PDA

Visualizza versione completa : desktop bianco dopo infezione con System alert


devindoc
14-04-2008, 17.11.59
Dopo avere combattuto con un maledetto trojan (system alert ) e con le sue esasperanti finestre ed il suo minaccioso desktop con la scritta " your privacy is in a danger" , credo di essere riuscito ma il desktop e' adesso bianco e non riesco a mettere nessuno sfondo .
Mi date qualche consiglio ?

fabry
14-04-2008, 21.36.52
Prova a dare una ripassata con ad-aware e visto che ci sei fai una bella scansione con l'antivirus. Buona fortuna !

leofelix
14-04-2008, 23.10.30
scarica ATF Cleaner sul desktop per una accurata pulizia dei files temp e cronologia di navigazione, link diretto al download

http://www.atribune.org/ccount/click.php?id=1

quindi scarica SUPERAntiSpyware FREE 4.0 da qui

Link diretto al download (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)


aggiornalo e fagli fare una scansione completa (non è necessario che si autoesegua all'avvio) del sistema, e se necessario anche riavviando il modalità provvisoria - premi più volte F8 durante il riavvio.
Una volta ripulito il sistema, riavvia Windows normalmente.

N.B Considera che tra le funzioni di SUPERAntiSpyware esiste anche la possibilità di riparare il desktop se danneggiato da qualche forma di malware

Scarica quindi il PREVX CSI sul desktop da qui

http://info.prevx.com/download.asp?grab=prevxcsi

assicurandoti di essere connesso a internet e tramite quel tool verifica se il sistema è ancora infetto (bada che è uno strumento molto preciso che si limita -senza disinfettare però, a meno che non lo paghi - a rilevare malware eventualmente attivo)

----------

Se con questi metodi, strumenti e programmi non riesci a risolvere, cortesemente posta qui una copia di una scansione effettuata con HiJackThis 2.02 del sistema ( che puoi scaricare da qui
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe ), cercheremo di capire cosa succede al tuo computer.

in bocca al lupo:)

devindoc
15-04-2008, 10.39.09
Grazie per il tempo dedicatomi e per i consigli come sempre preziosissimi.
Dopo le varie scansioni con esito , fortunatamente , sempre negativo ,deduco che la bestiaccia che mi aveva infettato e' stata debellata , pur tuttavia deve essersi corrotto un file di registro che non mi permette piu' di ottenere un desktop , quantomeno visibile e non quello squallido colore bianco assolutamente indelebile .
:wall: :wall: resto In attesa di lumi .

leofelix
15-04-2008, 12.36.21
Grazie per il tempo dedicatomi e per i consigli come sempre preziosissimi.
Dopo le varie scansioni con esito , fortunatamente , sempre negativo ,deduco che la bestiaccia che mi aveva infettato e' stata debellata , pur tuttavia deve essersi corrotto un file di registro che non mi permette piu' di ottenere un desktop , quantomeno visibile e non quello squallido colore bianco assolutamente indelebile .
:wall: :wall: resto In attesa di lumi .

ciao,
ho svolto delle ricerche in merito, però se non ci dici che sistema operativo usi e non posti un log della scansione con HiJackthis del tuo PC.. non è che si possa far molto;)

Intanto prova a dare un'occhiata qui (è in inglese):

http://www.cybertechhelp.com/forums/showthread.php?t=108314

-----------

Hai provato inoltre a cliccare col pulsante destro del mouse sul desktop sul menu a tendina "proprietà" quindi su "personalizza desktop" quindi a disabilitare l'active desktop (qualcosa del genere almeno) e modificare di nuovo l'aspetto?

Inoltre nel sistema potresti avere questo file che dovrebbe essere una causa del problema

C:\Windows\Web\Desktop.html

Se lo trovi fammi sapere per favore, ok?
Attendo il log della scansione con HiJackThis allora
ciao

devindoc
15-04-2008, 13.31.09
Come mi hai chiesto ti comunico che il sistema operativo e' Windows XP pro.
Il pc è tra l'altro il PC del mio posto di lavoro collegato in rete aziendale e protetto da Trend microOffice scan.
Cliccando col tasto destro su proprita' del desk appare l'abituale finestra che mi permette anche di scegliere , almeno apparentemente il tema richiesto , ma ,sia con applica che con OK il desktop resta bianco ed il tema prescelto appare solo per qualche istante allo spegnimento ed alla accensione del pc.
Del file : C:\Windows\Web\Desktop.html non mi sembra di avere trovato traccia.

