eliminazione file infetti e blocco avvio Windows

[f.gerardi]

Salve a tutti,
spero che qualcuno mi possa aiutare perchè ne va del lavoro di mesi..

Questo è quanto capitato:

ho installato avast ed effettuato la prima scansione direttamente dall'installazione. Quando file infetti venivano segnalati ho sempre cercato di riparare. Laddove non riusciva, ho cancellato i file, inconscio del danno che avrei poi causato.

Al successivo riavvio di windows infatti il processo si bloccava alla schermata ''avvio in corso'', dopo la richiesta della password senza adre alcun messaggio di errore.

L'unico modo in cui windows riparte ora è in modalità provvisoria, dalla quale ho provveduto a vedere quali fossero i file cancellati nel caso in cui avessi cancellato registri essenziali all'avvio..

quanto segue è quello che ho trovato. Qualcuno sa spiegarmi che è successo e che devo fare per poter avviare windows normalmente?

06/05/2009 18:13
Controllo di tutti i drives locali

File C:\Documents and Settings\gerardi_f\Desktop\chiavetta\Disco rimovibile (J)\jm3cx96.bat e infetto da Win32:Kavos [Trj], Ripara: Errore 42060 {Il file non è stato riparato.}, Ripara: Errore 42060 {Il file non è stato riparato.}
File C:\Documents and Settings\gerardi_f\Desktop\chiavetta\Disco rimovibile (J)\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx\[UPX] e infetto da Win32:Confi [Wrm]
File C:\Documents and Settings\gerardi_f\Impostazioni locali\Temporary Internet Files\Content.IE5\ROZBZ8Q8\ytqjy[1].jpg e infetto da Win32:Kido-D [Wrm]
File C:\Programmi\Movie Maker\ljvgmy.dll\[UPX] e infetto da Win32:Confi [Wrm], Ripara: Errore 42060 {Il file non è stato riparato.}, Ripara: Errore 42060 {Il file non è stato riparato.}, Ripara: Errore 42060 {Il file non è stato riparato.}, Ripara: Errore 42060 {Il file non è stato riparato.}, Ripara: Errore 42060 {Il file non è stato riparato.}, Sposta nel Cestino: Errore 0xC0000034 {Impossibile trovare il nome dell'oggetto.}, Ripara: Errore 42060 {Il file non è stato riparato.}, Cancellato
File C:\System Volume Information\_restore{EDE869D0-5A9C-4B4A-99CA-B76E9A6BA5BD}\RP21\A0004014.dll e infetto da Win32:Kavos [Trj], Ripara: Errore 42060 {Il file non è stato riparato.}, Cancellato
File C:\System Volume Information\_restore{EDE869D0-5A9C-4B4A-99CA-B76E9A6BA5BD}\RP21\A0004054.dll\[UPX] e infetto da Win32:Confi [Wrm], Ripara: Errore 42060 {Il file non è stato riparato.}, Ripara: Errore 42060 {Il file non è stato riparato.}, Cancellato
File C:\WINDOWS\system32\087.tmp e infetto da Win32:Trojan-gen {Other}, Ripara: Errore 42060 {Il file non è stato riparato.}, Cancellato
File C:\WINDOWS\system32\0A.tmp e infetto da Win32:Trojan-gen {Other}, Ripara: Errore 42060 {Il file non è stato riparato.}, Cancellato
File C:\WINDOWS\system32\0B.tmp e infetto da Win32:Trojan-gen {Other}, Ripara: Errore 42060 {Il file non è stato riparato.}, Cancellato
File C:\WINDOWS\system32\0D.tmp e infetto da Win32:Trojan-gen {Other}, Ripara: Errore 42060 {Il file non è stato riparato.}, Cancellato
File C:\WINDOWS\system32\kuahug.dll e infetto da Win32:Kido-D [Wrm], Ripara: Errore 42060 {Il file non è stato riparato.}
File C:\WINDOWS\system32\ljvgmy.dll\[UPX] e infetto da Win32:Confi [Wrm], Ripara: Errore 42060 {Il file non è stato riparato.}
File C:\WINDOWS\system32\nmdfgds0.dll e infetto da Win32:Kavos [Trj], Ripara: Errore 42060 {Il file non è stato riparato.}
File C:\WINDOWS\system32\olhrwef.exe e infetto da Win32:Kavos [Trj], Ripara: Errore 42060 {Il file non è stato riparato.}
File J:\jm3cx96.bat e infetto da Win32:Kavos [Trj], Ripara: Errore 42060 {Il file non è stato riparato.}, Cancellato
File J:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx\[UPX] e infetto da Win32:Confi [Wrm], Ripara: Errore 42060 {Il file non è stato riparato.}, Cancellato
Numero di cartelle cercate: 7468
Numero files controllati: 92824
Numero files infetti: 16



