Chiavi nascoste...o dio!!!!

[themow95]

Da quando ho scaricato far cry2 ho un problemino durante la navigazione mi si aprono molteplici pagine web senza richiesta. Ho scovato il problema e cioè un file di systema nella cartella c:\windows\system32\drivers\nome file causuale.

infatti il nome del file cambia ad ogni avvio inoltre quando lo elimino con avg antiroot-kit free ricompare subito. Credo vi sia qulke chiave di registro che rigenera il file tuttavia non so come eliminarla viprego aiutatemi il mio sistema è windows vista32-bit

[wjmat]

Ciao
segui qui la guida per la rimozione di Vundo e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità .

[themow95]

grazie dell'aiuto ti farò sapere

[Chill-Out]

Disattivare il Ripristino Configurazione Sistema:

Windows Vista

• Start
• Pannello di controllo
• seleziona Sistema e manutenzione
• seleziona l’icona Sistema
• nel menu a sinistra clicca su Protezione sistema
• togli la spunta alle voci che fanno riferimento ai dischi ai quali disattivare il Ripristino configurazione di sistema
• Confermare come da richiesta

Riattivate il Ripristino Configurazione Sistema solo a disinfezione terminata

Pulizia dei file temporanei:

ATF Cleaner Download - Guida all'utilizzo
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx della sottoindicata voce e clicca su Fix cheked

Quote:

O4 - HKCU\..\Run: [gyrkdv] "c:\users\utente\appdata\local\gyrkdv.exe" gyrkdv

Fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Disinstalla la AskBar

Riepilogo log da allegare:
ComboFix
Nuovo log HJT

[themow95]

non ho capito molto cmq questo e il log http://wikisend.com/download/543420/hijackthis scan.txt dimmi se è possibile utilizzare Avenger se si potresti scrivermi le stringhe da eliminare?? vedi nn ho molta dimestichezza sono troppo giovane per queste cose

[wjmat]

non mi sembra sia stato nominato avenger...

fixa semplicemente la voce e procedi con le restanti cose che ti sono state indicate

[themow95]

ho e seguito le tue indicazioni tuttavia non rieco ad eseguire combo fix

puoi darmi qualke indicazione in più su come eseguirlo e su cosa devo disattivare durante l'esecuzione??

[wjmat]

devi disabilitare avg

[themow95]

Ho fatto come richiesto ed ho eliminato il file con hjk tuttavia il virus non è stato eliminato ecco i log

[themow95]

più qll di combo fix

[Chill-Out]

Secondo me le finestre sono sparite

Questa parte te la sei dimenticata

Quote:

Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx della sottoindicata voce e clicca su Fix cheked

Quote:

[themow95]

no no

[Chill-Out]

Quote:

Originariamente inviato da themow95

no no

Allora procedi a fixare in HJT la voce indicata e fai girare nuovamente Combo le istruzioni andrebbero fatte come indicato.

Allega entrambi i log

[themow95]

ho fixato il virus nn cè più (;
però il c:\windows\system32\drivers\nome casuale rimane alla scansione con avg anti rootkit
ecco il log di combofix

[themow95]

e il log di hjk

[Chill-Out]

Quote:

Originariamente inviato da themow95

e il log di hjk

Continui ad allegare gli stessi log, tanto è vero che la chiave da fixare come da istruzioni è ancora qui:

Quote:

O4 - HKCU\..\Run: [gyrkdv] "c:\users\utente\appdata\local\gyrkdv.exe" gyrkdv

c:\windows\system32\drivers\nome -->> anche se random indicami il nome

[themow95]

ecco il log giusto allora e il noime del file che credo sia il trojan anke se ripeto ke il problema non vi è più

c:\windows\system32\Drivers\agqcpesd.SYS

[Chill-Out]

Quote:

Originariamente inviato da themow95

ecco il log giusto allora e il noime del file che credo sia il trojan anke se ripeto ke il problema non vi è più

c:\windows\system32\Drivers\agqcpesd.SYS

Se il problema è risolto direi che siamo ok, ciao.

[themow95]

Ma qnd faccio la scansione questo file con il nome causuale rimane

[wjmat]

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [gyrkdv] "c:\users\utente\appdata\local\gyrkdv.exe" gyrkdv
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab

disinstalla asktoolbar