[win XP] int2com.exe - hvnrtld.exe - insDr.exe

[MrsCassandra]

Ciao a tutti,

ho contratto questo virus del cavolo ed ho dovuto inventarmi una procedura manuale per rimuoverlo. Valida per Windows XP, ma verosimilmente anche per Windows 2000 e Vista.

Siccome ho cercato in lungo e in largo informazioni chiare e veniva indicato di fare le azioni più diverse, ma nessun post risolutivo e completo, ho pensato di inviare questa procedura per i posteri.

Questo virus comunque è veramente subdolo perché la sua potenzialità di autoreplicazione è esponenziale sui PC Windows. Solo i PC che hanno l'autoplay disattivato per le memorie rimovibili dovrebbero salvarsi.

A quanto ho notato il "virus" in realtà non fa granché di dannoso in sé. A quanto ho capito invia qualcosa all'esterno. Cosa? Probabilmente "dati" (di che tipo e quali non ho appurato). Sul mio PC aveva tentato di instaurare un collegamento FTP.

La procedura è abbastanza completa e, avendola provata su tre PC, direi risolutiva.

Ciao!


Attivare la visualizzazione di cartelle e file nascosti e di cartelle e file di sistema e la visutalizzazioen delle estensioni.

Killare tutti i processi indesiderati (insDr, int2com, slp2 e i vari cmd.exe)

Cancellare l'avvio automatico dell'applicazione incriminata N_prog.exe (se non si riesce a killare cmd.exe si può usare l'Utilità di Spybot Search&Destroy per cancellare l'avvio automatico di questo file)

Cancellare tutte le cartelle del tipo restore{seriedilettereenumeri} (sono cartelle nascoste e di solito si trovano nella radice del disco interessato)

N.B. Non ho avuto bisogno di disabilitare il ripristino del sistema. Le cartelle restore{seriedilettereenumeri} a cui faccio riferimento NON sono le cartelle del ripristino di Windows, ma una cartellina che fondamentalmente contiene i file del virus.

In WINDOWS\Installer cancellare la cartella 24ha12

Cancellare tutti i file in WINDOWS\Prefetch (questa fase è probabilmente superflua ma non si sa mai!)

Cancellare il file Windows\System32\N_prog.exe

Nella cartella C:\Documents and Settings\Nomeutente\Impostazioni locali\Temp cancellare tutti i file (e in particolare quelli che terminano con .bat)

Nella cartella C:\Documents and Settings\Nomeutente\Impostazioni locali\Dati applicazioni cancellare tutti i file incriminati (vedi lista più avanti) e se si trova un file autorun.inf eliminarlo

Nella cartella C:\Documents and Settings\Nomeutente\Dati applicazioni cancellare tutti i file incriminati (vedi lista più avanti) e se si trova un file autorun.inf eliminarlo

Modificare tutti i file autorun.inf togliendo la linea che richiama il file N_prog.exe o uno dei file interessati

Verificare con Spybot Search & Destroy, in Utilità, opzione Esecuzione automatica se c'è ancora in avvio il file N_prog.exe e disabilitare e cancellare quella linea (va evidenziata per poterla eliminare)

Riavviare.

Verificare nei task se è ancora presente il processo cmd.exe (identificativo del problema).

Potrebbe essere necessario eseguire questa procedura in modalità provvisoria e per tutti gli utenti del computer.

File interessati e collelati al virus (da eliminare)
hvNrtID.exe
hvNrtUD.exe
N_prog.exe
slp.exe
slp2.exe
sleep.exe
insDr.exe
int2com.exe
sys32_.exe


Il virus inoltre aggiunge una linea per autoinstallarsi in tutti i file autorun.inf che trova.
In un caso il virus ha addirittura creato il file autorun.inf un una cartella dell'utente (in Documents and Settings).

Le penne USB e similari vengono infettate prontamente dal virus e grazie alla modifica del file autorun.inf (che fa sì che il virus parta subdolamente non appena si connetta l'hard disk esterno o la pennina al malcapitato PC) si autoreplicherà (basterà però cancellare da questo file la linea incriminata).

Per poter aprire le penne USB evitando l'avvio automatico alla connessione va disabilitato il relativo autoplay delle periferice rimovibili, ma questo è disabilitabile solo tramite un'applicazione specifica scaricabile da http://www.microsoft.com/windowsxp/d...powertoys.mspx (link diretto http://download.microsoft.com/downlo...rtoySetup.exe)

Oppure (cito wjmat) per disabilitare la funzione di riproduzione automatica basta semplicemente fare:
Start > Esegui > digita gpedit.msc (invio) > Configurazione computer > Modelli amministrativi > Sistema > Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica > Seleziona Attivata > Nella tendina che si accende scegli Tutte le unità > OK (ricordatevi di riattivare l'autoplay dopo le pulizie!)

[Arcano2210]

Ottimo lavoro, molto utile!

[wjmat]

grazie per le info,
riassumendola un pochino... disabilitazione ripristino di sistema, la solita pulizia dei temporanei e qualcosa da segare a mano.... con la guida generica non avevi risolto??

Per disabilitare la funzione di riproduzione automatica basta semplicemente fare:
Start ► Esegui ► digita gpedit.msc (invio) ► Configurazione computer ► Modelli amministrativi ► Sistema ► Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica ► Seleziona Attivata ► Nella tendina che si accende scegli Tutte le unità ► OK

ciao

[MrsCassandra]

Ciao,

no, le guide non mi sono state molto utili.

Non ho avuto bisogno di disattivare il ripristino configurazione di sistema.

Né ho dovuto, con questa procedura che mi sono inventata, toccare direttamente il registro di sistema.

Inoltre le guide non fanno riferimento ai file interessati.

Le cartelle restore{seriedilettereenumeri} a cui faccio riferimento NON sono le cartelle del ripristino di Windows, ma una cartellina che fondamentalmente contiene i file del virus.

Grazie per l'info sulla disattivazione dell'autoplay, non ero riuscita a trovarla da nessuna parte!

Quote:

Originariamente inviato da wjmat

con la guida generica non avevi risolto??

Per disabilitare la funzione di riproduzione automatica basta semplicemente fare:
Start ► Esegui ► digita gpedit.msc (invio) ► Configurazione computer ► Modelli amministrativi ► Sistema ► Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica ► Seleziona Attivata ► Nella tendina che si accende scegli Tutte le unità ► OK

ciao

[wjmat]

prevx non trovava nulla?

[Chill-Out]

Quote:

Originariamente inviato da MrsCassandra

Ciao,

no, le guide non mi sono state molto utili.

Non ho avuto bisogno di disattivare il ripristino configurazione di sistema.

Né ho dovuto, con questa procedura che mi sono inventata, toccare direttamente il registro di sistema.

Inoltre le guide non fanno riferimento ai file interessati.

Le cartelle restore{seriedilettereenumeri} a cui faccio riferimento NON sono le cartelle del ripristino di Windows, ma una cartellina che fondamentalmente contiene i file del virus.

Grazie per l'info sulla disattivazione dell'autoplay, non ero riuscita a trovarla da nessuna parte!

Infatti questa non è una Guida ma una normalissima discussione come tante altre dove gli utenti hanno trovato la soluzione.

[MrsCassandra]

Sì sì infatti mi riferivo alle guide a cui si è fatto riferimento in questa stessa discussione e alle guide correlate che si trovano nel forum...

Quote:

Originariamente inviato da Chill-Out

Infatti questa non è una Guida ma una normalissima discussione come tante altre dove gli utenti hanno trovato la soluzione.

Ragazzi anche io ho un problema con questo virus,che mi è entrato nel computer e anche nell'HD esterno.Ho letto la procedura e credo anche di essere in grado di toglierlo da me,IL PROBLEMA E' CHE NEL MIO COMPUTER NON C'E' LA CARTELLA C:/WINDOWS/Installer

COME FACCIO???? spero che mi possiate aiutare...

[Chill-Out]

Quote:

Originariamente inviato da eldemasiado

Ragazzi anche io ho un problema con questo virus,che mi è entrato nel computer e anche nell'HD esterno.Ho letto la procedura e credo anche di essere in grado di toglierlo da me,IL PROBLEMA E' CHE NEL MIO COMPUTER NON C'E' LA CARTELLA C:/WINDOWS/Installer

COME FACCIO???? spero che mi possiate aiutare...

Ciao è opportuno seguire la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

in questo modo abbiamo una situzione più chiara su come intervenire.

PS: ti consiglio di dedicare anche pochi minuti alla lettura delle Regole di sezione

[MrsCassandra]

Quote:

Originariamente inviato da eldemasiado

Ragazzi anche io ho un problema con questo virus,che mi è entrato nel computer e anche nell'HD esterno.Ho letto la procedura e credo anche di essere in grado di toglierlo da me,IL PROBLEMA E' CHE NEL MIO COMPUTER NON C'E' LA CARTELLA C:/WINDOWS/Installer

COME FACCIO???? spero che mi possiate aiutare...

Che sistema operativo hai?

