PDA

Visualizza versione completa : Virus Zonebak: winlogon.exe e attivazione da ripristinare



stouscendopazzoancora
12-07-10, 01: 45
aiuto amici miei, mi successa una cosa davvero stranissima...
allora vi spiego:
oggi ho notato che il mio pc aveva strane visualizazioni delle cartelle, tpio dettagli e icone che io mai avevo modifiato..poi ho notato la comparsa di una cartella chiamata "autorun" e vedendo qui su CT mi sembrava proprio di aver preso questo maledetto virus autorun.inf, e difatti ho notato anche la presenza di due files smss.exe uno nel registro di sistema/wi32 addirittura..
ho deciso di seguire la procedura descritta da lady e per prima cosa ho avviato COMBOFIX, che al termine del lavoro mi ha cancellato dei files con nomi alfanumerici piu' uno che si chiamava WINLOGON..
bene fatto cio' al riavvio il pc ora mi chiede la attivazione di windows e nn riesce a farla perch dice che non ho la connessione ad internet..risultato non si avvia il pc!!
aiuto..non so cosa fare...
ho letto una procedura ufficiale di microsoft qui
http://support.microsoft.com/kb/312295/it , ma non so se seguirla o no...
che devo fare?sono ancora sveglio..se qualcuno mi aiuta vi prego!!!!

ho dei documenti fondamentali per il lavoro di domani mattina...
aiuto...

ganzo123
12-07-10, 02: 10
Ciao stouscendopazzoancora!
Erano solo quelli i "sintomi strani" del tuo pc?
Allora....andiamo per ordine di importanza.
Per prima cosa cerchiamo di recuperare i file che ti servono. per farlo puoi usare una qualsiasi live di Linux, accedere al disco e copiare i file che ti servono su cd o chiavetta usb. Sul forum viene citata questa (http://www.collectiontricks.it/forum/showthread.php?t=562) live, ma va bene anche un'altra se l'hai gi.
Visto che ci sei copia anche il log che ti ha prodotto ComboFix e postalo qui.

Le "infezioni da chiavette usb" dovrebbero creare un file Autorun.inf su disco, non una cartella "autorun". Non che la confondi con la cartella del software "Autoruns (http://www.ilsoftware.it/querydl.asp?id=776)"? Conosci quel programma?

Dove hai trovato il file smss.exe? In C:\Windows\System o C:\Windows\System32? Te lo chiedo perch il primo un virus, il secondo un file di sistema (http://www.processlibrary.com/it/directory/files/smss/)...l'hai cancellato?

Trovo strano che ComboFix abbia cancellato il file legittimo winlogon.exe (http://www.processlibrary.com/it/directory/files/winlogon/).....comunque al limite dentro la cartella C:\QooBox dovresti trovare una copia dei file che il programma ha rimosso. Prova a ripristinare quel file....sempre se era quello in C:\Windows\System32.....
L'alternativa usare il cd di Windows e ripristinare il file da l.

:bai

stouscendopazzoancora
12-07-10, 02: 29
hai posta...poi scriviamo anche qui la soluzione...per correttezza...
smss.exe on l'ho cancellato affatto e comunque il percorso c:windows/system32 e un altro in c:windows/sotwaredistribution....
poi volevo dirti che la copia di win era genuine, ma non ho il cd...che faccio????

---Post unito in modo automatico ---

magari mi dici esattamente come ripristinare i files??

ganzo123
12-07-10, 02: 32
Beh, la procedura col cd di Windows l'ho messa appunto per ultima nel caso non funzionasse il ripristino del file eliminato da ComboFix (usando la live di Linux copi il file in quarantena - occhio che dovrebbe avere l'estensione diversa se ricordo bene - e lo copi dove stava in origine). Intanto prova quel metodo.
Altrimenti o trovi un cd della stessa identica versione di Windows che hai, oppure dovresti trovare quel file dentro la cartella I386 nei cd di ripristino.....non proprio una procedura molto "legittima" ma meglio che niente :eye

:bai

stouscendopazzoancora
12-07-10, 02: 39
ecco quelli eliminati: sono nella cartella c:/qoobox/quarantine/C/windows/system32 cio non solo in quarantine
pthreadVC.dll.vir
st325602.dll.vir
winlogon.bak.vir
wnlogon.exe.vir
wpcap.dll.vir

che devo fare e dove li devo copiare??? non so dove erano in origine...e non ho i cd di ripristino....

