pc infetto non funge ne tastiera ne touchpad con la batteria

[skydark7997]

Salve a tutti ha un pò di tempo che ho un problema con il pc, tempo a dietro ho scaricato un programma che era un virus dopo l'installazione il pc si è riavviato da solo e dali i miei problemi, la tastiera e il touchpad non rispondono più quando il pc ha la batteria collegata. ho fatto il ripristino del sistema con nortonghost, perchè avevo un backup salvato, ma nulla è servito.

pensavo che era un errore harware ma poi mi sono imbattuto in questo post:
http://www.nntp.it/comp-sicurezza-vi...isponde-2.html[/CODE]

non sono uno esperto se mi potete aiutare passo passo ve ne sarei grato.

per finire ieri ho preso un'altro virus che non mi permetteva di scrivere nel browser ne mi permette di esplorare le cartelle ne mi permette di ripristinare il pc ad un punto di arresto precedente. ho scanzionato il pc con Pandascan e questo è il log

codice:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-01-18 23:47:25
PROTECTIONS: 1
MALWARE: 3
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
Avira AntiVir PersonalEdition                8.0.1.18                      Yes       No
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00020302  adware/ncase                       Adware              No        0         Yes            No           HKEY_CLASSES_ROOT\TypeLib\{15696ae2-6ea4-47f4-bea6-a3d32693efc7}
00034463  adware/wupd                        Adware              No        0         Yes            No           C:\Program Files\Media Access\MediaAccess.exe
00034463  adware/wupd                        Adware              No        0         Yes            No           hkey_local_machine\software\media access
00034463  adware/wupd                        Adware              No        0         Yes            No           hkey_classes_root\clsid\{1e5f0d38-214b-4085-ad2a-d2290e6a2d2c}
00034463  adware/wupd                        Adware              No        0         Yes            No           hkey_local_machine\software\classes\appid\loaderx.exe
00034463  adware/wupd                        Adware              No        0         Yes            No           hkey_classes_root\appid\loaderx.exe
00034463  adware/wupd                        Adware              No        0         Yes            No           hkey_local_machine\software\classes\mediaaccess.installer
00034463  adware/wupd                        Adware              No        0         Yes            No           hkey_classes_root\mediaaccess.installer
00034463  adware/wupd                        Adware              No        0         Yes            No           hkey_local_machine\software\microsoft\windows\currentversion\run\media access
00034463  adware/wupd                        Adware              No        0         Yes            No           hkey_local_machine\software\microsoft\windows\currentversion\uninstall\media access
00034463  adware/wupd                        Adware              No        0         Yes            No           HKEY_CLASSES_ROOT\Interface\{00ada225-ea6c-4fb3-82e8-68189201ccb9}
00034463  adware/wupd                        Adware              No        0         Yes            No           HKEY_LOCAL_MACHINE\software\classes\CLSID\{1e5f0d38-214b-4085-ad2a-d2290e6a2d2c}
00034463  adware/wupd                        Adware              No        0         Yes            No           HKEY_CLASSES_ROOT\AppID\{735c5a0c-f79f-47a1-8ca1-2a2e482662a8}
00034463  adware/wupd                        Adware              No        0         Yes            No           C:\Program Files\Media Access\MediaAccK.exe
00040722  adware/navipromo                   Adware              No        1         Yes            No           hkey_current_user\software\mc
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              {
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                {
;===================================================================================================================================================================================
;===================================================================================================================================================================================

Ho fatto scazione con adware e HijackThis ma non metto i log perchè diventerebbe troppo lungo.
Scusate se sono stato così lungo ma non so cosa fare sono veramente confuso vi ringrazio in anticipo per il vostro aiuto. ciao a tutti

[Deifobe]

ciao... bel problemino, vediamo di cosa potrebbe trattarsi...

scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Freefilehosting e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo).

[skydark7997]

Ciao, il report lo caricato su filehosting dove mi avevi detto tu, questo è il link http://freefilehosting.net/download/447ei ti ringrazio per l'aiuto speriamo bene perchè per adesso è inutilizzabile il mio pc Ciao

[Deifobe]

L'unita' D e' di un HD esterno o pen usb? Se si, collega al pc la pen usb (o l'HD esterno, se l'hai) tenendo premuto il tasto shift

Scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.

Posta il rapporto.

Poi esegui una scansione anche con questo tool


posta anche un nuovo systemscan

[skydark7997]

No C è l' HD principale D ed L sono partizioni e G è la pendrive

[Deifobe]

ok... devi eseguire la scansione anche sulle partizioni

[skydark7997]

Questo è link del report malwarebytes http://freefilehosting.net/download/448hc
il problema dell'esplorare le cartelle e quindi andare in risorse del computer e pannell di controllo lo abbiamo risolto. Mentre quello della tastiera e touchpad bloccati quando c'è inserita la batteria ancora persiste.
Questo è il link del report fatto con systemscan http://freefilehosting.net/download/448he
Ti ringrazio tantissimo per l'interesse mostrato al mio caso senza avrei dovuto formattare.

[Deifobe]

solitamente non dico mai di cambiare antivirus in prima battuta.....

