Ancora problemi con virus win32sality

[Deifobe]

.....ma C:\nero.exe non era il file che dovevi eliminare? lo vedo attivo...
metti in quarantena c:\nero.exe


in un file di testro copia/incolla:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000
"UacDisableNotify"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications]
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winaxpbmt.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winrfhwlt.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\ycykw.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winfgil.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\pkvar.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winjgwho.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winvdva.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winsvybw.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\vuiq.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\xxkhw.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\wibu.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winvgpxbv.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\windoly.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winuemb.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winjoch.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\gcgsut.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\bggv.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\jutuwk.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winjmcayd.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\lydre.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\windimg.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winuqcbkc.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario_2.PAOLA\IMPOSTAZIONI LOCALI\Temp\winpwaqx.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario_2.PAOLA\IMPOSTAZIONI LOCALI\Temp\winndjup.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario_2.PAOLA\IMPOSTAZIONI LOCALI\Temp\hvqbf.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario_2.PAOLA\IMPOSTAZIONI LOCALI\Temp\wintilxj.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario_2.PAOLA\IMPOSTAZIONI LOCALI\Temp\winmpky.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario_2.PAOLA\IMPOSTAZIONI LOCALI\Temp\winbhex.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario_2.PAOLA\IMPOSTAZIONI LOCALI\Temp\winmmltj.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario_2.PAOLA\IMPOSTAZIONI LOCALI\Temp\pkidto.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winutdtf.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\wingbqpce.exe"=-
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file
chiudilo ed eseguilo (dura un attimo, non noterai nulla..)


Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

files to delete:
C:\WINDOWS\system32\drivers\tqlmnj.sys

registry keys to delete:
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\abp470n5
HKEY_LOCAL_MACHINE\system\controlset001\services\a bp470n5
HKEY_LOCAL_MACHINE\system\controlset002\services\a bp470n5

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.

[pachi2]

Originariamente inviato da Deifobe
.....ma C:\nero.exe non era il file che dovevi eliminare? lo vedo attivo...
metti in quarantena c:\nero.exe

Lo avevo fatto prima che si bloccasse il pc. Avevamo anche eliminato l'icona di Nero.exe che avevamo trovato fuori posto.

Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.

Eseguo e torno a riferire.

[pachi2]

Originariamente inviato da Deifobe
.....ma C:\nero.exe non era il file che dovevi eliminare? lo vedo attivo...
metti in quarantena c:\nero.exe

L'ho passato per antivirus AVG ma non mi segnala che è infetto e dunque...come faccio a metterlo in quarantena?

in un file di testro copia/incolla:


salvalo come:
nome: fix.reg
tipo di file: tutti i file
chiudilo ed eseguilo (dura un attimo, non noterai nulla..)

FATTO.

Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.

FATTO! Al riavvio mi ha aperto il report confermando di aver eseguito correttamente e cancellato le chiavi indicate. Non posso postarti il report adesso perchè ho spento pc e ti scrivo dall'altro.
Ho provato a rifare installazione di Kasp2009 ma niente da fare. Ora mi viene un dubbio. Non è che quando prova a installarsi incontra problemi trovando la cartella Kaspersky del Rescue CD? La cancello?

[Deifobe]

no... forse ho trovato qualcosa.. leggi qui http://kb.kaspersky.it/article/homeuser/2555.html
quindi molto probabilmente il problema è AVG...

[pachi2]

Originariamente inviato da Deifobe
no... forse ho trovato qualcosa.. leggi qui http://kb.kaspersky.it/article/homeuser/2555.html
quindi molto probabilmente il problema è AVG...

Bene, ho letto, ma il Kleaner non lo posso passare perchè io non ho "resti" ho tutto il programma AVG installato. Forse allora dobbiamo prima recuperare tutta la quarantena così poi posso disinstallarlo e fare il Kleaner e finalmente installare Kaspersky??

[Deifobe]

riassumo quello che volevo dirti:

in quella pagina c'è scritto:

se hai dei residui di AVG, kaspersky pensa che il software è funzionante e non si installa.

Alias => se trova AVG funzionante comunque non si installa.....

Lo so che il tuo antivirus è funzionante... ci mancherebbe...
Io posso provare a fixare le voci con hijackthis per poi ripristinarle.... oltre questo, dovresti solo disinstallarlo.

vedi tu..

In tutto questo, continui a ricevere warning sull'infezione?

[pachi2]

Originariamente inviato da Deifobe
riassumo quello che volevo dirti:

Lo so che il tuo antivirus è funzionante... ci mancherebbe...
Io posso provare a fixare le voci con hijackthis per poi ripristinarle.... oltre questo, dovresti solo disinstallarlo.

vedi tu..

Quali voci?
Dalle ultime operazioni che mi hai fatto eseguire il pc è diventato ancora più lento e dunque ogni operazione è faticosissima. Non ho warning di infezione. Dimmi esattamente cosa posso fare così in questi giorni in cui tutto il mondo passa il tempo a tavola io posso mettermi a risanare il pc
Che succede se disinstallo AVG? E i file che sono nella sua quarantena che fine fanno? Come li recupero?

