PDA

Visualizza versione completa : Infezione Windows Recovery



poniboy
19-04-11, 21: 18
1217121812191220ciao ragazzi, è un pò che non mi faccio vivo, ma io ho sempre dei problemi, chissà perchè.:bgg2
oggi ho messo le mani sul portatile, l'ho avviato e sorpresa!

mi chiede email e codice di attivazione. non capisco non era mai successo un casino del genere. lo schermo è nero, c'è solo il cestino

LadyHawke
19-04-11, 21: 33
Tranquillo, lo togliamo :hap

- Scarica CCleaner (http://www.filehippo.com/download_ccleaner/download/6cf1554d4f05b03317f892a4aafa8c0b/) o ATF-Cleaner (http://www.atribune.org/ccount/click.php?id=1) - Malwarebytes (http://majorgeeks.com/downloadget.php?id=5756&file=15&evp=693ee0b20204960edfd909666f809b26) - Wise Registry Cleaner (http://www.wisecleaner.com/soft/WRC3Setup.exe)
- Riavvia in Modalità provvisoria con rete
- Ripulisci file temp etc con CCleaner o Atf-Cleaner
- Installa Malwarebytes e aggiornalo, poi fai una scansione approfondita
- Visualizza i malware rilevati e poi premi sul pulsante in basso a sinistra per rimuoverli
- Riavvia e dai una passata con Wise Registry eliminando solo le voci consigliate (di default)

:bai

poniboy
19-04-11, 22: 30
ciao Lady
la situazione è davvero complicata e strana.
purtroppo io mi connetto tramite chiavetta e la provvisoria con rete lascia un pò il tempo che trova, nel senso che non mi fa connettere!
come faccio?
cccleaner l'ho usato, ma il resto non saprei come fare :shock
sono davvero bloccato. schermo nero e vedo solo il cestino:cry3
non so davvero cosa fare :triste

LadyHawke
20-04-11, 00: 25
Allora dovrai forse avvalerti di un'altro PC per scaricare l'aggiornamento di Malwarebytes da utilizzare offline sul tuo in Modalità provvisoria normale, comunque puoi farlo in due modi:

1)
Scaricare mbam-rules.exe (http://data.mbamupdates.com/tools/mbam-rules.exe) e lanciarlo sul tuo PC dalla Mod. provvisoria dopo aver installato Malwarebytes: questo aggiornerà le firme dei DB ma vecchie di circa 30gg

2)
Installare Malwarebytes sul PC "ospite" e lasciarlo aggiornare automaticamente finito il setup
Andare nella cartella \Documents and settings\all users\dati applicazioni\malwarebytes\malwarebytes antimalware
Copiare il file rules.ref su una chiavetta e traferirlo nella stessa posizione sul tuo pc ravviando Malwarebytes (su Vista o Seven il percorso dovrebbe essere \programdata\malwarebytes\malwarebytes antimalware): questo aggiornamento è l'ultimo effettivamente disponibile


:bai

poniboy
20-04-11, 07: 41
mi sa che provo la prima soluzione se mi riesce in quanto se io vado in disco c dove dovrebbe esserci tutto, la cartella appare vuota, non c'è nulla.
che casino!:cry3

LadyHawke
20-04-11, 08: 40
Forse c'è una multi-infezione: attiva la visualizzazione di cartelle e files nascosti (http://www.collectiontricks.it/forum/tips-tricks/Ct274-visualizzare-cartelle-e-files-nascosti.html) (tutte e due le opzoni) e vedi se appaiono di nuovo le cartelle in C:\

:bai

poniboy
20-04-11, 18: 28
infatti ora sono comparse.
ho fatto ciò che mi hai detto da mod prov. ma al riavvio sempre schermo nero. poi scoprendo i file nascosti ecco che tutto è riapparso sul desktop, ma tutte le icone sono come dire, in semi trasparenza e lo sfondo è sempre nero

EDIT 21.07

situazione piu' grave del previsto! adesso lo sfondo è nero, non c'è nulla eccetto il cursore, ma non posso fare nulla :cry3

LadyHawke
20-04-11, 21: 10
Poniboy, dobbiamo fare le scansioni: lascia stare icone e sfondo nero che sono una consegueza e dimmi se hai fatto con Malwarebytes

:bai

poniboy
20-04-11, 21: 15
si con malware ho fatto
ora mi dice che sono danneggiati i cluster dell'hard drive

LadyHawke
20-04-11, 21: 19
Poniboy, probabilmente non sono stata chiara, è QUEL programma l'infezione: tutti gli avvisi, gli errori, le verifiche che fa sono false.
Non c'è da andare nel panico... e adesso... Malwarebytes?

