PC posseduto da un virus - Ho provato con un esorcista ma niente.

[sampey]

Salve a tutti:

volevo chiedervi come posso fare per ripristinare il mio pc,un intel pentium 4 cpu1500MHz 512 ram con xp servis pack 1,siccome ho preso un virus (troian) che anche formattando il sistema operativo appena installo di nuovo i vari programmi e poi l'antivirus appena finisco l'installazione subito va in allarme dicendomi che ho un troian nel sistema. Ho formattato tre volte il pc direttamente con il cd di installazione facendolo partire dall'inizio con la lettura dall'unita D: e seguento le varie procedure ma niente il virus è sempre li. Un mio amico ha detto che il virus non si trova nel sistema ma nella memoria della scheda madre oppure nel bios. cosa posso fare vi prego aiutatemi

[geoline]

Hai solo un disco nel sistema?

Il disco ha più partizioni?

Se la risposta è sì alla prima domanda e no alla seconda, è possibile che il virus abbia infettato l'MBR del disco o che sia effettivamente annidato nella ram o nel bios.

Scollega l'alimentatore dalla rete, apri il case del PC, togli la batteria della scheda madre e sconnetti la o le RAM.

Rimuovi l'HD, montalo come secondario su un'altro PC ed esegui una scansione da quello.

Rimonta la batteria e le RAM, rimetti a posto tutto e ripeti l'installazione se è stata interrotta, altrimenti prosegui con le installazioni mancanti.

E' una soluzione radicale, ma avresti potuto salvare i dati se non avessi formattato e reinstallato sopra.

Se NON hai un'altro PC dal quale fare la scansione, è prudente formattare a basso livello e ripetere l'installazione da zero.

[arrr]

non facciamo confusione...

la memoria ram si svuota alla chiusura di windows quindi non può essere stata infettata da virus

è improblabile che il virus abbia distrutto il flash del bios

io ti consiglio di cancellare la partizione del so,ricrearne un'altra dalle dimensioni leggermente diverse,fare una formattazione completa,installare windows e dopo antivirus e firewall prima di connettersi di nuovo

se non risolvi prova cambiando hd e installando il so lì

[ottobre_rosso]

a proposito di MBR, qualche mese fa' ebbi un problema a riguardo che, nemmeno formattando, risolvevo. Ecco la soluzione che adottai:

Dunque ho fatto una scansione con Gmer e PrevxCSI ed entrambi mi hanno rilevato il rootkit.

Quindi ho proceduto cosi':

- scaricato mbr.exe e ho messo l'eseguibile in C:\

-riavviato in modalita' provvisoria

- start - esegui - C:\mbr.exe -f

- in C:\ si crea un file .log dove dovrebbe apparire che ha rimosso il rootkit, o qualcosa del genere

- riavviato e ripetuta scansione con Gmer e PrevxCSI (esito negativo)

[geoline]

Non sono daccordo, ma non intendo polemizzare.

Il Flushing "dovrebbe" essere effettuato ad ogni chiusura, ma alcuni virus si annidano nella RAM.

Se non ci credi, non importa.

In quanto al BIOS, non credo si sia parlato di distruzione, ma esistono virus in grado di infettarlo. Sono virus piuttosto datati, ma nessuno può garantire che non ne siano stati prodotti altri o che anche uno di quelli vecchi faccia ancora effetto.

[ignazioedo]

Ciao, Geo secondo me l'hai fatta troppo difficile..

avrebbe potuto installare per es. Avast e fare la scansione..

Avast appena avviato scansiona la Ram e se trova qualcosa di ostico, chiede di scansionare il Pc al riavvio...

ma si sà i più bravi delle volte la buttano sul difficile..

[geoline]

Mettiamola così.

Vediamo il risultato e ne capiremo di più tutti.

P.S.: Non confondete i miei interventi con la scienza infusa. Solo, tenete presente che esistono virus che si annidano anche nelle RAM e nel BIOS ed altri che INIBISCONO L'ANTIVIRUS E GLI IMPEDISCONO DI FARE IL SUO LAVORO.

Poi, magari la cosa è pi semplice ed ha il sistema craccato male e non funziona per quello.

