windows vista - eseguibili e antivirus in tilt

[anuska]

Buongiorno a tutti. Ho cercato un po' in giro per risolvere il mio problema ma tutti i consigli sono di scaricare vari antivirus...
Il problema e' che da ieri non funziona piu' l'antivirus AVG, non riesco neppure a disintallarlo e ad installarlo nuovamente..... funziona solo Spybot - Search & Destroy che pero' non rileva niente.
Quindi sono senza antivirus e non funzionano piu' i file .exe, cosa che non mi permette di installare nulla.
Mi sembra di aver capito che si tratta di un bagle ma non posso toglierlo con programmi vari ma solo manualmente, qualcuno sa come fare?
grazie

[wjmat]

ciao

hai errori "applicazione win32 non valida"?
se no, prova a riparare le associazioni dei .exe

[anuska]

Quote:

Originariamente inviato da wjmat

ciao

hai errori "applicazione win32 non valida"?
se no, prova a riparare le associazioni dei .exe

no veramente, quando cerco di scaricare un exe io faccio esegui, il PC lo scarica ma quando faccio RUN sparisce tutto, come se non avessi fatto nulla, questo succede anche se faccio salva su disco, non salva nulla ma non da' quel messaggio che dici......

[wjmat]

prova a riparare l'associazione

[anuska]

Quote:

Originariamente inviato da wjmat

prova a riparare l'associazione

scusami ma... come si fa? su Vista.....

[wjmat]

pardon
http://www.winhelponline.com/article...ows-Vista.html

[anuska]

Quote:

Originariamente inviato da wjmat

pardon
http://www.winhelponline.com/article...ows-Vista.html

non me lo lascia neppure salvare od eseguire....... faccio salva e non appare nulla ma non salva, come non avessi fatto niente.......

[wjmat]

scansiona con il rescue cd di Avira poi se la situazione migliora vediamo come procedere

[anuska]

allora, novita'..... siccome ho un altro PC che e' collegato in rete, ho scaricato li' l'AVG9 e findykill, poi li ho copiati sul PC infettato e li ho fatti partire... strano ma cosi' sono partiti.....
ebbene, AVG non ha trovato nulla, invece findykill ha trovato alcune cose e quindi l'ho fatto agire in modalita' clear.....
ora sto facendo girare elibagle e poi pensavo di far partire anche combofix.... incrocio le dita.......
intanto grazie per i suggerimenti.....

[wjmat]

carica il log di findykill secondo le regole di sezione che diamo un occhio

[anuska]

ok

comunque ora ho provato a rifarlo, l'esame, non il clean, ma non va mai oltre il 70% fermandosi a :
BAGLE: HKCU\Software\XYZ

a questo punto sta fermo un po' e poi windows mi dice:
Find String (QGREP) Utility has stopped working

e mi chiede se voglio cercare soluzioni o chiudere il programma


ecco il log che posto qui di seguito:

Quote:

############################## | FindyKill V5.037 |

# User : anuska (Administrators) # anuska-PC
# Update on 18/02/2010 by El Desaparecido
# Start at: 20.45.50 | 11/03/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : [email protected]

# Intel(R) Core(TM)2 Duo CPU T5750 @ 2.00GHz
# Microsoft® Windows Vista™ Home Premium (6.0.6001 64-bit) # Service Pack 1
# Internet Explorer 8.0.6001.18882
# Windows Firewall Status : Enabled
# AV : Norton 360 2007 [ Enabled | Updated ]
# AV : AVG Anti-Virus Free 8.0 [ Enabled | Updated ]
# FW : Norton 360[ Enabled ]2007

# C:\ # Local Fixed Disk # 231,41 Go (125,03 Go free) [SQ004709V01] # NTFS
# D:\ # Local Fixed Disk # 232,88 Go (108,23 Go free) # NTFS
# E:\ # CD-ROM Disc
# F:\ # CD-ROM Disc
# G:\ # CD-ROM Disc
# H:\ # CD-ROM Disc
# I:\ # CD-ROM Disc

############################## | Active Processes |

C:\Program Files (x86)\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files (x86)\AVG\AVG9\avgwdsvc.exe
C:\Program Files (x86)\Bonjour\mDNSResponder.exe
C:\Program Files (x86)\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Toshiba\IVP\ISM\pinger.exe
C:\Windows\SysWOW64\PnkBstrA.exe
C:\Windows\SysWOW64\PnkBstrB.exe
c:\Toshiba\IVP\swupdate\swupdtmr.exe
C:\Program Files (x86)\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe
C:\Program Files (x86)\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files (x86)\AVG\AVG9\avgemc.exe
C:\Program Files (x86)\AVG\AVG9\avgcsrvx.exe
C:\Windows\SysWOW64\conime.exe
C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files (x86)\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files (x86)\Toshiba\ConfigFree\NDSTray.exe
C:\Program Files (x86)\CyberLink\PowerCinema for TOSHIBA\PCMAgent.exe
C:\Program Files (x86)\CyberLink\PowerCinema for TOSHIBA\Kernel\CLML\CLMLSvc.exe
C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Program Files (x86)\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files (x86)\AVG\AVG9\avgtray.exe
C:\Program Files (x86)\iPod\bin\iPodService.exe
C:\Program Files (x86)\Toshiba\ConfigFree\CFSwMgr.exe
C:\Program Files (x86)\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files (x86)\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files (x86)\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

################## | C: |


################## | C:\Windows |


################## | C:\Windows\Prefetch |


################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\anuska\AppData\Roaming |


################## | Temporary Internet Files |

C:\Users\anuska\Local Settings\Temporary Internet Files\Content.IE5\MXD8YDAB\2t_avg-remover-thumb[1].jpg
C:\Users\anuska\Local Settings\Temporary Internet Files\Content.IE5\MXD8YDAB\2t_combofix-th[1].jpg

