Mammamia, questo virus dev'essere davvero potentissimo, se ha scatenato cotanta guerra civile...
Comunque, grazie, ragazzi: avevo capito che i nomi dei file fra %...% erano riferiti alle cartelle.
Domattina, quando tornerò sul luogo del delitto, proverò a guardare ancora: effettivamente, non ho cercato in modalità provvisoria, ma in quella normale: sarà per questo motivo che i cattivoni mi sono sfuggiti? Considerate che il popup maledetto mi chiude o blocca ogni finestra e devo essere velocissimo a verificare che nelle opzioni sia vistata l'opzione per visualizzare i file nascosti.
Vi terrò informati.
Vi chiedo, però, se devo recuperare il backup di hijack, visto che mi sembra di aver capito che i file "fixati" non erano quelli bacati. Non mi sembra, in ogni caso, che abbiano ulteriormente compromesso il sistema.
Ciao a tutti e... incrocio le dita!
RAGAZZI, AIUTOOO!
Stamattina, dopo aver settato la visualizzazione di tutti i file, nascosti e di sistema, e annullato i punti di ripristino, mi accingevo a fare la ricerca dei file che mi ha indicato lucas, ma il computer si è definitivamente imballato, anche quando lo avvio in modalità provvisoria.
Non riesco ad accedere più ad alcun programma o cartella: dopo un po' mi compare anche il messaggio di errore in drwtsn32, che prima appariva solo per alcune operazioni.
Vi prego, ditemi cosa posso fare!
No, scusate, falso allarme: pur sempre con il solito problema, ma ora il pc almeno mi risponde.
Scusatemi per l'insistenza e il trabocco d'ansia, ma sono davvero molto preoccupato per questo pasticcio.
Ora procederò con la ricerca: speriamo bene...
Dunque dunque, la telenovela continua...
Ho cercato nelle chiavi, ma non ho trovato nulla, idem per quanto riguarda i file in Windows e in System32.
Però, facendo un'altra scansione con l'antivirus (AntiVirus Guard) in modalità provvisoria, ho ricevuto qualche messaggio d'allarme e ho scovato un certo "PMS/Processor.20". L'antivirus non mi ha però consentito di eliminarlo, in quanto file compresso.
Per maggiore precisione, posto qui il log del report:
Start of scan: giovedì 9 giugno 2005 11:14
Memory test &n bsp; &n bsp; OK
Master boot record of hard disk HD0 OK
Boot record of drive C: &nbs p; OK
C:\
pagefile.sys
Access denied! Error during file opening!
This is a Windows swap file. This file is locked by Windows.
Error code: 0x000D
WARNING! Access error/file locked!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery
DSOExploit.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit1.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit10.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit11.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit12.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit13.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit14.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit15.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit16.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit17.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit18.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit19.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit2.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit20.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit21.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit22.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit23.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit24.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit25.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit26.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit27.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit28.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit29.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit3.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit4.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit5.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit6.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit7.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit8.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit9.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
SpyHunter.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
C:\Documents and Settings\Client1\Desktop
HSFix.zip
ArchiveType: ZIP
--> HSFix\Process.exe
[DETECTION] Contains code of the PMS/Processor.20 virus
C:\Documents and Settings\Client1\Desktop\Nokia2
Pack 1 Game.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
Error! Could not change directory: System Volume Information
C:\WINDOWS\system32\config
DEFAULT
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SAM
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SECURITY
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SOFTWARE
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SYSTEM
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
End of scan: giovedì 9 giugno 2005 12:02
Time taken: 48:00 min
4341 directories were scanned
76819 files were scanned
6 warning messages were issued
0 files were deleted
0 files were repaired
1 detection
Ora vi chiedo se debba provare a eliminare manualmente i file, se sì quali e in quale modalità, normale o provvisoria. Non ci ho voluto provare perché ormai la fifa di sconquassare definitivamente il sistema mi paralizza.