[MeTaLLeR ~]

Salve ragazzi... Avevo l'antivirus Nod32, ma per qualche motivo un bel giorno mi aveva detto che nome utente e password non erano validi e quindi non potevo aggiornarlo. Come un deficiente ho lasciato stare per i primi giorni, ma poi son diventate settimane e ora è un mesetto che non lo aggiorno. Risultato: ieri mi son beccato un Trojan che si finge un antivirus, ho fatto una scansione con l'antivirus ma siccome dovevo andare a lavoro non ho potuto vedere com'è andata. So solo che non c'era più nessuna finestra aperta (probabile che il pc si sia riavviato, dato che ho anche altri problemi), a parte quelle del virus. Le finestre sono queste:

Spoiler

Questa si apre, installa in automatico tutto e anche se provo a chiudere si riapre e riprende il caricamento...

Spoiler

Spoiler

Poi questa è una falsa scansione...

Spoiler

Spoiler

Ho disinstallato Nod32 (ormai inutile) e ho installato Avast Hoem Edition. Dopo la scansione della memoria mi ha trovato il virus e mi ha detto che è presente nella memoria operativa e prima che si attivi è consigliabile riavviare il sistema e fare una scansione. Infatti ho fatto così e mi ha trovato 3 Trojan, di cui uno è quello bastardo che mi sta rompendo il cazzo. "Ok, cancellato", ho pensato, e invece no, perchè quando ho acceso il pc il virus c'era ancora e le finestre continuano a comparire, come sempre, ogni 10-15 secondi (per questo post ci ho messo anima, corpo, pazienza, sangeu e sudore, dato che ogni volta mi interrompono mentre scrivo e devo chiuderle). Ora non so quindi che fare, anche perchè di pc ne capisco poco e niente. :S Chi mi aiuta? :S

[0wn3d]

Ti sei beccato quello che in gergo tecnico ( ) si chiama "rouge antivirus".
Comunque:

Quote

1) Fermare i processi (sulla barra di stato , tasto destro , Task manager ..,processi , termina processo) mdefense.exe
2) Disinstallare Malware Defense :Start > Impostazioni > Pannello di controllo > Aggiungi/rimuovi programmi : Cerca e , nel caso , disinstalla il pacchetto : Malware Defense
3) Cercare e rimuovere le chiavi di registro : (Start/esegui/regedit)
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Malware Defense
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Malware Defense
4) Cercare e rimuovere i files e le cartelle: (start /cerca)

c:\Documents and Settings\All Users\Application Data\Malware Defense (Tutta la Cartella)
%UserProfile%\Application Data\Malware Defense. (Tutta la Cartella)
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk
%UserProfile%\impostazioni locali\temp (Tutta la Cartella)
C:\Windows\Temp Tutta la Cartella
c:\Programmi\Malware Defense. - Tutta la Cartella (controlla anche C:\Program Files\Malware Defense... e la cartella Documenti\Malware Defense) - non è detto che ci siano tutte.
Da Menu Avvio\Programmi cancella la cartella Malware Defense
Cancella Malware Defense.lnk e/o Malware Defense sia dal Desktop che da Menu avvio.
Ed infine svuotare il cestino e la cartella dati recenti (%UserProfile%\Recent)
Si ricordi che %UserProfile% corrisponde a "C:\Documents and Settings\nome utente"
Eventualmente impostare Strumenti/opzioni cartella/visualizzazione - Visualizza cartelle e file nascosti.


In alternativa , trattandosi di uno spyware , consiglio l'installazione di un antispyware free : http://www.superantispyware.com/ oppure Spybot Search and Destroy
E , per un pronto intervento risolutivo, Malwarebytes’ Anti-Malware

Prova a fare così. Fammi sapere se risolvi.

[MeTaLLeR ~]

Minchia che velocità! GRAZIE MILIARDISSIME. Ora provo e ti faccio sapere...

[Phil Bell]

Prova anche a fare una scansione con Malwarebytes. Con mio padre funzionò.

[MeTaLLeR ~]

Non ho risolto... :S Perchè stavo facendo ciò che mi hai detto ma il pc si è bloccato e allora l'ho riavviato. Al riavvio queste due cartelle

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Malware Defense
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Malware Defense

non c'erano più e il processo mdefense.exe era giù chiuso...

In più nelle cartelle dei files temporanei non mi fa cancellare 4 file:

Spoiler

Provo con l'Antispyware?

EDIT: Ah, ok Phil, proverò con Malwarebytes allora... Grazie!

EDIT2: Non riesco a installare Malwarebytes... :S Ho scaricato l'installer ma quando lo apro non succede nulla (a parte chiedermi se eseguire o meno l'applicazione). Provo con SUPER Anti-Spyware... :S

EDIT3: Non si apre nemmeno l'installer di SUPER Anti-Spyware:

Spoiler

MA VAFF!

[Juma93]

Deve essere un 'retrovirus' (che ti blocca anche gli antivirus), quindi devi cercare un antivirus/antispyware che non sia bloccato (prova avira free & spybot search and destroy). Per i file temporanei nel task manager chiudi tutti i processi che ti sembrino sospetti (cerca su internet in caso di dubbi) e poi dovrersti riuscire a cancellarli. Per evitare che i vari processi inutili e/o dannosi si avviino ad ogni avvio di windows apri msconfig (start -> esegui) oppure esegui una pulizia con ccleaner (guarda nella sezione strumenti -> avvio).

[Phil Bell]

Cazzo ti sei beccato un virus potente.... io con uno di questi ho dovuto formattare...

[0wn3d]

Prova a fare un ripristino di sistema.

[Phil Bell]

Quote

Originally posted by 0wn3d@11/01/10 - 22:56
Prova a fare un ripristino di sistema.

Il fatto è che questi virus si annidano anche lì, però può provare

[MeTaLLeR ~]

Ho risolto col virus, erano due i processi da chiudere, tra cui quello nei Temporary Files che non potevo cancellare proprio perchè aperto. Ok, orai l virus è andato, però è nato un nuovo problema: appena accendo il computer esce la finestrella "Si è verificato un errore in explorer.exe" e i tasti per la segnalazione errori, "Inviare", "Non inviare" e "Debug". Qualsiasi cosa faccio si chiude il processo explorer.exe e si riapre in automatico facendo uscire di nuovo quella scritta. Così anche con Firefox. L'unico modo è tenere aperte queste due finestrelle, però con questi problemi con explorer.exe non posso usare programmi come Nero perchè quando si sceglie cosa masterizzare si usa la ricerca dei file che avviene sempre con explorer.exe (infatti mi usciva la finestra tutta grigia) e allora ho usato ImgBurn. Ma mica posso andare avanti così... :S

Il ripristino di configurazione di sistema non posso farlo perchè quando scelgo la data a cui ripristinarlo dopo non posso clickare più su "Avanti". Cioè, posso, ma non succede nulla. :S

[Phil Bell]

Quote

Originally posted by † T3rr0r †@12/01/10 - 14:02
Ho risolto col virus, erano due i processi da chiudere, tra cui quello nei Temporary Files che non potevo cancellare proprio perchè aperto. Ok, orai l virus è andato, però è nato un nuovo problema: appena accendo il computer esce la finestrella "Si è verificato un errore in explorer.exe" e i tasti per la segnalazione errori, "Inviare", "Non inviare" e "Debug". Qualsiasi cosa faccio si chiude il processo explorer.exe e si riapre in automatico facendo uscire di nuovo quella scritta. Così anche con Firefox. L'unico modo è tenere aperte queste due finestrelle, però con questi problemi con explorer.exe non posso usare programmi come Nero perchè quando si sceglie cosa masterizzare si usa la ricerca dei file che avviene sempre con explorer.exe (infatti mi usciva la finestra tutta grigia) e allora ho usato ImgBurn. Ma mica posso andare avanti così... :S

Il ripristino di configurazione di sistema non posso farlo perchè quando scelgo la data a cui ripristinarlo dopo non posso clickare più su "Avanti". Cioè, posso, ma non succede nulla. :S

Hai installato un banco di ram percaso?

[MeTaLLeR ~]

No, sempre rimasti quelli, l'unica volta che ne ho aggiunto uno è stato 3 anni fa circa...

[Juma93]

Può essere che il virus ha disattivato/modificato un servizio di sistema...
Potresti fare uno screen di tutti i sevizi attivi e poi se qualche buon anima ha un XP pulito possiamo confrontare (io ho vista)
A questo punto, non so, forse ti conviene formattare...

[MeTaLLeR ~]

Può essere perchè Avast! mi diceva che il virus era entrato nella memoria di sistema e per processare il file era necessario il riavvio del pc e la scansione prima dell'accesso con l'account. Però diceva che non era attivo (probabilmente mi avrebbe fottuto tutto), boh.

In che senso lo screen dei servizi attivi? I processi?

[Juma93]

No, vicino ai servizi deve esserci una scheda con scritto servizi...

Cmq ti conviene sempre impostare una scansione al riavvio quando Avast! dice che serve

[MeTaLLeR ~]

Il bello è che la protezione all'avvio di Avast! non la posso mettere, appena apro l'antivirus non succede nulla e non posso aprire la finestra delle opzioni... :S Che casino, mi sa che devo formattare. Comunuqe scusa, ma non ho capito questa cosa dei servizi, dove li trovo?

[Phil Bell]

Io ti consiglio di cancellare il ripristino configurazione di sistema e poi di fare una scansione con avast/avira.

[Juma93]

Quote

Originally posted by MeTaLLeR ~@14/01/10 - 15:01
scusa, ma non ho capito questa cosa dei servizi, dove li trovo?

Ctrl+Alt+Canc -> 'Task Manager' -> scheda 'Servizi'

[MeTaLLeR ~]

C'è applicazioni - processi - prestazioni - rete - utenti.
Ho XP...

[Juma93]

Ah... strano, mi pareva ci fosse anche su XP. Prova a guardare se c'è qualche tasto con scritto servizi.
Hai detto che non funziona explorer? Ma i processi che hai levato hai provato a guardare che cosa erano (forse erano processi di sistema, non virus...)