virus che blocca aggiornamenti antivirus

[amvinfe]

Scarica questo tool della Symantec, lo useremo dopo http://www.symantec.com/content/en/u...s/FixVirut.com

ed anche questo file di hosts, lo sotituiremo a quello presente nel tuo pc in quanto contiene un valore riconducibile ad un sito che veicola file infetti
http://www.mvps.org/winhelp2002/hosts.zip

Vai su www.virustotal.com e controlla questi due file:

E:\WINDOWS\system32\262,2622.exe
E:\WINDOWS\system32\6996,378.exe

se infetti li includi nella lista che ti indicherò più sotto.

================
Disconnettiti da internet, disattiva NIS 2010.
================

Apri SystemScan>Clicca su "Removal Script".
All'interno del box bianco copia ed incolla i valori riportati qui sotto

E:\WINDOWS\system32\E5C.tmp
E:\WINDOWS\system32\CC5.tmp
E:\WINDOWS\system32\CAE.tmp
E:\WINDOWS\system32\AF.tmp
E:\WINDOWS\system32\786.tmp
E:\WINDOWS\system32\65B.tmp
E:\WINDOWS\system32\658.tmp
E:\WINDOWS\system32\3C9.tmp
E:\WINDOWS\system32\2FD.tmp
E:\WINDOWS\system32\C8.tmp
E:\WINDOWS\system32\E6D.tmp
E:\WINDOWS\system32\E58.tmp
E:\WINDOWS\system32\E5A.tmp
E:\WINDOWS\system32\AC.tmp
E:\WINDOWS\system32\AB.tmp
E:\WINDOWS\system32\21FE.tmp
E:\WINDOWS\system32\2169.tmp
E:\WINDOWS\system32\2106.tmp
E:\WINDOWS\system32\A6.tmp
E:\WINDOWS\system32\1983.tmp
E:\WINDOWS\system32\188D.tmp
E:\WINDOWS\system32\A2.tmp
E:\WINDOWS\system32\A1.tmp
E:\WINDOWS\system32\9E.tmp
E:\WINDOWS\system32\9D.tmp
E:\WINDOWS\system32\9C.tmp
E:\WINDOWS\system32\A3.tmp
E:\WINDOWS\system32\9B.tmp
E:\WINDOWS\system32\8E.tmp
E:\WINDOWS\system32\96.tmp
E:\WINDOWS\system32\8C.tmp
E:\WINDOWS\system32\C5.tmp
E:\WINDOWS\system32\95.tmp
E:\WINDOWS\system32\8B.tmp
E:\WINDOWS\system32\251.tmp
E:\WINDOWS\system32\94.tmp
E:\WINDOWS\system32\10F.tmp
E:\WINDOWS\system32\97.tmp
E:\WINDOWS\system32\8A.tmp
E:\WINDOWS\system32\7A.tmp
E:\WINDOWS\system32\91.tmp
E:\WINDOWS\system32\DF.tmp
E:\WINDOWS\system32\D3.tmp
E:\WINDOWS\system32\CC4.tmp
E:\WINDOWS\system32\A7.tmp
E:\WINDOWS\system32\85.tmp
E:\WINDOWS\system32\18B.tmp
E:\WINDOWS\system32\87.tmp
E:\WINDOWS\system32\80.tmp
E:\WINDOWS\system32\8F.tmp
E:\WINDOWS\system32\2BF.tmp
E:\WINDOWS\system32\2B9.tmp
E:\WINDOWS\system32\290.tmp
E:\WINDOWS\system32\28C.tmp
E:\WINDOWS\system32\17B.tmp
E:\WINDOWS\system32\72.tmp
E:\WINDOWS\system32\1AC.tmp
E:\WINDOWS\system32\1A9.tmp
E:\WINDOWS\system32\1A6.tmp
E:\WINDOWS\system32\1A1.tmp
E:\WINDOWS\system32\188.tmp
E:\WINDOWS\system32\187.tmp
E:\WINDOWS\system32\7C.tmp
E:\WINDOWS\system32\81.tmp
E:\WINDOWS\system32\75.tmp
E:\WINDOWS\system32\73.tmp
E:\WINDOWS\system32\lkfl.dat
E:\WINDOWS\system32\ibfl.dat
E:\WINDOWS\system32\DD.tmp
E:\WINDOWS\system32\77.tmp
E:\WINDOWS\system32\82.tmp
E:\WINDOWS\system32\7B.tmp
E:\WINDOWS\temp\b412e841-9a94-463f-938b-7d0b27acfe18.tmp
E:\WINDOWS\temp\e5eba77f-7ed9-448f-ac77-e0ba9d8e1cbd.tmp
E:\WINDOWS\temp\4d8a36bf-69c9-4f0a-93eb-bbb28808edbd.tmp
E:\WINDOWS\temp\56ea737e-170e-41c0-b834-4863bf987029.tmp
E:\WINDOWS\temp\f8deb835-8c4f-410c-94d1-8e2bc7ce926c.tmp
E:\WINDOWS\temp\876b37d4-ab0e-4d7c-af56-cf84b525fb7a.tmp
E:\WINDOWS\temp\5f44ecde-78cc-4657-a62f-a7bd2e2de97f.tmp
E:\WINDOWS\temp\c63db79a-2d2e-456f-bf06-014ce7153e98.tmp
E:\WINDOWS\temp\d012c0c5-384d-40d2-be71-e220677dab41.tmp
E:\WINDOWS\temp\5574f48b-73dd-4bce-af5a-e06e5713e9f4.tmp
E:\WINDOWS\temp\74d6c69f-4535-4aaa-80b3-a90468500e60.tmp
E:\WINDOWS\temp\09156781-b485-480b-8ddb-249ddf07fa4c.tmp
E:\WINDOWS\temp\3f47e41f-aa01-460d-a6ff-fd99719028b5.tmp
E:\WINDOWS\temp\86117820-bf8c-4cb0-96b2-26e2933faff8.tmp
E:\WINDOWS\temp\85ade8cb-593f-4f8a-8aa5-6f6f4863932f.tmp
E:\WINDOWS\system32\sdra64(2).exe
E:\WINDOWS\system32\sdra64(3).exe
E:\Documents and Settings\Davide\Impostazioni locali\Dati applicazioni\ukswg_navps.dat
E:\Documents and Settings\Davide\Impostazioni locali\Dati applicazioni\ukswg.dat
E:\Documents and Settings\Davide\Impostazioni locali\Dati applicazioni\ukswg_nav.dat

