ciao Eklok88
Avvia nuovamente FRST e nella barra search scrivi svchost.exe.
Clicca su search file.Aspetta che finisca la ricerca.
Allega il log che troverai sulla pendrive Search.txt.
ciao Eklok88
Avvia nuovamente FRST e nella barra search scrivi svchost.exe.
Clicca su search file.Aspetta che finisca la ricerca.
Allega il log che troverai sulla pendrive Search.txt.
Search.txt
Ecco il log della ricerca con FRST, devo copiare il svchost.exe trovato in qualche percorso specifico?
Scarica il file in allegato e copialo sulla pendrive dove hai FRST.
Riavvia nuovamente FRST solo che questa volta clicca sul pulsante FIX una sola volta.
Importante è allegare il log che troverai sulla pendrive fixlog.txt.
Fammi sapere se dopo questa operazione il pc si riavvia correttamente.
Fixlog.txt
Non si è risolto ancora il problema, fermo sulla schermata nera con cursore inutile.
Non so cosa fare, ho cercato informazioni sulla cosiddetta Black Screen of Death, ma non trovo tutorial adeguati al caso in questione.
La radice del problema è senz'altro stata il virus 'Polizia di Stato'.
Dopo aver controllato l'integrità di explorer.exe, essere intervenuti su svchost.exe, non so cosa possa ancora inibire l'avvio corretto di windows 7 ultimate 32 bit.
Su geekissimo http://www.geekissimo.com/2009/12/02...-screen-death/ si parla di una procedura (non legata al virus in questione) ma non capisco come dovrei procedere.
P.S. Piccola nota, nel primo log di FRST vengono indviduati dei punti di ripristino dell' O.S. mentre nell'ambiente di ripristino, mi dice che non ci sono punti salvati, potrebbe dipendere da una chiave modificata dal virus?
Ultima modifica di Eklok88; 12-04-2013 alle 02.09.57 Motivo: mancanza di informazioni
Non dipende da infezioni da ransom altrimenti il log le avrebbe mostrate.
Il fatto che mancasse completamente un file di sistema è un fatto assai strano nelle infezioni da ransom.Non è quindi dipeso da quella.
Ora effettua quest'altra operazione con un nuovo file in allegato come hai fatto precedentemente.Ripristiniamo il sistema all'ultimo boot.
Dopo il riavvio rieffettua una nuova scansione con frst come la prima volta.
Se non si riavvia effettueremo uno scan disk.
Conosci questo file che viene caricato all`avvio?acmlightcu.exe
Ultima modifica di vicky67; 12-04-2013 alle 12.00.14
FRST.txtFixlog.txt
Ecco il Fix log, ed il log di FRST dopo aver fatto ciò che mi hai detto, curioso il fatto che nei servizi siano ricomparse queste due voci contrassegnate, che avevamo trattato con il Primo fix di FRST:
2 PowerOffer Service; "C:\Users\Filippo\AppData\Local\PosService\Pos.exe " [x]2 ServUpdater; "C:\Users\Filippo\AppData\Local\ServUpdater\Servic eUpd.exe" [x]
acmlightcu.exe invece dovrebbe essere un processo/servizio necessario per un software gestionale ( realizzato dal Sistema Informativo Agricolo Nazionale, Arbea, Arpea, Appag e Bolzano )
Dopo il fix e lo scan di cui ho allegago i Report, non parte comunque Windows 7, NON HO ANCORA fatto lo Scandisk/chkdsk perchè non saprei il comando esatto, ed i Flag giusti da mettere.
Sono dubbioso sul da farsi, come dici tu, giustamente non è un comportamento tipico da Ransom, ma sono sicuro che il Pc in questione ne fosse stato colpito, in quanto l'odissea è cominciata dopo lo spegnimento seguito alla schermata 'Polizia di Stato / UKash'...
In allegato nel prossimo post allego il report della pulizia fatta con Kaspersky Rescue Disk 10 che è stato il primo intervento speranzoso che ho fatto.
Scansione con Kaspersky.txt
In allegato vi è il report della pulizia fatta con Kaspersky Rescue Disk 10 che è stato il primo intervento speranzoso che ho fatto.
Kaspersky non ha eliminato ransom ma solo adware e il rootkit zero access.
Abbiamo ripristinato il pc ad una data antecedente il problema,ecco perchè sono ricomparse quelle voci.(non sarà un problema eliminarle se riusciamo a riavviare il pc)quindi non è un problema di registro.
L'ultima cosa che dobbiamo provare è quella di sistemare il file system nel caso fosse lui il problema del non riavvio.
Ora vai nelle opzioni di ripristino tramite ripara il computer e apri il prompt dei comandi,quindi scrivi:
chkdsk C: /r (spazio dopo chkdsk e dopo C: ).
Dai invio e aspetta che venga eseguito lo scandisk.
Se è su D devi dare il comando chkdsk D: /r
Su prompt dei comandi le lettere possono cambiare.Se non sei sicuro fallo anche su C.
Chkdsk di C: e D: fatti (entrambi terminati con: impossibile trasferire i messaggi registrati al registro eventi constato 50)
Ma una volta riavviato sono ancora fermo alla schermata nera con solo il puntatore.
Sai consigliarmi qualche strada da seguire per questo 'black screen of death' o per infezioni da rootkit zero access?
Non è più un problema di infezioni,anche se rimane da controllare l'mbr.
C'è qualcosa di corrotto nel sistema.
Abbiamo ripristinato il registro ad una data antecedente.
Abbiamo eseguito uno scan disk.
Rimangono solamente 2 cose da effettuare dopo di chè non resta altro che formattare.
1)Esegui ora un sfc scannow sempre da prompt seguendo questa guida.Metodo 1.
2)Scarica MBRFix dal link di seguito,portandoti dove è mbrfix Download Download
Salvalo, estrailo sul desktop.Ci sono 3 file nella cartella mbrfix .Copia solo mbrfix.exe nella pendrive dove hai anche FRST
Crea un file di testo e chiamalo fixlist.txt e poi copialo sulla pendrive dove hai FRST.
Al suo interno copia e incolla questo testo in grassetto
Start
SaveMbr: Drive=0
End
Avvia FRST come da guida e clicca sul pulsante FIX una sola volta.
Allega i log che troverai nella pendrive(Fixlog.txt e MBRDUMP.txt).
Questa procedura verificherà se c'è un'infezione sull'mbr.
Ecco i due log, non capisco cosa abbia mbrdump...
MBRDUMP.txt
Fixlog.txt
Il sistema non parte...
Ho eseguto l' Sfc Scannow dal prompt della modalità di ripristino F8, non dal cd (che non possiedo di Win7) fa lo stesso?
Non quotare le mie risposte per intero.Dopo aver scritto il testo fai invia risposta rapida.
L'mbr è completamente pulita.
Si è uguale.Ho eseguto l' Sfc Scannow dal prompt della modalità di ripristino F8, non dal cd (che non possiedo di Win7) fa lo stesso?
Non ci sono rimaste molte speranze per riavviare questo sistema.
Scarica combofix e mettilo sulla pennetta.
Riavvia il prompt dei comandi(verifica a quale lettere corrisponde la pendrive)
Scrivi F:\combofix.exe (sostiuisci F se la lettera fosse diversa) e dai invio.
Esegui il programma.
Al termine salva il log che potrai trovare anche in C combofix.txt.
Lanciando Combofix dal prompt, dalla chiavetta, mi da un errore prima del termine 'don't run combofix in compatibility mode' e mi ritrovo senza log.
Segnalibri