dalla rete e disattiva il ripristino di sistema, poi prova questo specifico Tools Rmexpiro, lo trovi QUI (http://free.avg.com/it-it/remove-win32-expiro).
Se non funziona segui QUESTO (http://home.mcafee.com/virusinfo/virusprofile.aspx?key=3364221#) tutorial, da quello che leggo devi ripulire l'MBR del disco, per fare questo devi avviare il computer dal CD di XP e dalla consol impartire il comando Fixmbr.

Si tratta di un virus che infetta i file eseguibili presenti all’interno di ogni disco e che sottrae dati riservati dal computer infettato.

Può infettare i sistemi operativi Microsoft: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows 7.

Il virus cerca di infettate i file con estensione .EXE. Il malware disabilita la Protezione File di Windows così da poter infettare i file di sistema protetti.

Quando un programma infettato viene eseguito, il virus infetta tutti i file EXE, inclusi i file relativi ai collegamenti (.LNK).

All’inizio il virus inizia a infettare i file eseguibili avviati come servizi e poi i file relativi ai collegamenti presenti sul desktop e nella voce Programmi all’interno del menu di Avvio.

Successivamente, il virus disabilita il System File Checker (SFC) per I file protetti con SFC.

Il malware rilascia il seguente file per registrare i dati riservati sottratti dal computer infettato
%DatiApplicazioni%\[NOME FILE A CASO]dll (per esempio, %DatiApplicazioni%\wsr17zt32.dll)



Il virus tenta di sottrarre le seguenti informazioni:
I dati registrati da FileZilla nel file %DatiApplicazioni%\FileZilla\sitemanager.xml
I dati registrati da Filefox in %DatiApplicazioni%\Mozilla\Firefox\Profiles
I dati registrati dal sistema Windows Protected Storage
I certificati installati
Le password salvate da IE in HKCU\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
I dati immessi dall’utente in determinate finestre


Il virus tenta di installare un’estensione di Firefox che può dirottare il traffico web verso i seguenti domini:

smellsliketervana.com
office-rents24.ru
moscow-nightware.com
kaspersky-antinod.biz
tutmos-history.ru
corporal-johnlan.com
lasersquad1996.com
zae-biznes.com
nae-biznes.ru
gosdep-mskcity.ru
advokat-spb18.ru
grilled-mushrooms.cc
million-megadoz.com
cannabis-anabioz.org
nsdap-party.org
podstava-bank.ru
da-zdra-per-ma.com
headshot-freelance.com

AMIGA che dirti grazie mille per le informazioni che hai trovato... provo come consigliato e ti faccio sapere.
Avevo già scaricato e avviato il Tools Rmexpiro...però dopo tante lunghe ore di scansione non ho ottenuto nulla.
Adesso provo le indicazioni di Mcafee... speriamo in bene!

Secondo te, in questa fase di prove ecc io sto usando una chiavetta esterna (sto usando un terzo pc non collegato in rete con i 2 infetti) per caricare sui pc i vari programmi e salvarmi i report... l'utilizzo della chiavetta è pericoloso anche se non prendo nessun programma o file eseguibile dai 2 pc?
Inoltre per le password inserite nei vari siti nel web, banca, email...ecc è tutto rischioso?

Ovviamente nell'attesa se ti viene altro in mente fammi sapere.
Grazie mille

Come gia detto è importante che Scolleghi tutti i PC dalla rete e distattivi il ripristino di windows altrimenti si crea un circolo vizioso dove non ne esci più fuori. Come detto devi ripulire l'MBR probabilmente è annidata li la matrice del Virus e solo dopo aver fatto questo, fai la scnsione con il tool specifico, ma credo vada bene anche Malwarebytes, meglio se da modalità provvisoria.

. l'utilizzo della chiavetta è pericoloso anche se non prendo nessun programma o file eseguibile dai 2 pc?


