domenica 3 giugno 2012

Virus - please wait while the connection is being established



Dopo il famoso virus della Guardia di Finanza, eccoci alle prese con un virus simile (schermatona bianca all'avvio di windows con scritto please "wait while the connection is being established" etc etc) che ci impedisce di fare qualsiasi cosa. In questo caso siamo in presenza di un rootkit che se non sbaglio si chiama fsnapshot_x86.exe (è lui il responsabile della schermata bianca)
Nel mio caso, purtroppo anche la modalità provvisoria è stata disabilitata dal virus e quindi ho dovuto risolvere con il cd di avvio di Kaspersky. In questa pagina potete trovare tutte le informazioni a riguardo.
Quando lanciate kaspersky ricordatevi prima di eseguire la scansione di fare l'aggiornamento.
In alternativa a Kaspersky potreste usare Avira (nel caso del virus della gdf è più efficace).
Ulteriori consigli li potreste trovare in questo post.
Ovviamente, nel caso a voi la modalità provvisoria funzioni, potreste prima provare ad eliminare il virus con il mitico combofix (se non avete installato avg e avast come antivirus) oppure malwarebytes

Per qualsiasi richiesta o suggerimento, come al solito scrivete pure nei commenti

26 commenti:

Eric03Larsen ha detto...

...sarà una coincidenza l'averti sctto ieri proprio in merito a questo virus?
o sei un fulmine o capiti davvero a fagiolo :-D

Lollo ha detto...

@Eric, :) proprio ieri mi hanno portato un pc con quel virus e sempre ieri anche un altro utente (Chiara) è incappata nello stesso problema. Avrei risposto adesso alla tua richiesta fatta dell'altro post!
Ma hai già trovato qui la risposta.
Fammi sapere se risolvi...
Buona giornata, Lollo

Eric03Larsen ha detto...

rieccomi qui. oggi ho provato a collegare l'hd infetto tramite usb.
in risorse compuper mi mostra solo la partizione etesa che uso come "storage" mentre la primaria non compare.
andadola a cercare nella "gestione disco" mi accorgo che hoh ha piu abbinata alcuna lettera ( prima era E)pur risulatndo integra ed attiva
di conseguenza non riesco a farla controllare da nessun antivirus :(

Eric03Larsen ha detto...

ps. posso editare il mio commento che è pieno di errori :-P?

Eric03Larsen ha detto...

dimenticavo di dire che la partizione estesa ora risulta libera al 100% :-S

Eric03Larsen ha detto...

adesso sono riuscito ad assegnare la lettera alla partizione "infetta". faccio girare malwarebytes ma nn rileva nulla ( anche perche cnsidera vuota la partizione).
Usando ubuntu, invece, posso vedere il contenuto dell apartizione, e mi compare un file a me sconosciuto chiamato PDOXUSRS.NET e l'icona sembra rappresentare uno schermo nero. sarà mica lui?
quale antivirus posso usare con ubuntu?

Lollo ha detto...

@Eric, per gli errori di battitura non ti preoccupare (spesso se non ho tempo di rileggere ne commetto molti anch'io), ma non credo si possa modificare un commento ormai pubblicato. Poco male.
Veniamo al tuo problema....saprai meglio di me che per ubuntu non ci sono antivirus, perchè non ci sono virus! Ho però trovato in internet un articolo che spiega che è possibile installare un antivirus proprio per fare scansioni su hd windows infetti (come nel tuo caso).
Ubuntu però non lo uso e non saprei aiutarti....dai un'occhiata qui:
http://wiki.ubuntu-it.org/Sicurezza/Clamav
Oppure potresti installare kaspersky per linux, attivi la versione di prova valida 30 giorni e vedi se ti fa la scansione...
Strano però che la partizione del disco non ti venga riconosciuta dall'altro pc windows...potresti provare ad utilizzare al limite acronis disk director full che ha la funzione per ripristinare partizioni saltate.
Comunque, visto che hai ubuntu, inizia da lì, poi vediamo.
Ciao lollo

Eric03Larsen ha detto...

intanto ti ringrzio per il link. oggi co un po di calma vedrò di leggerlo.
Ubuntu io nn lo conosco per nulla, quella è la partizione che usava mio padre per alcune prove :-P
io ho solo immaginato che un virus per win potesse far poco con ubuntu.
cmq sotto win ho fatto girare malware byte tutta notte e mentre ieri sera ricordavo di aver visto rilevata una minaccia, stamattina al mio risveglio noto che la scansione non ne rilevava alcuna :-S

Anonimo ha detto...