1) scarica il tool utility e clicca sul tasto 2 (cioè abilita il task manager e il regedit)

2) esegui hijackthis e fixa:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O4 - HKLM\..\Run: [Windows Service Processor] shdocvw.exe
O4 - HKLM\..\RunServices: [Windows Service Processor] shdocvw.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOCUME~1\xp\IMPOST~1\Temp\csrssc.exe
O4 - HKLM\..\Run: [Windows Spooler] C:\WINDOWS\system32\spoolsv32.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\twex.exe,
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

3) Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

files to delete:
C:\autorun.inf
C:\ufwh.exe
C:\839718926
C:\sxki.exe
C:\sqmnoopt03.sqm
C:\sqmdata03.sqm
C:\sqmnoopt02.sqm
C:\sqmdata02.sqm
C:\sqmnoopt01.sqm
C:\sqmdata01.sqm
C:\DOCUME~1\xp\IMPOST~1\Temp\csrssc.exe
C:\WINDOWS\system32\'
C:\WINDOWS\temp\2F.tmp
C:\WINDOWS\temp\2E.tmp
C:\WINDOWS\system32\drivers\gaopdxyardlwfq.sys
C:\WINDOWS\system32\twain32\local.ds
C:\WINDOWS\system32\twain32\user.ds
C:\WINDOWS\system32\gaopdxjdsxylkl.dll
C:\Documents and Settings\xp\Menu Avvio\Programmi\Esecuzione automatica\Piylzq2tOn.lnk
C:\WINDOWS\pss\Piylzq2tOn.lnkStartup
C:\Documents and Settings\xp\Impostazioni locali\Temp\venekmzo.exe
C:\Programmi\Mozilla Firefox\components\iamfamous.dll
C:\Program Files\Media Access\MediaAccK.exe
C:\WINDOWS\temp\tempo-0B.tmp
C:\WINDOWS\temp\tempo-87.tmp
C:\WINDOWS\temp\preconfig.exe

folders to delete:
C:\resycled
C:\WINDOWS\system32\twain32

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Windows Service Processor
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services | Windows Service Processor

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset003\services\g aopdxserv.sys
HKEY_LOCAL_MACHINE\system\controlset001\services\g aopdxserv.sys
HKEY_LOCAL_MACHINE\system\crrentcontrolset\service s\gaopdxserv.sys
HKEY_LOCAL_MACHINE\system\controlset003\enum\root\ legacy_gaopdxserv.sys
HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_gaopdxserv.sys
HKEY_LOCAL_MACHINE\system\crrentcontrolset\enum\ro ot\legacy_gaopdxserv.sys
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^xp^Menu Avvio^Programmi^Esecuzione automatica^Piylzq2tOn.lnk
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Media Access
HKEY_CLASSES_ROOT\videoplay

Spunta "Automatically disable any rootkits found" e clicca su "execute". Il pc si riavvierà.


4) Apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run]
"Jnskdfmf9eldfd"=-
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file
chiudi ed eseguilo. accetta le modifiche (dura solo un attimo..)

5) Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte)

6) Usa la funzione cerca di windows e cerca i file:
spoolsv32.exe
shdocvw.exe

(devi solo cercarli)

7) poi, analizza Virustotal su il file C:\WINDOWS\system32\drivers\4626e591.sys

dovesse essere infetto, riesegui avenger con questo script:

files to delete:
C:\WINDOWS\system32\drivers\4626e591.sys

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset003\services\4 626e591
HKEY_LOCAL_MACHINE\system\controlset001\services\4 626e591
HKEY_LOCAL_MACHINE\system\crrentcontrolset\service s\4626e591
HKEY_LOCAL_MACHINE\system\controlset003\enum\root\ legacy_4626e591
HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_4626e591
HKEY_LOCAL_MACHINE\system\crrentcontrolset\enum\ro ot\legacy_4626e591

se sei in dubbio, posta il link e lo controllo.

8) Ripeti la scansione con malwarebytes e posta un nuovo systemscan


9) Poi dovresti farmi una cortesia, se ti va (per me sarebbe importante...):
visualizza file e cartelle nascoste
1) zippa la cartella c:\Avenger e caricala su Freefilehosting (non chiudere la pagina)
2) zippa la cartella c:\documents and settings\il tuo user\dati applicazioni\malwarebytes\Malwarebytes' Anti-Malware\quarantine e carica anche questo su freefilehosting.
Carica il .zip su freefilehosting.net e mandami il link con un messaggio privato
Inviami tutte e due i link con un messaggio privato (non postarli sul forum, mi raccomando)


10) In ultimo, questo account lo conosci? => rdpuser18


Ciao...

[skydark7997]

Ciao ho fatto tutto quello che mi hai scritto, però al punto 2

codice:

   esegui hijackthis e fixa:
Citazione:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O4 - HKLM\..\Run: [Windows Service Processor] shdocvw.exe
O4 - HKLM\..\RunServices: [Windows Service Processor] shdocvw.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOCUME~1\xp\IMPOST~1\Temp\csrssc.exe
O4 - HKLM\..\Run: [Windows Spooler] C:\WINDOWS\system32\spoolsv32.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

le voci scritte in rosso non sono apparse. (cmq io ho continuato lo stesso).

Al Punto 7 il file C:\WINDOWS\system32\drivers\4626e591.sys non c'era (ma io sono andato avanti)

questo è il link dell'ultimo report fatto con systemscan http://freefilehosting.net/download/449ea
Adesso va molto meglio con la batteria inserita la tastiera funziona anche se qualche tasto non funziona benissimo mentre se stacco la batteria funziona perfettamente. il touchpad va un pò per i fatti suoi è semibloccato, se tolgo la batteria funziona anche lui perfettamente.
In privato ora ti posto quello che mi hai chiesto.

[Deifobe]

allora fai anche il punto 7 (cioe' esegui avenger)

io esco ora la lavoro.. appena arrivo a casa controllo systemscan..
potresti postare il rapporto c:\avenger.txt?


grazie