[lucios]

Scusa geo, non sono un esperto, ma secondo me la probabilità che esista un virus capace di installarsi nel bios è remota, poichè i virus moderni occupano qualche Kb di memoria e, nel bios, in genere non ce n'è tanta a disposizione. Sicuramente esisterà qualche buontempone (gli venisse una bella dissenteria) che avrà studiato il modo di andarti a rovinare (modificandolo) il bios, data la possibilità di poter fare l'upgrade via software, ma un virus vero e proprio non so.....

Nella RAM poi mi sembra impossibile, poichè ad ogni spegnimento perde i dati, quindi il virus verrebbe cancellato.....

Però, ripeto, non ne so più di tanto, quindi se hai informazioni sull'argomento faccelo sapere.

Ciao

[geoline]

Leggete qualche esmpio:

- quì;

- quì;

- quì;

ma se non vi sembrano sufficientemente autorevoli, potele leggervi una lezione pubblicata sul sito dell'Università di Milano

E, a proposito di BIOS:

"CIH Payload

Myth: The CIH virus infects the BIOS.

Fact: It does not infect the BIOS. It overwrites part of it with garbage.

Myth: The CIH virus can overwrite any BIOS.

Fact: It can only overwrite some kinds of Flash BIOS. A Flash BIOS can be reprogrammed with software. The exact method for reprogramming it varies from machine to machine. Estimates of the number of computers vulnerable ranges from the majority of computers to 2% of computers. But even if it fails to flash the BIOS, it will still erase the hard drive.

Myth: If the CIH virus succeeds in flashing the BIOS, you have to buy a new computer.

Fact: Some computers have a fail-safe mechanism for reflashing the BIOS that can read a BIOS update from a floppy. It usually communicates using the lights on the keyboard, or by the speaker. Check your computer manual for details. Another possibility is swapping BIOS chips while the computer is running, this will probably void your warranty, and you should only do it if you know the insides of your computer and your Flash BIOS program.

Here are also some links the BIOS recovery sections on some motherboard sites. I'm not sure if these particular boards are vulnerable to CIH's payload; I don't have spare motherboards laying around that I can just trash. "

Tratto da quì.

Ma potrete trovare qualche altro migliaio di fonti semplicemente cercando; o cercando.

Ah, se ci fate caso....

... con Linux NON riescono ad attivarsi (non trovano C:)

[nll]

Questo è tratto dal primo link che hai postato, Geoline, ma anche gli altri due confermano la cosa: la RAM non è scrivibile permanantemente e quindi il suo contenuto si perde allo spegnimento della macchina.

Un SW è permanente/residente in RAM perché vi rimane anche dopo la chiamata, nonostante che l'output possa farlo sembrare concluso. L'esempio dell'utility del calendario/agenda è classico, ma possiamo metterci anche molti virus-guard e così via.

Se un virus è annidato in RAM come residente, si riserva un'area privilegiata della memoria, lasciando lo swap agli altri applicativi non residenti. Sovente la parte residente non è direttamente il virus, ma le istruzioni per richiamarlo, eventualmente dopo averlo ricomposto da una forma criptata, o splittata, che lo rendeva irriconoscibile agli antivirus. In questo caso l'antivirus potrebbe credere che la RAM sia pulita durante il check che viene fatto prima di una scansione.

Il BIOS può essere scritto, particolarmente quelli più recenti e upgradeable, ma normalmente questo avviene solo all'avvio da un disco già infetto, per questo alcuni virus vanno rimossi immediatamente e non dopo il reboot. Non sempre si ha successo a riavviare l'installazione/aggiornamento del BIOS da CD in quanto le istruzioni primarie per leggere il disco possono essere state compromesse dal virus.

lucios, è vero che in BIOS non c'è molto spazio per memorizzare tante istruzioni, ma non ne servono molte per creare grandi danni: l'istruzione che gli dice dove cercare il sistema operativo basta già per indirizzare il sistema verso un malware che si installi a un livello superiore al SO stesso!

L'ultimo link (dei 3) che riguarda gli interrupts spiega un po' come intervengono anche i virus residenti, che agiscono mascherati da fermate invocate dall'utente stesso e quindi maggiormente tollerate dai virus-guard residenti.

Modificato: 8 agosto 2008 da nll

[arrr]

e allora geo perchè non cambiamo i banchi di ram solo perchè forse un virus è nella ram...

prima è meglio fare la prova con un altro hd,poi si vede

non bisogna andare a caccia di mosche col bazzuka!

