Da quando ho scaricato far cry2 ho un problemino durante la navigazione mi si aprono molteplici pagine web senza richiesta. Ho scovato il problema e cioè un file di systema nella cartella c:\windows\system32\drivers\nome file causuale.

infatti il nome del file cambia ad ogni avvio inoltre quando lo elimino con avg antiroot-kit free ricompare subito. Credo vi sia qulke chiave di registro che rigenera il file tuttavia non so come eliminarla :muro: :mad: viprego aiutatemi il mio sistema è windows vista32-bit

Ciao
segui qui (www.hwupgrade.it/forum/showthread.php?t=1603273) la guida per la rimozione di Vundo e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308).

grazie dell'aiuto ti farò sapere:D

Disattivare il Ripristino Configurazione Sistema:

Windows Vista

Start
Pannello di controllo
seleziona Sistema e manutenzione
seleziona l’icona Sistema
nel menu a sinistra clicca su Protezione sistema
togli la spunta alle voci che fanno riferimento ai dischi ai quali disattivare il Ripristino configurazione di sistema
Confermare come da richiesta

Riattivate il Ripristino Configurazione Sistema solo a disinfezione terminata

Pulizia dei file temporanei:

ATF Cleaner Download (http://www.atribune.org/ccount/click.php?id=1) - Guida all'utilizzo (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx della sottoindicata voce e clicca su Fix cheked

O4 - HKCU\..\Run: [gyrkdv] "c:\users\utente\appdata\local\gyrkdv.exe" gyrkdv

Fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Disinstalla la AskBar

Riepilogo log da allegare:
ComboFix
Nuovo log HJT

non ho capito molto cmq questo e il log http://wikisend.com/download/543420/hijackthis scan.txt dimmi se è possibile utilizzare Avenger se si potresti scrivermi le stringhe da eliminare?? vedi nn ho molta dimestichezza:mbe: :stordita: sono troppo giovane per queste cose

non mi sembra sia stato nominato avenger...

fixa semplicemente la voce e procedi con le restanti cose che ti sono state indicate

ho e seguito le tue indicazioni tuttavia non rieco ad eseguire combo fix

puoi darmi qualke indicazione in più su come eseguirlo e su cosa devo disattivare durante l'esecuzione??

devi disabilitare avg

Ho fatto come richiesto ed ho eliminato il file con hjk tuttavia il virus non è stato eliminato ecco i log

più qll di combo fix

Secondo me le finestre sono sparite

Questa parte te la sei dimenticata

Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx della sottoindicata voce e clicca su Fix cheked

O4 - HKCU\..\Run: [gyrkdv] "c:\users\utente\appdata\local\gyrkdv.exe" gyrkdv

no no

no no

Allora procedi a fixare in HJT la voce indicata e fai girare nuovamente Combo le istruzioni andrebbero fatte come indicato.

Allega entrambi i log

ho fixato il virus nn cè più (;
però il c:\windows\system32\drivers\nome casuale rimane alla scansione con avg anti rootkit
ecco il log di combofix

e il log di hjk

e il log di hjk

Continui ad allegare gli stessi log, tanto è vero che la chiave da fixare come da istruzioni è ancora qui:

O4 - HKCU\..\Run: [gyrkdv] "c:\users\utente\appdata\local\gyrkdv.exe" gyrkdv

c:\windows\system32\drivers\nome -->> anche se random indicami il nome

ecco il log giusto allora e il noime del file che credo sia il trojan anke se ripeto ke il problema non vi è più

c:\windows\system32\Drivers\agqcpesd.SYS

ecco il log giusto allora e il noime del file che credo sia il trojan anke se ripeto ke il problema non vi è più

c:\windows\system32\Drivers\agqcpesd.SYS

Se il problema è risolto direi che siamo ok, ciao. ;)

Ma qnd faccio la scansione questo file con il nome causuale rimane

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [gyrkdv] "c:\users\utente\appdata\local\gyrkdv.exe" gyrkdv
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab


disinstalla asktoolbar

Ma qnd faccio la scansione questo file con il nome causuale rimane

O4 - HKCU\..\Run: [gyrkdv] "c:\users\utente\appdata\local\gyrkdv.exe" gyrkdv

la voce che da giorni ti ripeto di fixare con HJT è ancora qui, se non segui le istruzioni non posso farci nulla :boh: