Aiuto, explorer.exe (desktop e barra degli strumenti) vanno via ogni 3 secondi

[irenucciact]

Ciao a tutti, vi chiedo umilmente di aiutarmi.
Vi spiego il mio problema: qualche giorno fa scaricavo musica da limewire ed evidentemente ho scaricato qualcosa che non dovevo, subito dopo infatti il desktop ha iniziato ad andare via ad intermittenza ogni tre secondi, icone, barra degli strumenti e tutto ciò che riguarda il pc eccetto le finestre di internet!
A volte riappare ad intermittenza e a volte scompare del tutto (per riattivarlo sono costretta a disconnettermi)
Ho provato di tutto e di più, anti virus, scansioni a non finire con ogni tipo di programma (avg, avira, ad-aware, spybot ecc..), trova molti virus e minacce ma non quella in particolare. Non posso ripristinare in quanto ogni punto di ripristino è scomparso e nemmeno formattare poichè non ho il cd di windows xp; non vorrei essere costretta a portare il pc a riparere, ne ho bisogno per motivi di studio, quindi vi prego aiutatemi in qualche modo se sapete realmente come fare.
Ps: ho seguito molti consigli in giro per internet ma nemmeno questi hanno risolto.
Grazie in anticipo

[Deifobe]

ciao....
scarica SystemScan - disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[irenucciact]

http://www.savefile.com/files/1928783

eccolo quì, fatto tutto!

e ora?

[Deifobe]

.....ora devi darmi un po' di tempo x controllarlo... appena finito, ti faccio sapere...

ciao

[irenucciact]

Perfetto
Grazie mille per la disponibilità

[Deifobe]

pensavo fosse meno lungo....

Scarica Avenger e questo file explorer.exe sul desktop

1) zippa il file C:\WINDOWS\explorer.exe.exe, rinomina l'archivio zip in 1explorer.zip e spostalo sul desktop (conservalo li')
scompatta/sposta il mio file explorer.exe in C:\WINDOWS\
(il tuo file c:\windows\explorer.exe.exe deve essere eliminato e devi svuotare il cestino.. nella cartella windows devi lasciare solo il mio explorer.exe)


2) in un file di testo copia/incolla:

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\CLSID\{D1A954D7-7440-496F-A213-4DE795425CBF}]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\policies\Explorer\Run]
"DllHst"=-

salvalo sul desktop come:
nome: fix.reg
tipo di file: tutti i file
chiudi il file


3) esegui avenger e nella finestra che si apre copia/incolla:

files to delete:
C:\WINDOWS\system32\vCbadccf.ini
C:\WINDOWS\system32\7b1a1343-.txt
C:\WINDOWS\system32\vCbadccf.ini2
C:\WINDOWS\system32\fccdabCv.dll
C:\WINDOWS\system32\PYaGQXbc.ini
C:\WINDOWS\system32\rqRHArsp.dll
C:\WINDOWS\system32\ssqRKBsq.dll
C:\WINDOWS\system32\khfDtUNg.dll
C:\WINDOWS\system32\xxyvvUMD.dll
C:\WINDOWS\system32\awtsQKcd.dll
C:\WINDOWS\system32\byXPJYqN.dll
C:\WINDOWS\system32\rqRJYOfc.dll
C:\WINDOWS\system32\geBrqrOI.dll
C:\WINDOWS\system32\702E6BDA46.sys
C:\WINDOWS\system32\85C957CC32.sys
C:\WINDOWS\explorer.exe.exe
C:\WINDOWS\temp\TMP52.exe
C:\WINDOWS\temp\TMP52.tmp
C:\WINDOWS\temp\TMP16.exe
C:\WINDOWS\temp\TMP16.tmp
C:\DOCUME~1\Utente\IMPOST~1\Temp\B5.tmp
C:\DOCUME~1\Utente\IMPOST~1\Temp\dllhst3g.exe
C:\Documents and Settings\Utente\Dati applicazioni\mstinit.exe
C:\Documents and Settings\Utente\Dati applicazioni\spoolsv.exe
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\siukciq.dat
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\siukciq_navps.dat
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\siukciq_nav.dat
C:\WINDOWS\system\mstsc.exe
C:\WINDOWS\system\dllhst3g.exe
C:\WINDOWS\System\spoolsv.exe
C:\WINDOWS\tasks\ynpbiyye.job

