la miseria. Mi ero portato a casa il disco rigido per "sbegarlo" con calma e ho fatto un click sull'explorer del disco infetto, ed è stata la fine!

il virus è bastardissimo, mai vista una virulenza e ripeto una bastardaggine simile, infetta quasi tutto, ma soprattutto infetta gli antivirus!!! gli strumenti di pulizia del registro


è polimorfico si autoprotegge si nasconde, è invisibile a molti antivirus,è estremamente aggressivo effettivamente la tecnica dei virus ha fatto passi da gigante negli ultimi 10 anni.

Si fa beffe di Malawerebytes , ridicolizza Combofix, sputa in faccia a superantispyware, piglia per i fondelli gli strumenti di macafee , ma soprattutto butta nello sconforto l'utente.

come si può rilevare ? Basta mettere l'esplora risorse in modalità " mostra il file nascosti e di sistema " e si rileva in C:\ un temibile AUTORUN.INF il cui scopo è schiavizzare all'avvio explorer.exe

che ad ogni sua azione va ad eseguire una parte del visus che è sempre nella radice c:\ , un .exe o un .pif da 101KB, questo pezzo di virus si può anche eliminare, ma quando si va ad eliminare

l'autorun.inf si apre una trappola, il virus diventa più cattivo manda un segnale file in uso e si rigenera gambiando forma della parte in c:\ e anche l'autorun cabia in alcune parti (penso caratteri casuali)

Il virus ha voglia di vivere e per fare questo continua ad attivare programmi noti schiavizzati ed infettati alla ricerca di nuove contaminazioni.

Infetta .exe e sembra anche src, ed oltrtutto pdf (???????????!!!!!!!!!!!!!!!!!!!)

Mi ha infettato firefox, musescore, superantispyware, Malawerebytes
segue

Domandona...
questo può succedere se ti affidi ad un antivirus leggero come
quelli free o simili.
Non credo possa succedere con antivirus più performanti tipo
il russo Kaspersky.
Mia opinione..ovvio.
Mi accorgo quando trasferisco file nei pc di amici che hanno
i free installati, che puntualmente all'inserimento della chiavetta
usb nel mio pc, ricevo l'avviso dell autorun nella periferica.

è evidente che persone preparate possono fare di tutto, per fortuna la gente che fa questi virus è un po rozza, ma si stà evolvendo.


comunque ritorniamo alla brutta storia
L'avvio in modalità provvisoria è stato disabilitato(crash)la console di ripristino mi ha permesso di provare varie cose fixboot, chkdsk /f e tanto altro, non serviva a nulla cancellare i files conosciuti associati al virus si ricreavano . Le cose hanno iniziato a migliorare con l'installazione di xubunto su un altro disco che mi ha permesso di fare una profonda pulizia, le cose sono migliorate quando mi sono reso conto che l'explorer veniva schiavizzato, quindi l'ho cancellato da windows e l'ho messo in un'altra cartella utilizzando linux e poi il vero passo grande è stato fatto quasi per disperazione cancellare gli autorun.inf dalle voci di RUN del registro, io ne conosco 3(+2 di avvio autom) ho creato cinque file .bat questo è il vvv1.bat
eco primo

attrib -r -s -h c:/autorun.inf

attrib -r -s -h D:/autorun.inf

del D:/autorun.inf

del D:/autorun.inf

_____stessa cosa per altri file che si sono rivelati fake come gnogfo.sys (o qualcosa del genere) in system32

pause 0

Messo il nome del file nelle voci di run (hkcu, hklm ed un'altra ) e nelle cartelle di esecuzione automatica il virus miracolosamente era fermo o quasi, non ricordo bene se avevo gia nascosto l'eplorer, comunque dopo un pò il sistema si bloccava stranamente quando compariva l'icona di super antispyware, è stato chiaro a questo punto che c'erano processi zombi innestati da programmi in esecuzione automatica schiavizzati. Quindi avevo gia eliminato i file che guarda caso venivano aviati dai run del registro, in quanto avevano un'attività sospetta è dunque bastato fermare il processo di superantispyware (zombi) ed il virus era fermo, didinstallato subito antispyware riavviato, i vari vvv.bat mi davano tutti file non trovato, il virus era bloccato in coma ma ancora vivo e risvegliabile....

Si consiglia di tenere sempre aperto esplora risorse (explorer.exe) su una schermata che mostri file nascosti (snebbiati)
se il virus si attiva i file snebbiati scompaiono(vengono nascosti in quanto il virus è rhs), a questo punto spegnere con l'interruttore il più rapidamente possibile , se si è rapidi non fa neanche in tempo a ricreare i trojan nella root. Comunque i vari (e santi) vvv.bat potano al riavvio gli autorun.inf ed impediscono al virus di resuscitarsi, sempre che non siabbia lasciato qualche eseguibile impestato in esecuzione automatica quindi si riavvia da li.

