virus cqiigbjkv.exe?

[Radente]

Sul computer portatile in mio possesso, da tempo le applicazioni si sono "immobilizzate". Aprendo il task manager ho visto nei processi che un certo file "cqiigbjkv.exe" occupa costantemente il processore al 99%, inchiodando praticamente il computer.
Se si tenta di eliminare il file, trovato con la funzione "cerca" in windows/prefecht, questo si riavvia prontamente in qualche secondo.
Come faccio ad eliminarlo? Considerate che dato che il computer dispone circa dell'1% della sua potenza, l'ultimo scan antivirus è durato circa 29 ore senza risultato.
Come posso fare???
_________frznn
scarica hijackthis, fai una scansione (tranquillo è molto breve, e non è necessaria l'installazione),
poi posta il log qui.
________Hobby
comunque prova ad usare UnLocker,

__________________________________________________ ___

In ordine la mia prima richiesta di aiuto e le due risposte ottenute.
Sia unlocker che hijackthis non risolvono il problema. Con il secondo, dopo la scansione, individuato e fixato il file cqiigbjkv.exe (precisamante viene indicato con: [MDM Rock4]c:\windows\system32\cqiigbjkv.exe) viene comenque nuovamente rilevato alla successiva scansione di hijackthis.
Qualche cosa di sicuro vede che è stato rimosso e lo reinstalla.
Qualcuno può aiutarmi?

[Deifobe]

se c'era gia' una discussione aperta potevi continuare in quella :P

Scarica SystemScan.Disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Freefilehosting e posta il link ottenuto.

Dovessi aver problemi ad eseguirlo per intero, inizialmente lascia spuntate solo le opzioni:
- Recent files
- Registry Run Keys

e poi anche:
- Hidden objects

se te lo fa fare. Posta i 2 rapporti come indicato sopra.

Ciao

[frznn]

non è detto che l'unica voce sospetta fosse quella che hai eliminato. E' per quello che ti ho detto di postare il log (cosa che non hai fatto)
=)

cmq fai come ha detto deifobe, e ricorda di postare il rapporto! =P

[Radente]

Appena ho potuto, ho fatto quanto indicatomi.
Ecco il link del report dopo la scansione fatta con sys98002.
http://www.freefilehosting.net/download/3g4a8
Una ulteriore informazione (per me curiosa..)
Un eseguibile, si è copiato o non so come poter dire, dentro la chiavetta usb che avevo usato per caricare HJTI nel computer infetto. Dapprima conteneva solo 1 file, poi una volta estratta c'era un *****.exe in più. (erano lettere, non ricordo quali.exe)
Per sicurezza ho formattato la chiavetta.

[Radente]

IUl nome dell'eseguibile che si replica autonomamente sulla chiave usb è "fvepsoulb.exe"



Ho caricato il report senza antivirus:
http://www.freefilehosting.net/download/3g4c4

Questo invece è il report di Hijackthis:
_____________________________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.36.40, on 25/04/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\mscrs.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE
C:\Program Files\Aspire Arcade\PCMService.exe
C:\Programmi\CRW\shwicon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgw.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8685CC} - C:\Programmi\Helper\1201355460.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] C:\Programmi\CRW\shwicon.exe -t"Chander\CRW Series Driver v1.17r019"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\System32\cqiigbjkr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{846DAB0F-29C7-4A21-AF4B-3A1737DB7048}: NameServer = 62.211.69.150
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: NLA (Network Location Awareness) Nlahelpsvc (Nlahelpsvc) - Unknown owner - C:\WINDOWS\System32\1041d.exe

--
End of file - 4545 bytes
________________________________________

[Deifobe]

apri il blocco note e incollaci dentro questo:

Windows Registry Editor Version 5.00

[-HKCR\CLSID\{F10587E9-0E47-4CBE-84AE-7DD20B8685CC}]

salvalo così:
nome: fix.reg
tipo di file: tutti i file
salvalo in c:\


scarica Avenger e CCleaner

esegui avenger e nella finestra principale copia/incolla:

files to delete:
C:\WINDOWS\System32\cqiigbjkr.exe
C:\Programmi\Helper\1201355460.dll
C:\WINDOWS\System32\cqiigbjkr.exe
C:\AUTORUN.INF
D:\AUTORUN.INF
C:\fvepsoulb.exe
C:\yhbcc.exe
C:\hvay.exe
C:\uwbtafn.exe
C:\it1.exe
C:\WINDOWS\vmm32dll.exe
C:\WINDOWS\system32\wqbwlqwwe.exe
C:\WINDOWS\system32\drivers\srtwe.sys
C:\WINDOWS\system32\drivers\fak32.sys
C:\WINDOWS\system32\mp32s.sys

folders to delete:
C:\Programmi\Helper

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{F10587E9-0E47-4CBE-84AE-7DD20B8685CC}
HKEY_LOCAL_MACHINE\system\controlset002\services\f ak32
HKEY_LOCAL_MACHINE\system\controlset002\services\m p32

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | MDM Rock 4
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List | C:\WINDOWS\System32\cqiigbjkr.exe

programs to launch on reboot:
c:\fix.reg

drivers to disable:
fak32
mp32
srtwe

drivers to delete:
fak32
mp32
srtwe

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui CCleaner e ripulisci sia i file temporanei e cookie (2 volte) che il registro.

esegui questa scansione:
1) inserisci la pen usb al pc (se li hai, anche HD esterni)
2) vai su Kaspersky_virusscanner
3) clicca su "kaspersky online scanner"
4) clicca su "accept"
--- verrà eseguito il download dei componenti necessari alla scansione
5) quando è terminato clicca su "next"
6) clicca su "my computer"
7) clicca su "scan settings"
8) salva e posta (caricalo su freefilehosting) anche questo rapporto.

riposta systemscan


nb: ho inserito 1 file + servizio in più (srtwe)

[Radente]

Farò quanto mi hai indicato.
Poi ti farò sapere.
Gentilissimo.

[Radente]

Ho fatto tutto. Questo è il link dopo avenger e cc..
http://www.freefilehosting.net/download/3g53e
Sembra funzionare tutto senza problemi.
Grazie ancora una volta. Felice di averti conosciuto.

[Deifobe]

elimina manualmente questo file: C:\WINDOWS\system32\KGyGaAvL.sys

Il rapporto è pulito.
Manca la scansione con kaspersky (devi farla, è importante) e vorrei comunque vedere il rapporto di avenger (c:\avenger)

Ciao

[Radente]

Sembra che tutto funzioni.
Ti ringrazio ancora.
Con stima.