[geoline]

Intanto mi quoto:

In nessun momento ho detto che la soluzione E' QUESTA.

Semplicemente, le possibilità sono MOLTE e più complesse di quanto si pensi.

Per quanto riguarda il flushing, a volte un reboot NON è sufficiente.

Le schede ATX, infatti, se non scollegate la tensione o spegnete dall'interruttore dell'alimentatore, rimangono sotto tensione. In alcuni casi lo scarico del contenuto della memoria viene FORTEMENTE rallentato ed un riavvio normale non è sufficiente alla cancellazione dell'eventuale virus residente che, invece, attivo a livello superiore al sistema operativo, ne condiziona i comandi.

Uno dei sintomi tipici è l'innalzamento sproporzionato della temperatura della CPU in fase di avvio della macchina.

Installatevi un programmino di controllo delle temperature in una macchina infetta e vedete quanto lavora la CPU (apparentemente a riposo).

E, mi ripeto ancora, l'inforNatica è come la Medicina; in presenza di malattie, il medico ha necessità di fare analisi e verifiche per poter formulare una diagnosi e, conseguentemente, prescrivere la cura.

Il nostro amico NON ci ha ancora confessato l'inconfessabile: il sistema è regolare o ??

[sampey]

Ciao ragazzi:

pensavo fosse più facile invece c'è da capirci meglio. Volevo scusarmi se con il mio problema stanno verificandosi un pò di incomprensioni tra di voi ma essendo un forum ognuno dice la sua. comunque ringrazio tutti quelli che mi stanno aiutando,con quello che costa ho gia comprato due litri di benzina per il mio pc speriamo di non usarla. Voglio dirvi che il mio pc (vi prego di non ridere) ha un hardisk da 20G e essendo piccolo ogni volta che lo formatto creo una partizione nei 20G e lo formatto completamente con i file ntfs se non sbaglio si chiamano cosi. quandol'antivirus ovvero nod32 (che a mia vista è un ottimo antivirus)mi trova il troian mi dice che sono stati infettati dei file importanti del sistema oltre questo mi sono usciti molti allarmi da parte di windows che il mio sistema era danneggiato da un wrom (penso si srivi così) e che questo virus era nascosto in una memoria del sistema chiamata 000000000......equalche numero che non ricordo. Ora quello che chiedo che sta succedendo al mio pc? Nonostante questo riesco a lavorarci solo che il virus c'è sempre e da quando ho preso il wrom una slot di memoria è andata in tilt non me la riconosce più sia la ram che la slot è fupri uso fortuna che l'altra da 500 insieme la slot funziona. vi prego aiutatemi

[maxtv]

Scusate tutti... sto' seguendo la discussione ,devo dire molto interessante ,non posso dire il mio parere su possibili infezioni del B.i.o.s o su ram non infettabili (non ne sono in grado,..) le mie cognizioni si fermano all'assemblamento di pc. o riparazioni e all'istallazione dei s.o Windows (che non sono a dire il vero un granchè ), oltre all'uso dei vari software ,.....Quello che mi sento di dire è che ,probabilmente,...il nostro amico si dovrebbe dotare di un Hd da 80 gb. nuovo,( un disco da 20 con file sistem NTFS.....?????? ci girava bene Wind.98 ...con il FAT32....!) inoltre consiglierei di resettare il B.i.o.s...ponticello o distacco batteria,dare una pulitina dalla polvere sulla MB e specialmente sugli slot dove si innestano le DDR , una passata con straccetto imbevuto con un po' di spray per contatti,sui pin dorati delle DDR, e successiva asciugatura dei pin stessi..se le ram sono buone,la MB con il Processore fanno il loro dovere,......IL disco di installazione di xp non contiene errori( Ma il lettore cd/dvd è affidabile ...?) , si ritrovera' un pc con XP efficiente ....per me non si è attivato nessun virus....Ciao a tutti ...!!!!