Ho cercato di accluderti iil log ma mi viene rigettato percheè troppo lungo: se mi spieghi come fare .
non so come ringraziarti per il tempo che mi stai dedicando

devindoc
15-04-2008, 13.32.20
Forse son riuscito ad inviarti il log . Fammi sapere.

crazy.cat
15-04-2008, 14.18.46
Rifai la scansione con hijackthis, selezioni le caselle delle righe che ti indico e premi fix checked per eliminarle
O4 - HKLM\..\Run: [fckiaa.exe] C:\DOCUME~1\042084\IMPOST~1\Temp\fckiaa.exe
O4 - HKCU\..\Run: [qoseaa] "c:\docume~1\042084\impost~1\temp\qoseaa.exe"
O4 - HKCU\..\Run: [fckiaa.exe] C:\DOCUME~1\042084\IMPOST~1\Temp\fckiaa.exe
O24 - Desktop Component 0: Privacy Protection - (no file)

Dopo svuota la cartella C:\DOCUME~1\042084\IMPOST~1\Temp\ da tutti gli exe e quello che trovi al suo interno.

devindoc
15-04-2008, 18.02.56
Domattina vi faro' sapere il risultato perche' , come detto ,il pc è al mio posto di lavoro .

Una curiosita' :non mi riesce di istallare sul PC di casa il PREVX CSI perchè il nod32 si rifiuta e me lo segnala come "una probabile variante di Win32/genetik cavallo di troia "

leofelix
15-04-2008, 19.25.38
Domattina vi faro' sapere il risultato perche' , come detto ,il pc è al mio posto di lavoro .

Una curiosita' :non mi riesce di istallare sul PC di casa il PREVX CSI perchè il nod32 si rifiuta e me lo segnala come "una probabile variante di Win32/genetik cavallo di troia "

è un falso positivo, lo segnalano anche il Kasperky Antivirus e a-squared antimalware 3.5 come sospetto, ma solo perché tenta di modificare alcune impostazioni tentando di installarsi. Puoi consentirgli tranquillamente di accedere alla zona attendibile, così come puoi impedire che si installi o tranquillamente disinstallarlo tramite pannello di controllo.

In ogni caso il sistema da cui ti colleghi dal lavoro presenta ancora segni di infezione, come ti ha fatto notare crazy.cat precedendomi.
E' bene fissare quei files al più presto.

Io passerei anche il sistema col RogueRemover free che scarichi da
http://www.malwarebytes.org/rogueremover.php

(è una applicazione gratuita preposta a ripulire registro e sistema dalle applicazioni fuorvianti come quella che hai contratto)

devindoc
16-04-2008, 08.54.45
Ho effettuato subito il fix suggerito , la cancellazione del contenuto della dir temp, ripassato con tutti gli anti spyware in mio possesso ( compreso rogue remover) e tutti mi hanno dato esito negativo .Ho anche rifatto la scansione con hijack che mi ha confermato la scomparsa dei files da voi indicati . Il PC sembra funzionare bene e con buona velocita' ,ma il problema del desktop resta immutato : un improponibile quanto tristissimo bianco !!!!!
Immaginando che ormai e' una sfida aperta tra noi ed il PC continuo a fare la cronaca , se pero' pensate che vi abbia annoiato a sufficienza , scusatemi e grazie sempre per la vostra passione e competenza!

crazy.cat
16-04-2008, 10.13.44
Avvia il registro di configurazione da Start, Esegui, scrivi Regedit e premi Ok, portati alla chiave

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\ActiveDesktop\

Controlla se trovi un nuovo valore chiamato NoChangingWallPaper se ha il valore 1 lo modifichi in 0.

