| Autore |
 Discussione  |
|
RockLento
New Member
43 Messaggi |
 Inserito il - 15/12/2005 : 18:19:36
|
ciao a tutti,
Ho preso un virus che risiede in memoria. Rispetto alle altre volte, formattavo il disco e ripartivo!
Ma questa volta il virus si e' caricato una volta rimesso il SO!
La sua manifestazione e' il minitor di colore giallo all'apertura del pc! Quindi ben lontano dal caricamento del SO!
ogni 30 minuti diventa giallo per 5 minuti!
Riesce a non farsi trovare o rompere l'integrita' dell'antivirus.
Domanda banale: che fare?
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 15/12/2005 : 20:02:44
|
Si, succede, ed è uno di quelli tosti di sicuro...
Munisciti di pazienza, scaricati l'utility "Powermax":
htt*://[www].maxtor[.com]/portal/site/Maxtor/menuitem.3c67e325e0a6b1f6294198b091346068/?channelpath=/en_us/Support/Software%20Downloads/All%20Downloads&downloadID=22
ti crei il dischetto e formatti basso livello il tuo HD (dovrai distruggere tutte le partizioni, fai un backup a dovere dei dati importanti..)
una volta finito spegni il PC, stacchi la spina di corrente (importante, la mainboard è alimentata anche se spenta) ed aspetti 5 minuti, ricolleghi la presa e incrocia le dita, reinstalli Win, antivirus e firewall PRIMA di collegarti ad internet, scaricali da un amico mentre fai il resto, un formattaggio a basso livello può durare anche più di 1 o 2 ore, quindi armati di pazienza, dovrebbe passare (in pratica se era nel settore di boot te lo portavi allegramente dietro, appena acceso si ricaricava in memoria...).
Facci sapere se è andata.
Ciao. |
 |
|
|
RockLento
New Member
43 Messaggi |
Inserito il - 16/12/2005 : 09:40:32
|
Non e' sufficiente cancellare le partizioni e formattare?
che cosa fa questa utility?
grazie |
|
|
|
n/a
deleted
1470 Messaggi |
 Inserito il - 16/12/2005 : 10:24:57
|
Vai a questo link htt*://[www].aiutamici[.com]/software/descrizione.asp?CodSw=1177 e trovi tutte le info per rimuovere il virus.
scarica il prog (in fondo alla pagina c'è il download)
PS mi sembra eccessivo ad ogni virus formattare!!!! |
|
|
|
RockLento
New Member
43 Messaggi |
Inserito il - 16/12/2005 : 12:32:07
|
Dove puo' risiedere fisicamente un virus residente escluso il disco fisso?
Ram? Bios? sheda video?
ps. gia' provato stinger spero nel prossimo aggiornamento
Ha un nome questo virus?
Tolto Alexa.relation |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 16/12/2005 : 22:30:13
|
Lo devi togliere manualmente,risiede sempre nell'HD,ma ri autolancia dal regedit. la chiave preferita è HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Tolto Alexa.relation ??' Alexa e un trojan e SpybootS&D lo toglie tranquillamente,ma se si alloca in memoria devi toglierlo dal registro.
posta un log di HJK sicuramente in avvio c'è il file che lo lancia |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 16/12/2005 : 23:17:22
|
Alex, se è uno di quelli che (da cosa mi ricordo) si caricavano nell'MBR è un osso duro, in pratica continuerà a ricaricarsi ad ogni riavvio del sistema (con questo rispondo anche alla domanda di RockLento), la formattazione non serve, bisogna levare le partizioni in modo che anche l,MBR si "rinnovi", la procedura sopra l'ho già usata anche sul mio (tempo fa..) ed è efficace.
La sola cosa che, a mio parere, è strana, questo tipo di virus si è praticamente estinto (mi sembra a causa dell'accesso a 32 bit sui dischi, ma non vorrei dire una "fagianata"...), comunque i sintomi potrebbero essere quelli.
Ciao.
|
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 17/12/2005 : 08:07:50
|
Vero,ma non ne sappiamo niente.In ogni caso prima che si carichi nellMBR una traccia di sè nel PC ci deve essere.