Se non copi eseguibili non dovresti infettare l'altro PC, accertati però che non li metta lui e che siano nascosti, per verificare che non ci siano, scopri file e cartelle nascoste e file di sistema.


Inoltre per le password inserite nei vari siti nel web, banca, email...ecc è tutto rischioso?


Credo che le abbia già catturate e comunicate, per sicurezza cambiale tutte !

...ti chiedo un'altra cosa...
Secondo te visto che sui pc ci sono più utenti e oltretutto erano collegati a dominio su un server devo procedere in modo diverso?
Grazie

...ti chiedo un'altra cosa...
Secondo te visto che sui pc ci sono più utenti e oltretutto erano collegati a dominio su un server devo procedere in modo diverso?
Grazie

Se gli utenti sono sotto dominio anche il server o il PC che fa da server è stato infettato, poi ti ricordo che gli utenti di dominio sono limitati e non possono installare o fare scansioni a tutto il sistema, per fare questo devi loggarti come amministratore di Dominio oppure collegarti con un utente locale Administrator. Cosa importante è staccare fisicamente tutti i PC dalla rete LAN altrimenti infetterai tutti coloro che si collegheranno a quel server.

OK perfetto...Grazie

...eccomi...

x AMIGA...
Allora: Ho seguito alla lettera ciò che mi hai indicato ma purtroppo nulla, ho disattivato il rispristino, riavvio da console fixmbr... riavvio in modalità provvisoria e faccio una scansione con malwarebayte ( 17 virus trovati)... poi sempre in modalità provvisoria avvio il tools expiro remove... al termine il desktop era vuoto completamente bloccato impossibile da usare.

Sono passato alla soluzione estrema, ho staccato l'hard disk e da un pc ho fatto la scansione con un antivirus a trovato ed eliminato un sacco di file infetti... purtroppo tutti gli exe...

Poi ho ripristinato windows e purtroppo nonostante tutto ciò il desktop è inutilizzabile, si vede solo il background di xp, però in modalità provvisoria funziona bene....

Come posso risolvere secondo te?
Grazie

Hai provato a creare un nuovo utente ? non vorrei che l'infezione colpisca solo l'utente in uso ed ora la pulizia a eliminato qualche suo file.

Se il problema persiste, giusto per capire se l'amico friz è nel registro, prova a fare la prova della sostituzione di tutti i file che compongono il registro, mi riferisco all'operazione consigliata sopra sostituzione file nella cartella Config.

...ma tu dici che l'amico friz c'è ancora? Il problema del blocco desktop pensi sia dovuto ancora dal virus?

...questo è ciò che mi avevi scritto:

- Avvia il PC con un Live CD
- Vai nel percorso: C:\WINDOWS\system32\config
- Sposta tutto il contenuto della cartella config in una nuova cartella
- Ora vai in questo percorso: C:\WINDOWS\repair
- Copia il contenuto della cartella repair nella cartella config


Mi consigli un live cd?
La cartella repair ci sarà sicuramente?

Grassieee

...ma tu dici che l'amico friz c'è ancora? Il problema del blocco desktop pensi sia dovuto ancora dal virus?

Se quando hai attaccato l'hardisk su altro PC non ti ha rilevato più nulla, il sistema "File" è pulito, ma potrebbe essere infetto ancora il registro, questo non poteva essere scandito da un'altro sistema. Ora se ti parte in provvisoria significa che molti exe cancellati sono stati rimpiazzati da quelli stipati da windows. Ora dobbiamo sperare che anche quelli stipati non siano stati infettati e che l'avvio della modalità normale non sia perfetta per via di qualche servizio o riconoscimento periferica; con la sostituzione del registro si dovrebbe risolvere anche questo problema, però fai prima la prova del nuovo utente e spera che non ci siano ancora file infetti nel sistema.

...con il ripristino di sistema non dovrebbe anche riscrivere un registro pulito oltre ai file di sistema?

