• User

    [Risolto] Malware spoolw.exe

    Ciao, gente..
    Pare che questo mese non mi porti bene.. ho beccato un virus molto grave, si tratta del famigerato spoolw che produce più danni di un cataclisma!
    A prima vista sembrava piuttosto facile liberarsene: ho un hard disk esterno con sistema operativo e da lì ho cancellato i files relativi, ma poi ho spento il computer con la procedura solita.. e da quel momento buio completo!! I due hard disk non sono più riconosciuti:il mariuolo ha corrotto il registro delle partizioni, per cui non posso più accedere al boot iniziale, dato che i dischi sono partizionati ora come non riconosciuti. Non so come procedere perchè vorrei almeno salvare il salvabile ( programmi, dati ecc.). Ho provato con Partition Magic ma posso solo creare una nuova partizione cancellando tutto e questo non lo vorrei fare. Ho caricato un sistema operativo su un altro disco con il quale lavoro adesso, ma non vi sono programmi nè altro. Ho girato in lungo e in largo in rete per vedere se trovavo qualcosa, ma finora nisba!!
    C'è qualcuno che SA? Qualche illuminato che mi può accendere un lume in questo buio completo?
    Certo, ho deciso di formattare tutto e ricominciare da capo, ma molti dati mi sono indispensabili e stanno su un disco che non aveva neppure il sistema operativo, era uno slave.. ma questo dannato spoolw ha compromesso anche quello!!
    Attendo fiducioso una vostra illuminazione.. Grazie!!
    Frankavio

    (Non sarebbe meglio se mi dedicassi agli aerei che mi riescono meglio?)

    ❌x❌x:x


  • Consiglio Direttivo

    Ciao frankavio,

    il desktop per caso, si presenta vuoto? :mmm:


  • User

    No, era il disco F che non andava. Credo di avere risolto, reimpostando la partizione. Avendo un altro hard disk con il sistema operativo, ho cancellato i files del virus, rispettivamente:
    lgfxsvc.exe
    spoolw.exe
    iexplore_32.exe
    w32dbg.exe
    U.exe
    Alcuni files debbono essere cancellati con regedit, cancellando le chiavi relative a iexplore.exe (quello di Explorer) con le chiavi collegate.
    L'unica cosa che si presentava era la mancanza di Explorer, diceva che il file non c'era, ma dato che il virus occupa il suo posto, bastava cancellare le chiavi relative e poi riappare IEXPLORE.exe che è quello giusto.
    Insomma, un bel casino, ma pare che ho raggiunto la fine.
    Beh, si riparte!! Ma non era meglio quando si lavorava con i fogli di carta??
    Attenzione, che questo maledetto spoolw è una grande, fottuta rottura!!
    Usate i vostri antivirus.. è un consiglio...
    Grazie
    Frankavio


  • User

    Eh, non finisce qua! Adesso che pare che quasi tutto è a posto, invece c'è rimasto ancora qualche cosa che non riesco a decifrare. Provo ad installare antivirus o anti spyware, ma o non riescono a finire l'installazione, o alla fine manca l'esecutable del programma. L'unico che mi è rimasto funzionante e che trova qualcosa, prima della fine della scansione, resetta il pc e quindi niente!! Per questa sera ho perso già troppo tempo, speriamo che domani qualcuno che ne sa più di me possa illuminarmi. Non ci sono più i files incriminati del virus, ma il sistema.. non si sistema!!
    Domani è un altro giorno... si vedrà
    Frankavio


  • Consiglio Direttivo

    Ciao frankavio,

    posta un log con hijackthis! 🙂


  • User

    Caro Wolfocatar, non posso postarti il log perchè non ho installato Hijiack, ma forse finalmente ho finito il repulisti.Questo virus crea delle chiavi in registro che sono difficili da individuare e quindi restano impedendo ad ogni antivirus di funzionare ed anche al sistema di ripartire in provvisoria.Le ho trovate, e ve le elenco:
    Intanto nella directory di Windows c'è un file da cancellare: oreans32.exe
    Cancellare anche tutti i dialer eventuali ( 2345678.exe insomma numeri);
    in windows/system32/drivers/oreans32.sys cancellare;
    in HKLM ricercare le chiavi e collegate di OREANS32 e cancellarle;
    in HKLM ricercare tutte le chiavi e coll. di LEGACY_OREANS32 e cancellarle;
    cercare in HKLM oreans32.exe , spoolw.exe , lgfxsvc.exe ,iexplore_32.exe , w32dbg.exe , u.exe e cancellarle.
    Attenzione che il virus mette anche dei comandi indesiderati su Win.ini, controllare con la rinominata e correggere.
    Dovrebbe essere tutto. Sto testando ancora, ma credo che basti. Vi farò sapere altri sviluppi se ce ne saranno.
    Frankavio


  • Consiglio Direttivo

    Ciao frankavio,

    @frankavio said:

    non posso postarti il log perchè non ho installato Hijiack, ma forse finalmente ho finito il repulisti.

    scarica Hijackthis e posta pure un log! 🙂


  • User

    E' stata dura, ma alla fine ho ripulito tutto. E' che quel mariuolo di Spoolw ha creato diversi dialer che, lavorando sotto sotto hanno richiamato e installato diversi malware e worm, tra i quali il temuto BAGLE. Ho risolto con uno scan on line su Panda che mi ha ripulito ben bene, e questa sera sono finalmente riuscito a installare Kaspersky che è veramente un ottimo antivirus.
    Ormai è fatta, ma se penso a quanto ho tribolato...
    il BAGLE è micidiale, ti inserisce dei file nascosti che non puoi vedere con nulla nei posti più impensati.. pensate che ce n'erano, nascosti, nel cestino e naturalmente non si potevano togliere, nemmeno quando ho montato l'hard disk come slave su un altro computer! Fortunatamente la scansione online li ha trovati, poi la rifinitura è stata semplice con Kasper..
    Pare che questo BAGLE spedisce con i suoi dialer informazioni personali a diversi siti in continuazione, addirittura anche della musica che ascolti, senza contare i siti visti, i nickname, le password e quant'altro..
    Occhio, perciò. Una buona sentinella è tutta salute!!
    Ciao, grazie e.. buon Natale a tutti!
    Frankavio
    :fumato:


  • Consiglio Direttivo

    @frankavio said:

    E' stata dura, ma alla fine ho ripulito tutto.

    Bene frankavio! 😉

    @frankavio said:

    Ciao, grazie e.. buon Natale a tutti!

    Felice Natale anche a te! :ciauz: