Ciao a tutti mi Kiamo liuke e sono nuovo del forum.
Purtroppo ho contratto un po di Virus e ho bisogno di aiuto
sistema op. winXP pro
La situazione è questa:
Ho attivato il servizio adsl di alice.Venerdì mi arriva il modem adsl usb e lo installo e nel giro di pochi minuti la navigazione risulta lentissima come qualsiasi altra operazione, il task manager non riesco a farlo comparire e così anche per il registro di sist.
E on desk compare la bellissima scritta rosa"
-V-*alan loves sally*-v-
Purtroppo tutto questo è colpa mia perchè ho sempre ignorato l'esistenza di live update di windows, e norton 2002 era scaduto.
Successivamente installo norton 2004 anchegli con l'abbonamento scaduto,esegue la scansione di preinstallazione e mi rileva diversi virus:
C:\WINDOWS\system32\ati2vid.exe è infettato con W32.Spybot.Worm
C:\WINDOWS\system32\muamgrd.exe è infettato con W32.Spybot.Worm
C:\WINDOWS\system32\scvhost.exe è infettato con W32.Spybot.Worm
C:\WINDOWS\system32\svchost.com è infettato con W32.Spybot.Worm
C:\WINDOWS\system32\svchost.pif è infettato con Bloodhound.Packed
C:\WINDOWS\system32\TFTP11080 è infettato con W32.Spybot.Worm
C:\WINDOWS\system32\TFTP300 è infettato con W32.Spybot.Worm
C:\WINDOWS\system32\TFTP9256 è infettato con W32.Spybot.Worm
C:\WINDOWS\system32\winini.exe è infettato con W32.Spybot.Worm
C:\WINDOWS\system32\winsysi.exe è infettato con W32.Spybot.Worm
C:\WINDOWS\system32\winup.exe è infettato con W32.Spybot.Worm
Alcuni vengono eliminati ed altri vanno in quarantena.
A questo punto ora riesco ad aprire il Task e anche il registro.
Dopo l'istallazione di NAV2004 su indicazione di un amico tiro in dietro la data del Pc,e riesco a fare l'aggiornamento def.virus.
e di windows update( 54 agg.nti, ma ho visto che alcuni agg.nti una ventina non li ha istallati) bo!!
A questo punto scopro PCprimipassi e le sue guide per la rimoz.virus,eseguo quanto spiegato,ma il problema persiste.
1 Diasbilito riprist.conf.sistema
2 aggiorno norton
3 termino i processi in corso relativi
4 eseguo lo scan disk
5 Apro regedit Hkey_local_machine/software/microsoft/windows/current version/run
ed alcune delle voci sopra elencate le trovo e le elimino.
6 apro anche Hkey_local-machine/.....run once,ma quì non c'è niente
Lo stesso faccio in Hkey_current_user/...
Faccio un altra scasnsione con Norton che non rileva più nessun virus.
Dopo di che lancio prima Ad-ware 6.0 e poi Spybot sd 1.3rc5 quindi ripulito tutto riavvio il sistema.
Ma la scritta rosa ricompare ancora e con richiesta di connessione al sito KK.K32.co.uk
Controllo su regedit ,ed alcune voci che avevo cancellato sono ricomparse.
Allora provo a cercare il remove tool fix per Sasser,blaster,Netsky_d e Korgo li lancio ma mi danno esito negativo.
Ho provato anche a fare una scansione on line dove è stato individuato solo un file inetto "Wincrc.exe"(è uno di quelli che
dopo l'eliminazione poi ritorna)
Ora non so più che fare!!! Ho sbagliato qualche passaggio?
Spero di essermi spiegato al meglio
vi ringrazio anticipatamente
Ciao Liuke
Haio provato ad installare Spyboth Search and Destroy? lo trovi nella sezione download... prova, funziona molto bene!!
ciao
già fato mi ha rilevato alcuni file e li ha corretti.
ma niente da fare
Vorrei aggiundere un dettaglio
il mio pc ha 3 user la mia in qualità di amm.re più altre due.
In modalità provv. invece vengono visualizzate due user "AMMINISTRATORE"??mai vista!, e la mia user (Liuke)
Domanda: I passi sopra citati vanno eseguiti per ogni user?
al punto 4 da te mensionato dici di aver fatto lo SCAN DISK....non è quello che devi lanciare ma lo SCAN dal tuo antivirus....non sbagliare qui !..
probabilmente non hai ben aggiornato il Norton...magari la tua versione non si puo piu aggiornare....controlla bene...