---Post unito in modo automatico ---

ha eliminato anche c:/documents

ganzo123
12-07-10, 02: 51
mmmm data l'ora non garantisco di essere lucido, per posso ipotizzare che una possibile infezione abbia rinominato il winlogon.exe originale in winlogon.bak e poi al suo posto c'ha messo un altro file.
Quindi prendi quel file, togli la parte .bak.vir e mettici .exe. Ora copialo in C:\Windows\System32.
E speriamo che il registro di sistema sia integro.

Ricorda di salvarti i file che ti servono per il lavoro.
Hai altri dubbi su quello che devi fare?

:bai

stouscendopazzoancora
12-07-10, 02: 57
allora sono riuscito a rimettere tutti i files a loro posto, anche il .bak, ma il .exe non me lo fa sostituire perchdice che gia in esecuzione....
ti spiego il .bak me lo ha sostituito, mentre il .exe dice che impossibile...perch gia in esecuzione...se apro i processi in esecuzione vero, ma non me lo fa terminare...che faccio?

ganzo123
12-07-10, 02: 58
Ma da dove lo fai questo?
Non avevi detto che windows inutilizzabile?

stouscendopazzoancora
12-07-10, 03: 06
lo sto facendo in modalit provvisora.....
.bak e .exe devo ripristinarli entrambi??
il.exe non me lo fa fare

ganzo123
12-07-10, 03: 12
Da quello che hai scritto hai due file diversi (il resto non interessa direi):
winlogon.bak.vir
wnlogon.exe.vir
nel secondo manca una i.
Quello che ti avevo detto era di prendere winlogon.bak.vir e trasformarlo in winlogon.exe. Ora copi il file "rinominato" in C:\Windows\System32. Se ce n' gi un altro con lo stesso nome andrebbe sostituito ma da dentro Windows dura farlo....per questo ti avevo parlato della live di Linux.
Se invece entrambi hanno la i (quindi hai sbagliato a scrivere) direi che ti interessa solo il .bak.vir.

Visto che accedi alla modalit provvisoria, hai provato un "ripristino delle configurazioni di sistema"?

Se non hai altre domande io comincerei a incamminarmi verso il letto....comincio a crollare....

:bai

stouscendopazzoancora
12-07-10, 03: 18
si scusa ho sagliatoa scrivere...sono due files
1. winlogon.bak.vir
2 winlogon.exe.vir

ora il primo il .bak non sostituisce nulla erch non esiste uno uguale...il secondo il .exe non me lo fa sostituire perch dice che gia in esecuzione!!!
anche se rinomino il .bak l'icona diventaa fora di finestra arabeggiante con le stelle e comunque non mi sostituisce niente perch dice che guia in esecuzione


intnto provo a fare il ripristino...tuche mi suggerisci?st due files soo entramnbi necessari o no dei du n viru ad esempio?

perdona ma a vecchia tastiera del vecchio pc non funge

ganzo123
12-07-10, 03: 33
Come ti ho detto il secondo lo lascerei perdere perch probabile sia infetto. Io userei solo il bak.vir.
winlogon.bak non c' nella cartella di sistema, normale....ma non ci dovrebbe stare: l'unico che deve esserci winlogon.exe.
Non te lo sostituisce perch un file essenziale per far funzionare Windows e infatti in esecuzione.
Se col ripristino di sistema non ottieni nulla allora direi che ti conviene fare lo scambio dei file che ti ho detto (winlogon.bak.vir rinominato in winlogon.exe con lo stesso in C:\Windows\System32) con una live di Linux come ti ho detto all'inizio: cos sei certo che quel file non in esecuzione.
Visto che ci sei....giusto per sicurezza...il file winlogon.exe che ora dentro la cartella di sistema (C:\Windows\System32) copialo da qualche parte prima di sovrascriverlo.

L'unica altra alternativa che mi viene in mente visto che Windows ti parte in provvisoria provare a fare un sfc /scannow senza il cd di windows (http://www.wintricks.it/windxp/xptricks65.html): in sostanza prendi la cartella I386 dal cd di ripristino di windows o dalla cartella di windows, la copi su disco e vai a modificare il registro sostituendo le chiavi col percorso della stessa cartella nella lettera di unit del lettore cd con la nuova cartella creata.
Ma prendila come ultima spiaggia....non garantisco nulla.