ora clicca su "Proceed with removal" e poi su OK.

Il pc dovrebbe riavviarsi da solo, diversamente riavvialo tu manualmente.
==
Avvia il tool Symantec e segui i passaggi che ti vengono suggeriti, se trova valori infetti rimuovili e riavvia il pc.
==
Crea una cartella sul desktop ed estrai il file zippato (hosts.zip), esegui il file mvps.bat e clicca un tasto quando richiesto.
==
Disinstalla Live Player è un adware, se l'hai già disinstallato elimina le cartelle E:\Programmi\Live-Player e E:\Documents and Settings\Davide\Dati applicazioni\live-player
==
Disinstalla o se già disinstallati elimina le seguenti cartelle in C:\Programmi
Spyware Doctor, Trojan Remover, ESET, Lavasoft
==
Esegui una pulizia con CCleaner, anche la parte relativa al registro
==
Posta il log di avenger (C:\avenger.txt)
esegui una nuova scansione con SystemScan

NB
purtroppo il virus Virut infetta gli eseguibili, come già hai notato alcuni programmi non funzioneranno più ed andranno reinstallati.

[NEDEVIL]

Ciao, scusa, sono stato fuori città per un po'...
E al ritorno ho trovato il computer formattato (non sono stati i fantasmi ma il mio socio ).
Ora uso due sistemi operativi (Windows 7 e Windows XP SP3) in due partizioni e ho fatto dei backup con Norton Ghost 14.
(Sul portatile ho linux )

Del sistema infetto, ho eliminato tutti gli eseguibili.

Però questa discussione mi è stata molto utile e credo potrà servire anche a qualcun altro.

Questo virus Virut è veramente terribile...Spero che non sia molto diffuso in rete...

Penso però che agendo dall'esterno (scansione ed eliminazione dei files più pericolosi da altro sistema operativo, per poter tornare a fare almeno gli aggiornamenti) e poi seguendo tutti i passaggi da te descritti si possa debellare...


Una domanda: ma Liveplayer che è un programma carino e mi piaceva usarlo...è così pericoloso?

Grazie di tutto, davvero...Se passi da queste parti (non siamo poi lontani), spero ti piaccia la birra...perché almeno un paio te le meriti...

Ciao

[amvinfe]

ciao,
purtroppo come già scritto il virus infetta gli eseguibili.
Se una macchina non può essere formattata per i più disparati motivi sì, c'è comunque il modo per risolvere il problema.

LivePlayer è un adware, spyware non lo consiglio ma di questo tipo di software ne esistono in internet a decine
http://www.suspectfile.com/wblog/?p=75

Vada per la birra, alla prima occasione la berrò volentieri.

Ciao