################## | Registry |


################## | State |

# Showing of hidden files : OK

# Safe boot mode : OK

# Uac : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | End of Report # FindyKill V5.037 ! |

[anuska]

ho trovato anche questo, generato oggi non so da cosa, frutto di una delle mie varie prove:

Quote:

HANDLE csrss.exe.mui 1>MUI00

SED -r "/.*(.:\\.*)\\[^\\]*$/!d; s//\1/" MUI00 | SED -r -n "G; s/\n/&&/; /^([ -~]*\n).*\n\1/d; s/\n//; h; P" 1>MUI

FOR /F "TOKENS=*" %G IN (MUI) DO @(
IF EXIST "%~G\sc.exe.mui" COPY /Y /B "%~G\sc.exe.mui" "%~G\swsc.exe.mui"
IF EXIST "%~G\cmd.exe.mui" (
SWXCACLS "%~G\cmd.exe.mui" /OA /Q
SWXCACLS "%~G\cmd.exe.mui" /P /GA:F /GS:F /GP:X /GU:X /Q
COPY /Y "%~G\cmd.exe.mui" "%~G\CF13768.exe.mui"
SWXCACLS "%~G\cmd.exe.mui" /g SID#S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464:f /GA:X /GS:X /GP:X /GU:X /Q
SWXCACLS "%~G\cmd.exe.mui" /o SID#S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464 /Q
)
)

DEL /A/F/Q MUI0?

GOTO :EOF

IF /I "C:\32788R22FWJFW" NEQ "C:\32788R22FWJFW" GOTO Abort

IF EXIST "C:\Users\anuska\AppData\Local\Temp\32788R22FWJFW32788R22FWJFW.log" DEL /A/F "C:\Users\anuska\AppData\Local\Temp\32788R22FWJFW32788R22FWJFW.log"

(
SET "FileName=ComboFix"
SET "FilePath=C:\Users\anuska\Desktop\"
)

SET FileName 1>FileName

GREP -isqx "FileName=[-[:alnum:]@.]*" FileName || GOTO AbortB

DIR /AD/B C:\* | FINDSTR -IVX ComboFix 1>DirName00

FINDSTR -LIXC:"ComboFix" DirName00 && CALL :NameChk

IF EXIST DirName0? DEL /A/F/Q DirName0?

IF EXIST Oldsfxname00 DEL /A/F Oldsfxname00

IF EXIST "\ComboFix" DIR /AD "\ComboFix" 1>N_\25743 && (
RD /S/Q "\ComboFix"
IF EXIST "\ComboFix" (
PV -kf *.cfexe
RD /S/Q "\ComboFix"
)
IF EXIST "\ComboFix" (
HANDLE "C:\ComboFix" 1>temp00
SED -R "/.* pid: (\d*) +(\S*):.*/I!d;s//@ECHO.y|Handle -c \2 -p \1/" temp00 1>temp00.bat
CALL temp00.bat
DEL /A/F temp00.bat temp00
RD /S/Q "\ComboFix"
)
)

IF EXIST "\ComboFix" RD /S/Q "\ComboFix"

IF EXIST "\ComboFix" GOTO :EOF

UNZIP -ojCq "License\streamtools.zip" sf.exe

CD ..

(
ECHO.MD "\ComboFix"
ECHO.ATTRIB -H -S "\32788R22FWJFW\*"
ECHO.MOVE /y "\32788R22FWJFW\*" "\ComboFix"
ECHO.RD /S/Q "\32788R22FWJFW"
ECHO.START "." /d"C:\ComboFix" "C:\Windows\system32\CF13768.exe" /k c.bat
ECHO.PV -kf cmd.exe cmd.execf
ECHO.DEL /A/F \Start_.cmd
) 1>Start_.cmd

[wjmat]

i log ti avevo chiesto di caricarli secondo le regole di sezione
il secondo non è il log di combofix che invece trovi sotto c:\combofix.txt

[anuska]

Quote:

Originariamente inviato da wjmat

i log ti avevo chiesto di caricarli secondo le regole di sezione
il secondo non è il log di combofix che invece troci sotto c:\combofix.txt

scusami, hai ragione... spero ora di aver rimediato

[wjmat]

i log lunghi vanno caricati sui server remoti
il log di combofix che ancora nopn ho visto, caricalo in questa maniera

[anuska]

combofix mi ha risposto che va bene solo per xp e non per vista.....

[wjmat]

è colpa del 64bit
segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log in un unico post e secondo le regole di sezione (esempio1 & esempio2)
Qui trovi ulteriori dettagli e consigli per una corretta esecuzione della procedura

link caricamento log generici ► wikisend ■ fileqube
link caricamento immagini ► imageshack ■ fileqube

[anuska]

grazie mille, nel pomeriggio provo e ti sapro' dire

[anuska]

ci sto lavorando, ma comincio ad essere orientata alla riformattazione.....
ho gia' detto che findykill si ferma al 70%....
prima AVG si e' bloccato e si e' spento il PC
poi stava girando da piu' di un'ora Malwarebytes ed e' uscita una schermata di windows blu che poi e' diventata nera facendo il check del disco......
ora provo A squared e vediamo.........

[anuska]

ecco quanto sono riuscita a fare:

link ai file di AD AWARE - AVG - MALWAREBYTES : http://wikisend.com/download/508806/log riepilogativo.txt


Link al file di SYSINSPECTOR: http://wikisend.com/download/216844/SYSINSPECTOR.doc

spero di aver fatto giusto..... mai caricati prima file su server

grazie e ciao