In alternativa se non sei certo dell'antivirus di cui disponi fai una scansione online da http://housecall.antivirus.com visto che hai l'ADSL non ci metterai molto...scarica la piccola applet che il sito ti propone e poi lancia lo scan del disco..
Cosi sarai certo di aver usato un antivirus aggiornato...
Comunque il problema che ti ritrovi può essere dovuto ad alcune voci non eliminate o a files ancora presenti sul disco che ricreano le voci nel registro in continuazione...
Oppure, cosa molto importante, becchi continuamente il virus poichè non hai aggiornato Windows per cui hai ancora la falla aperta...
Infine ho trovato una cosina da fare in aggiunta a quanto hai già fatto
CANCELLARE QUALSIASI FILE DI DIMENSIONI PARI A "0" BYTE NELLA CARTELLA STARTUP DI WINDOWS
Spero che riuscirai a risolvere comunque facci sapere ok ?
ciao raven
Forse mi son spiegato male,con scan disck intendevo con norton.
E comunque dopo che norton non mi dava più niente ho provato pure con housecall e anche con Symantec,e anche li mi ha rilevato dei virus che ho eliminato.(comunque anche con adsl la velocità di scan e di navigazione è lentissima,meno di un modem a 56k)quindi ora con nuove scansioni non viene più rilevato niente.Ma il virus c'è e si vede pure.
Per quanto riguarda windows update come dicevo molti agg.ti non li esegue e sulla barra c'è l'iconcina dell'update che mi continua a chiedere lo stesso agg.to KB835730se ricordo bene,lo istallo e poi continua a chiederlo ancora all'infinito.Quindi la falla aperta è possibile,ma mi chiedo come sia possibile continuare a beccarmi il virus se le operazioni di pulizia descritte prima le ho eseguite off line quindi al riavvio come sempre dopo 2 o 3 minuti compare la finestra di connessione annullo e si materializza la scritta rosa del virus
Per quanto riguarda le varie user come dicevo nel post sopra sai dirmi qualcosa?
In oltre ho un po paura a connettermi,non vorrei che mi si attivi qualche cosa che mi faccia del male a livello di bolletta telefonica,tu che dici è possibile?
Stasera proverò a vedere nella cartella startup.
Poi non mi resta che portare il pc da un tecnico,ma non sai quanto mi girano malediz..
Altra domanda quando mi viene rilevato il virus nel seguente modo:
C:\WINDOWS\system32\scvhost.exe è infettato con W32.Spybot.Worm
il file pur essendo infettato è di utilità al sistema e quindi necessita di riparazione,o va eliminato comunque?
scvhost è il termine usato da Windows XP per identificare un servizio di sistema...per cui non puoi toccarlo anche perchè il file non esiste!!
Controlla la cartella startup...ad ogni modo hai la possibilità di installare il service pack 2 ? ho visto in edicola che viene venduto in questi giorni...magari cosi evitiamo che il sistema non sia aggiornato...
Se lo porti da un tecnico sai cosa farà ??? lo formatta! Per cui ricontrolla tutti i passi che hai seguito...io sono convinto che c'è qualcosa che sbagli....l'ho preso anche io quel virus ma sono riuscito a toglierlo in meno di mezz'ora....
ah...mi sono dimenticato....prima di fare tutte le cosette descritte.....hai terminato l'eseguibile virale in esecuzione???
Prova inoltre con il System cleange pack di TRENDMICRO
ecco dove lo prendi.
http://it.trendmicro-europe.com/enterprise/support/tsc.php
Non devi fare altro che scompattarlo da qualche parte e scompattarci assieme l'ultimo aggiornamento virale di TREND MICRO che invece trovi qui
http://it.trendmicro-europe.com/enterprise/support/pattern.p hp
poi lanci l'applicazione sysclean.com (è un file vecchio tipo DOS)
Grazie rav
proverò a fare come dici.
L'eseguibile in task non è visibile (nome.worm) a meno che non sia camuffato
ieri windows update mi ha chiesto di istallare proprio il sp2 e dopo un ora e mezza di download mi ha detto che era impossibile istallare il pacchetto.E questa la cosa che secondo me non mi fa debellare il virus,perche non mi aggiorna windows,come dicevo molti agg.ti li ha istallati,ma altri del tipo "critico" non li esegue e così e stato con sp2.
ritornando a svchost in windows/system32/ ne ho diversi con estensione sia .exe che .com e mi sembra anche .pif ed anche in task ce ne sono 3 o 4 in esecuzione.
Non ce la faccio più la notte mi sogno le scansioni del pc,ne avrò fatte una cinquantina!