Malware blocca win 7

[Wonder]

Ciao a tutti, sono un pollo che vuoi la noncuranza, vuoi la fiducia sul controllo di avg, vuoi la fretta di controllare e spegnere il pc, ha fatto doppio clic su un file eseguibile scaricato da mail sospetta che si era mascherato per .doc e si è fatto mandare in pallone win7…
Il file nascondeva la vera estensione in modo estremamente banale, si chiamava:
Fattura.doc_______________________________________________________.exe
googlando qualcuno lo chiama variante di zbot, pare che stia inondando l'Italia in varie forme simili.
L’effetto è stravagante, windows si avvia (o quasi) ma al termine del caricamento non ho desktop o barra delle applicazione nè nient altro, solo schermo nero e puntatore del mouse e posso accedere alla gestione attività con un ctrl alt canc.
Non riesco però a lanciare nessuna applicazione quindi non riesco a seguire nessuna procedura di rimozione spyware e non ho idea di come fixxare... ( la situazione è identica in modalità provvisoria ).
Ho un dual boot win 7 - ubuntu e un notebook win 7 in wireless lan e li sto usando per backuppare quello che posso. Forse posso rimuovere il malware da uno di questi ? Rischio di infettare anche il portatile facendo il backup ? Da notare che mentre ho il pc desktop (infettato) in black screen dal notebook posso accedere ai documenti condivisi
Cosa posso fare?
Grazie mille per l'aiuto

 

[Federico83]

in queste situazioni secondo me è meglio usare un antivirus live... se usi unebootin puoi crearti la chiavetta con uno di questi 3 sw Dr.Web Antivirus, F-Secure Rescue CD, and Kaspersky Rescue Disk, which remove malware from Windows installs. io uso spesso Kaspersky che se riconosce tutto l'hw è in grado di aggiornarsi e scaricare le ultime firme e fare uno scan efficiente

 

[FDAC]

Ciao. Ce la fai ad accedere in modalità provvisoria?

Se si;

Scarica Malwarebytes' Anti-Malware - Free Edition: Malwarebytes : Free anti-malware, anti-virus and spyware removal download
● doppio click su mbam-setup.exe per avviare il setup
● in fase di installazione, lascia la spunta alle voci b]Aggiorna Malwarebytes' Anti-Malware[/b] e Avvia Malwarebytes' Anti-Malware

Una volta eseguiti i passaggi indicati sopra:
● collega tutte le periferiche esterne che possiedi ( Chiavette USB, HDD Esterni, Lettori MP3... )
● verrà mostrata la schermata principale del tool: al messaggio che appare, clicca sul pulsante No
● clicca sul pulsante Scansione completa, e conferma cliccando il pulsante Scansione
● verrà richiesto quali drive scansionare; selezionali tutti, e clicca nuovamente su Scansione
● attendi pazientemente il termine della scansione
● una volta terminata, clicca sul pulsante OK e Mostra Risultati per visionare il Report
● verrà rilasciato automaticamente un file di testo: salvalo sul Desktop ed allegalo
● assicurati che tutte le voci siano selezionate, e clicca sul pulsante Rimuovi selezionati, in basso a sinistra
● il log può essere visionati cliccando sul tab Log dall'interfaccia principale del programma

Nota - riguardo al programma:
● se MalwareBytes incontrasse delle difficoltà nel rimuovere alcuni file, verranno mostrate delle finestre aggiuntive: clicca sul pulsante OK, e lascia procedere il programma alla disinfezione. Se MalwareBytes chiedesse di riavviare il sistema, fallo immediatamente

Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
● posiziona il file scaricato sul Desktop
● disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
● disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix con un doppio click
● segui le istruzioni che verranno rilasciate per eseguire la scansione
● in caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● potrebbero comparire alcuni file sul Desktop, e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:
● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
● sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato da te dopo l'utilizzo del software stesso.
Lo stesso vale per me; questo tool non è un giocattolo e non è destinato all'utilizzo quotidiano. Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto
● ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, sarai costretto ad avviarla dalle Risorse del computer. Una precauzione in più, una possibile minaccia in meno

Dimenticavo;
Avvia il sistema in modalità provvisoria, cliccando sui seguenti link:
● modalità provvisoria in Windows XP: Risoluzione avanzata dei problemi mediante l'avvio parziale in Windows XP
● modalità provvisoria in Windows Vista e Seven: Avviare il computer in modalità provvisoria

 

[Wonder]

Grazie per le risposte e la guida ma come già detto nel primo post anche in modalità provvisoria ottengo solo un black screen e l'accesso al task manager con ctrl alt canc quindi non saprei come eseguire i passaggi.
Ho provato con l'avira rescue disk da cui ho fatto boot e scansione, una volta terminata ho riavviato ma mi sono ritrovato tristemente di fronte il solito black screen. se qualcuno è interessato ho messo il log qui: http://www.megaupload.com/?d=M2P5DW0H
riassumendo credo che le cose più interessanti del log siano le seguenti:

ALERT: [TR/Crypt.XPACK.Gen]
WARNING: [Archive not completly scanned. Reason: maximum recursion level (10) reached]
ALERT: [TR/Agent.pviz]
ALERT: [TR/Agent.pviz] /media/Devices/sda1/$Recycle.Bin/S-1-5-21-222524566-2152439504-1161752442-1001/$RLPBV6H.zip --> Info.Doc__________________________________________________________________.exe <<< Is the Trojan horse TR/Agent.pviz [archive scan abort]
ALERT: [ADSPY/AdSpy.Gen2]
ALERT: [DR/Delphi.Gen5]
ALERT: [TR/Drop.Scheduler.NR]
ALERT: [TR/Black.Gen2]
ALERT: [Adware/OpenCandy.A.18]
ALERT: [TR/Dropper.Gen]
ALERT: [TR/Spy.48128.85]
ALERT: [TR/Obfuscated.XZ.1624]
ALERT: [SPR/Tool.Keygen.225]
ALERT: [Worm/Virtool.BUY]
ALERT: [TR/Spy.48128.85]
ALERT: [TR/Ranpax.1655808]
ALERT: [DR/Gator.3202.14]
ALERT: [EXP/ASF.GetCodec.Gen]

Statistics :
Directories............... : 58385
Archives.................. : 22809
Files..................... : 1558158
Infected.............. : 33
Renamed........... : 33
Warnings.............. : 265
Suspicious............ : 0
Infections................ : 33

 

[Norton360]

Era meglio se usavi Kaspersky Rescue Disk al posto di Avira.....;)

KIS 2012,dai test che ho fatto sulle recenti varianti di Zeus,riconosce e blocca il virus.