Ora ti lascio che non tengo pi gli occhi aperti. :notte:
In bocca al lupo!

:bai

stouscendopazzoancora
12-07-10, 03: 42
amico mio tu sei un grandissimo!!!!
a volte le cose piu' semplici sono quelle a cui non ci si pensa..ho fatto il ripristino ed tornato tutto ok!!!
pero' rimane il problema iniziale cio cartelle visualizzate in maniera strana...e poi nella mia periferica hd esterna apparsa una cartella autorun...insomma ora cosa devo fare per capire se e da cosa sono infetto???
combofix non lo utilizzo a questo punto...
cosa mi consigli???
inoltre ti allego il file di combofix che rimasto dopo il ripristino...
guarda non so come ringraziarti e credimi sono davvero felicissimo per questa immensa disponibilit!!!!!!!

p.s. ma io il cd di ripristino non lo ho...magari me lo creo, cosi come la live di linux...bho poi mi spieghi...
grazie ancora e aspetto tuoi consigli...ma domani non ora!!!!!
ciao

ganzo123
12-07-10, 15: 47
Ciao stouscendopazzoancora!
Mi fa piacere che tu sia riuscito a ripristinare una certa stabilit del sistema.

Dal log di ComboFix sembrerebbe che abbia fatto quello che ti dicevo ieri notte: ha trovato una copia corrotta del file winlogon.exe e l'ha sostituita con quella con estensione .bak.

Prova a fare una scansione completa con MalwareBytes, una con Dr.Web Cure it (http://www.freedrweb.com/download+cureit/gr/?lng=en) in modalit Enhanced Protection Mode per sicurezza (te lo chiede quando lo avvi), poi farei una scansione online.
Se vuoi farei anche una scansione col cd di boot (http://www.free-av.com/en/products/12/avira_antivir_rescue_system.html) di Antivir, anche se forse un po' eccessivo.
Posta tutti i log prodotti.

Le cartelle cambiano modo di visualizzazione ogni volta che ci entri o successo solo una volta?
La cartella "autorun" nascosta o normale? Al suo interno c' qualcosa?
Hai usato dei software per prevenire i virus su periferiche usb?

I cd di ripristino sono la prima cosa da creare appena compri un computer nuovo....

:bai

stouscendopazzoancora
13-07-10, 01: 49
allora ganzo andiamo in ordine...
innanzi tutto grazie dell'aiuto notturno..non da tutti..davvero grazie
la scansione con malware bytes non da nessun elemento infetto...e nemmeno quella di doctorweb cureit..(all'inizio mi da schermata nera e io dico di no..invece devo dire di si a quanto ho capito?)
Dove eseguo la scansione online?
Cosa intendi per cd di boot di antivir?
Le cartelle cambiano visualizzazione senza che io le abbia toccate..e cambiano sempre..andando a modificare quella che scelgo io in pratica...
La cartella autorun una cartella del mio hd esterno da 500 giga ed nascosta...l'hd western digital e prima quando entravo in risorse del computer la lettera corrispondente mi dava una icona di western digital, ora non piu'..altra cosa strana..
e non oso aprirla...
quel file smss.exe che devo fare?

insomma quando hai tempo mi scriveresti punto per punto le operazioni da fare...visto che ho anche paura ora di eseguire combofix?
ancora immensamente grazie

ganzo123
13-07-10, 23: 50
Ciao stouscendopazzoancora!


innanzi tutto grazie dell'aiuto notturno..non da tutti..davvero grazie

Di nulla :eye Finch ho retto ti ho seguito.



e nemmeno quella di doctorweb cureit..(all'inizio mi da schermata nera e io dico di no..invece devo dire di si a quanto ho capito?)

Basta leggere quello che c' scritto nella finestra che ti appare quando lo avvi....devi clickare su ok e farlo andare in modalit Enhanced Protection Mode come ti ho scritto.
Riscarica il programma (in modo che sia aggiornato) e rifai la scansione. Falla completa, non rapida. Se ricordo bene possibile che la prima scansione sia impostata sempre come rapida, se cos prova a vedere se riesci a farla completa quando finisce.



