PDA

Visualizza versione completa : [Win2K SP4] Problemi post virus


Sentinel
17-04-2007, 09.50.20
Avrei bisogno di un consiglio prima di stabilire ufficialmente l'ora del decesso di un pc di una cliente, spero di aver scelto la sezione giusta. :inn:
Tempo fa questo pc aveva preso un po' di virus (trojan e dialer), che erano stati tolti e tutto sembrava andare bene. In realtà, da quel momento è sparita l'icona dell'antivirus (TrendMicro OfficeScan installato su server) a fianco dell'orologio, però l'antivirus è attivo e si vede anche dal Task Manager che sta lavorando in background. Il problema grosso è che provando ad usare Ccleaner, Spybot, Avast!, e Hijack... non parte nulla, non si aprono nemmeno.
Qualche suggerimento su come potrei procedere?
Grasssssieeee! ;)

prandot
17-04-2007, 21.48.20
fai una scansione con programmi anti rootkit (come sophos) o con Virit..

Lionsquid
18-04-2007, 00.12.10
credo che il virus sia ancora attivo ...

come detto da prandot virit è un buon inizio.. ma da fare avviando il pc con un bartpe.... oppure, meno efficace ma meglio di niente, scaricare e installare virit su un pc sano, prelevere la cartella VEXPLITE in un USb pen drive e avviando in modalità provvisoria lanciare il virit dal pen drive

tentare rimozioni in modalità "normale" è sempre sconsigliabile, spesso sono inefficaci e/o incomplete

Sentinel
18-04-2007, 09.57.40
Perfetto, grazie, proverò e vi farò sapere! ;)

Sentinel
20-04-2007, 11.20.24
Allora, alla fine se ne è occupato un mio collega, ma vi racconto cosa è successo, magari può servire.
Una scansione di Avast! (l'unico antivirus che è riuscito a partire) ha segnalato che c'erano vari files di vari programmi infetti (QuickTime, Java, Nero, etc...).
Controllando nelle varie cartelle in c: programmi, si è accorto che il virus in pratica ha fatto questo: ha creato sempre sotto c: programmi una cartella chiamata BAK, e dentro ha copiato gli eseguibili dei programmi che risultavano infetti, e li ha sostituiti nelle loro cartelle originali con dei files infetti di 48 kb con lo stesso nome, che però, partendo, facevano partire anche il virus.
Dato che il virus era già stato debellato con interventi precedenti, a quel punto è stato sufficiente copiare i veri eseguibili nelle loro cartelle, e cancellare tutti quelli "finti". Alcuni programmi comunque, per sicurezza, sono stati reinstallati. Tutto ciò lavorando su BartPE, comunque. Adesso tutto sembra funzionare correttamente, e anche la famosa iconcina dell'antivirus è riapparsa al suo posto.
Mah!!! :)

remal88
20-04-2007, 14.01.21
bart'pe come erd commander ... cmq le scansioni ricordate si fanno sempre con hdd staccato dal pc è montato su un'altro senza siostema infetto avviato

Lionsquid
20-04-2007, 16.08.15
bart'pe come erd commander ... cmq le scansioni ricordate si fanno sempre con hdd staccato dal pc è montato su un'altro senza siostema infetto avviato

:mm:

e perchè mai??


usando un bartpe o erd commander hai il pc avviato da un sistema non infetto

Sentinel
20-04-2007, 16.14.06
usando un bartpe o erd commander hai il pc avviato da un sistema non infetto
(Y)