...questo è ciò che mi avevi scritto:

- Avvia il PC con un Live CD
- Vai nel percorso: C:\WINDOWS\system32\config
- Sposta tutto il contenuto della cartella config in una nuova cartella
- Ora vai in questo percorso: C:\WINDOWS\repair
- Copia il contenuto della cartella repair nella cartella config


Mi consigli un live cd?
La cartella repair ci sarà sicuramente?

Grassieee

Non è importante, puoi farlo pure ricollegando l'hardisk sull'altro PC come Slave, quei file sono protetti dal sistema, solo se parti con un'altro sistema puoi spostarli o cancellarli (tu tienili comunque, se incontri problemi li ripristini)

...con il ripristino di sistema non dovrebbe anche riscrivere un registro pulito oltre ai file di sistema?
Solitamente i virus infettano anche il ripristino, o li conserva lo stesso Window, quindi si rischia di rimettere tutti i virus eliminati, e poi se lo hai disattivato non lo hai più. Per la prossima volta usa ERUNT per farti una copia del registro, io lo metto su tutti i PC e in caso di problemi con un click rimpiazzo il registro pulito e funzionante poi diventa più facile fare le pulizie, oppure creati un'immagine del sistema e conservala in luogo sicuro.

Solitamente i virus infettano anche il ripristino, quindi si rischia di rimettere tutti i virus eliminati, e poi se lo hai disattivato non lo hai più. Per la prossima volta usa ERUNT per farti una copia del registro, io lo metto su tutti i PC e in caso di problemi con un click rimpiazzo il registro pulito e funzionante poi diventa più facile fare le pulizie, oppure creati un'immagine del sistema e conservala in luogo sicuro.


Io il ripristino l'ho fatto da cd di xp...quindi dovrebbe essere bello pulito pulito...no?

Io il ripristino l'ho fatto da cd di xp...quindi dovrebbe essere bello pulito pulito...no?

Si se il ripristino lo hai creato prima dell'infezione no problem, il sistema che ripristini dal CD è pulitissimo, solo che il PC non deve essere collegato alla rete o ad altri volumi potenzialmente infetti (un secondo HD collegato al PC, HD Esterni, Pedrive, Telefonini etc..) questo perchè potrebbero contenere eseguibili infetti, basta lanciare un exe infetto per ricreare il focolare sul PC.

Se dopo il ripristino da CD il PC ti da problemi all'avvio nella modoalità normale, nonostante sia scollegato dalla rete o privo di altri volumi collegati, la causa non è più da attribuire al virus, ma alla bontà dell'immagine o qualche cambiamento hardware avvenuto sul PC dopo aver fatto l'immagine, per esempio un cambio di una scheda video.
Ora si va a riposare, si è fatto tardi, a domani !

...ho provato a creare un nuovo utente ma quando accedo mi dice che la copia di windows deve essere attivata...
Nella modalità provvisoria da amministratore non posso farlo e nella modalità normale si pianta tutto e non posso attivare la copia...
Ma perchè mi chiede di attivare la copia? Non ho 30 giorni? Poi devo ancora inserire il numero di serie... boh

...ho provato a creare un nuovo utente ma quando accedo mi dice che la copia di windows deve essere attivata...
Nella modalità provvisoria da amministratore non posso farlo e nella modalità normale si pianta tutto e non posso attivare la copia...
Ma perchè mi chiede di attivare la copia? Non ho 30 giorni?


Bene allora era quello che pensavo, ti chiede l'attivazione perchè su quella macchina c'è stato un cambiamento Hardware oppure l'immigine non è di quel PC ma di un PC con caratteristiche hardware similari.