Questo dovrebbe permetterti di poter ricambiare immagine di sfondo del desktop.

devindoc
16-04-2008, 11.25.16
Purtroppo non esiste alcun active desktop.
Da Policies partono due sub directory che sono : explorer e system

crazy.cat
16-04-2008, 12.10.32
Da questo indirizzo
http://www.kellys-korner-xp.com/xp_tweaks.htm
scaricati il file reg Allow Wallpaper/Background Changes è alla riga 142, lo salvi sul tuo pc, ci fai un doppio click per eseguirlo e confermi due volte quando te lo chiede.

devindoc
16-04-2008, 12.34.00
quale dei due l'enable o il disable ?
E poi cosa devo fare dopo averlo inserito nel registro di sistema ?

crazy.cat
16-04-2008, 13.34.46
Scarica l'enable.
Dopo prova a cambiare sfondo al desktop

devindoc
17-04-2008, 08.07.59
Fatto.
Purtroppo tutto immutato.
Penso che bisognera' alzare bandiera bianca considerato che il fetentone resiste a tutti i nostri tentativi.
Ti rinnovo comunque l'appello : quando ti sei annoiato mandami pure a quel paese ! :mm: :mm:

Giorgius
17-04-2008, 11.50.11
Provato a disinstallare il tuo Antivirus e a installare Avira Antivirus Personal 8?
http://www.free-av.com/

L'ombrellino rosso spesso funziona in questi casi ;)

crazy.cat
17-04-2008, 15.05.11
quando ti sei annoiato mandami pure a quel paese ! :mm: :mm:
Non ti ci mando, ma se ancora non riesci a cambiare l'immagine non saprei più cosa dirti.
Di solito quel reg funziona.

devindoc
17-04-2008, 17.07.23
Ho raggirato il problema :
Il Pc di cui sopra ha tre account di cui uno solo è quello incriminato : ho creato un nuovo account , riproponendomi di cancellare quello col desk bianco se non dopo qualche altra prova .
X giorgius: non posso cambiare l'antivirus , considerato che si tratta di un pc in rete aziendale ed oltre tutto gli altri due account funzionano benissimo .

Nel dichiarare la resa un saluto ed un grazie !!!! :p :p :p :p :p

Giorgius
18-04-2008, 16.51.51
Strano che abbia colpito solo un account di quel winzozzo... Comunque per questi casi Avira avrebbe funzionato egregiamente, giusto il tempo di eliminare il rospo, per poi disinstallare Avira e reinstallare nuovamente l'AntiVirus aziendale...

caddis
23-04-2008, 08.46.43
Strano che abbia colpito solo un account di quel winzozzo... Comunque per questi casi Avira avrebbe funzionato egregiamente, giusto il tempo di eliminare il rospo, per poi disinstallare Avira e reinstallare nuovamente l'AntiVirus aziendale...

Ho pure io questo malefico problema del desktop bianco e immodificabie, rimasto dopo aver cercato di debellare privacy-danger

io ho Avira, alla partenza di windows, compare subito lo sfondo normale ma pure il messaggio di Avira sulla presenza del virus BAT/fake.privdanger
attraverso il file c:\Documents and Setting\....temp\install-privacy-danger.bat
Qualunque opzione scelgo (elimina, non consenti accesso, ,..) si chiude la finestra di avira e lo sfondo diventa bianco.

In modalità provvisoria ho cancellato tutto il contenuto della cartella temp indiacata, ma non contiene il file .bat riportato da Avira... e ad ogni riavvio la finestra di avira compare avvisandomi di privacy.danger ..e dopo lo sfondo diventa bianco!

Ho provato una valanga di antimailware, anche usati fuori da windows mediante boot-cd. Mi hanno consentito di togliere lo sfondo rosso di Privaccy danger ma ora lo sfondo diventa bianco e Avira rileva sempre il malefico install-privacy-danger.bat, senza però eliminarlo.