[maxtv]

Scusa ,sampey ,, mi sono dimenticato di dirti :ma le ram che monti sono ddr o le vecchie SDRAM ..? Non è che ti puoi procurare un disco di XP con sp2 integrato ..??? (per provare ....non è che ti voglio sconfinare nell'illegalita' da software non provvisto di licenza ......facci sape'

[sampey]

ciao maxtv:

grazie per la risposta volevo chiedere qual'è la differenza tra i file ntfs e fat32? Anche se tu dici che un disco da 20G con i file ntfs non vanno bene o almeno credi che non girano al megli,ti posso assicurare che non ho mai avuto problemi e io il pc lo faccio lavorare duro e quelle poche volte che ho preso qualche virus è stata solo colpa mia perchè scaricare è bello ma spesso si aprono porte che se non stai attento ti infettano. In questo caso il mio difetto è strano perchè quando ho avuto problemi l'antivirus non mi ha avvertito ma windows ha subito cominciato a inviarmi allarmi stranissimi tra cui che il mio sistema era stato infettato in modo grave e che mi dava 40secondi di tempo per salvare i dati per poi spegnersi subito,una volta riacceso ho fatto una scansione e sorpresa? L'antivirus mi ha trovato un troian e un wrom(penso si scrivi così) .comunque il cd con sp2 c'è lo e ora proverò a istallarlo ti farò sapere. SCUSA dimenticavo le ram sono le vecchie sdram lo so vi viene da ridere è tutto vacchio e da buttare ma vi assicuro che nonostante abbia lavorato duro questo pc va alla grande anche con il virus.

[maxtv]

Ciao, in effetti ,xp si puo' anche installare su di un disco da 20,ma siamo al minimo...se poi tu lo avevi anche partizionato... In verita' ti dico che l'ultimo HD decente da 20 (che non scampanellava,che non perdeva dati per strada e ci si faceva una buona deframmentazione,ormai sono 3 anni che non li trovo dentro il case ...) FAT e FAT32 sono i filesistem dei vecchi W95 -98 -ME ...XP lo devi formattare con NTFS. Guarda che un HD da 80 o 120 non costa molto ed è sempre un "pezzo"che potresti utilizzare rifacendo un pc nuovo , riassemblandolo ....per altro prova afare come ti ho consigliato..a proposito ..ma la batteria del B.I.O.S l'hai mai cambiata ???? Ce l'hai unXP sp2 ?

[maxtv]

Sono sempre dell'opinione che non C'è nessun virus ..vai con SP 2 ..E cambia la pila !!!

[arrr]

non è detto che xp lo devi mettere per forza su ntfs.

il tipo di file system dipende dall'hd che usi.

xp può essere installato sia su fat32 sia su ntfs

la differenza tra i due file system sta nella gestione dei cluster;fat 32 è più performante con hd piccoli(fino a 10-15 gb) mentre con hd più grandi devi usare ntfs anche perchè fat 32 non supporta hd maggiori di 40gb

è un po come il vecchio fat usato da win 95 che funzionava anche con win 98 per hd fino a 2 gb

usando il file system opportuno otterrai più velocitò dell hd e minor spreco di spazio

xp si puo insatallare anche su un hd da 4 gb non è quello il punto

il pc va lent o quando ci sono troppi processi in esecuzione!

con xp sp2 non vai molto lontano comunque bisogna installare almeno un firewwal decente per avere un minimo di protezione

un consiglio spassionato:installa linux

la batteria del bios provvede solo a mantenere i settaggio del bios quando manca l alimentazione non centra nulla col virus!

[arrr]

non serve avere un pc nuovo e potente e poi riempirlo di porcherie,darà sempre di meno di quello che può dare!

non importa che il pc e vecchio bisogna sfruttare appieno ogni cosa!

[sampey]

CIAO A TUTTI:

grazie a voi ho evitato di dare fuoco al mio pc. Seguendo i vostri consigli ho riparato il mio pc avendo fatto delle prove. Per prima cosa come consiglito dall'amico GEOLINE ho provato il mio hd sul pc di mio cognato e sorpresa appena fatto una scansione il'antivirus non ha trovato nulla, rimonto il mio hd sul mio pc e facendo la scansione trova i virus allora mi domando se sono io quello che non sta bene o è il mio pc. Fatta questa prova stacco l'alimentatore dalla scheda tolgo la batteria e lo rimango fermo per un ora. Rimonto tutto,accendo e mi chiede di ripristinare la data con l'orario fatto ciò carica windows e faccio una scansione solo che questa volta (e vorrei che qualcuno mi facesse capire perchè è successo tutto questo)senza capire il perchè neanche l'ombra di un virus. Per essere sicuro che tutto sia apposto formatto tutto il pc installo tutto di nuovo senza fare connessioni faccio una scansione per essere sicuro e con mio stupore tutto è perfetto nessun virus nessuno allarme all'accensione niente di niente il mio 20G è tornato nuovo e va alla grande. vorrei che qualcuno mi spiegasse cosa è successo e sopratutto perche staccando la batteria tutto è tornato normale. grazie a tutti voi e a MAXTV che dall'inizio pensava che non ci fossero virus e se cortesemente mi risponde facendomi capire perchè era convinto di ciò. grazie

