Pagina 1 di 3 123 UltimoUltimo
Mostra risultati da 1 a 10 di 27

Discussione: Virus Zonebak: winlogon.exe e attivazione da ripristinare

  1. #1
    Data registrazione
    Jan 2010
    Sesso
    Uomo
    Località
    salerno
    Messaggi
    488
    Grazie dati 
    71
    Grazie ricevuti 
    34
    Ringraziato in
    24 post

    Virus Zonebak: winlogon.exe e attivazione da ripristinare

    aiuto amici miei, mi Ŕ successa una cosa davvero stranissima...
    allora vi spiego:
    oggi ho notato che il mio pc aveva strane visualizazioni delle cartelle, tpio dettagli e icone che io mai avevo modifiato..poi ho notato la comparsa di una cartella chiamata "autorun" e vedendo qui su CT mi sembrava proprio di aver preso questo maledetto virus autorun.inf, e difatti ho notato anche la presenza di due files smss.exe uno nel registro di sistema/wi32 addirittura..
    ho deciso di seguire la procedura descritta da lady e per prima cosa ho avviato COMBOFIX, che al termine del lavoro mi ha cancellato dei files con nomi alfanumerici piu' uno che si chiamava WINLOGON..
    bene fatto cio' al riavvio il pc ora mi chiede la attivazione di windows e nn riesce a farla perchŔ dice che non ho la connessione ad internet..risultato non si avvia il pc!!
    aiuto..non so cosa fare...
    ho letto una procedura ufficiale di microsoft qui
    http://support.microsoft.com/kb/312295/it , ma non so se seguirla o no...
    che devo fare?sono ancora sveglio..se qualcuno mi aiuta vi prego!!!!

    ho dei documenti fondamentali per il lavoro di domani mattina...
    aiuto...

    Rispondi citando Rispondi citando Il mio PC

  2. # ADS
    Google Adsense Circuito Adsense
    Data registrazione
    da sempre
    Località
    mondo google
    Messaggi
    molti
     
  3. #2
    Data registrazione
    Jan 2010
    Sesso
    Uomo
    Località
    Bologna
    Messaggi
    384
    Grazie dati 
    218
    Grazie ricevuti 
    305
    Ringraziato in
    219 post

    Riferimento: AUTORUN e Richiesta di attivazioe di windows!!!!!

    Ciao stouscendopazzoancora!
    Erano solo quelli i "sintomi strani" del tuo pc?
    Allora....andiamo per ordine di importanza.
    Per prima cosa cerchiamo di recuperare i file che ti servono. per farlo puoi usare una qualsiasi live di Linux, accedere al disco e copiare i file che ti servono su cd o chiavetta usb. Sul forum viene citata questa live, ma va bene anche un'altra se l'hai giÓ.
    Visto che ci sei copia anche il log che ti ha prodotto ComboFix e postalo qui.

    Le "infezioni da chiavette usb" dovrebbero creare un file Autorun.inf su disco, non una cartella "autorun". Non Ŕ che la confondi con la cartella del software "Autoruns"? Conosci quel programma?

    Dove hai trovato il file smss.exe? In C:\Windows\System o C:\Windows\System32? Te lo chiedo perchŔ il primo Ŕ un virus, il secondo Ŕ un file di sistema...l'hai cancellato?

    Trovo strano che ComboFix abbia cancellato il file legittimo winlogon.exe.....comunque al limite dentro la cartella C:\QooBox dovresti trovare una copia dei file che il programma ha rimosso. Prova a ripristinare quel file....sempre se era quello in C:\Windows\System32.....
    L'alternativa Ŕ usare il cd di Windows e ripristinare il file da lý.


    Rispondi citando Rispondi citando Il mio PC

  4. #3
    Data registrazione
    Jan 2010
    Sesso
    Uomo
    Località
    salerno
    Messaggi
    488
    Grazie dati 
    71
    Grazie ricevuti 
    34
    Ringraziato in
    24 post

    Riferimento: AUTORUN e Richiesta di attivazioe di windows!!!!!

    hai posta...poi scriviamo anche qui la soluzione...per correttezza...
    smss.exe on l'ho cancellato affatto e comunque il percorso Ŕ c:windows/system32 e un altro Ŕ in c:windows/sotwaredistribution....
    poi volevo dirti che la copia di win era genuine, ma non ho il cd...che faccio????

    ---Post unito in modo automatico ---

    magari mi dici esattamente come ripristinare i files??

    Rispondi citando Rispondi citando Il mio PC

  5. #4
    Data registrazione
    Jan 2010
    Sesso
    Uomo
    Località
    Bologna
    Messaggi
    384
    Grazie dati 
    218
    Grazie ricevuti 
    305
    Ringraziato in
    219 post

    Riferimento: AUTORUN e Richiesta di attivazioe di windows!!!!!

