Ciao ragazzi, sono volontario in croce rossa. Durante un turno ho usato il pc "libero", vale a dire quello utilizzato un po' da tutti. Come potete immaginare, esso era inutilizzabile, sicuramente pieno di virus, rootkit e malware di ogni genere (messaggi il tuo computer è infetto:clicca qui ETC..)
Allora ho fatto tutti i log del caso e vi chiedo gentilmente di dirmi che fare:
preciso che ci sono tutti i log richiesti nella GUIDA per INFETTI, tranne la scansio ne online perchè purtroppo non avevo + tempo (fine turno:D).
Io vi posto questi, vedete se sapete dirmi qualcosa, poi se la scansione online è fondamentale o serve altro vi prego di richiedermeli:


SysInspector.xml (http://wikisend.com/download/661406/SysInspector-PRESIDENTE-080506-2141.xml)

prevx.txt (http://wikisend.com/download/661436/prevx.txt)

CureIt.txt (http://wikisend.com/download/661764/CureIt.txt)

gmer.txt (http://wikisend.com/download/661536/gmer.txt)

domani però vogliamo anche scansione online o il tool kaspersky :)

rifai la scansione con HiJackThis optando per "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le voci sugerite e premi tale tasto.

Fixa:

O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"


l'antivirus è ottimo purtroppo dovete regolarizzarvi e sostituire la free con quella a pagamento Avira Antivir PremiumEdition (20€ un anno di licenza) inquanto non è ambito casalingo :)
Potete disinstallare completamente PowerDVD, sarebbe a pagamento e spesso rimane obsoleto, con il più funzionale e opensource VLCplayer -> http://www.videolan.org/vlc/

Poi vai al link http://secunia.com/software_inspector/ e scansiona online il pc, ti segnalerà tutto il software critico da aggiornare assolutamente :)


Dal log di prevx:

C:\Documents and Settings\utente\Impostazioni locali\Temp\esiasdrv.sys InMem: 0 Det [U] MD5: 89424D6EF70FA7CCA89AC961D35A3646 PX5: F53299E408C1C816865B0048608A020058BEBB84


C:\Documents and Settings\utente\Impostazioni locali\Dati applicazioni\aaqvcgzt.exe InMem: 0 Det [BP<R25>] MD5: CE04DA0A914847824D1619352E67692E PX5: DE01645F00105A3C100105B4FE347000BA738218 Malware Group: Hidden Process: 284 - Hidden Key: S-1-5-21-1177238915-1450960922-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run

REGRUNKEY - \REGISTRY\User\S-1-5-21-1177238915-1450960922-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run/hidden - aaqvcgzt [c:\Documents and Settings\utente\Impostazioni locali\Dati applic]


Summary:

C:\Documents and Settings\utente\Impostazioni locali\Dati applicazioni\aaqvcgzt.exe - [B25] >> Hidden Process: 284 - Hidden Key: S-1-5-21-1177238915-1450960922-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run

Per DrWeb CureIT è tutto a posto



un estratto del log di gmer:

.text C:\documents and settings\utente\impostazioni locali\dati applicazioni\aaqvcgzt.exe[284] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 01E8200E

.text C:\documents and settings\utente\impostazioni locali\dati applicazioni\aaqvcgzt.exe[284] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 01E81DAF

.text C:\documents and settings\utente\impostazioni locali\dati applicazioni\aaqvcgzt.exe[284] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 01E81CF2

.text C:\documents and settings\utente\impostazioni locali\dati applicazioni\aaqvcgzt.exe[284] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 01E8191B
.text C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe[512] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 00CD200E

.text C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe[512] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 00CD1DAF

.text C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe[512] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 00CD1CF2

.text C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe[512] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 00CD191B

---- Processes - GMER 1.0.14 ----



Process C:\documents and settings\utente\impostazioni locali\dati applicazioni\aaqvcgzt.exe (*** hidden *** ) 284

Library C:\documents and settings\utente\impostazioni locali\dati applicazioni\aaqvcgzt.exe (*** hidden *** ) @ C:\documents and settings\utente\impostazioni locali\dati applicazioni\aaqvcgzt.exe [284] 0x00400000


---- Registry - GMER 1.0.14 ----



Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd600f46

Reg HKLM\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\0009dd600f46

Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Run@aaqvcgzt c:\documents and settings\utente\impostazioni locali\dati applicazioni\aaqvcgzt.exe aaqvcgzt

---- Files - GMER 1.0.14 ----



File C:\WINDOWS\Prefetch\AAQVCGZT.EXE-03C5C158.pf 35538 bytes

File C:\Documents and Settings\utente\Impostazioni locali\Dati applicazioni\aaqvcgzt.dat 5870 bytes

File C:\Documents and Settings\utente\Impostazioni locali\Dati applicazioni\aaqvcgzt.exe 331776 bytes

File C:\Documents and Settings\utente\Impostazioni locali\Dati applicazioni\aaqvcgzt_nav.dat 420034 bytes

File C:\Documents and Settings\utente\Impostazioni locali\Dati applicazioni\aaqvcgzt_navps.dat 767 bytes


l'xml di sysinspector non sono riuscito a controllarlo perchè sono su linux, lo faccio domani durante la mattinata :)

Guarda, per querllo che riguarda la licenza per Antivir, c’è già una richiesta per stanziare i soldi per l’acquisto. Questo antivirus l’ho messo io circa 4 giorni fa, vedendo che c’era installato un norton con licenza scaduta. Allora l’ho sostituito con questo e ho fatto richiesta..purtroppo ogni lira che viene spese deve essere richiesta,giustificata etc..cmq entro pochi giorni si risolve. PowerDVD lo elimino subito, dev’essere una di quelle installazioni messe sul pc al momento dell’acquisto.Installo VLC che uso a casa ed è perfetto.
Conosco il sito per monitorare gli update fondamentali, farò la “scansione” a breve.
Nessu problema sull’uso di hijack this, conosco abbastanza bene il programma. Fixerò la voce.
Ho un po’ più di problemi sugli altri..tu mi alleghi porzioni dei miei log, probabilmente tutto ciò che bisogna rimuovere e “disinfettare”..ma non so come comportarmi..devo effettuare una rimozione con i programmi, cancellandoli fisicamente oppure modificando il registro? Ti ringrazio per il tuo lavoro.

Scarica Avenger (http://swandog46.geekstogo.com/). Eseguilo e inserisci questo script:

Files to delete:
C:\Documents and Settings\utente\Impostazioni locali\Dati applicazioni\aaqvcgzt.exe
C:\Documents and Settings\utente\Impostazioni locali\Dati applicazioni\aaqvcgzt.dat
C:\Documents and Settings\utente\Impostazioni locali\Dati applicazioni\aaqvcgzt_nav.dat
C:\Documents and Settings\utente\Impostazioni locali\Dati applicazioni\aaqvcgzt_navps.dat

Metti il segno di spunta a Automatically disable any rootkit found. Clicca su Execute, accetta e riavvia quando richiesto.

Al riavvio in esegui scrivi regedit. Poi vai alla voce:

HKEY_Users\S-1-5-21-1177238915-1450960922-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run

E rimuovi il valore aaqvcgzt.

Poi allega il log che trovi in c:\avenger.txt e un nuovo log di prevx.

P.S. Non dimenticarti del log della scansione richiesta:

domani però vogliamo anche scansione online o il tool kaspersky :)
...

per antivir ci sono le promozioni


http://altagradazione.blogspot.com/2008/04/la-versione-premium-di-avira-antivir.html