Computer in tilt per virus, impossibile comandandarlo

[fantina]

Ciao,
sono sul pc di un amico unn po' inesperto che si è fatto infettare da un mucchio di virus. Purtroppo ormai i comandi non rispondono, l'antivirus non parte, il ripristino configurazioni di sistema neppure, insomma il pc non obbedisce più facendo solo dei rapidi flash di schermate che spariscono dopo un microsecondo: prima della formattazione o del cestinamento del pc avete suggerimenti da darci?
Grazie!!

[shel]

ciao

dalle poche informazioni che hai dato, sembri infettato dal virus bagle

fai una scansione con findkill

http://dc108.4shared.com/download/75022 ... 1-de3379fb

Una volta installato chiudi tutte le applicazioni attive e disconnettiti dal internet, poi clicca sull'icona di FindyKill e nella finestra dos che si aprirà scrivi 2 e premi Invio. Attendi il termine della scansione e posta qui il log che trovi in C:\FindyKill.txt

Esegui una scansione anche con malwarebytes.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto.

per ora non rimuovere nulla

[fantina]

Nulla da fare shel, faccio il download, lì per lì sembra che scarichi il programma ma al momento di Esegui ecco dinuovo un flash e il programma non è installato da nessuna parte... Che faccio? E' successo con tutti e due, non riesco a venirne fuori...
Grazie.......

[shel]

prima di proseguire, esegui questa operazione

copia questo codice in un file di testo:

@echo off
regedit.exe /e C:\file1.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
regedit.exe /e C:\file2.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
regedit.exe /e C:\file3.txt "HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run"
regedit.exe /e C:\file4.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows"
regedit.exe /e C:\file5.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad"
regedit.exe /e C:\file6.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
regedit.exe /e C:\file7.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe"
regedit.exe /e C:\file8.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects"
regedit.exe /e C:\file9.txt "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy"
regedit.exe /e C:\file10.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center"

salvalo sul desktop come:
nome: 1.bat (cambiando ovviamente l'estensione da .txt a .bat).
tipo di file: tutti i file

eseguilo con doppio click, successivamente in C dovresti trovare i file .txt da 1 a 10 o quelli che sono stati individuati, Inseriscili tutti in una cartella .zip e allegali a un post.

[fantina]

non mi fa aprire il blocco notes... non mi fa fare nulla; sempre il solito flash che appare e scompare subito, anche il prompt dei comandi fa questa cosa. E' ingovernabile, funziona solo internet... che fare?

[fantina]

ti aggiungo anche che c'è questo unico programma insistente che dice di chiamarsi Secure Tool Warning che chiede ogni due minuti di essere acquistato, con tanto di richiesta di carta di credito. E' l'unica cosa che non sparisce...
Ma come fare per combattere questo coso e recuperare il sistema senza buttare via tutto? ....grazie....

[shel]

prova a scaricare il file .reg, te lo invio tramite link- esegui quello che ti ho consigliato nel precedente pos t

http://wikisend.com/download/928000/1.bat

se ti appare ancora Secure Tool Warning terminalo da task manager

[shel]

prova a scaricare il file .reg ed eseguilo, te lo invio tramite link- esegui quello che ti ho consigliato nel precedente pos t

http://wikisend.com/download/928000/1.bat

se ti appare ancora Secure Tool Warning terminalo da task manager

[fantina]

shel, nel task manager (finestra che peraltro compare per un decimo di secondo) ho visto che questo Security ecc ecc non compare. I programmi non si riescono a scaricare perchè appena si clicca Esegui sparisce tutto e non resta più traccia del download. Fino a pochi minuti fa c'era Skype aperto ora è sparito anche lui, niente più icona, niente nell'elenco dei programmi... sto computer sta diventando un fantasma, solo quel Security Tool (e fortunatamente finora il collegamento internet) sono attivi......

[Luke57]

Ciao, se ti funziona internet prova con una scansione on line da qui (occorre navigare con IE per avviare la scansione):
http://www.bitdefender.com/scanner/online/free.html

posta poi il report (elimina ciò che trova)

[fantina]

Ciao luke, scusa il layout ma non funzionano i programmi per mandartelo meglio

Scan report generated at: Mon, Oct 12, 2009 - 12:13:55
Scan path: A:\;C:\;D:\;E:\;F:\;
Statistics
Time
00:30:06
Files
95048
Folders
2894
Boot Sectors
0
Archives
1208
Packed Files
7895
Results
Identified Viruses
1
Infected Files
1
Suspect Files
0
Warnings
0
Disinfected
0
Deleted Files
1
Engines Info
Virus Definitions
4333583
Engine build
AVCORE v2.1 Windows/i386 11.0.0.26 (Aug 27 2009)
Scan plugins
17
Archive plugins
44
Unpack plugins
8
E-mail plugins
6
System plugins
4
Scan Settings
First Action
Disinfect
Second Action
Delete
Heuristics
Yes
Enable Warnings
Yes
Scanned Extensions
*;
Exclude Extensions

Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes

Scanned File
Status

C:\System Volume Information\_restore{BCB01FFD-A871-45B6-8C67-F11FB3013305}\RP86\A0035187.exe
Infected with: Trojan.Generic.2503389

C:\System Volume Information\_restore{BCB01FFD-A871-45B6-8C67-F11FB3013305}\RP86\A0035187.exe
Deleted

BitDefender Online Scanner









Scan path: A:\;C:\;D:\;E:\;F:\;







Statistics

Time
00:30:06

Files
95048

Folders
2894

Boot Sectors
0

Archives
1208

Packed Files
7895




Results

Identified Viruses
1

Infected Files
1

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
1




Engines Info

Virus Definitions
4333583

Engine build
AVCORE v2.1 Windows/i386 11.0.0.26 (Aug 27 2009)

Scan plugins
17

Archive plugins
44

Unpack plugins
8

E-mail plugins
6

System plugins
4




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

C:\System Volume Information\_restore{BCB01FFD-A871-45B6-8C67-F11FB3013305}\RP86\A0035187.exe
Infected with: Trojan.Generic.2503389

C:\System Volume Information\_restore{BCB01FFD-A871-45B6-8C67-F11FB3013305}\RP86\A0035187.exe
Deleted