HELP: ho un virus sul PC ma non trovo rimedio

[Xeeno]

Ciao ragazzi,

ieri il mio PC e' restartato (che parola strana da dire in italiano :P ) quando ho tentato di stampare un documento col nostro solito printer.
Allo start up mi e' comparso il seguente messaggio:

The following file doesn't existe in the following dir:

C:\\WINNT\system32\rundll32.vbe

Sta di fatto che ho fatto un search ed in effetti questo file non c'e' sul mio PC.
Cercando su google ho trovato che nel sito di SOPHOS che e' un virus del tipo:

Troj/StartPa-U

Non sono pero' riuscita a rimuoverlo.
Mi potreste aiutare ragazizi?

[Dodi]

Ma iniziare da un antivirus no?

[Xeeno]

Ma iniziare da un antivirus no?

Ho provato con McAfee....con Lavasoft...con TZ-Spyware-adware-remove....
Non lo beccano

Prova ad inviare la richiesta di aiuto direttamente via mail ai produttori degli antivirus, segnalando il fatto che non riescono a togliere il virus. Probabilmente i file infetti e quello maligno non possono essere cancellati perchè sn in esecuzione, e se non riesci a trovarli sul discofisso, prova ad eseguire l'update del programma di scansione. Definizioni aggiornate potrebbero rilevare la minaccia.

[Taitaonline]

Possibile che non si trovi nulla in italiano ?
Mah.....
Comunque guarda un pochino se ti può essere utile questa pagina :

http://www.sophos.com/support/disinfection/trojan.html

Intanto continuo a cercare qualcosa di più preciso !

Da quello che risulta da una mia prima ricerca (ma mi sono appena svegliato quindi non prendetemi in parola) puoi provare ad eliminarlo a mano.

Innanzitutto dovresti eliminare due chiavi di registro che sono quelle che lanciano il virus.

Se non hai mai usato il registro di sistema ecco qui una guida "base":

vai su START > ESEGUI e scrivi regedit
nella parte a sinistra cerca HKEY LOCAL MACHINE e aprilo
apri Software, dentro a lui Microsoft, dentro a lui Windows
dentro a lui Current Version e dentro a quest'ultimo Run
cerca nella parte a destra la chiave "Windows Security Assistant" ed eliminala
Fai lo stesso nell cartella RunServices invece che Run

Poi dovresti ricostruire il file HOSTS.

Ora, io 'sto file non l'ho mai aperto e lo apro ora per la prima volta (suppongo sia c:\windows\hosts.sam)

A quanto pare il mio windows 98se ha solo una riga dopo i commenti (che iniziano con #) ed e':
[code:1:8328c9746f]
127.0.0.1 localhost
[/code:1:8328c9746f]

Va detto pero' che siccome uso linux questo windows e' praticamente vergine.

Dovresti informarti con qualcuno che ha il tuo stesso sistema operativo per vedere cosa c'e' in questo file.

In ultima analisi dovresti resettare le impostazioni di Internet Explorer che sono state modificate dal virus in modo che tu finisca sempre su siti porno o simili.

Un sito che sto guardando dice che basta andare in Strumenti > opzioni internet > generale e "rimuovere le modifiche fatte dal virus"... il bello e' che non ti dice quali modifiche fa :?

Io direi: intanto elimina il virus fisicamente, poi a questo pensiamo piu' tardi, intanto mi documento un po' di piu'.

Ah: ovviamente dovresti eliminare il file kernel32.vbe che trovi nella tua cartella system32 dentro a quella di windows.

Se invece che eliminarlo volessi spedirmelo mi faresti un grosso favore:
zippalo CON PASSWORD e spediscimelo a virus@crescentofdarkness.cjb.net , cosi' lo studio e vi dico bene cosa fa

[Xeeno]

Da quello che risulta da una mia prima ricerca (ma mi sono appena svegliato quindi non prendetemi in parola) puoi provare ad eliminarlo a mano.
..........
Poi dovresti ricostruire il file HOSTS.

.....................
Se invece che eliminarlo volessi spedirmelo mi faresti un grosso favore:
zippalo CON PASSWORD e spediscimelo a virusNOSPAM@crescentofdarkness.cjb.net , cosi' lo studio e vi dico bene cosa fa

Grazie Extralife, per l'aiuto....

Grazie Taitaonline, ho gia' visto nel sito di sopho il troj.....ma non ho trovato l'antidoto (a gratis)

Grazie CoD, ho visto su Sopho che si puo eliminarloa mano ma non ho le indicazioni su come poi ricostruire Hosts o altro...se non dispisce prima di farlo ti spedisco il tutto pero' non appena ho un 10 minuti di tempo....