Qualcuno ha qualche consiglio?
grazie

leofelix
23-04-2008, 18.59.18
benvenuto su wintricks caddis.
allora, intanto controlla se hai impostato il sistema perché "visualizzi le cartelle e i files nascosti", le "estensioni dei tipi di files conosciuti" e i "files protetti di sistema" da "Documenti>Visualizzazione>".
Quindi scarica ATF Cleaner da Qui (http://www.atribune.org/index.php?option=com_content&task=view&id=25&Itemid=25) eseguilo ed elimina files temp e junk.

Quindi scarica HijackThis da qui
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

fagli fare una scansione quindi posta una copia del log o come copia e incolla oppure come allegato.
Potresti anche postare il report dellla scansione con AVIRA AntiVir?

EDIT: dimenticavo; hai provato il rogueremover free
http://news.wintricks.it/software/sicurezza-privacy/24489/rogueremover-free-1.24/

specifico per questo genere di infezioni?

caddis
25-04-2008, 08.22.08
benvenuto su wintricks caddis.
allora, intanto controlla se hai impostato il sistema perché "visualizzi le cartelle e i files nascosti", le "estensioni dei tipi di files conosciuti" e i "files protetti di sistema" da "Documenti>Visualizzazione>".
Quindi scarica ATF Cleaner da Qui (http://www.atribune.org/index.php?option=com_content&task=view&id=25&Itemid=25) eseguilo ed elimina files temp e junk.

Quindi scarica HijackThis da qui
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

fagli fare una scansione quindi posta una copia del log o come copia e incolla oppure come allegato.
Potresti anche postare il report dellla scansione con AVIRA AntiVir?

EDIT: dimenticavo; hai provato il rogueremover free
http://news.wintricks.it/software/sicurezza-privacy/24489/rogueremover-free-1.24/

specifico per questo genere di infezioni?





grazie per i consigli!
nelle mie tante prove, mi sono imbattutto nella "medicina giusta" :)
"SmitfrauFix"
http://siri.urz.free.fr/Fix/SmitfraudFix_En.php

Avira rileva SmitfrauFix come file a rischio per il fatto che ferma certi processi in corso ma ha funzionato e rimosso tutto! :)

devindoc
28-04-2008, 15.08.47
Grazie Caddis.
Confermo e' la medicina giusta !!!!
Finalmente dopo tante e tante prove.
Mi piacerebbe sapere come cavolo hai scovato il programma in esame.

:act: :act: :act: :act: :act: :act: :act: :act: :act: :act: :act: :act:

RNicoletto
29-04-2008, 16.02.40
Mi piacerebbe sapere come cavolo hai scovato il programma in esame.Ne abbiamo parlato un paio di volte anche qui sul forum:
http://forum.wintricks.it/showthread.php?t=124369
http://forum.wintricks.it/showthread.php?t=128691

Personalmente lo ritengo un ottimo tool sempre aggiornatissimo. ;)

cippico
29-04-2008, 18.33.12
anche a voi e' apparso un msg dal vostro antivirus scaricandolo?

...uso kaspersky 6.xxx

ciaooo

leofelix
29-04-2008, 19.24.12
anche a voi e' apparso un msg dal vostro antivirus scaricandolo?

...uso kaspersky 6.xxx

ciaooo

sì, conosco il tool segnalato, l'ho usato in altre occasioni (o meglio l'ho usato tempo fa per altri che si erano infettati da "applicazioni fuorvianti" del genere e non riuscivano a liberarsene - cfr "SpyFalcon", "SpySheriff" tutto malware che avevano contratto).. molti antivirus lo segnalano come risktool o anche trojan, inclusi Kaspersky e AVIRA AntiVir.. ovviamente non è così:)

cippico
30-04-2008, 07.35.52
sì, conosco il tool segnalato, l'ho usato in altre occasioni (o meglio l'ho usato tempo fa per altri che si erano infettati da "applicazioni fuorvianti" del genere e non riuscivano a liberarsene - cfr "SpyFalcon", "SpySheriff" tutto malware che avevano contratto).. molti antivirus lo segnalano come risktool o anche trojan, inclusi Kaspersky e AVIRA AntiVir.. ovviamente non è così:)

grazie...

avevo immaginato...ma x sicurezza ho chiesto...

ciaooo a tutti