Prova a cercare la cartella 24ha12 con la funzione di ricerca.

Io confesso che la “Guida alla disinfezione” non mi è stata utile per niente

[Chill-Out]

Quote:

Originariamente inviato da MrsCassandra

Che sistema operativo hai?

Prova a cercare la cartella 24ha12 con la funzione di ricerca.

Io confesso che la “Guida alla disinfezione” non mi è stata utile per niente

E 2, tanto è vero che altri utenti che hanno seguito la Guida hanno risolto, con questo non stò dicendo che la Guida è un rimedio contro tutti i mali, ma i log prodotti dai tool indicati ci danno un quadro della situazione per decidere come intervenire, ti posso assicurare che spesso chi crede di avere il Pc contaminato dal Virus PINCO PALLA, dopo aver seguito la Guida scopre di avere questo, quello e qell'altro.

[MrsCassandra]

Mi fa molto piacere che ci siano tante persone che hanno risolto con lunghe procedure, trepidanti attese di infiniti log, numerosi dowload e installazioni di applicazioni di terze parti, invio di report in svariati post sul forum, attesa di risposte che non sempre arrivano rapidamente, eccetera...

Magari a volte un utente non necessariamente inesperto può preferire una via più diretta e rapida, quando è in grado di riconoscere nel proprio PC lo stesso tipo di "problema" per cui un altro utente ha fornito una soluzione (che naturalmente non è detto che sia l'unica).

Ma l'importante alla fine è risolvere! No?

Ciao!

Quote:

Originariamente inviato da Chill-Out

E 2, tanto è vero che altri utenti che hanno seguito la Guida hanno risolto, con questo non stò dicendo che la Guida è un rimedio contro tutti i mali, ma i log prodotti dai tool indicati ci danno un quadro della situazione per decidere come intervenire, ti posso assicurare che spesso chi crede di avere il Pc contaminato dal Virus PINCO PALLA, dopo aver seguito la Guida scopre di avere questo, quello e qell'altro.

[Chill-Out]

Quote:

Originariamente inviato da MrsCassandra

Mi fa molto piacere che ci siano tante persone che hanno risolto con lunghe procedure, trepidanti attese di infiniti log, numerosi dowload e installazioni di applicazioni di terze parti, invio di report in svariati post sul forum, attesa di risposte che non sempre arrivano rapidamente, eccetera...

Innazitutto bisogna prima stabilire se le installazione di terze parti di cui parli sono necessarie o meno, ma questo chi lo stabilisce?. (se hai proposte da fare sono ben accette) Se desideri evitare inifiniti log, trepidanti attese e risposte celeri, rivolgersi ai tecnici a pagamento. Forse ti è appena sfuggito che questo è un Forum chi presta aiuto non riceve nessun compenso ed impiega parte del suo tempo libero, ti sembra poco?

Quote:

Magari a volte un utente non necessariamente inesperto può preferire una via più diretta e rapida, quando è in grado di riconoscere nel proprio PC lo stesso tipo di "problema" per cui un altro utente ha fornito una soluzione (che naturalmente non è detto che sia l'unica).

Si certo ma purtroppo i malware si evolvono più velocemente di quanto si possa immaginare e le infezioni multiple sono all'ordine del giorno

Quote:

Ma l'importante alla fine è risolvere! No?

Ciao!

certo che alla fine l'importante è risolvere, perchè alla fine contano sempre e solo fatti non le parole, conta quello che sei non quello che credi di essere.

Ciao

[xcdegasp]

Quote:

Originariamente inviato da MrsCassandra

Mi fa molto piacere che ci siano tante persone che hanno risolto con lunghe procedure, trepidanti attese di infiniti log, numerosi dowload e installazioni di applicazioni di terze parti, invio di report in svariati post sul forum, attesa di risposte che non sempre arrivano rapidamente, eccetera...

Magari a volte un utente non necessariamente inesperto può preferire una via più diretta e rapida, quando è in grado di riconoscere nel proprio PC lo stesso tipo di "problema" per cui un altro utente ha fornito una soluzione (che naturalmente non è detto che sia l'unica).

Ma l'importante alla fine è risolvere! No?

Ciao!

non vedo motivo delle tue esternazioni se realmente ti fossi sforzato un minimo a leggere almeno il primo quarto della Guida alla Disinfezione per Infetti avresti sicuramente visto che esiste una procedura veloce, efficace e sopratutto che non fa scaricare mille software ed è quello di usare PrevxCSI e seguire le eventuali indicazioni a video per risolvere le problematiche individuate

immagino che sia solo pura e mera ingenua distrazione ma un briciolo di attenzione farebbe evitare anche molte infezioni

[MrsCassandra]

Quote:

Originariamente inviato da Chill-Out

perchè alla fine contano sempre e solo fatti non le parole, conta quello che sei non quello che credi di essere.

