AVS e trojan aux.afq [era:problema con AVS]

[Giuliotresauri]

Non ho trovato nulla con la ricerca percio' inserisco questo messaggio.

Dopo aver installato l'antivirus AVS,ad ogni accensione di computer AVS mi segnala che e' presente un trojan nel mio computer che si chiama aux.afq,faccio la ricerca ma non riesco proprio a trovarlo.

Che AVS sia impazzito?

Ciao

[ste_95]

in che percorso lo segnala..?

[BilloKenobi]

si tratta di linkoptimizer

Scarica systemscan, estrailo, avvialo, metti la spunta a tutte le voci e premi "Scan". poi vai su www.easy-share.com e metti lì il suo log (che trovi in C:\suspectfile\report.txt). poi dacci il link per scaricarlo (solo quello per scaricarlo, non quello per eliminarlo dal sito di hosting)

[Giuliotresauri]

Fatto! Il link e':

http://w13.easy-share.com/2397051.html

Dimenticavo di dire che non riesco a trovare c:\windows1\system32\aux.afq ne' come cartella e ne' tantomeno come file,e che AVS segnala su questo presunto elemento il trojan

'Trojan.Win32.RKDice.a' e ogni volta che AVS parte devo fare sempre lo skip su questo elemento.



Citazione:
Originariamente inviato da ste_95
in che percorso lo segnala..?

mi da' come percorso c:\windows1\system32\aux.afq

[Giuliotresauri]

Originariamente inviato da ste_95
in che percorso lo segnala..?

C:\Windows\system32

[BilloKenobi]

allora, per cominciare fai questo:

1) apri il registro

per farlo, clicca su Start -> Esegui e digita regedit e dai invio

2) sulla sinistra, vai alla cartella

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

nel riquadro di destra, clicca due volte su Userinit. si aprira una piccola finestra. nel campo "Dati valore" noterai questa scritta

"c:\windows\system32\userinit.exe,"c:\windows\system32\nortonspeed.exe","c:\windows\s ystem32\lotusnetwork.exe"

la modifichi eliminando la seconda parte, quella in rosso, in modo tale che rimanga soltanto

"c:\windows\system32\userinit.exe,"

poi riavii il sistema. dopo di che, ti scarichi avenger e prova a vedere se riesce a partire. se sì, allora significherà che possiamo procedere, avendo disattivato la parte del virus più scomoda. dimmi quindi se riesci a farlo partire

[Giuliotresauri]

Con il registro ho Fatto!

Ho scaricato,estratto lo zip e poi fatto partire avenger.exe e parte!

Mi appare una piccola schermatas "The AVENGER",...Script file to execute,etc,etc,

[BilloKenobi]

Ora estrai e avvia Avenger.exe

disattiva antivirus, firewall, eventuali moduli hips

Cliica su "Input Script Manually". E poi sulla lente di ingrandimento. così si aprira una finestra,"View/edit script"
devi copiarci e incollarci queste scritte in grassetto:

registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserLis t|iUPhhRrQgBchglek
HKLM\Software\Microsoft\Windows\CurrentVersion\Run |E-nrgyPlus

folders to delete:
C:\Documents and settings\iUPhhRrQgBchglek
C:\Programmi\E-nrgyPlus

files to delete:
C:\WINDOWS\system32\aux.afq
C:\Programmi\File comuni\System\CxL.exe
C:\Programmi\File comuni\System\DDQ.exe
C:\Programmi\File comuni\System\MPIV.exe
C:\Programmi\File comuni\System\ngE.exe
C:\Programmi\File comuni\System\pIbXq.exe
C:\Programmi\File comuni\System\SZTa.exe
C:\Programmi\File comuni\System\WPeIUP.exe
C:\Programmi\File comuni\System\xGD.exe
C:\Programmi\File comuni\System\XXmR.exe
C:\Programmi\File comuni\System\XmR.exe
C:\WINDOWS\fedid1.dll
C:\WINDOWS\fedid1.upd
c:\windows\system32\nortonspeed.exe
c:\windows\system32\lotusnetwork.exe

registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset003\services\N etWqm
HKEY_LOCAL_MACHINE\system\controlset002\services\N etWqm
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\NetWqm

Dopo di che, clicca sul pulsante Done, poi sul semaforo, e dai due consensi. Il pc si riavvierà da solo, altrimenti fallo a mano

Il programma rilascia un log con le operazioni eseguite.

Allegami il log di Avenger (che si trova in C:\avenger.txt) con l´esito dello script. dixxi anche come va il pc

[Giuliotresauri]

Ho fatto i passi da te consigliati.

Quando il pc riparte,AVS mi segnala che il trojan e' stato neutralizzato (e percio' non mi da' piu' che e' presente il trojan).

Mi compare una finestrella msdos dell'esecuzione dell'avenger in questo modo:

C:\avenger\1.reg

C:\avenger\2.reg

C:\avenger\3.reg


1 file copiati:

Impossibile cambiare l'attributo - C:\avenger\aux.afq

Accesso negato - C:\avenger\xGD.exe

Accesso negato - C:\avenger\XXmR.exe

zip warning: C:/backup.zip not found or empty
adding : avenger/aux.afq <140 bytes security>
--------------------------------------------------------------------------------------

Ecco qui invece il log avenger.txt

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\vacevmhr

*******************

Script file located at: \??\C:\WINDOWS\system32\wdvwvyhi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\Documents and settings\iUPhhRrQgBchglek deleted successfully.


Folder C:\Programmi\E-nrgyPlus not found!
Deletion of folder C:\Programmi\E-nrgyPlus failed!

Could not process line:
C:\Programmi\E-nrgyPlus
Status: 0xc0000034

File C:\WINDOWS\system32\aux.afq deleted successfully.
File C:\Programmi\File comuni\System\CxL.exe deleted successfully.
File C:\Programmi\File comuni\System\DDQ.exe deleted successfully.
File C:\Programmi\File comuni\System\MPIV.exe deleted successfully.
File C:\Programmi\File comuni\System\ngE.exe deleted successfully.
File C:\Programmi\File comuni\System\pIbXq.exe deleted successfully.
File C:\Programmi\File comuni\System\SZTa.exe deleted successfully.
File C:\Programmi\File comuni\System\WPeIUP.exe deleted successfully.
File C:\Programmi\File comuni\System\xGD.exe deleted successfully.
File C:\Programmi\File comuni\System\XXmR.exe deleted successfully.


File C:\Programmi\File comuni\System\XmR.exe not found!
Deletion of file C:\Programmi\File comuni\System\XmR.exe failed!

Could not process line:
C:\Programmi\File comuni\System\XmR.exe
Status: 0xc0000034

File C:\WINDOWS\fedid1.dll deleted successfully.
File C:\WINDOWS\fedid1.upd deleted successfully.


File c:\windows\system32\nortonspeed.exe not found!
Deletion of file c:\windows\system32\nortonspeed.exe failed!

Could not process line:
c:\windows\system32\nortonspeed.exe
Status: 0xc0000034



File c:\windows\system32\lotusnetwork.exe not found!
Deletion of file c:\windows\system32\lotusnetwork.exe failed!

Could not process line:
c:\windows\system32\lotusnetwork.exe
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\system\controlset003\services\N etWqm deleted successfully.
Registry key HKEY_LOCAL_MACHINE\system\controlset002\services\N etWqm deleted successfully.
Registry key HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\NetWqm deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserLis t|iUPhhRrQgBchglek deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run |E-nrgyPlus deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

[BilloKenobi]

dovrebbe andare meglio ora