File nascosti e virus: W32/AutoRun-OY

[Nazza78]

Buongiorno a tutti.
Sono un neo-iscritto al forum... per necessità!
Sono vittima del macello-AVG di questi giorni, dal quale sono uscito con non poca fatica, da incompetente totale di informatica quale sono.
Però adesso ho il problema dei file nascosti che non vogliono farsi vedere, e le soluzioni da voi postate fin qua non sembrano funzionare. Ecco il riassunto di ciò che è successo:

- Dall'HD col sistema operativo non riesco più -di colpo- ad avviare XP

- avvio XP dal mio HD dati, su cui conservavo un sitema operativo vecchio in caso di emergenze. Da qui formatto un vecchio HD che avevo in un cassetto.

- Installo XP e avvio dall'HD vecchio. Funziona, tranne che i file nascosti non sono più visualizzabili

-AVG mi vede un virus in \windows\system32\gasretyw1.dll, ma evidentemente non riesce ad eliminarlo, giacchè ricompare di continuo.

- mi scarico l'immagine del rescue disk Kaspersky più recente che riesco a trovare in rete. Mi trova qualche Trojan e un Worm. Pulisco tutto, anche se l'aggiornamento virus ha più di 15 giorni.

- riapro XP, mi scarico Kaspersky (free trial), lo aggiorno ad OGGI ed elimino un altro po' di robaccia che il rescue disk non vedeva.

- Il mio HD originale col sistema impallato ancora non parte.

- Faccio partire un file .reg che trovo in rete e mi ricompaiono i file nascosti, salvo poi sparire di nuovo al successivo riavvio. Da questo momento in poi, il trucchetto del file .reg non funzionerà più

- girando per forum, scopro che la colpa del mio impallamento iniziale era AVG! Scarico l'immagine dell'utility apposita, che mi riavvia il sistema in un lampo.

Ora quindi ho riavviato il mio XP originale, ma devo assolutamente capire alcune cose:

1. Come faccio a scoprire se mi sono ripulito definitivamente dal virus che mi ha fatto sparire i file nascosti?
2. Come faccio a farli ricomparire? Vado in regedit e faccio tutto quello che c'è da fare, correggo i dati binari da correggere, ma poi ritorna tutto maleficamente come era prima!
Sembra quasi una magia... Grazie dell'aiuto!

Emanuele

[Deifobe]

ciao Emanuele, ho diviso il thread... la prossima volta aprine uno nuovo, come da regolamento.

apri il blocco note e copiaci dentro questo:

@echo off
regedit.exe /e C:\hidden.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\Advanced\Folder\Hidden"
notepad C:\hidden.txt

salvalo sul desktop come:
nome: 1.bat
tipo di file: tutti i file

ed eseguilo
Posta il contenuto del file che compare sul desktop (lo trovi anche in C:\hidden.txt)

[Nazza78]

Accidenti, che risposta prontissima!

Scusa per non aver aperto un nuovo thread... non sono molto pratico di policy perché non frequento forum dai tempi di Fidonet (tipo forse 15 anni fa?) :-)))

Fatto il bat, ecco cosa esce:

==============

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,0 0,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00 ,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c ,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\NOHIDDE N]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVe rsion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVe rsion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000000
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

[Deifobe]

non so quali siano i dati che hai già corretto, non lo hai scritto..
in un file di testo copia/incolla:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
;

salvalo con file.reg
tipo di file: tutti i file

Se lo hai già fatto o se non funziona, nel registro controlla anche:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced

"Hidden" => deve essere 01
"ShowSuperHidden" => deve essere 01

ciao

[Nazza78]

Allora, inizialmente avevo seguito le tue istruzioni che qui cito:

==================
Apri il registro (start => esegui => digita regedit e dai l'ok).
Clicca su "Risorse del computer", poi su "file" => esporta => salva la copia del registro in c:\

Poi segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

Nella finestra a destra individua:
CheckedValue => deve essere Dati 0x1

DefaultValue => deve essere Dati 0x2

Se i dati sono diversi, modificale: clicca su CheckedValue 2 volte e modificalo in 1. Poi clicca su DefaultValue e modificalo in 2.

Poi vai in:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced

"Hidden" => deve essere 01
"ShowSuperHidden" => deve essere 01

Riavvia il pc e controlla se riesci a visualizzare i files e le cartelle nascoste.

============

Niente da fare.
Ho fatto il batch come mi hai suggerito, e ho provato anche a fare il .reg. L'ho avviato, ma non è successo nulla.
Ho anche controllato HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced

C'è "Hidden" 2
E c'è "SuperHidden" 0

NON c'è "Show SuperHidden"
Cmq provo a impostare su 1 entrambi i valori. Esco, riavvio, e non è cambiato nulla.
Se apro regedit scopro che i due valori sono tornati da soli a 2 e 0....

Mah!

Ema

[Deifobe]

se hai qualche programma che potrebbe bloccare le modifiche, disabitalo momentaneamente..

comunque, vediamo prima se nel pc c'è altro:

scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

------

edit: poi, prova ad eseguire qesto file e riavvia il sistema: http://www.savefile.com/files/1887897
dura un attimo, non vedrai nulla.
dimmi se è cambiato qualcosa (riguardo il registro)

[Nazza78]

Non credo di avere programmi che possano bloccare le modifiche... cmq ho chiuso tutto, persino lo screensaver :-)

Scaricato systemscan, ho chiuso AVG. Ho spento il modem.
Ho fatto partire Systemscan, ma mi diceva che non riusciva ad accedere alla rete per controllare eventuali aggiornamenti.
Ho riprovato a modem acceso, e ho scoperto che il mio firewall (Sygate) deve essere stato danneggiato dal virus o dall'anti-virus: si impallava al momento in cui chiedeva conferma per l'accesso al web, e si impallava anche ad avviarlo.
Ho comunque effettuato la scansione.
Ho poi disinstallato il firewall e avviato systemscan col modem acceso in modo che potesse aggiornarsi: credo l'abbia fatto, ma non me l'ha confermato in alcun modo.
In ogni caso ho spento il modem prima di fare clic su Scan now, in maniera da effettuare la scansione senza essere connesso a Internet, come suggerivi tu.

