Salve,
Ho installato avg, aggiornato e scansionato il pc e mi ha rimosso automaticamente i seguenti trojan.

Solo che ora all'avvio del pc mi compare un messaggio di errore in cui dice che manca il file "C:/WINDOWS/svchost.exe" e visto che mi segnala la sua mancanza in "windows" (cartella) e non in "system32" è chiaro che si tratta del virus che ho eliminato (almeno credo).
Successivamente chiudendo questa finestra d'errore ne compare un' altra che mi suggerisce di eliminare dal registro di sistema il richiamo al file "svchost.exe".

Come agisco nel registro di sistema? Devo realmente agire dal registro? O posso risolvere in un altra maniera?


Inoltre... facendo doppio click sull icona dell'hard disk "C:" non mi fa entrare in c perchè una finestra di errore mi dice che manca il file "copy.exe"... però posso comunque accedere a c per altre vie, mi dà questoproblema solo col doppio click.

Come risolvo quest'ultimo problema?


Grazie, attendo risposte   

[Perlovga.Remover]

Ciao

mmmh...........  ho seri dubbi che Avg sia bastato a riplire il pc da questi malware , sono veramente subdoli, se pensi che sia stato eliminato vai verso fondo pagina , c'è un passo riferito al registro


in giro ci sono molte procedure x rimuovere il problema, procedure che + o meno si somigliano  ma tra tutte credo che questa sia la + valida


inutile dire che prima di iniziare  dovresti disattivare il ripristino configurazione di sistema

a questo punto riesegui una scansione con questo Tool Perlovga.Remover.
http://www.kingdomgate.com/forum/index.php?act=Attach&type=post&id=2283

quando hai finito riavvia in modalità provvisoria (premi F8 subito dopo la schermata del BIOS),
entri e (ricordandoti di spuntare VISUALIZZA FILE NASCOSTI e di disattivare NASCONDI FILE DI SISTEMA da Opzioni Cartella in Pannello di Controllo)

cancelli manualmente i file

C:\copy.exe,
C:\host exe,
C:\Windows\svchost.exe,
C:\Windows\xcopy.exe,
C:\Windows\System32\temp1.exe,
C:\Windows\System32\temp2.exe,
C:\Autoran.inf.


si trovano in C:\ , in c:\Windows\, in c:\windows\system32\ e in ogni cartella sorgente di eventuali  dischi fissi e periferiche di memorizzazione (Hd esterni pen drive etc.).

Di questi files ne troverai solo alcuni forse, ma non preoccuparti è dovuto ai vari tentativi di rimozione precedenti.


adesso scarica killbox http://killbox.net/downloads/KillBox.exe

e scarica hijack this http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis

lancia hijackthis ,clicca su Open the Misc tool selection -> Open Process manager -> selezionate C:\WINDOWS\svchost.exe (non confondero con C:\WINDOWS\system32\svchost.exe ) -> adesso clicca Kill process

ora clicca su Main menu ,fai la scansione con hijackthis e fixa:
O23 - Service: Windows Genuine Advantage (svchost) - Unknown owner - C:\WINDOWS\svchost.exe

adesso lancia Killbox , spunta l'opzione "Delete on Reboot"
nella casella bianca "Full Path of File to Dlete" e incollate il testo in rosso C:\WINDOWS\svchost.exe

a questo punto clicca sulla X bianca dentro il tondino rosso e rispondi SI alla richiesta di riavvio 

ATTENZIONE: non cancellare l' svchost.exe che si trova in C:\Windows\System32\ perché quello è un processo di sistema! ma questo lo sai già


Dopodiché lancia Regedit (da start--> esegui) devi cercare (F3) il file copy.exe

tutte le chiavi trovate sotto il segunete percorso con chiamate a copy.exe dovranno essere cancellate: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{...................}.

sempre in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
cancella la chiave che si chiama MountPoints2




se fosse necessario ripristinare i collegamenti ai dischi C e D : andare in una cartella -> Strumenti -> Opzioni cartella->tipi di files

nelle prime voci in alto cerca se c'è : Unita o Unita Disco, Cartella o voci simili . Seleziona ->Avanzate e vedi se c'è fra le "azioni" Copy o find .

Se c'è cancellalo o se è in grassetto (il che vuol dire che è predefinito) metti come predefinito Open.

Se open non c'è dovrai re impostarlo  inserendo nel campo operazione "OPEN" e nel campo sottostante "C:\Windows\explorer.exe"


Quello che avviene quando fai doppio clic su un oggetto corrisponde al comando che è impostato  come azione predefinita




a questo punto attiva (se lo utilizzi) nuovamente il ripristino di sistema e riavviare il PC.

adesso inserisci il cd nel lettore dopo clic su start --> esegui --> dgt SFC  /SCANNOW ( dopo SFC lascia uno spazio), --> OK

DOVRESTI aver finito 


fonte: la rete

Per eliminare il problema svchost.exe, click vai su start->Esegui...->scrivi msconfig nel riquadro->OK->dalla finestra che si apre scegli Avvio->dalla lista cerca le chiave con il sudetto file svchost.exe e togli la spunta...

Fai anche una scansione con antivirus,mentre per copy.exe clicca col destro su C e scegli apri,cerca il file autorun.ini ed eliminalo...(se non lo trovi devi abilitare la visione dei file nascosti,fai cosi:apri C con il destro->dal menu della finestra clicca su Strumenti->click su Opzioni Cartella...->Visualizzazione->e seleziona Visualizza file e cartelle nascoste)

Ciao

Grazie Mille! Sembra tutto risolto! 

Un altra domanda: Il virus lo avevo anche sull'hd esterno che da un pò di tempo ogni tanto si spegne da solo, può essere a causa del virus?

E' probabile poichè sembra che questo virus attacchi anche gli hd esterni le penne usb etc , se vedi la procedura parla anche di eventuali hd esterni o altre periferiche di memorizzazione

E' probabile poichè sembra che questo virus attacchi anche gli hd esterni le penne usb etc , se vedi la procedura parla anche di eventuali hd esterni o altre periferiche di memorizzazione

si ho letto, infatti l'ho eliminato anche di lì.  Ora lo tengo acceso già da un bel pò e non si è ancora spento, buon segno 

Ora che ricordo... ho masterizzato dei dvd quando avevo il virus... c'è qualche probabilità che si sia trasferito sui dvd? 

Potrebbe essere,anche sulle chiavette si crea...

[autorun.ini]

Bhè se li hai masterizzati quando il pc era infetto, al posto tuo una controllata la darei

Per essere avviati automaticamente i virus hanno bisogno di un solo file, che serve anche per avviare qualsiasi altra applicazione, il file è l’ autorun.ini o autorun.inf che è anche possibile creare manualmente per far partire qualsiasi cosa.

Questi file il 99% sono presenti su tutti i cd/dvd e non sono infetti, sulle pendrive usb a meno che non si siano fatti, o si ha qualche applicazione che li crea non ci sono.

[Tags:]

Salta a: Seleziona una destinazione: ----------------------------- Risoluzione problemi computer ----------------------------- => Benvenuto => Domande & Risposte ===> Gmail => Quesiti Risolti => Linux => Off Topic ----------------------------- Passione Informatica ----------------------------- => Hardware => Il tuo blog ----------------------------- Pc Medical Center ----------------------------- => Domande Pre-Vendita => Assistenza e Post-Vendita => Richieste ----------------------------- Contatto ----------------------------- => News => Sondaggi ----------------------------- Sviluppo Assistenzafree ----------------------------- => Bugs => Idee e Progetti => Gruppo di Lavoro