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run | Spool

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcYrQjI
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{D84DA654-D985-4F25-9AB8-070C9565CF6D}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{11AE2140-A3B7-4743-BD1E-B8909E669B7C}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{C65E1226-8B96-4A54-8ECB-26DF14DED48E}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{D1A954D7-7440-496F-A213-4DE795425CBF}

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato in c:\avenger


4) dopo il riavvio, esegui il file fix.reg (dura solo un attimo)

5) svuota: C:\WINDOWS\Prefetch

6) vai Virustotal su e analizza i file:
C:\DOCUME~1\Utente\IMPOST~1\Temp\mpengine.dll
C:\Documents and Settings\Utente\Dati applicazioni\logman.exe

posta sul forum i link delle analisi

7) zippa la cartella c:\avenger, caricala su Savefile e inviami il link con un messaggio privato .

Poi carica anche il tuo 1explorer.zip e inviami anche quel link

(mi raccomando , questi due link non devi metterli sul forum....)

8) posta un nuovo systemscan

[irenucciact]

ECCO INTANTO I RISULTATI DELL AVENGER

L o g f i l e o f T h e A v e n g e r V e r s i o n 2 . 0 , ( c ) b y S w a n d o g 4 6

h t t p : / / s w a n d o g 4 6 . g e e k s t o g o . c o m



P l a t f o r m : W i n d o w s X P



* * * * * * * * * * * * * * * * * * *



S c r i p t f i l e o p e n e d s u c c e s s f u l l y .

S c r i p t f i l e r e a d s u c c e s s f u l l y .



B a c k u p s d i r e c t o r y o p e n e d s u c c e s s f u l l y a t C : \ A v e n g e r



* * * * * * * * * * * * * * * * * * *



B e g i n n i n g t o p r o c e s s s c r i p t f i l e :



R o o t k i t s c a n a c t i v e .

N o r o o t k i t s f o u n d !



F i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ v C b a d c c f . i n i " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ 7 b 1 a 1 3 4 3 - . t x t " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ v C b a d c c f . i n i 2 " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ f c c d a b C v . d l l " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ P Y a G Q X b c . i n i " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ r q R H A r s p . d l l " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ s s q R K B s q . d l l " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ k h f D t U N g . d l l " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ x x y v v U M D . d l l " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ a w t s Q K c d . d l l " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ b y X P J Y q N . d l l " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ r q R J Y O f c . d l l " d e l e t e d s u c c e s s f u l l y .



E r r o r : f i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ g e B r q r O I . d l l " n o t f o u n d !

D e l e t i o n o f f i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ g e B r q r O I . d l l " f a i l e d !

S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D )

- - > t h e o b j e c t d o e s n o t e x i s t



F i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ 7 0 2 E 6 B D A 4 6 . s y s " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ 8 5 C 9 5 7 C C 3 2 . s y s " d e l e t e d s u c c e s s f u l l y .



E r r o r : f i l e " C : \ W I N D O W S \ e x p l o r e r . e x e . e x e " n o t f o u n d !

D e l e t i o n o f f i l e " C : \ W I N D O W S \ e x p l o r e r . e x e . e x e " f a i l e d !

S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D )