Ebbene, il programma non ha segnalato nessuna finestra di avviso, ma ha prodotto dei log abbastanza lunghi che non so interpretare.
Poi ho scaricato il misterioso file che hai segnalato (a proposito, cos'era?), e l'ho eseguito.
Riavviato tutto, nei registri non è cambiato nulla.
Ho provato ancora a reimpostare i valori corretti e a riavviare, ma i maledetti file rimangono nascostissimi...


----Ti ho appena inviato in pvt i links ai log


Emanuele

[Deifobe]

Originariamente inviato da Nazza78
Ho fatto partire Systemscan, ma mi diceva che non riusciva ad accedere alla rete per controllare eventuali aggiornamenti.
Ho riprovato a modem acceso, e ho scoperto che il mio firewall (Sygate) deve essere stato danneggiato dal virus o dall'anti-virus: si impallava al momento in cui chiedeva conferma per l'accesso al web, e si impallava anche ad avviarlo.

ora controllo i rapporti.
systemscan non si connette x scaricare gli aggiornamenti...

Riguardo il file che ti avevo inviatio, era solo una modifica al registro ma vedo che il problema non era quello.


Passiamo ai rapporti.

[Deifobe]

1) hai quest'infezione ancora attiva

2) Spybot - Search & Destroy è uno dei programmi di cui ti parlavo per quanto riguarda le modifiche (anche se nel tuo caso credo sia più opera del worm attivo)

3) se hai pen drive o HD esterni, è probabile che siano infetti anche loro

------

a) da risorse del computer clicca su => strumenti => opzioni cartella
in "visualizza" =>
- spunta "visualizza cartelle e file nascosti"
- togli la spunta a "nascondi i file protetti di sistema"

b)io, a parte l'autorun in c:\, trovo questi (che richiamano l'infezione):
F:\autorun.inf
F:\Partizione 2007-3\autorun.inf
I:\autorun.inf
K:\autorun.inf

e per ciascuno dovresti trovare dei file 0w.com
Nel caso siano partizioni del pc, ho provato ad inserirteli in avenger (punto d)..
nel caso siano dispositivi removibili con memoria (pen/HD esterni), vanno puliti, altrimenti ti infetti novamente non appena li colleghi al pc.

Se li hai e se quelle sono le unità cui fanno riferimento, collega i dispositivi removibili al pc tenendo premuto il tasto shift ed elimina il file autorun (se c'è) ed 0w.com. Elimina anche, se presenti, gasretyw0.dll, gasretyw1.dll o kamsoft.exe. Fatto ciò, scollega l'unità.


c) apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"kamsoft"=-
;

salvalo sul desktop come:
nome: 2.reg
tipo di file: tutti i file

d) scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

files to delete:
C:\DOCUME~1\Emanuele\IMPOST~1\Temp\jar_cache29170. tmp
C:\WINDOWS\system32\gasretyw0.dll
C:\WINDOWS\system32\gasretyw1.dll
C:\WINDOWS\system32\kamsoft.exe
F:\autorun.inf
F:\0w.com
F:\Partizione 2007-3\autorun.inf
F:\Partizione 2007-3\0w.com
I:\autorun.inf
I:\0w.com
K:\autorun.inf
K:\0w.com
C:\autorun.inf
C:\0w.com

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.

e) appena dopo il riavvio, esegui il file 2.reg che avevi salvato sul desktop

a questo punto mi dici se hai ripulito le pen... e poi vediamo sul da farsi..

[Nazza78]

Ciao!!

Originariamente inviato da Deifobe

3) se hai pen drive o HD esterni, è probabile che siano infetti anche loro

Si, avevo il sospetto che arrivasse da una pendrive.

Originariamente inviato da Deifobe
- spunta "visualizza cartelle e file nascosti"
- togli la spunta a "nascondi i file protetti di sistema"

Come sai, non è possibile farlo. Però ho visto che se tolgo la spunta a "nascondi i file protetti e di sistema", per qualche decina di secondi me li lascia trovabili con la funzione "cerca".

Originariamente inviato da Deifobe
Nel caso siano partizioni del pc, ho provato ad inserirteli in avenger (punto d)..
nel caso siano dispositivi removibili con memoria (pen/HD esterni), vanno puliti, altrimenti ti infetti novamente non appena li colleghi al pc.

OK, quindi se sono partizioni non devo cancellarli io? Cmq K è l'unico HD esterno che vedi, le altre sono partizioni. Poi dovrò pulire anche le mille schede sd e cf che ho.... :-(

Originariamente inviato da Deifobe

Se li hai e se quelle sono le unità cui fanno riferimento, collega i dispositivi removibili al pc tenendo premuto il tasto shift ed elimina il file autorun (se c'è) ed 0w.com. Elimina anche, se presenti, gasretyw0.dll, gasretyw1.dll o kamsoft.exe. Fatto ciò, scollega l'unità.

Con la funzione "cerca" trovo tutti questi file, ma non riesco a eliminarli: forse utilizzo un metodo troppo ingenuo, ma me li spedisce nel cestino. Non appena lo svuoto, mi ricompaiono da dove li avevo eliminati.

Io intanto inizio a scaricare Avenger...
Ciao!
Ema