TR\Vundo.gen - PC inutilizzabile

[dp_5555]

ciao a tutti
ho letto questa discussione per cercare di risolvere il mio problema, anch'io sono stato infettato dal trojan vundo.gen

metto subito qualche info sulla mia "macchina"
pc: toshiba satellite
antivirus: avira
firewall: zonealarm

il fatto è che (oltre a non aver capito proprio tutto quello che bisognerebbe fare), appena accendo il pc, l'antivirus mi segnala il virus e mi chiede cosa fare. qualunque cosa scelga (eliminarlo, metterlo in quarantena...) dopo pochi secondi mi riappare la stessa finestra, e così all'infinito. più tempo passa e peggio è, mi si aprono anche tre avvisi contemporaneamente...
per di più quando uno di questi avvisi è aperto, non riesco a fare niente, aprire finestre, programmi, browser, menu avvio...

in sostanza, adesso come adesso, il pc è inutilizzabile.

forse bisognerebbe farlo partire in modalità provvisoria, o qualcosa di simile? se sì come si fa?

ringrazio già chi cercherà di aiutarmi!

Luca

PS: un ringraziamento all'utente Deifobe che mi ha ricordato una delle regole del forum...

[Deifobe]

Scarica Hijackthis e mettilo in un cartella dedicata (tipo: c:\programmi\Hijackthis).
Lancialo e clicca sul tasto "Do a system scan and save a log file". Posta il file di testo ottenuto.

[dp_5555]

il problema è che non riesco ad aprire niente, compreso il browser con cui driver scaricare il programma che dici...mi si aprono subito le finestre di avviso dell'antivirus e una volta aperte non riesco ad avviare nessun programma... mi scompare anche la barra delle applicazioni (che in realtà è l'unico modo che ho di lanciare dei programmi perchè non ho icone sul desktop)

sono riuscito a farlo partire in modalità provvisoria, ma anche lì ogni 10 secondi circa mi si chiudono tutte le finestre, mi scompare la barra delle applicazioni per alcuni secondi e dopo un po' riparte. passa una decina di secondi e ricomincia il ciclo, mi si richiudono le finestre, mi scompare la barra, ...

ho dimenticato di dire, il file infetto sarebbe C:\windows\system32\awvsr.dll

[Deifobe]

uhmm.. Richiama il task manager (ctrl+alt+canc)
a) clicca su "nuova operazione" e digita regedit.exe
b) termina il processo "explorer".
c) non chiudere il task manager fino al riavvio del pc.

Spostati nella finestra del registro e segui questo percorso fino a cliccare, se c'è, sulla cartella explorer.exe:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe ]

Se c'è:
1) prendi nota (precisa) del contenuto di questa cartella (lo vedi nella finestra a destra).
2) ora devi eliminarla:
- clicca su explorer.exe con il tasto destro del mouse => elimina.
--- se non te la fa eliminare, riclicca sulla chiave e scegli => autorizzazioni => controllo completo => spunta "consenti" per il tuo account. Riprova ad eliminarla.
--- se comunque non te la fa eliminare, controlla non sia attivo (vedi task manager) il processo richiamato in questa cartella. Se c'è, lo termini e riesegui l'operazione delle autorizzazioni.
3) eliminata la cartella, premi F5 e chiudi il registro.
4) sempre dal task manager: clicca su "nuova operazione" => digita explorer
5) posta il contenuto della chiave che hai eliminato.

[dp_5555]

tutto questo dovrei provare a farlo in modalità provvisoria o normale?

[Deifobe]

normale.. o da dove vuoi, in effetti..

[dp_5555]

ok, sono arrivato ad aprire il percorso che hai detto, ma non c'è la cartella finale explorer.exe

[Deifobe]

allora.. scarica SistemScan

Disconnettiti da internet => disattiva l'antivirus => esegui sistemscan => spunta tutte le opzioni => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi in C:\Suspectfile su www.sendmefile.com e posta il link ottenuto.
Se hai problemi con il SeDebug, scarica SeDebug-Restore ed esegui l'applicazione. Riavvia e riprova con SystemScan

[dp_5555]

sono miracolosamente riuscito a far partire il browser e quindi a scaricare Sistemscan. (in pratica appena mi si apre il desktop, fra un avviso dell'antivirus e l'altro, ho qualche secondo per aprire qualcosa, come se il pc funzionasse. dopodichè mi sparisce la barra delle applicazioni e non posso aprire più niente perchè non ho icone sul desktop...)

per disattivare (e successivamente riattivare) l'antivirus, posso in qualche modo usare il task manager? perchè non apparendomi la barra delle applicazioni, non vedo nè l'icona in basso a destra nè il menu avvio...

[Deifobe]

per aprire le risorse del computer clicca su nuova operazione e digita explorer
prova a lanciarlo, vedi se va