Un log di HJK per vedere cosa c'è in quel pc e una pulita dalla provvisoria. Alexa è un trojan, e poi un virus del genere non è più neanche di moda. |
|
|
|
Er-Gladiatore
Advanced Member
Città: Roma
2540 Messaggi |
Inserito il - 17/12/2005 : 11:08:34
|
Se può essre utile ho trovato un sito che parla appunto dei virus allocati in memoria e come eliminarli:
htt*://[www].bio.unipd.it/network/virus.html
Spero che sia utile (A mio parere è molto interessante). |
|
|
|
RockLento
New Member
43 Messaggi |
 Inserito il - 17/12/2005 : 13:55:23
|
Colpito ma non affondato!!!!!!!
Togliendo questa chiave con Regedit non si manifesta piu'!!!
Anche se chiudendo e riaccendendo il pc riscrive nuovamente nel registro!
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count
Questi sono alcuni valori di esempio nella chiave
HRZR_EHACNGU:P:\Cebtenzzv\Erny\ErnyCynlre\ErnyCynl.rkr
HRZR_EHACNGU:P:\JVAQBJF\ehaqyy32.rkr
Sembrerebbe che abbia creato una partizione "P" da qualche parte!
Per Natale rado al suolo! Poi vediamo!
Se a qualcuno dicono qualcosa questi valori, il nome del virus ecc.
ditelo! grazie |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 21/12/2005 : 10:55:21
|
Se ci fornissi più info come ti è stato chiesto !!!!!
Col poco che hai fornito (sei sicuro che si alloca nell'MBR)prova così
1) Entra nel BIOS e scegli di fare il BOOT da CD .Inserisci il CD di installazione
2) Quando ti compare la videata di installazione premi il tasto [R] (per eseguire una riparazione);
3) Nella pagina successiva, seleziona "ANALIZZA AMBIENTE DI AVVIO" e "ANALIZZA SETTORE DI BOOT";
4) Il programma di installazione ricreerà i file di avvio e ripristinerà il settore di Boot.
|
|
|
|
RockLento
New Member
43 Messaggi |
Inserito il - 22/12/2005 : 11:06:06
|
Ti ringrazio Alessandra: penso anch'io che sia sul MBR (Master Boot Record)! E deve essere di pochi kb! Non ho perso nessun dato e mi permette di lavorare. Ho salvato i dati, sperando che non siano infetti. Una volta che riparto non vorrei che ritorni attraverso i dati salvati. Ma non credo. Sembra che sia solo per romperti ..... vedremo.
La cosa che mi spaventa e' che nessun antivirus e antispyware lo abbia rintracciato!
Per non partecipare alla tombola, usero' FDISK
Cancello tutte le partizioni. e stacco la corrente per 5 minuti!
Vediamo chi la vince!
Buon Natale.
|
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 22/12/2005 : 11:52:09
|
Intendi usare il comando FDISK /MBR ?
Con questo comando riscrivi il codice contenuto nell'mbr,ma fai attenzione certi virus crittografano la tavola delle partizioni e la decriptano quando un prog. cerca di leggere il settore.
In pratica si cancella il virus ma anche il codice per decriptarla e allora sono guai ( devi formattare se non sei capace di ricostruirla )
Comunque questo comando non cancella le informazioni della partizione o i dati contenuti nel disco, ma riscrive solo il codice che carica il DOS (l'MBR)
Però solo per curiosità e per vedere se funzia,prova con il CD di installazione e dopo casomai usi Fdisk.
Fammi sapere. Ciao |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 22/12/2005 : 14:09:20
|
Puoi fare anche così.
Floppy di avvio 98/ME al prompt
FDISK /MBR INVIO (info htt*://support.microsoft[.com]/kb/q69013/)
poi
Dalla console di rispristino di Windows XP
FIXBOOT C: lettera della partizione/disco INVIO
(info htt*://[www].microsoft[.com]/resources/documentation/windows/xp/all/proddocs/en-us/bootcons_fixboot.mspx)
|
|
|
|
RockLento
New Member
43 Messaggi |
Inserito il - 23/12/2005 : 08:54:10
|
Ciao Ale,
che differenza c'e' tra fdisk/mbr e fdisk?
Il primo comando riaggiorna mbr (toglie il virus) senza dover cancellare le partizioni e rifarle cpn fdisk semplice?
|
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 23/12/2005 : 10:57:51
|
Citazione:
Messaggio inserito da RockLento
Ciao Ale,
che differenza c'e' tra fdisk/mbr e fdisk?
Il primo comando riaggiorna mbr (toglie il virus) senza dover cancellare le partizioni e rifarle cpn fdisk semplice?
Esatto. vedi il mio penultimo post, se non ha crittografato così ti togli il virus |
|
|
|
Discussione |
|
Virus evoluto
Forum Bloccato