:bai

poniboy
21-04-11, 09: 16
ho fatto ciò che mi avevi detto con mb in mod. provv. la prima volta, c'erano 10 cose da eliminare e l'ho fatto. al riavvio era tutto come prima. ora ho riprovato a rifare tutto sempre in mod. provv. e poi ho riavviato e usato wise registry, ma al riavvio è di nuovo come prima:triste

LadyHawke
21-04-11, 14: 13
:wall Puoi essere più preciso? :hap
Se con "tutto come prima" sono le icone e lo schermo nero, lo so, ma è una cosa che sistemeremo quando il PC è pulito: quello che mi interessa sapere è se Windows Recovery si apre ancora.

Nel caso fosse ancora presente fai una scansione con Combofix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) e allega il log che trovi i C:\
Vorei anche una verifica con TDSSKiller (http://support.kaspersky.com/viruses/solutions?qid=208280684) perchè a questo tipo di malware spesso si associa il rootkit che danneggia l'MBR

:bai

P.S. Se possibile vorrei anche vedere il log di Malwarebytes

poniboy
21-04-11, 17: 11
1222ad ogni riavvio lo schermo è nero, ma il bello è che mb scompare non c'è piu'!
ora torno in mod prov, rifaccio l'analisi e ti allego il log
comunque windows recovery si apre ancora, si aprono diverse finestre, io le chiudo ed ecco che il pc si riavvia. mi piacerebbe sapere come ho fatto a prendere sto virus bastardo:triste

FDAC
21-04-11, 20: 42
Esegui la scansione consigliata con ComboFix, e posta il Report risultante.

poniboy
21-04-11, 21: 12
Esegui la scansione consigliata con ComboFix, e posta il Report risultante.

mi hai anticipato. sembra che combo abbia fatto il suo sporco lavoro. ora pare che ci siamo!
non posso allegare il og,xchè mi dice che è troppo grande x sto tipo di file. ma è normale? è un txt

LadyHawke
21-04-11, 21: 16
:boh Prova a zipparlo

:bai

poniboy
22-04-11, 07: 49
12241223
a volte mi perdo in un bicchier d'acqua :ghgh

credo ci siano ancora problemi!
al riavvio le icone che io avevo spostate sono state rimesse a caso ma non dove le avevo messe io, e poi si apre un messaggio di windows dove dice che windows è stato ripristinato in seguito a un arresto imprevisto del sistema. e questo accade ad ogni riavvio. inoltre ad ogni riavvio c' è sta pagina:

[EDIT] 15.43

ho notato una cosa, ogni volta che lo spengo lui si riavvia da solo mostrando la schermata blu che ho allegato prima

LadyHawke
22-04-11, 22: 20
Facciamo il punto della situazione...
-Windows Recovery non si avvia più "seccato" da Combofix ma hai schermate blu e recovery del sistema:
Hai fatto la scansione con TDSSKiller?
Hai dato una passata con Wise Registry Cleaner?

L'immagine non si vede bene, e io non sono brava come Ginalfa o Wrong per le schermate blu, ma sarebbe utile avere il file Minidump (il log della schermata blu): vai in \Windows\Minidump e allega compressi i files all'interno della cartella con la data di ieri e oggi

-Cartelle e files sono ancora "appannati?
-Lo sfondo lo puoi adesso impostare con altre immagini?