Attenzione al didsistallamento dei programmi impestati si può riavviare(il virus), è successo con la disistallazione di malawarebytes, è ripartito il virus ed ha lasciato un residuo così malefico(dll da 78K) che unsuccessivo tentativo di ricopiarlo con esplora risorse lo ha riavviato.(l'ho eliminato con linux)

La maleficità del virus è impressionamte contiene penso un sacco di fake o residui di altri virus suppongo per depistare sembra crewato per incutere terrore è invisibile a molti antivirus ma con il gioco degli autorun e con la debolezza intrinseca degli antivirus è ineliminabile (in modo automatico)

Comunque il grande passo è stato dato dagli vvv.bat, il virus è stato bloccato i suoi processi sono fermi, disinstallato tutto java (partiva anche con un exe java)e adobee tanto altro basta un antivirus pulito come combofix per trovare il vero virus e non i fake , questo appare essere un driver fondamentale .sys che già era stato egnalato "locked" da combofix, comunque ora il problema sono gli exe impestati

via più semplice , se non va il sistema di riavvio in modalità provvisorio provare con msconfig.exe all'avvio o in una finestra dos o doppio click sull'icona se si trova.


mettere in modalità di avvio diagnostica . funziona abbastanza bene caricare "av avira" che riconosce il virus W32/sality e fare più passaggi , possibilmente con un boot precoce che sulle ultime versioni (almeno sp3) si può settare all'installazione fare andare una scansione in modalità provvisoria poi con tutti idriver , settare l'antivirus nel modo di guardare tutti i file e di rilevare tutto , euristica al massimo, al primo passaggio ho trovato 1500 trojan di due tipi al secondo ancora 5 , all'iizio c'erano 3 oggetti nascosti, alla fine 0 .In parle povere il virus aveva attaccato quasi tutti gli exe dei due dischi. processi virali si sono avuti fino quasi al terzo passaggio.

con il senno di poi . la via più semplice sarebbe stata

1° provare ad avviare in modalità provvisoria , se va in crash provare con msconfig.exe e dove c'è boot.ini settare la modalità provvisoria (o quella diagnostica su la schermata principale)

2° una volta in modalità provvisoria o comunque con servizi ridotti al minimo utilizzare su TUTTI i dischi CHKDSK /F /R /X alla riga di comando, probabilmente chiederà il riavvio ma allora forse è necessario l'avvio normale ( ci vogliono ore) in quanto il virus nasconde tramite errori file o simili

3° controllare con taskmanager l'attività del sistema se è troppo alta stare attenti potrebbe essere un processo virus attivo, bloccatelo! , stare molto attenti a non far partire nessun .exe sono TUTTI impestati(soprattutto quelli dei tool antivirus) NON CERCARE DI CANCELLARE .exe, CON PROCESSI VIRALI ATIVI QUESTI PARTONO AUTOMATICAMENTE(al limite cancellare da disco di avvio o linux).

4° scaricare un antivirus AGGIORNATO fare una scansione completa (va molto bene AV avira), scaricare una coppia di Malawarebites .Un problema potrebbe sorgere con l'aggiornamento , forse la connessione provvisoria con rete è adeguata.



5° fare scansioni complete e settare l'euristica al massimo tutti i riconoscimanti possibile e scansione negli archivi, sarà lento ma troverete migliaia di virus.

5° bis scaricare ccleaner e pulire ripetutamente il registro ( tramite errori il virus si nasconde)
5° tris utilizzare su TUTTI i dischi CHKDSK /F /R /X alla riga di comando, probabilmente chiederà il riavvio ( ci vogliono ore) in quanto il virus nasconde tramite errori file o simili
5°quarto ripetere scansioni

6° scaricare la suite di sysinternals (non scaricatela prima perchè viena attaccata dai virus ) usare rookitrevealar.exe e controllare per file nascosti e cose varie

7° scaricare ogni sorta di antirookit (da siti affidabili !! ) e fare scansioni ripetute se si trova qualcosa di incancellabile ripetere CHKDSK /F /R /X alla riga di comando sull'unità incriminata

8° ripetere un pò tutto fino a che tutti gli antirookit segnalino 0 oggetti nascosti e che tutti i file sospetti nascosti alle Api di Windows (ovviamente che non siano del sistema operativo) siano cancellati.

9° mettere un altro antivirus (ad es kaspersky) e fare scansioni approfondite, ma non fidarsi mai degli antivirus, non sono in grado di idendificare virus sconosciuti

10 Scaricare e scansionare con spybot (aggiornato !!) e continuamente pulire il registro con tool sicuri

Comunque informarsi il più possibile sul trojan trovato e tenere sempre sotto controllo i processi e l'uso di cpu da taskmanager.

comunque la logica del tutto è fermare i processi virali (almeno la maggior parte) e poi cancelalre i file e ripetere

Gli antivirus sono utili ma danno false sicurezze, spesso dell'infezione compare solo la parte che si "vuole fare vedere" ma la "testa " del virus potrebbe rimanere nascosta per sempre fino a che, anche dopo anni, viene letteralmente venduto il codice sorgente del virus (evidentemante fornisce reddito), ma a quel momento è già in circolazione la versione nuova e più potente.

ed in effetti finchè non è stato eliminato continuava a comparire un avviso in cui si chiedeva di installare una nuova periferica inesistente

Quindi tante scansioni di vari antivirus non hanno demolito i servizi fasulli e le modifiche ad explorer.exe che richiamavano in vita il virus ( che questo sia stato un filr reale o un errore di scrittura)