Virus maledetto!!

Pierfra · 8 Agosto 2005

Non riesco a togliere dei virus Worm o Trojan che ho nel pc.
Premetto che per problemi di disco ho riformattato tutto.
Installato di nuovo tutto xp Pro (ripartizionato) ho creato una connessione ad internet con Alice per aggiornarlo.
Appena sono collegato ad internet escono fuori delle finestre che mi dicono di collegarmi in un sito perchè c'è un problema di registro!!!!
Poi se mi collego al sito di Windows Update mi escono finestre che mi dicono di andare in altri siti per controllare il sistema...!!
In questo modo mi mette in memoria dei processi (msugrade.exe, ecc..)
Non riesco a toglierli!!!
Quando penso di esserci riuscito, basta che vado sul sito di windows upgrade e mi escono di nuovo quelle finestre di reindirazzamento e poi mi ritrovo alcuni .exe nei processi di avvio (in msconfig, e nel registro nelle chiavi "Run")
Come caspita si cancellano?

Ho installato spybot, adaware, hijackthis, symantec antivirus.
Cosa sbaglio?
Allora ecco cosa faccio:
- disattivo ripristino configurazione di sistema
- resetto e faccio il boot in modalità provvisoria
- mi loggo come administrator
- con hijackthis disattivo le voci incriminate
- cancello dal registro le voci incriminate
- cancello con msconfig le voci incriminate
- elimino con ad-aware (aggiornato) le voci che trova
- elimino con spybot (aggiornato) le voci che trova
- scansiono con Symantec antivirus (aggiornato) ma non trova nulla
Queste cose le faccio due volte, loggandomi come administrator e poi come utente.
Rifaccio il boot ma poi vado su Windows update e...ricomincia tutto!!!

Che faccio di sbagliato?

Carlo4 · 8 Agosto 2005

come accedi a windows update?
cliccando sull'icona che trovi andando su start?o digitando l'indirizzo sulla barra degli indirizzi?
ti conviene usare il secondo metodo....oppure dopo aver fatto una pulizia completa dei file temporanei di internet e cookies clicca qui:

http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=it

ti faccio fare questo perchè è probabile che il virus in questione abbia modificato la destinazione del collegamento al sito di winupdate...cio che vedi potrebbe essere un finto sito di winupdate ....

cio che fai è corretto però forse dovresti cambiare l'ordine delle operazioni....
io farei così:
- disattivo ripristino configurazione di sistema
- resetto e faccio il boot in modalità provvisoria
- mi loggo come administrator
- cancello con msconfig le voci incriminate
- con hijackthis disattivo le voci incriminate
- elimino con ad-aware (aggiornato) le voci che trova
- elimino con spybot (aggiornato) le voci che trova
- scansiono con Symantec antivirus (aggiornato) ma non trova nulla
- cancello dal registro le voci incriminate

altra prova....
vai sull'icona del collegamento di winupdate>tasto destro>prorietà>nella stringa destinazione dovresti trovare questo:
%SystemRoot%\system32\wupdmgr.exe

se trovi qualcosa di differente ,abbiamo trovato la magagna...ed è quello il file bast***o che va eliminato....
potrebbe anche essere che sia stato sostituito il file wupdmgr.exe con uno infwtto con lo stesso nome... per cui fallo scansionare singolarmente da diversi antivirus...anche online..

per ora ti saluto...

ciao ;)

Pierfra · 8 Agosto 2005

Giusto! Accedo sempre dall'icona sulla barra dei programmi!! che stupido a non averci pensato!

Grazie, provo e ti faccio sapere

Iron · 8 Agosto 2005

Magari installa un firewall...

Carlo4 · 8 Agosto 2005

Iron ha detto:
Magari installa un firewall...

sicuramente ne è sprovvisto..
ma sentiamo se ha risolto qualcosa...

ciauzz

Pierfra · 9 Agosto 2005

è assurdo!!!
Ho fatto come mi hai consigliato...cioè come avevo fatto io però facendo all'ultimo la cancellazione dal registro....riavvio, controllo la proprietà dei link a Windows Update ma sono giusti, allora apro IE e digito www.windowsupdate.com...dopo un pò esce di nuovo la finestra che mi dice di controllare il registro collegandosi al tale sito...assurdo!
Allora ho riusato Hijackthis ...niente di strano
Disinstallato Symantec Antivirus e installato Antivir...trova 10 virus!!!
Installo AVG...non trova nulla
Via web effettuo un controllo antivirus con Kaspersky...ne trova due!

Poi mi sono fermato per impegni urgenti.
Ora conto di installare un firewall...ZoneAlarm che ne dite?

Comunque è incredibile dopo che vado sul sito di windows Update mi esce sempre sta finestra e mi ritrovo un processo strano in memoria (tipo wuank4032.exe, microsoft.exe. msugrade.exe wins.exe ecc...)

Vi faccio sapere

Carlo4 · 9 Agosto 2005

Pierfra ha detto:
è assurdo!!!
Ho fatto come mi hai consigliato...cioè come avevo fatto io però facendo all'ultimo la cancellazione dal registro....riavvio, controllo la proprietà dei link a Windows Update ma sono giusti, allora apro IE e digito www.windowsupdate.com...dopo un pò esce di nuovo la finestra che mi dice di controllare il registro collegandosi al tale sito...assurdo!
Allora ho riusato Hijackthis ...niente di strano
Disinstallato Symantec Antivirus e installato Antivir...trova 10 virus!!!
Installo AVG...non trova nulla
Via web effettuo un controllo antivirus con Kaspersky...ne trova due!

Poi mi sono fermato per impegni urgenti.
Ora conto di installare un firewall...ZoneAlarm che ne dite?

Comunque è incredibile dopo che vado sul sito di windows Update mi esce sempre sta finestra e mi ritrovo un processo strano in memoria (tipo wuank4032.exe, microsoft.exe. msugrade.exe wins.exe ecc...)

Vi faccio sapere

come firewall ti consiglio Sygate pro.....

Pierfra · 9 Agosto 2005

ok, allora installo Sygate Pro...ma è a pagamento ? non c'è una "free home personal" ecc... version?

Carlo4 · 9 Agosto 2005

Pierfra ha detto:
ok, allora installo Sygate Pro...ma è a pagamento ? non c'è una "free home personal" ecc... version?

si c'è anche la versione free personal...la 5.6...che però è data come meno sicura della precedente 5.5...

comunque sia va bene...vai tranquillo... ;)

ciauss

Pierfra · 10 Agosto 2005

Sembra che vada tutto bene.
Ho installato Sygate 5.6
Antivir version 6
che dite basta cosi?
Il PeerGuardian lo installo?...forse è meglio.
serve un'altro antivirus?

Poi ho fatto l'update di windows, mi manca solo il service pack 2.

Una domanda: il Sygate mi informa sempre che i processi: sistema e kernelNT (ntoskrnl.exe) vogliono accedere a internet...è normale? che processi sono?

Qualcuno mi consiglia delle impostazioni particolari da settare su sygate?

Carlo4 · 10 Agosto 2005

Pierfra ha detto:
Sembra che vada tutto bene.
Ho installato Sygate 5.6
Antivir version 6
che dite basta cosi?
Il PeerGuardian lo installo?...forse è meglio.
serve un'altro antivirus?

Poi ho fatto l'update di windows, mi manca solo il service pack 2.

Una domanda: il Sygate mi informa sempre che i processi: sistema e kernelNT (ntoskrnl.exe) vogliono accedere a internet...è normale? che processi sono?

Qualcuno mi consiglia delle impostazioni particolari da settare su sygate?

io oltre al sygate e l'antivir tengo eTrust Ez antivirus(a pagamento) perchè mi scansiona le email.....e non va in conflitto con antivir....

per quanto riguarda quei processi..ti consiglio di bloccarli...(vedi immagine)
io tengo bloccati questi:

ntoskrnl.exe
lsass.exe
svchost.exe

quest'ultimo deve essere sbloccato obbligatoriamente quando si fanno gli aggiornamenti da winupdate....

ti consiglio di installare il service pack 2 ,diversamente rinunceresti ad un po di protezione....

invece per le impostazioni del firewall leggi questa guida:
http://sicurezza.html.it/articoli/articoli.asp?idcatarticoli=9&idarticoli=11

così impari a conoscere un po il software e come muoverti ;)

ciaooo

Virus maledetto!!

Pierfra

Utente Attivo

Carlo4

Pierfra

Utente Attivo

Iron

UTENTE LEGGENDARIO

Carlo4

Pierfra

Utente Attivo

Carlo4

Pierfra

Utente Attivo

Carlo4

Pierfra

Utente Attivo

Carlo4