Olimpo Informatico

Zugzwang · Mortale devoto Registrato: 09/09/10 16:33 Messaggi: 14

scusate se riesumo questo topic ma credo di avere lo stesso problema

hijackthis non parte, avast ecc continuano a rilevare trojan e malware che non riescono a togliere, se provo ad entrare nel sito di avenger mi parte la connessione, ecc.

solo che regedit non parte! do l'ok ed è come se avessi premuto annulla!

non so come fare nè dove sbattere la testa Sad

bdoriano

Ciao Zugzwang e benvenuto,

Vedi se riesci a fare questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato.

Zugzwang · Mortale devoto Registrato: 09/09/10 16:33 Messaggi: 14

grazie

10_09_2010_13_53_report.zip

ecco il log, spero sia giusto Smile

bdoriano

Ciao Zugzwang, Ciao

ho dato un'occhiata al log e devo dire che sei messo molto male... Think

Fai queste operazioni:

Avvia nuovamente SystemScan
metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
clicca su Removal Script

Nel riquadro inserisci il seguente script:

Codice:

Drivers to unload:
soxahoh7koee
uy7vaauy

Files to delete:
C:\WINDOWS\system32\gefywe.exe
C:\WINDOWS\system32\mounito.exe
C:\WINDOWS\system32\vupogouly.exe
C:\WINDOWS\system32\lygazouh.exe
C:\WINDOWS\system32\somoojune.exe
C:\WINDOWS\system32\rirommule.exe
C:\WINDOWS\system32\kooloogove.exe
C:\WINDOWS\system32\nntd.tro
C:\WINDOWS\system32\uaeqvs
C:\WINDOWS\system32\userini.exe

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | nybuquij
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | userini
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run | userini
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices | fadeva
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices | nybuquij

e clicca Proceed with removal

******
Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
******

Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di SystemScan.

Zugzwang · Mortale devoto Registrato: 09/09/10 16:33 Messaggi: 14

l'ho fatto, e adesso appena entro in un qualsiasi profilo si riavvia immediatamente...
sia in modalità provvisoria, sia in un qualsiasi profilo...

bdoriano

Ok, nulla di grave, c'è da modificare una voce nel file di registro.
Vedi se riesci ad avviare il pc in Modalità provvisoria con prompt dei comandi.
digita regedit.exe
vai alla chiave HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
trasforma la voce Shell e modificala lasciando solo la stringa Explorer.exe.
chiudi regedit e riavvia il pc.

Zugzwang · Mortale devoto Registrato: 09/09/10 16:33 Messaggi: 14

fatto (grazie a ultimate boot cd 4 windows), si riavvia comunque...

(in shell c'era solo una stringa: cmd.exe)

chemicalbit · Dio maturo Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano

Partendo sempre con ultimate boot cd 4 windows , riesci a copiare il file C:\Avenger.txt
per poi metterlo su WikiSend e postare il Forum Link che ti viene assegnato?

Zugzwang · Mortale devoto Registrato: 09/09/10 16:33 Messaggi: 14

dentro a userinit (sempre in winlogon) dopo blablabla/userinit.exe (scusate ma non lo ricordo), c'era c:/reboot.exe

tolto reboot adesso va

ecco l'avenger:
link

è quello che è apparso appena è ripartito il pc Smile

Zugzwang · Mortale devoto Registrato: 09/09/10 16:33 Messaggi: 14

riavviato il pc, si impalla sul desktop.

se da task manager provo a far partire explorer.exe mi dice che non dispongo delle autorizzazioni necessarie...

(ma parte in modalità provvisoria)

edit:
qui il report con systemscan fatto da modalità provvisoria
link

bdoriano

Ottimo!

Entra in modalità provvisoria con rete e segui le istruzioni di questo topic per postare il log di combofix.

Zugzwang · Mortale devoto Registrato: 09/09/10 16:33 Messaggi: 14

link
ottimo! favolosi siete!

adesso funziona tutto come un fiore, pure hijackthis!

però ho dato una scansionata completa (PUP compreso) con avast e continua a trovar file infetti!
ok, è passato da 34 a 1, però Laughing

bdoriano

Premetto che Avast non è tra i miei favoriti... Razz

Fai questa scansione online:

Clicca qui per aprire la pagina di ESET OnlineScan
Clicca il bottone
Solo per chi usa un browser differente da Internet Explorer, è necessario scaricare un file sul proprio desktop:
- Clicca su e salva il file sul desktop
- Doppio click sull'icona salvata sul desktop
Metti il segno di spunta a
Clicca il bottone
Accetta tutti gli avvisi di sicurezza del tuo browser
Metti il segno di spunta anche a
Clicca il bottone
Il programma scaricherà tutte le parti necessarie alla scansione (il motore di scansione e i database virali aggiornati)
Sii paziente, a seconda della velocità della tua linea potrebbero volerci parecchi minuti.
Quando la scansione sarà completata, clicca su
Clicca su e salva il file sul desktop.
Carica il file salvato su wikisend e posta il forum link che ti viene assegnato
Clicca il bottone
Clicca il bottone

Se non vengono rilevate minacce, non verrà fornito alcun log