:bai

poniboy
26-04-11, 19: 04
ciao Lady
dunque, cartelle e file non sono piu' appannati, poi lo sfondo lo posso cambiare, e qui siamo già messi abbastanza bene direi.
poi wise l'ho usato e riparato la dove era una riparazione sicura, tdss non so perchè ma non mi funziona, ho provato anche come amministratore ma nulla. riprovo in mod. provvisoria.
ti allego il discorso minidump
1231

poniboy
27-04-11, 18: 47
ciao Lady
qualche idea?

Kirk78
27-04-11, 20: 31
tdss non so perchè ma non mi funziona, ho provato anche come amministratore ma nulla
Quale errore ti da esattamente TDSSKiller? Avevi provato anche con la provvisoria? Per il minidump non sono neanche io in grado di aiutarti al meglio. Ma nel registro eventi dovrebbe esserci anche una informazione leggibile normalmente.
Ma hai ancora quella schermata blu (simile (http://support.microsoft.com/kb/969853/it))?
:bai

LadyHawke
27-04-11, 21: 24
Come dicevo non sono un'asso con i soli minidump :boh, comunque i tre file che hai allegato riportano tutti e tre schermate blu di INTERNAL_POWER_ERROR, causate da NT Kernel (ntkrnlpa.exe) e dove nell'ultima si aggiunge un problema con l'HD Audio della Realtek.

Avrei trovato questo (http://answers.microsoft.com/it-it/windows/forum/windows_7-system/internalpowererror-a0/5bd9f9c7-b4ff-4cab-ae16-0e0df7ae0064) se intanto vuoi provare in attesa magari di qualche altro supporto.
Se comunque il problema fosse questo pare sia un bug conosciuto per Seven ed è stata rilasciata una fix: aggiorna tutto il sistema (anche al SP1) e vediamo se risolvi

:bai

poniboy
27-04-11, 23: 46
@ kirk appena lancio tdss mi dice che "ha smesso di funzionare" e devo chiudere il programma. boh!

@ lady come faccio ad aggiornare al sp1? l'altra ipotesi non mi funziona :triste

LadyHawke
28-04-11, 01: 56
Hai provato a lanciare TDSSKiller con "esegui come Amministratore"?

Per il fix, hai provato la soluzione da riga di comando ma non funziona?

Per il SP1 se hai gli aggiornamenti automatici attivati avrebbe dovuto farlo già da se: se tieni gli aggiornamenti disattivati l'unico sistema è scaricare il pacchetto dal sito MS attarverso un'altro PC con Seven, perchè per il download è richiesta la verifica della licenza

:bai

poniboy
28-04-11, 09: 10
Per il fix, hai provato la soluzione da riga di comando ma non funziona?


:ohoh che vol di?
scusa

inoltre non so perchè ma non riesco ad accedere ai siti di windows update. tutti gli altri tipi di siti si, ma quelli di win update no!
inoltre quando il pc si riavvia, non ha il suono classico di windows, ma un altro suono strano, e stessa cosa, quando inserisco una penna o altro dispositivo in una porta usb, o apro una cartella o qualsiasi altra cosa. strano!

LadyHawke
28-04-11, 10: 00
:ohoh che vol di?
scusa
Il link che ti ho messo al post #22 spiega un comando manuale per quel problema

:bai

poniboy
28-04-11, 20: 26
ah! ora ho capito solo che mi restituisce l'errore "parametri non validi"
devo per foza formattare?
non abbiamo alternativa secondo te?

LadyHawke
28-04-11, 21: 29
Non ho mai usato questa procedura, ma puoi provare a richiedere il Fix317760 qui (http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=982635&kbln=en-us), oppure, come ti avevo suggerito prima, far scaricare ad un amico il Sp1 ed installarlo offline

:bai

poniboy
28-04-11, 21: 34
ciao Lady
ma non credi sia una questione di virus o simili?
mi sembra strano che sto fix possa risolvere il mio problema, o sbaglio?

LadyHawke
28-04-11, 21: 49
Certo che non posso essere sicura, ma la casistica ci stà: d'altra parte il malware l'hai tolto e dopo una passata di Combo e di Mbyte si dovrebbe stare abastanza in sicurezza che grosse cose non siano rimaste :boh
Purtroppo finchè non possiamo avere prova contraria non si può sapere

:bai

poniboy
29-04-11, 07: 48
rieccomi :bgg2
siccome mi ero abbastanaza stufato, ho fatto una cosa. ho preso l'immagine che avevo creato a suo tempo con acronis e l'ho sostituita a quella attuale, x fortuna avevo poco di nuovo rispetto a quando ho fatto quell'immagine :bgg2
se potesse tornare utile ad altri sappiate che il pc è in dual e acronis mi ha rimpiazzato solo l'immagine della partizione che avevo scelto a suo tempo, x cui non mi ha minimamente toccato la partizione di linux. o almeno, x adesso è cosi' :ghgh
tornando a noi ho avuto però una grossa delusione, e non pensavo. quando lo spengo, non riavvio, ma spengo, ecco che lui riparte x i fatti suoi presentando prima la solita schermata blu.
a parte buttarlo giu' dalla finestra, che posso fatre?:ghgh

dimenticavo, si apre ancora un messaggio di windows dove dice che windows è stato ripristinato in seguito a un arresto imprevisto del sistema

Kirk78
29-04-11, 15: 50
Probabilmente avevi problemi anche prima dell'immagine disco. Mi sai che devi rifare le operazioni consigliate, che ovviamente adesso non ci sono più, intanto hai sempre l'immagine disco. Ma poi non ci hai detto se TDSSKiller l'avevi provato in provvisoria.

a parte buttarlo giu' dalla finestraDimmi dove che vengo a prenderlo io prima che tocchi terra :ghgh

[EDIT]Per far capire bene la prima schermata di errore che non si leggeva bene dovrebbe essere questa (correggimi se non è questa comunque al massimo dovrebbe essere diverso il terzo parametro dell'errore):

Only registered members can view code.Hai altri minidump adesso che hai caricato l'immagine disco da Acronis?

poniboy
29-04-11, 18: 49
Probabilmente avevi problemi anche prima dell'immagine disco. Mi sai che devi rifare le operazioni consigliate, che ovviamente adesso non ci sono più, intanto hai sempre l'immagine disco

ehm..... che imtendi?


Ma poi non ci hai detto se TDSSKiller l'avevi provato in provvisoria
anche in provvisoria non sono riuscito, si bloccava come spiegato prima, e anche adesso che ho rimesso l'immagine stesso discorso, non me lo fa fare!
non esiste una soluzione drastica x fare una bella pulizia? a parte formattare :bgg2

Kirk78
29-04-11, 19: 21
Intendo che il problema probabilmente era già presente quando hai fatto la tua immagine disco e quindi, per me, devi rifare tutti i passaggi che ti aveva detto Lady anche adesso.
Ma ti appare sempre quel "fake " di Windows Recovery?

Windows Recovery is a fake computer analysis and optimization program that displays fake information in order to scare you into believing that there is an issue with your computer. Windows Recovery is installed via Trojans that display false error messages and security warnings on the infected computer.Penso di si, visto che uno dei falsi errori è "The system has been restored after a critical error. Data integrity and hard drive integrity verification required."

Sul log di HJ dovresti anche trovare un O4 - HKCU\..\Run: ....exe che lo identifica.

EDIT dimenticavo: quel coso potrebbe riconoscere Malwarebytes dal nome, quindi ho letto che si consiglia di rinominare il file.

-> Leggi anche questa discussione che il malware è simile se non forse la sua derivazione: Eliminare Malware Defence (http://www.collectiontricks.it/forum/guide-rimozione-e-sicurezza/Ct485-eliminare-malware-defence.html) scritto dalla mitica Lady.

poniboy
29-04-11, 21: 07
ciao kirk. la vedo strana in quanto l'immagine che feci risale a 7 mesi orsono, e il pc era lindo e a ppena formattato.:shock


un O4 - HKCU\..\Run: ....exe

di questi ce ne sono diversi :shock

Kirk78
29-04-11, 21: 16
Posta il log completo di HJ.

il pc era lindo e a ppena formattato
Quindi non hai nessun minidump adesso? Comunque quel CD di windows lo avevi già usato prima?
Il messaggio, a meno che non hai avuto veramente un arresto critico, sembra proprio un falso messaggio di quel malware....

poniboy
30-04-11, 10: 04
1240ehm... dunque un po di minidump ci sono :shock
il cd di windows lo avevo usato nella prima installazione. prima ancora il pc aveva su xp, non seven.

