Windows XP restore fasullo

[giusto55]

Mentre navigavo su internet, ad un tratto il Nod ha cominciato a dare segnali di un'infezione in corso e dopo è apparsa una schermata che diceva che alcuni dei file infetti erano in esecuzione e che per eliminarli bisognava riavviare il computer. Dopo aver premuto su questa schermata, al riavvio del computer, il desktop si è fatto nero ed è apparsa una finestra con un programma denominato "Windows XP restore".
Come devo fare per eliminare questo virus?
Grazie.

 

[R16]

Ciao.
Segui questa procedura:
Scarica TDSSKiller.zip sul desktop:
How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)?
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.

POI:
Scarica ed installa MalwareBytes:
Malwarebytes : Free anti-malware, anti-virus and spyware removal download
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
Elimina gli eventuali file infetti trovati.
Posta il log.

POI:
Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop. (è obligatorio)

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (se usi Vista: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
Postalo qui.

Posta i 3 log con Wikisend: free file sharing service

N.B:
Segui le indicazioni cronologicamente. (parti dalla prima, e prosegui in sequenza.)

 

[giusto55]

Ecco i log del tdsskiller e del malwarebytes

TDSSKiller.2.5.4.0_09.06.2011_20.43.51_log.txt

mbam-log-2011-06-09 (21-50-14).txt

Il log del combofix purtroppo non sono riuscito a salvarlo perchè mi ero allontanato e intanto il computer si era riavviato

Sono scomparsi file e cartelle presenti sull'hard disk sul quale lavora windows XP,mentre i programmi sono ricomparsi
Nel menu programmi è ancora presente Windows XP Restore,che non appare nella schermata della disinstallazione delle applicazioni nel pannello di controllo

C'è un modo per provare a recuperare i dati che sembrano essere spariti nel nulla?
Grazie

 

[FDAC]

Piccola instrusione; il log si trova qui, caricalo per farlo analizzare dal bravo r16:
C:\ComboFix.txt

 

[giusto55]

Mi dispiace,ho cercato il log del combofix ma non l'ho trovato...l'ho già detto che sono spariti numerosi dati

C'è un modo per provare a recuperare i dati dall'hard disk?

 

[R16]

Ciao.
Hai riavviato TDSSKiller quando ha finito la scansione?
Hai eliminato i file infetti che Malwarebytes ha trovato?
La scansione di Malwarebytes perchè l'hai fatta in Modalità provvisoria?
Rifai la scansione con Malwarebytes, in modalità normale

l'ho già detto che sono spariti numerosi dati

Non sono spariti, sono solo nascosti.
Per favore rispondi alla domande poste, e non farti prendere dal panico, che non serve a nessuno.

 

[giusto55]

Dopo aver usato la prima volta il TDSSKiller in modalità provvisoria(il desktop era diventato completamente nero e non faceva apparire neanche i file scaricati) e aver utilizzato la funzione "cure" sul malware trovato,ho spento il pc e l'ho acceso di nuovo in modalità provvisoria e poi in modalità normale ma il desktop continuava ad esere nero e a non fare apparire alcuna icona/file
A questo punto ho deciso di accendere di nuovo il pc in modalità provvisoria ed eseguire la scansione del malwarebytes
Dopo che il malwarebytes ha trovato i files infetti e li ha eliminati,ho utilizzato il combofix
Quando il computer si è riavviato dopo l'azione di combofix,ho trovato una schermata che segnalava un errore hardware e richiedeva di premere F1 per continuare l'accensione o DEL per entrare nel setup
Ho premuto F1,il computer si è avviato,ed erano apparse solo le icone dei programmi

Dopo il tuo consiglio,dopo alcuni tentativi sono riuscito a trovare i file nascosti.Il log del combofix non l'ho ancora trovato nonostante le ricerche;l'icona dell'.exe del "windows Xp restore" compare ancora nei programmi e non so come eliminarla
Per il resto sembra che il pc abbia ripreso la sua funzionalità

Adesso farò la scansione del malwarebytes,e ti farò sapere
A preesto,grazie

 

[R16]

Adesso farò la scansione del malwarebytes,e ti farò sapere

Se trova qualche file infetto li elimini.

Poi, elimina Combofix con questo tool:
Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.

Reistalla Combofix in questo modo:
Scarica Combofix (usa Internet Explorer) e salvalo sul Desktop.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Rinomina combofix prima di salvarlo sul desktop in abc.exe
Per rinominare il file, quando lo scarichi ti chiede dove salvarlo, e ti compare la casella "nome file" ,basta che cambi il nome che ti appare li in abc.exe)
Una volta scaricato il programma, clicca su start\ esegui nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK.
Durante la scansione non usare il pc. (nemmeno il mouse)
Posta il log.