Dove eseguo la scansione online?

Hai l'imbarazzo della scelta....io andrei su uno di questi:
Trend Micro (http://housecall.trendmicro.com/it/)
Eset (http://www.eset.eu/eset-online-scanner)
BitDefender (http://www.bitdefender.com/scanner/online/free.html)



Cosa intendi per cd di boot di antivir?

E' un cd che inserisci all'avvio, ci fai il boot (quindi avvi il sistema sul cd e non Windows) e fai una scansione al pc seguendo le schermate video.
Dai un'occhiata qui (http://www.megalab.it/3591/avira-antivir-rescue-system).



Le cartelle cambiano visualizzazione senza che io le abbia toccate..e cambiano sempre..andando a modificare quella che scelgo io in pratica...
Entra in una cartella e modifica la visualizzazione come vuoi tu. Ora vai in strumenti - opzioni cartella - visualizzazione e controlla che ci sia la spunta su "memorizza le impostazioni di visualizzazione di ogni cartella".
Se vuoi applicarlo a tutte le cartelle clicka su "applica a tutte le cartelle".



La cartella autorun una cartella del mio hd esterno da 500 giga ed nascosta...
Hai usato qualche software per proteggere i dispositivi usb dai virus?
Dalla guida (http://www.collectiontricks.it/forum/showthread.php?t=318&p=11349) che hai citato all'inizio:


Un'altra via (pi specifica) usare Flash Disinfector, un piccolo tool che si occupa anche di prevenire ulteriori infezioni: dopo l'avvio sar richiesto l'inserimento dei dispositi USB, all'interno dei quali (dopo la pulizia) sar creata una cartella nascosta chiamata proprio autorun.inf che funzioner da protezione

Se non cos sarebbe bene sapere quando stata creata, se magari stata creata quando hai installato un determinato software e il suo contenuto.



quel file smss.exe che devo fare?

Se nel percorso che mi hai detto all'inizio ti ho gi risposto..... un file di sistema.

:bai

stouscendopazzoancora
14-07-10, 02: 03
allora amico mio ti rispondo su alcune cose...
1. faro' domani mattina la scansione completa di nuovo sia con Malwarebytes' Anti-Malware sia con dr web in protection mode...e ti posto tutto...magari anche una con spybot...
2. sto eseguendo la scansione online con bit defendere epoi te la posto
3. per il boot poi ne parliamo..non ho capito granch
4. l'opzione di visualizzazione cartelle che mi dici spuntata quindi vediamo se noto ancora il problema..era gia spuntata in realt
5.rettifico..la cartella autorun del mio hd esterno non nascosta e guarda caso dentro c' l'iconcina western digital che prima mi usciva quando lo attaccavo al pc, mentre ora la cartella di F rimane gialla..e non ho capito perch
6. non ho usato nessun software per chiavette..semplicemente quando attacco le periferiche tengo premuto la freccia verso l'alto
7. potrebbero servirti i miei rogrammi in esecuzione magari con un log di hijackthis??
8. volendo usare combofix ma evitando che mi cancelli ancora quei files..c' un modo per avere solo un semplice report?

fammi sapere.....per le scansioni se non mi hai risposto aggiorno questa risposta..se no ti posto le scansioni successivamente

ganzo123
14-07-10, 02: 24
1. faro' domani mattina la scansione completa di nuovo sia con Malwarebytes' Anti-Malware sia con dr web in protection mode...e ti posto tutto...magari anche una con spybot...

La scansione con SpyBot direi che superflua.



3. per il boot poi ne parliamo..non ho capito granch
Leggi il link che ti ho messo
Inoltre all'inizio ti avevo messo un link (http://www.collectiontricks.it/forum/showthread.php?t=562) a una live di linux in cui spiegato (prima della parte titolata "Partiamo!") come fare per settare il pc in modo da fare boot da cd (sempre se non gi settato a dovere)



5.rettifico..la cartella autorun del mio hd esterno non nascosta e guarda caso dentro c' l'iconcina western digital che prima mi usciva quando lo attaccavo al pc, mentre ora la cartella di F rimane gialla..e non ho capito perch
6. non ho usato nessun software per chiavette..semplicemente quando attacco le periferiche tengo premuto la freccia verso l'alto
Prova a non premere la "freccia" (il tasto shift) e dovrebbe riapparire l'iconcina come la vedevi prima.