- - > t h e o b j e c t d o e s n o t e x i s t



F i l e " C : \ W I N D O W S \ t e m p \ T M P 5 2 . e x e " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ t e m p \ T M P 5 2 . t m p " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ t e m p \ T M P 1 6 . e x e " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ t e m p \ T M P 1 6 . t m p " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ D O C U M E ~ 1 \ U t e n t e \ I M P O S T ~ 1 \ T e m p \ B 5 . t m p " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ D O C U M E ~ 1 \ U t e n t e \ I M P O S T ~ 1 \ T e m p \ d l l h s t 3 g . e x e " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ D o c u m e n t s a n d S e t t i n g s \ U t e n t e \ D a t i a p p l i c a z i o n i \ m s t i n i t . e x e " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ D o c u m e n t s a n d S e t t i n g s \ U t e n t e \ D a t i a p p l i c a z i o n i \ s p o o l s v . e x e " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ D o c u m e n t s a n d S e t t i n g s \ U t e n t e \ I m p o s t a z i o n i l o c a l i \ D a t i a p p l i c a z i o n i \ s i u k c i q . d a t " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ D o c u m e n t s a n d S e t t i n g s \ U t e n t e \ I m p o s t a z i o n i l o c a l i \ D a t i a p p l i c a z i o n i \ s i u k c i q _ n a v p s . d a t " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ D o c u m e n t s a n d S e t t i n g s \ U t e n t e \ I m p o s t a z i o n i l o c a l i \ D a t i a p p l i c a z i o n i \ s i u k c i q _ n a v . d a t " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ s y s t e m \ m s t s c . e x e " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ s y s t e m \ d l l h s t 3 g . e x e " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ S y s t e m \ s p o o l s v . e x e " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ W I N D O W S \ t a s k s \ y n p b i y y e . j o b " d e l e t e d s u c c e s s f u l l y .

R e g i s t r y v a l u e " H K L M \ S o f t w a r e \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ p o l i c i e s \ E x p l o r e r \ R u n | S p o o l " d e l e t e d s u c c e s s f u l l y .

R e g i s t r y k e y " H K L M \ S o f t w a r e \ M i c r o s o f t \ W i n d o w s N T \ C u r r e n t V e r s i o n \ W i n l o g o n \ N o t i f y \ d d c Y r Q j I " d e l e t e d s u c c e s s f u l l y .

R e g i s t r y k e y " H K L M \ S o f t w a r e \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ E x p l o r e r \ B r o w s e r H e l p e r O b j e c t s \ { D 8 4 D A 6 5 4 - D 9 8 5 - 4 F 2 5 - 9 A B 8 - 0 7 0 C 9 5 6 5 C F 6 D } " d e l e t e d s u c c e s s f u l l y .

R e g i s t r y k e y " H K L M \ S o f t w a r e \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ E x p l o r e r \ B r o w s e r H e l p e r O b j e c t s \ { 1 1 A E 2 1 4 0 - A 3 B 7 - 4 7 4 3 - B D 1 E - B 8 9 0 9 E 6 6 9 B 7 C } " d e l e t e d s u c c e s s f u l l y .

R e g i s t r y k e y " H K L M \ S o f t w a r e \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ E x p l o r e r \ B r o w s e r H e l p e r O b j e c t s \ { C 6 5 E 1 2 2 6 - 8 B 9 6 - 4 A 5 4 - 8 E C B - 2 6 D F 1 4 D E D 4 8 E } " d e l e t e d s u c c e s s f u l l y .

R e g i s t r y k e y " H K L M \ S o f t w a r e \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ E x p l o r e r \ B r o w s e r H e l p e r O b j e c t s \ { D 1 A 9 5 4 D 7 - 7 4 4 0 - 4 9 6 F - A 2 1 3 - 4 D E 7 9 5 4 2 5 C B F } " d e l e t e d s u c c e s s f u l l y .



C o m p l e t e d s c r i p t p r o c e s s i n g .


* * * * * * * * * * * * * * * * * * *



F i n i s h e d ! T e r m i n a t e .

[irenucciact]

ECCO L'ANALISI DI mpengine.dll

http://www.virustotal.com/it/analisi...0d79a37c5d0186




ECCO L'ANALISI DI logman.exe

http://www.virustotal.com/it/analisi...c79f9e49a117c4

[Deifobe]

ti chiedo una cortesia (vedo che non lo riconosce quasi nessun antivirus)

zippi il file C:\Documents and Settings\Utente\Dati applicazioni\logman.exe, lo carichi su savefile e me lo mandi con un messaggio privato?

poi elimina sia il file che l'archivio..

attendo suspectfile x un controllo

noti differenze al pc?

[irenucciact]

ecco il report

http://www.savefile.com/files/1929025

ti zippo subito quel file.

Comunque si, decisamente, non vorrei parlare troppo presto ma credo che il problema sia risolto (il desktop non va più via)... vedremo però una volta finito tutto