Già.

[Chill-Out]

Quote:

Originariamente inviato da MrsCassandra

Già.

Vedo che concordi, infatti ti sei limitata ad un: "Già"

[MrsCassandra]

Lungi da me l'idea di far partire un flame, che non credo sia l'interesse di questo topic né degli utenti, né tantomeno il mio.

Mi rendo conto che essendo nuova di questa community non posso arrivare e discutere qualcosa che è prassi consolidata in essa, prassi certamente creata con il contributo dei senior e degli habitué, qualunque sia il motivo tecnico o meno che mi ha indotta a cercare strade alternative o scorciatoie e, poi, a produrre un contributo alieno a tale modus operandi.

Se ho peccato in questo, me ne scuso. Non era certamente mia intenzione urtare la sensibilità di qualcuno, men che meno quella di chi, magari, ha fatto numerosi sforzi per arrivare a produrre guide e quant'altro, che proficuamente vengono adoperate dagli utenti (e mai e poi mai affermerei il contrario).

Per il resto auguro a tutti buon lavoro e buona notte.

Quote:

Originariamente inviato da Chill-Out

Vedo che concordi, infatti ti sei limitata ad un: "Già"

[xcdegasp]

non hai urtato nessuna sensibilità e nemmeno hai urtato una "religione", semplicemente hai espresso una tua opinabilissima idea, non ho ancora letto il modus operandi che avevi seguito quindi rimane una sola idea inespressa, sul fattore lunghezza e quantità di scansioni..

se hai qualcosa da fornire in relazione al tema del thead in cui hai dato inizio a questo avvincente scambio di messaggi non ho nulla da contestare, in caso contrario se è solo una considerazione a livello generale della pratica usata inquesto forum allora ti annovero il possibile off-topic inquanto esiste un thread specifico per
Consigli & Suggerimenti & Proposte - Parliamone assieme

[Chill-Out]

Quote:

Originariamente inviato da MrsCassandra

Lungi da me l'idea di far partire un flame, che non credo sia l'interesse di questo topic né degli utenti, né tantomeno il mio.

Nemmeno il mio

Quote:

Mi rendo conto che essendo nuova di questa community non posso arrivare e discutere qualcosa che è prassi consolidata in essa, prassi certamente creata con il contributo dei senior e degli habitué, qualunque sia il motivo tecnico o meno che mi ha indotta a cercare strade alternative o scorciatoie e, poi, a produrre un contributo alieno a tale modus operandi.

Se ho peccato in questo, me ne scuso. Non era certamente mia intenzione urtare la sensibilità di qualcuno, men che meno quella di chi, magari, ha fatto numerosi sforzi per arrivare a produrre guide e quant'altro, che proficuamente vengono adoperate dagli utenti (e mai e poi mai affermerei il contrario).

Si può discutere di tutto senza nessun problema ed il tuo sforzo di cercare strade alternative è assolutamente apprezzabile, è il continuo ribadire questo: "Io confesso che la “Guida alla disinfezione” non mi è stata utile per niente" che secondo mè è ingiustificato

Quote:

Per il resto auguro a tutti buon lavoro e buona notte.

Altrettanto a te

Spero di non aver scatenato io questo piccolo screzio...

Cmq prima di postare ho letto tutta la discussione,ho seguito la procedura di Cassandra e anche quella che si trova a pagina 5.
Ho tolto tutti i file che vengono nominati,ho cancellato le cartelle,ho fatto la ricerca anche di questa 24ha12 e non l'ho trovata(pur avendo reso visibili anche le cartelle visibili).Ho windows XP Home Edition .
Alla fine ero quasi convinto che il virus se ne fosse andato.All'avvio non avevo più quei processi "malvagi",non c'erano + le cartelle incriminate,e anche con SpyBot in esecuzione automatica non c'era niente di losco.PERFETTO mi sono detto....
Il problema è che mi è riapparso dopo 2 giorni l'allerta di Avast del solito virus,e dentro il PC non c'è un file di quelli incriminati.Il PC va perfettamewnte..,l'ho riavviato mille volte e non mi trova niente...Spero solo un falso positivo,però il dubbio m'è rimasto.
Non è che per caso si rigenera da solo?

p.s. Comunque oltre a non avere la cartella Installer non so dove sia quella Restore....................................Sorry.....