7. potrebbero servirti i miei rogrammi in esecuzione magari con un log di hijackthis??

Direi di no



8. volendo usare combofix ma evitando che mi cancelli ancora quei files..c' un modo per avere solo un semplice report?
Che io sappia no

Visto che ci sei....controlla su VirusTotal (http://www.virustotal.com/it/) il file winlogon.exe e posta i risultati.

:bai

stouscendopazzoancora
14-07-10, 04: 09
risultato prima scansione...quella di bitdefender online che pero' mi ha cancellato vari files porca miseria..come le patch di mirc e altri vabb...comunque non ti posto il link..lo potevo salvare solo in formato html e non posso allegarlo..
2. se non clicco il tasto shift e sono infetto da autorun in pratica lo trasmetto anche al pc...o sbaglio?
3. risultato scansione di wilogon.exe e winlogon.bak mi dice che pulito..anche se quando li ho analizzati mi ha detto che erano uguali...bah

ganzo123
14-07-10, 13: 48
risultato prima scansione...quella di bitdefender online che pero' mi ha cancellato vari files porca miseria..come le patch di mirc e altri vabb
Bastava dirgli di non rimuovere quello che trovava dalle opzioni....



...comunque non ti posto il link..lo potevo salvare solo in formato html e non posso allegarlo..
Se non riesci ad allegarlo come file a un post puoi sempre copiare il suo contenuto qui dentro (magari dentro un tag CODE o SPOILER) o allegare un'immagine dello stesso.



2. se non clicco il tasto shift e sono infetto da autorun in pratica lo trasmetto anche al pc...o sbaglio?
Non sbagli, ma il fatto che tu sia infetto tutto da verificare...
Premere il tasto shift quando colleghi una periferica USB ne disabilita l'autorun, quindi anche l'icona che prima vedevi non verr pi mostrata in quanto una delle informazioni che Windows va a leggere nel file Autorun.inf presente nella periferica in questione.
Apri quel file col blocco note e posta qui il suo contenuto.



3. risultato scansione di wilogon.exe e winlogon.bak mi dice che pulito..anche se quando li ho analizzati mi ha detto che erano uguali...bah
Se sono uguali tanto meglio :eye

:bai

stouscendopazzoancora
16-07-10, 02: 50
ecco altri risultati...
scansione con drweb...negativa..trova solo mirc..ma lo sapervo
2. scansione con mallware bytes...posto allegato...
3. posto allegato del contenuto del file della cartella autorun:
     ( @    |̏ ̏w|̏| w ̏̈Ȍ̈̈  

praticamente il file .ico di western digital
4. ti puo' servire un log di hijackthis?
5. che faccio?

ganzo123
16-07-10, 13: 06
Io ti avevo chiesto il contenuto del file Autorun.inf, non di quello contenuto nella cartella autorun...

Le scansioni le hai fatte con l'hd esterno attaccato?

:bai

stouscendopazzoancora
16-07-10, 23: 38
si ganzo il log quella del file autorun.. un file icon... un .ico capito non .inf...gli altri file autorun se li apro hanno questo contenuto:
[autorun] open=setup.exe
le scansioni le ho fatte con l'hd attaccato..si...
come procedo???

ganzo123
17-07-10, 02: 09
Visto che c' un'icona strano che il file Autorun.inf non abbia al suo interno una voce che la richiama.
Comunque a parte questo non note anomalie.
Se non riscontri comportamenti strani da parte del tuo pc direi che sei a posto.

:bai

stouscendopazzoancora
17-07-10, 17: 04
ganzo comunque nell'hd esterno c' la cartella autorun, e al suo interno un file .ico....il .inf nell'hd esterno non c'...infatti strano che non richiama l'icona..perch rima lo faceva anche premendo il tasto shift....come lady "docet"

ganzo123
18-07-10, 21: 44
Hai visualizzato anche i file di sistema oltre a quelli nascosti?

:bai

stouscendopazzoancora
20-07-10, 02: 01
come file nascosto c' un file chiamato THUMBS