Kirk78
30-04-11, 14: 08
Ma il log HJ non lo hai postato? P.S. che fantasia per lo zip dei minidump :ghgh
EDIT - ho visto che era nello zip anche il log, allora ditelo :eye
Il log HJ mi sembra pulito ... i minidump sono tutti di ieri stesso identico errore di prima, e alle 7:45 si aggiunge anche quello del RTKVHDA.sys che come dice Lady dovrebbe essere quello della Realtek.... Ma quindi non ti arrivano più i messaggi del malware? Non mi sembra di vedederlo sul log.

poniboy
30-04-11, 15: 58
no ora il problema che persiste è il riavvio x i fatti suoi, anche se spengo, lui riparte ugualmente.:shock
e quando riparte cìè "solo" piu' il messaggio di windows inerente a "windows è stato ripristinato in seguito a un arresto imprevisto del sistema"
:triste

Kirk78
30-04-11, 16: 10
anche se spengo, lui riparte ugualmentePer caso non è che hai attivato in BIOS il Wake on-lan? Quindi il CD è quello di questa installazione che hai ora con l'immagine disco caricata... e che la base del problema sia quella? Io l'ho buttata lì. Avevo fatto un CD di cui avevo una licenza full aggiungendo l'SP3 e altri aggiornamenti nel caso avessi avuto bisogno di reinstallare, poi mi sono accorto che avevo messo un driver fallato. 2 giorni di :wall
Ci sono degli esclamativi gialli sui driver HW nel Pannello di controllo? Hai mica fatto un memtest (ho letto che l'errore potrebbe derivare anche da un problema di ram)?
Per caso hai l'opzione per l'ibernazione del sistema?

poniboy
30-04-11, 19: 26
no! tutto a posto, a quanto pare. mi sa che gli do una bella sferzata e ranzo tutto, lo formatto rimettendo xp, che c'era già una volta, mi spiace solo che devo eliminare anche la parte dove c'è linux, ma pazienza

LadyHawke
30-04-11, 22: 08
Perchè eliminare la partizione con Linux? :boh Puoi non toccarla quando reinstalli XP
Braserai il grub, quello si, ma se non ricordo male si recupera facilmente, mi pare che l'ho fatto persino io l'anno scorso:bgg2

:bai

poniboy
30-04-11, 22: 29
ciao Lady, è un bel pò che non formatto, come faccio a lasciare linux?

LadyHawke
30-04-11, 22: 38
Quando installi XP arriverai alla scelta della partizione sulla quale installarlo: questo ovviamente se utilizzi un disco normale di intallazione, non un'immagine nè un recovery.
Dovrai indicare la partizione scelta e farla formattare (io generalmente la elimino e la ricreo), le altre non verranno toccate.
Il grub però verrà sovrascritto dal boot di XP quindi avrai l'impressione che linux sia scomparso perchè non lo vedi all'avvio e windows non riconosce la partizione, ma sarà ancora lì; esistono però veloci procedure per ripristinare il Grub, leggermente diverse se si tratta di Grub o di Grub2: puoi dare un'occhiata nel WikiLinux (http://linux.collectiontricks.it/), altrimenti comunque si trovano online

:bai

poniboy
30-04-11, 23: 02
mi sa che sono nella emme :bgg2
il disco è un cd di recovery. è quello originale di quando presi il pc.
solo che cìè un problema

1242
1243
1244

mi sa che c'è qualche problema :cry3

LadyHawke
30-04-11, 23: 15
Si, temo ci sia un problema :triste
Vedo che quel tipo di recovery è un pò datato: è probabile che quella versione di Power Quest non sia in grado di gestire le modifiche apportate da Linux e/o forse anche le sue partizioni :boh
In sintesi hai due possibilità: piallare tutto (eliminando le partizioni ad esempio con una live di Parted Magic prima del recovery), oppure farti prestare da un'amico un cd originale di XP ed utilizzare poi il tuo Product Key.