grazie a chiunque fosse in grado di aiutarmi

[Deifobe]

ciao, da quello che hai postato si vedono due infezioni..proviamo a vedere cos'altro c'è che non ti fa accedere in normale..

scarica SystemScan - da modalita' provvisoria, disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[f.gerardi]

ecco fatto!!
dopo un po' di peripezie (siccome ho dovuto usare un latro pc x connettermi) ti mando il link dove ho messo il report

http://www.mediafire.com/?sharekey=8...4e75f6e8ebb871

[Deifobe]

per ora non collegare al pc il disco che vedo indicato come: Disco rimovibile (J)

entra in modalita' provvisoria

da Risorse del computer (o qualsiasi altra cartella) clicca su strumenti -> opzioni cartella -> visualizzazione
-> spunta: visualizza cartelle e file nascosti
-> togli la spunta a: nascondi i file protetti di sistema
-> togli la spunta a: nascondi le estensioni per i tipi di file conosciuti

ed sposta nel cestino il file:
C:\Documents and Settings\gerardi_f\Desktop\chiavetta\Disco rimovibile (J)\autorun.inf
(poi lascialo li' nel cestino)

prova a riavviare e vedi se accedi in normale

Esegui systemscan, clicca sul pulsante "Removal Script" e, nella finestra che si apre, copia/incolla questo script:

files to delete:
C:\Documents and Settings\gerardi_f\Desktop\chiavetta\Disco rimovibile (J)\autorun.inf
C:\jm3cx96.bat
C:\Programmi\Movie Maker\ljvgmy.dll
C:\WINDOWS\system32\kuahug.dll
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\GUR9.tmp
C:\WINDOWS\system32\nmdfgds0.dll
C:\WINDOWS\system32\olhrwef.exe
C:\sqmdata19.sqm
C:\sqmnoopt19.sqm
C:\sqmdata18.sqm
C:\sqmnoopt18.sqm
C:\sqmdata17.sqm
C:\sqmnoopt17.sqm
C:\sqmdata16.sqm
C:\sqmnoopt16.sqm
C:\sqmdata15.sqm
C:\sqmnoopt15.sqm
C:\sqmdata14.sqm
C:\sqmnoopt14.sqm
C:\sqmnoopt13.sqm
C:\sqmdata13.sqm
C:\sqmdata12.sqm
C:\sqmnoopt12.sqm
C:\sqmnoopt11.sqm
C:\sqmdata11.sqm
C:\sqmdata10.sqm
C:\sqmnoopt10.sqm
C:\sqmdata09.sqm
C:\sqmnoopt09.sqm
C:\sqmdata08.sqm
C:\sqmnoopt08.sqm
C:\sqmdata07.sqm
C:\sqmnoopt07.sqm
C:\sqmdata06.sqm
C:\sqmnoopt06.sqm
C:\sqmdata05.sqm
C:\sqmnoopt05.sqm
C:\sqmdata04.sqm
C:\sqmnoopt04.sqm
C:\sqmnoopt03.sqm
C:\sqmdata03.sqm
C:\sqmnoopt02.sqm
C:\sqmdata02.sqm
C:\sqmdata01.sqm
C:\sqmnoopt01.sqm
C:\WINDOWS\temp\43c1.tmp
C:\WINDOWS\temp\3ee8.tmp
C:\WINDOWS\temp\c001.tmp
C:\WINDOWS\temp\5dc1.tmp
C:\WINDOWS\temp\61f1.tmp
C:\WINDOWS\temp\1291.tmp
C:\WINDOWS\temp\f0c1.tmp
C:\WINDOWS\temp\12e1.tmp
C:\WINDOWS\temp\1c61.tmp
C:\WINDOWS\temp\3f3A.tmp
C:\WINDOWS\temp\6d18.tmp