Grazie grazie veramente a tutti....siete molto gentili e carini..

Fai con comodo, ma se mi spedisci HOSTS.SAM per ricostruirlo dimmi almeno che sistema hai!

A proposito di virus: oggi apro windows (ogni tanto mi capita) e mentre cercavo una cosuccia in c:\windows\ il mio antivirus (antivir) mi dice che il file c:\windows\system\update.exe contiene il codice del virus TR/SystTSK

L'ho rinominato e disassemblato ed effettivamente e' proprio lui: SystTSK, chiamato anche Vorofer.

Il dubbio e': ma come ci e' arrivato sul mio pc se per navigare uso Linux ???

Saranno mesi che non uso windows per connettermi :(

Mistero

dimmi che sistema operativo usi e se hai dei problemi con internet explorer

cque nel mio sito JENYAUNO ce un programma che si chiama A2 prova con quello ,anche se sono sicuro che installando l'antivirus AVG6 free edition ,risolvi il problema

cque mi trovi anche sul forum d http://weblink.altervista.org sono l'amministratore della sezione VIRUS

Dici a me?

No no il virus l'ho tolto "a mano" e problemi non ne ho.

Mi chiedo solo come ci sia finito. Mah...

no COD dicevo a XEENO

[Xeeno]

Fai con comodo, ma se mi spedisci HOSTS.SAM per ricostruirlo dimmi almeno che sistema hai!

Mistero

.Grazie CoD,
oggi ho fatto come mi hai detto tu, ho cancelato dal HKEy della macchina e quella dello user la entry relativa al rundll32.vbe, pero' non sono riuscita a sistemare il danno che ho avuto sul favorites dell'internet explore.
Infatti ho reinstallato IExplore e ho visto che il problema sussiste ancora.

Grazie mille CoD :D

Si si infatti su quello ci dobbiamo ancora lavorare.

Ci sarebbe un programmino che fa al caso tuo, ma ha un difetto: ti mostra un elenco di cose che puoi cancellare (tra cui anche le impostazioni di IE messe dal virus) e ti lascia scegliere quali rimuovere e quali no. Il problema e' che ti mostra anche cose normalissime e che vanno lasciate dove sono.

Certo (se ti fidi) potresti fare un copia-incolla dell'elenco e mandarmelo via mp e io ti dico cosa eliminare, altrimenti posso provare a cercare un tool che faccia l'eliminazione in automatico... ce ne sara' uno.. boh

Scegli tu

[Xeeno]

Si si infatti su quello ci dobbiamo ancora lavorare.

Ci sarebbe un programmino che fa al caso tuo, ma ha un difetto: ti mostra un elenco di cose che puoi cancellare (tra cui anche le impostazioni di IE messe dal virus) e ti lascia scegliere quali rimuovere e quali no. Il problema e' che ti mostra anche cose normalissime e che vanno lasciate dove sono.

Certo (se ti fidi) potresti fare un copia-incolla dell'elenco e mandarmelo via mp e io ti dico cosa eliminare, altrimenti posso provare a cercare un tool che faccia l'eliminazione in automatico... ce ne sara' uno.. boh

Scegli tu

Qual'e' il programma?

Per ora ho trovato un Workaround che mi fa lavorare con i miei preferitti ....
Grazie CoD. Attendo tue news

:D

Il programma in questione e' hijackthis, scaricabile da qui: http://www.spychecker.com/program/hijackthis.html

Per chiunque fosse interessato a antivirus, antispyware, ecc il link qui sopra dovrebbe essere molto interessante. Trovate un sacco di programmi da scaricare

Xeeno: scaricati il programma e fagli fare uno scan, poi premi SAVE LOG ed esci senza premere FIX CHECKED.

Inviami il file di testo del log con un messaggio privato e ti dico quali cose devi eliminare.

Per eliminarle rifai un o scan, selezioni le caselle corrispondenti e poi premi fix checked. Viene pure creato un file di backup qualora tu ti pentissi di quello che hai fatto.

:D

[Xeeno]

Inviami il file di testo del log con un messaggio privato e ti dico quali cose devi eliminare.

Per eliminarle rifai un o scan, selezioni le caselle corrispondenti e poi premi fix checked. Viene pure creato un file di backup qualora tu ti pentissi di quello che hai fatto.

:D

Grazie CoD, lo faro' tra un po' perche' oggi sono da sola e debbo sostituire il capo per una settimana

Sei molto gentile, a buon rendere :D