:bai

poniboy
30-04-11, 23: 24
si effettivamente è un pc che ha 5 anni, ma non credevo di arrivare a sto casino
potrei provare a piallare tutto con gparted che dici? e poi riprovo con il recovery?

LadyHawke
30-04-11, 23: 35
Esatto: non ricordo se la live di GParted permette anche di riscrivere l'MBR (mi pare di si), nel caso fai subito anche quello, dopo di che il recovery dovrebbe andare a buon fine

:bai

LadyHawke
30-04-11, 23: 36
Esatto: non ricordo se la live di GParted permette anche di riscrivere l'MBR (mi pare di si), nel caso fai subito anche quello, dopo di che il recovery dovrebbe andare a buon fine

:bai

poniboy
30-04-11, 23: 47
ehm... come si riscrive l'mbr?

LadyHawke
30-04-11, 23: 51
Generalmente lo si fa con un CD di installazione di Windows attraverso la Console dei Ripristino: in questo caso intendevo che dovrebbe esserci un'opzione direttamente in GParted, guada nei menù dell'interfaccia quando elimini le partizioni

:bai

poniboy
30-04-11, 23: 57
cosa sarebbe lìmbr e perchè dovrei riscriverlo?
tra l'altro, ho trovato il cd che avevo usato per mettere su seven, provo magari con quello?

LadyHawke
01-05-11, 00: 08
Il Master Boot Record è il settore di avvio dell'hard disk allocato nei primi 512 Kbyte, contenente le informazioni che consentono l'avvio di un sistema operativo: ogni volta che installi ex novo un S.O, questo riscrive il suo MBR.
Nel tuo caso l'MBR è stato scritto l'ultima volta da Linux che vi ha insediato il Grub, perciò probabilmente KDSSKiller non funzionava, perchè è proprio quel settore che doveva controllare, e trattandosi di software windows, non sarà stato in grado di gestirlo; è possibile che anche a Power Quest dia fastidio (ma potrebbero essere solo le partizioni in ext3 di Linux), perciò sarebbe stato preferibile riscrivere subito l'MBR se possibile.
Seven non mi pare che abbia nei tools di avvio la possibilità di effettuare l'operazione

:bai

poniboy
01-05-11, 00: 15
no, volevo dire che volevo provare a usare il disco di seven per rimettere su lo stesso seven, nella partizione in cui è già adesso. l'mbr mi va bene cosi' come è ora, direi.
adesso vado a nanna xchè sono cotto, domani leggerò la tua gentile risposta, x ora grazie dell'aiuto

LadyHawke
01-05-11, 01: 09
Ok, puoi anche reinstallare seven, ma non potrai evitare che riscriva l'MBR distruggendo l'attuale Grub di Linux (che però potrai recuperare dopo, ti spiegherò a tempo debito come, se non trovi niente nel WikiLinux)

:bai

poniboy
01-05-11, 10: 10
1245

mi sa che c'è qualcosa che non quadra!
chissà che ha visto sto pc?:ehmm

LadyHawke
01-05-11, 10: 27
Controlla nel BIOS come è impostato il controller sata: se è in modalità compatibile IDE cambialo in SATA (o AHCI)

:bai

poniboy
02-05-11, 22: 42
allora, andiamo con ordine. alla fine della fiera, ho trovato un cd con su xp pro, e me lo ha fatto mettere :bgg2
il problema è che adesso la gestione dispositivi è un punto interrrogativo unico:ghgh
mi mancano un ciulo di driver
domanda! ho il disco driver inerente ai driver di xp fornito insieme al cd di ripristino, secondo voi posso usarlo, o devo ricercare tutto?

poniboy
07-05-11, 17: 25
usato il cd dei driver e funziona tutto a quanto pare. speriamo bene, direi che questo topic possiamo considerarlo chiuso :bgg2
ne apro un altro x altra cosa adesso :bgg2
:bai