[Deifobe]

Dalle ultime operazioni che mi hai fatto eseguire il pc è diventato ancora più lento e dunque ogni operazione è faticosissima.

mi dispiace che sia diventato più lento... Nel dubbio, ti dico cosa avevamo fatto:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000
"UacDisableNotify"=dword:00000000

ho riattivato le notifiche del centro sicurezza windows (erano disabilitate)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications]
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winaxpbmt.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winrfhwlt.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\ycykw.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winfgil.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\pkvar.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winjgwho.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winvdva.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winsvybw.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\vuiq.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\xxkhw.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\wibu.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winvgpxbv.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\windoly.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winuemb.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winjoch.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\gcgsut.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\bggv.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\jutuwk.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winjmcayd.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\lydre.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\windimg.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winuqcbkc.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario_2.PAOLA\IMPOSTAZIONI LOCALI\Temp\winpwaqx.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario_2.PAOLA\IMPOSTAZIONI LOCALI\Temp\winndjup.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario_2.PAOLA\IMPOSTAZIONI LOCALI\Temp\hvqbf.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario_2.PAOLA\IMPOSTAZIONI LOCALI\Temp\wintilxj.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario_2.PAOLA\IMPOSTAZIONI LOCALI\Temp\winmpky.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario_2.PAOLA\IMPOSTAZIONI LOCALI\Temp\winbhex.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario_2.PAOLA\IMPOSTAZIONI LOCALI\Temp\winmmltj.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario_2.PAOLA\IMPOSTAZIONI LOCALI\Temp\pkidto.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\winutdtf.exe"=-
"C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp\wingbqpce.exe"=-

ho eliminato queste applicazioni autorizzate al firewall (che di legittimo non hanno nulla)

files to delete:
C:\WINDOWS\system32\drivers\tqlmnj.sys

registry keys to delete:
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\abp470n5
HKEY_LOCAL_MACHINE\system\controlset001\services\a bp470n5
HKEY_LOCAL_MACHINE\system\controlset002\services\a bp470n5

questa è addirittura (propriamente) dell'infezione Sality, quindi non potevo proprio lasciarla..


sul perchè sia diventato più lento, viste le modifiche apportate, proprio non ti so dire..
a dire la vedità, dubito anche che possano essere responsabili di qualcosa.

al più possiamo alleggerire il sistema ri-disabilitando le notifiche del centro sicurezza (cioè togliendo le varie notifiche dell'antivirus, del firewall, dell'Uac e degli aggiornamenti windows)

poi ci siamo fermate a kaspersky

Kaspersky mi serviva per disinfettare i file.
se vedi che ti sembra tutto ok (a parte la lentezza del sistema) possiamo provare a vedere come va per qualche giorno.

dovresti farmi avere la lista dei processi messi in quarantena, così cerco di capire se erano importanti e cosa ti ha eliminato esattamente...

[Deifobe]

fai una cosa... così vediamo anche se ci sono quei file

Apri il blocco note e nella pagina copia/incolla:

@echo off
dir "C:\DOCUMENTS AND SETTINGS\Proprietario\IMPOSTAZIONI LOCALI\Temp">C:\abc.txt
dir "C:\DOCUMENTS AND SETTINGS\Proprietario_2.PAOLA\IMPOSTAZIONI LOCALI\Temp">C:\def.txt

salvalo sul desktop come:
nome: pippo.bat
tipo di file: tutti i file
ed eseguilo (dura un attimo)

carica su savefile i rapporti c:\abd.txt e c:\def.txt

[pachi2]

Originariamente inviato da Deifobe

Kaspersky mi serviva per disinfettare i file.
se vedi che ti sembra tutto ok (a parte la lentezza del sistema) possiamo provare a vedere come va per qualche giorno.

dovresti farmi avere la lista dei processi messi in quarantena, così cerco di capire se erano importanti e cosa ti ha eliminato esattamente...

Ok. Perfetto. Adesso cerco in qualche modo di recuperare la Quarantena di AVG e casomai anche quella di Antispyware se esiste. Per poter essere più operativa sono costretta a utilizzare il pc con la Live di UBCD (te ne ha parlato Alfabeta) e leggere con quella i file che ci servono. Una cosa evidente del malfunzionamento del pc è che ogni volta che lo accendo mi avvisa che ci sono aggiornamenti XP pronti a essere installati. Quando spengo la macchina mi dà il solito avviso che sta installando gli aggiornamenti ma ...di fatto non li installa e al nuovo riavvio ripete lo stesso avviso. N.B. Questo capita ovviamente quando accedo caricando la connessione Internet.
Poi c'è un altro fatto. Nel pannello di controllo l'icona Opzioni di Internet appare SENZA SCRITTA SOTTO ed è inaccessibile
Poi, cliccando su Risorse di Rete, immediatamente l'Antispyware mi apre un warning che dice di aver bloccato un pericolo in entrata. Ma questo succede anche quando il pc è scollegato dalla Rete. Dunque ci deve essere un comando registrato da qualche parte che manda in allarme l'antispyware.

Originariamente inviato da Deifobe
fai una cosa... così vediamo anche se ci sono quei file

Apri il blocco note e nella pagina copia/incolla:


salvalo sul desktop come:
nome: pippo.bat
tipo di file: tutti i file
ed eseguilo (dura un attimo)

carica su savefile i rapporti c:\abd.txt e c:\def.txt

Devo fare questo eseguibile solo per Proprietario e Proprietario 2 ??
Serve che lo faccia anche per le altre identità registrate?