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentcontrolSet\Servic es\puugc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\p uugc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\p uugc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentcontrolSet\Servic es\jjegzlkiv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\j jegzlkiv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\j jegzlkiv

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.

scarica questa Utility ed attiva solo:
Abilita servizio "Aggiornamenti AutomaticI" (Wuauserv & BITS)
Abilita servizio "Centro sicurezza PC" (Wscsvc)


posta un nuovo systemscan

ciao

[f.gerardi]

il file non lo vedo in quella cartella, nonostante abbia eseguito quanto mi hai detto nelle opzioni cartella. (la stessa cosa mi capita quando applico la procedura microsoft per visualizzare la cartella system volume information: non vedo la cartella, se può essere collegato)
cmq digitando il percorso dalla barra indirizzo accedo al file che quindi è solo invisibile. come lo cancello?
eseguo una riga di comando da ''esegui''?

[Deifobe]

no, se esegui il file, avvii l'autorun.inf che richiama il file jm3cx96.bat (che non dovresti avere..)

prova ad eseguire direttamente systemscan con lo script

[f.gerardi]

ho trovato il file facendo cerca nella cartella da te indicata e l'ho cancellato. ho riavviato in normale e come prima...bloccato alla schermata del desktop.
ora provo da modalità provvisoria a eseguire lo script e ti dico..

[f.gerardi]

Non so come ringraziarti!!!!!!!!!

Già il fatto che adesso funziona windows normale...anche senza controllare il report mi sembra perfetto no??!!

Veramente non ho parole per esprimere la gratitudine per aver speso tempo e voglia nell'aiutarmi a salvare tutto quanto da formattazione sicura..

ti allego i link dell'avenger e del report dell'ultima scansione..

Ti chiedo solo un'altra cosa: ma tutto questo a cosa è dovuto? perchè poi tutto è ''esploso'' dopo aver installato avast?

http://www.mediafire.com/?sharekey=8...4e75f6e8ebb871

e l'avenger

http://www.mediafire.com/?sharekey=8...4e75f6e8ebb871

[Deifobe]

sono contenta
controllo i rapporti e ti faccio sapere...





edit:

perchè poi tutto è ''esploso'' dopo aver installato avast?

dimenticavo...
è probabile che abbia eliminato qualche file infetto e che da li' sia nato il problema (sospetto che sia colpa del .bat che non avevi e che era richiamato dell'autorun.inf)

mentre controllo, cortesemente, scarica/installa questa patch WindowsXP-KB958644-x86-ENU.exe

(seleziona la lingua e clicca su change..)

[f.gerardi]

mi sa che ho parlato troppo presto..

dopo essere partito + o - la prima volta poi ha rallentato un sacco e si è bloccato nell'apertura di una cartella. ho riavviato e si è praticamente bloccato nel caricamento dei programmi dell'avvio. a quel punto ho riavviato ancora e sono entrato da utente (non da amministratore come prima) e ci ha messo buoni 4/5 minuti per ''riprendersi''..

ci mette veramente tanto ad aprire i file che non capisco se si è ribloccato o meno..