Salve ragazzi, ho trovato questa sorpresa nel pc preparato per un amico....
Ho provato con Avira rescue disk.. ma troppo lento... poi ho fatto partire il pc in prompt dei comandi.. arrivato al prompt ho fatto partire spyboot (installo sempre adaware e spyboot oltre che avast nei pc che preparo) ed ha rilevato e cancellato il virus... unica nota bisogna ridare la spunta, pulsante destro nel desktop in visualizza, mostra icone del desktop.... sennò non si vedono le icone del desktop stesso...

Spero funzioni.. ora scansiono con avast

Pillo ha detto...

Salve ragazzi io sono riuscito ad entrare nel regedit inserendo il cd di windows 7 scegliendo nel ripristino la modalità prompt di comandi. Anche se modifico la Shell e la e la Userinit al riavvio mi reimposta sempre, sulla Shell cmd.exe /k start cmd.exe e sulla Userinit X:\windows\system32\userinit.exe

Sapete dove si nasconde il virus per cancellarlo dal registro?
altrimenti che posso fare?

Eric03Larsen ha detto...

sotto win xp ho collegato l'hd infetto tramite usb e ho fatto girare malwarebyte e kaspersky ( 2010)
riesco a vedere sia la partizione estesa (usata solo per storage) che quella primaria; ma mentre l'estesa la vede e la legge, l'altra la vede e basta e se tento di leggerla dice che il disco è illeggibile
usando linux riesco a vederle ed usarle entramb.
se uso l'hd infetto come boot all'avvio di windows mi da schermata blu e si blocca.

Eric03Larsen ha detto...

niente da fare ad oggi non sono ancpra riuscito a far ripartire l'hd in questione :-(

Lollo ha detto...

@Eric, ciao. Pensavo avessi risolto! Potresti provare con Acronis Disk Director. Scarica dal sito ufficiale la versione di prova che se non ricordo male dovrebbe avere tutte le funzioni. Tra queste, intanto vedi se riconosce il sistema, e poi gli fai fare un controllo completo del disco.
Fammi sapere.
Lollo

@Pillo, sinceramente non saprei indirizzarti per la ricerca del virus nel registro. Potresti però risolvere con il cd boot di kaspersky o avira per debellare il sistema. Trovi il post qui nel mio blog.
Fammi sapere. Lollo

giulio ha detto...

Mi serve aiuto!! ho scaricato combofix dal computer 'sano' per passarlo tramite pennetta usb nel computer infetto(modalità provvisoria). Ho 'lanciato' combofix soltanto che mi è apparso l'avviso che combofix puo entrare in contrasto con AntiVir e potrebbe avere causare danni irreparabili!!!mi consigliano di disattivare l'antivisrus ma non so come fare in modalità provv....vi prego aiutatemi!!!

Lollo ha detto...

@Giulio, combofix da' quell'avviso con tutti gli antivirus installati sul computer. E' normale. Però, con alcuni non provoca nessun problema, con altri (avast, avira e forse anche il tuo antivir) disabilita l'antivirus stesso e quindi, quando finisce di fare la sua pulizia, il tuo antivirus andrebbe reinstallato. Non succede nulla, l'unica "menata" è appunto il dover reinstallare l'antivirus.
Nel tuo caso quindi ti posso consigliare di fare prima una scansione con antimalware che puoi scaricare da qui: www.mondolollo.it/mal.exe e nel caso non riesca a trovare ed eliminare tutti i virus, allora usa combofix.
Fammi sapere, ciao Lollo

giulio ha detto...

@Lollo....grazie mille!!adesso sto scaricando quello che mi hai detto...però cosa faccio con combofix??diciamo che io ho lasciato il computer aperto in modalità provvisoria con la finestra di avviso aperta... se adesso premo 'ok' a questo avviso la scansione di combfix continua in quanto è ancora attivo!!!quindi combofix continuerà il suo lavoro...

Lollo ha detto...

@Giulio, se non c'è la possibilità di cliccare sulla x solita ( e mi sembra di no), potresti chiudere direttamente il processo dal task manager...tra l'altro in mod provv non dovresti averene molti attivi e comunque riconosci i processi di combofix perchè hanno un'estensione diversa...mi sfugge ora a memoria, comunque lo vedi.
Fammi sapere

DNA54 ha detto...

Ciao, anzitutto complimenti per il tuo blog!
Mi trovo anche io vittima di questo virus fastidioso.. Al momento avira resque sta effettuando l'aggiornamento via ethernet, poi effettuerò la scansione. Ci vorranno un paio d'ore, appena finito vi informo!

Eric03Larsen ha detto...

dopo un po di tempo ( lontano anche dal pc) rieccomi:
intanto grazie ancora Lollo per la disponibilità, ora scarico Acronis Disk Director..
lo devo masterizzare come per Kaspersky e farlo partire all'avvio ( boot)?

Giulio ha detto...

@Lollo....Ciao lollo, sono sempre giulio!! Alla fine ho risolto il problema della scorsa volta scaricando antimalware e facendo la scansione completa....ho trovato 7 virus, li ho cancellati e il computer è ripartito come prima!!! Oggi purtroppo mi è rientrato lo stesso virus...ho fatto la stessa procedura usando antimalware ma niente da fare, appare sempre quella pagina bianca con la scritta: 'please wait while the connection is being established'...ho provato a utilizzare tutti i tipi di scansione di antimalware: sia quella rapida che quella completa e in tutte e due, mi sembra, che il nome del virus era lo stesso...eppure lo avevo già cancellato nelle precendete scansione!!cosa devo fare?? Grazie in anticipo

Giulio ha detto...

@Lollo...purtroppo sono sempre nella stessa situazione!! ogni tanto faccio la scansione con antimalware e trova sempre lo stesso virus, lo cancello ma ogni volta che riavvio il computer c'è sempre la schermata bianca!! cosa posso fare??

Lollo ha detto...

@Giulio, hai già provato con combofix? Oppure ti posso consigliare anche superantispayware.
Li trovi entrambi qui sul blog o su google. Se hai difficoltà fammelo sapere e fammi sapere se risolvi.
Altrimenti te ne consiglierò altri... non ti preoccupare che sto virus lo togliamo!
Ciao, Lollo

Giulio ha detto...

@Lollo....Ciao lollo ho usato superantispayware il quale ha trovato altri file infetti, però nonostante tutto il virus c'è ancora!!
Con antimalware(che mi individua sempre lo stesso virus) diciamo che sono riuscito a trovare il percorso per arrivare al virus, però non so se è giusto...ti spiego meglio. Mi dice che il nome del virus è : 'Hijack.shell.Gen' e che si trova HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlog\Shell ... Tramite questo posso fare qualcosa?? io sono riuscito ad arrivare alla cartella 'shell' però non so che fare...Grazie ancora!

Giulio ha detto...

@Lollo....Ciao lollo finalmente ce l'ho fatta, ho usato combofix ed è andato tutto per il verso giusto!!!Fianlmente!!! Grazie mille senza di te non so come avrei fatto....Senti una cosa ma il virus è completamente cancellato o ci potrebbe essere qualche 'residuo' da qualche parte?? Grazie ancora di tutto!!

chris86 ha detto...

ciao a tutti il mio pc ha lo stesso problema ma non riesco a farlo partire ne con il prompt dei comandi e neanche in modalità provvisioria come posso fare rimuovere il virus? ho solo un portatile a mia disposizione :(

Anonimo ha detto...

He even more spelled out, "I generally desired to build tendon energy.

my blog post ... simply click the next internet site