Poi devo ancora inserire il numero di serie... boh


Fare l'attivazione è semplice, ci sono due metodi, una è via telefono, e l'altra via Internet la più veloce, ti conviene scegliere la seconda, però attenzione a:

- Se il sistema non è originale non sarà mai attivato.
- Alcune volte l'operazione va ripetuta più volte perchè il server della Microsoft può essere troppo impegnato o irrangiungibile.
- Accertati che la data e l'ora sia esatta altrimenti l'attivazione non andrà a buon fine.
- Se hai internet sotto proxy, devi immettere il nome del Proxy, Numero Porta, Nome utente e password (quelli per accedere a Internet)
- Se hai internet normale senza proxy non dovresti avere alcun problema

Ciao, il problema è che quando clicco su attiva licenza (ho tutto originale compreso il serial) si blocca tutto e non mi fa utilizzare il desktop neanche il task manager nulla tutto bloccato funziona solo il cursore...

Nella modalità provvisoria funziona tutto però non posso attivare la licenza...

Tu non devi entrare nel desktop, quando tenti di loggarti, si dovrebbe disconnettere e tornare sul login con il request della registrazione e tu dovrai csegliere di registrarti via telefono o via Internet:



Via Internet (scelta veloce)

http://www.lafabbricainterattiva.com/it/wp-content/uploads/2011/01/image26.png


Via Telefono

http://www.lafabbricainterattiva.com/it/wp-content/uploads/2011/01/image23.png

...purtroppo quelle schermate non le vedo... quando avvio mi apre una finestra/popup alert che mi dice che devo attivare windows, quando premo "sì"... si pianta tutto e non vedo niente tranne il background e il cursore...

questa è la frase estta: "un problema ha impedito a windows di verificare accuratamente lo stato della licenza... si desidera attivare ora?

quando premo "sì"... si pianta tutto e non vedo niente tranne il background e il cursore...

Sei sicuro di non aver cambiato hardware su quel PC e che l'immagine sia di quel PC ...

Fai cosi, prova ad andare in modalità provvisoria "con rete" e vedi se anche li si impalla.

Se negativo vai in modalità provvisoria "normale" e controlla se l'eseguibile che lancia la procedura di registrazione funziona, per fare questo dallo start esegui questo comando:

C:\windows\system32\oobe\msoobe.exe /a

Da qui puoi attivare solo via telefono, la rete non funzia.

Ciao... alla fine dopo milioni di tentativi ho dovuto formattare tutto perchè quel balego del virus ha intaccato tutti gli exe...e pur ripristinando il sistema da zero ormai tutto era corrotto e infettato...

AMIGA... Volevo ringraziarti per il tempo che mi hai dedicato. Grazie!!!!

Comunque per quel tipo di virus "EXPIRO" installando AVG anche il free lo rileva immediatamente.
Quindi per chi ha paura di beccarsi il mio stesso virus fatevi una bella scansione con AVG...

Ciao... alla fine dopo milioni di tentativi ho dovuto formattare tutto perchè quel balego del virus ha intaccato tutti gli exe...e pur ripristinando il sistema da zero ormai tutto era corrotto e infettato...

Se il ripristino era su file immagine non doveva essere infetto, probabilmente l'infezione già c'era al momento dell'infezione; se invece parli del ripristino di Windows allora sicuramente era stato infettato visto che si trova sullo stesso disco.

N.B Fai attenzione a file di quel PC copiati su altri dispositivi, basta ricopiarne uno per ritrovarti nello stesso guaio.


AMIGA... Volevo ringraziarti per il tempo che mi hai dedicato. Grazie!!!!

Prego


Comunque per quel tipo di virus "EXPIRO" installando AVG anche il free lo rileva immediatamente.
Quindi per chi ha paura di beccarsi il mio stesso virus fatevi una bella scansione con AVG...

Be credo che qualsiasi antivirus ben aggiornato lo avrebbe rilevato, si tratta di un virus vecchiotto che ormai conoscono tutti, piuttosto va detto a tutte quelle persone che per loro scelta non vogliono installare un antivirus, QUI (http://forum.wintricks.it/showthread.php?t=159101&highlight=senza+antivirus) una discussione sull'argomento.