    Beh, la procedura col cd di Windows l'ho messa appunto per ultima nel caso non funzionasse il ripristino del file eliminato da ComboFix (usando la live di Linux copi il file in quarantena - occhio che dovrebbe avere l'estensione diversa se ricordo bene - e lo copi dove stava in origine). Intanto prova quel metodo.
    Altrimenti o trovi un cd della stessa identica versione di Windows che hai, oppure dovresti trovare quel file dentro la cartella I386 nei cd di ripristino.....non Ŕ proprio una procedura molto "legittima" ma meglio che niente


    Rispondi citando Rispondi citando Il mio PC

  6. #5
    Data registrazione
    Jan 2010
    Sesso
    Uomo
    Località
    salerno
    Messaggi
    488
    Grazie dati 
    71
    Grazie ricevuti 
    34
    Ringraziato in
    24 post

    Riferimento: AUTORUN e Richiesta di attivazioe di windows!!!!!

    ecco quelli eliminati: sono nella cartella c:/qoobox/quarantine/C/windows/system32 cioŔ non solo in quarantine
    pthreadVC.dll.vir
    st325602.dll.vir
    winlogon.bak.vir
    wnlogon.exe.vir
    wpcap.dll.vir

    che devo fare e dove li devo copiare??? non so dove erano in origine...e non ho i cd di ripristino....

    ---Post unito in modo automatico ---

    ha eliminato anche c:/documents
    Ultima modifica di stouscendopazzoancora; 12-07-10 alle 02: 36.

    Rispondi citando Rispondi citando Il mio PC

  7. #6
    Data registrazione
    Jan 2010
    Sesso
    Uomo
    Località
    Bologna
    Messaggi
    384
    Grazie dati 
    218
    Grazie ricevuti 
    305
    Ringraziato in
    219 post

    Riferimento: AUTORUN e Richiesta di attivazioe di windows!!!!!

    mmmm data l'ora non garantisco di essere lucido, per˛ posso ipotizzare che una possibile infezione abbia rinominato il winlogon.exe originale in winlogon.bak e poi al suo posto c'ha messo un altro file.
    Quindi prendi quel file, togli la parte .bak.vir e mettici .exe. Ora copialo in C:\Windows\System32.
    E speriamo che il registro di sistema sia integro.

    Ricorda di salvarti i file che ti servono per il lavoro.
    Hai altri dubbi su quello che devi fare?


    Rispondi citando Rispondi citando Il mio PC

  8. #7
    Data registrazione
    Jan 2010
    Sesso
    Uomo
    Località
    salerno
    Messaggi
    488
    Grazie dati 
    71
    Grazie ricevuti 
    34
    Ringraziato in
    24 post

    Riferimento: AUTORUN e Richiesta di attivazioe di windows!!!!!

    allora sono riuscito a rimettere tutti i files a loro posto, anche il .bak, ma il .exe non me lo fa sostituire perchŔdice che Ŕ gia in esecuzione....
    ti spiego il .bak me lo ha sostituito, mentre il .exe dice che Ŕ impossibile...perchŔ gia in esecuzione...se apro i processi in esecuzione Ŕ vero, ma non me lo fa terminare...che faccio?

    Rispondi citando Rispondi citando Il mio PC

  9. #8
    Data registrazione
    Jan 2010
    Sesso
    Uomo
    Località
    Bologna
    Messaggi
    384
    Grazie dati 
    218
    Grazie ricevuti 
    305
    Ringraziato in
    219 post

    Riferimento: AUTORUN e Richiesta di attivazioe di windows!!!!!

    Ma da dove lo fai questo?
    Non avevi detto che windows Ŕ inutilizzabile?

    Rispondi citando Rispondi citando Il mio PC

  10. #9
    Data registrazione
    Jan 2010
    Sesso
    Uomo
    Località
    salerno
    Messaggi
    488
    Grazie dati 
    71
    Grazie ricevuti 
    34
    Ringraziato in
    24 post

    Riferimento: AUTORUN e Richiesta di attivazioe di windows!!!!!

    lo sto facendo in modalitÓ provvisora.....
    .bak e .exe devo ripristinarli entrambi??
    il.exe non me lo fa fare

    Rispondi citando Rispondi citando Il mio PC

  11. #10
    Data registrazione
    Jan 2010
    Sesso
    Uomo
    Località
    Bologna
    Messaggi
    384
    Grazie dati 
    218
    Grazie ricevuti 
    305
    Ringraziato in
    219 post

    Riferimento: AUTORUN e Richiesta di attivazioe di windows!!!!!

    Da quello che hai scritto hai due file diversi (il resto non interessa direi):
    winlogon.bak.vir
    wnlogon.exe.vir

    nel secondo manca una i.
    Quello che ti avevo detto era di prendere winlogon.bak.vir e trasformarlo in winlogon.exe. Ora copi il file "rinominato" in C:\Windows\System32. Se ce n'Ŕ giÓ un altro con lo stesso nome andrebbe sostituito ma da dentro Windows Ŕ dura farlo....per questo ti avevo parlato della live di Linux.
    Se invece entrambi hanno la i (quindi hai sbagliato a scrivere) direi che ti interessa solo il .bak.vir.

    Visto che accedi alla modalitÓ provvisoria, hai provato un "ripristino delle configurazioni di sistema"?

    Se non hai altre domande io comincerei a incamminarmi verso il letto....comincio a crollare....


    Rispondi citando Rispondi citando Il mio PC

Segnalibri

Regole di scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
Cookies:direttiva 2009/136/CE (E-Privacy)

Il sito utilizza cookies propri e di terze parti per maggiori informazioni faq - Termini di servizio - Cookies
Il forum non puo' funzionare senza l'uso dei cookies pertanto l'uso della community Ŕ vincolato dall'accettazione degli stessi, nel caso contrario siete pregati di lasciare la community, proseguendo la navigazione acconsenti allĺuso dei cookie