[nll]

E' accaduto quello che si è scritto in precedenza: il virus era caricato in memoria e a farlo ha provveduto un'istruzione memorizzata nel MBR o nel loader del Bios, che puntava a un'area del disco NON ASSOCIATA ad alcun file, quindi gli antivirus scoprivano solo che c'era un virus, ma non potevano rimuoverlo. Resettando il bios è scomparsa l'istruzione che puntava all'indirizzo contenente il malware (che è ancora presente nel disco, ma ora probabilmente è possibile che venga sovrascritto da un altro file regolarmente memorizzato nell'hard-disk).

Avevo un giochino che funzionava con quel sistema e registrava i punteggi a un preciso indirizzo di un dischetto, così teoricamente non potevi copiare il punteggio e il quadro raggiunto per spostarlo su un'altra macchina o nuova installazione del gioco. Noi che invece volevamo fare lo stesso ciò che non si doveva... (apposta per quello ) con un software stile PCTools analizzavamo il disco e individuavamo l'area, ce la copiavamo e la duplicavamo sul nuovo sistema. Ammetto che sono stato ancor più disonesto, perché mi sono arricchito lo score e ho saltato qualche quadro dandolo per fatto, lasciando lo stesso tempo, per l'invidia degli amici che non conoscevano il trucchetto

Tranquilli, ora non amo più i videogiochi e non faccio più di queste cose.

[maxtv]

Sono contento per la risoluzione dell'enigma, in risposta all'amico arrr volevo precisare che lo so' anche io che XP si puo' installare su fat 32 (lo da' come opzione durante l'installazione, ed inoltre la Microsoft stessa non ha mai detto di usare solo ntfs) era solamente un modo per convincere l' amico sampey a rinfrescare il proprio pc con un hd nuovo , piu' capiente e sicuramente piu' performante ,d'altronde lo ha detto lui stesso che lo spreme di brutto.....nel disco da 20..una volta installato XP,i drivers ,l'antivirus ,....ci vogliono alcuni prog. altrimenti come giri e scarichi su internet..,devi mettere winrar,Adobe ,un Player video + i codec ,un programma di masterizzazione.. e se gli serve , anche Office ,per installare e far funzionare altre cose poi ci vuole Net framework, insomma..considerando anche l'archiviazione dei Suoi file importanti..cosa ci rimane ? Per quanto riguarda il SP1 ..è chiaro che la soluzione del suo problema non era installare con SP2... ma io su internet con XP SP1 liscio non ci vado ,mi mancherebbero una trentina di aggiornamenti sulla protezione !!!! forse è stato questo l'origine del suo worm o malware che sia... Se adoperasse Linux forse sarebbe meglio , come hai consigliato tu.. ma lo dovrebbe provare ! ...e allora si torna al vecchio consiglio di ..Hd da 80 Gb.. ..2 partizioni ,1 xp da 50 e 1 da 28 per provare Linux....e poi .. ognuno fa' quello che vuole se è convinto che sia la cosa migliore !!!

[maxtv]

Sampey, ti rispondo per quanto riguarda il virus: la mia era una sensazione..alcuni anni fa' mi era successo qualcosa di simile e avevo risolto cosi' ..interpretando ...in mancanza di cognizioni specifiche ,con errori dell'antivirus ad interpretare qualche istruzione Bios/winzozz ...pensa te ... la spiegazione di nll "potrebbe" essere valida ..dimenticavo.. la batteria ti avevo consigliato di sostituirla perchè non sono eterne...il tuo pc ha qualche anno e ormai la dovevi staccare, una nuova costa una sciocchezza.....io i pc li assemblo e gli faccio un po' di manutenzione ...era una "deformazione profess." ............ Comprati un Hd da 80 !!!!

[nll]

La batteria è bene sostituirla almeno ogni 4 anni, ma a volte anche prima. Se è più vecchia è una cosa da fare senz'altro e senza attendere di avere dei problemi.