bastione antivirus

[peppone81]

Ciao,
anche io ho problemi con questo bastardissimo.
Oltre a collegarsi al sito per scaricare il famoso antivirus mi apre in continuazione questo file: C:\WINDOWS\iexplore.html

Qui ho inserito i log di malwarebytes, Hijackthis e Systemscan:
http://www.savefile.com/files/1860293

Grazie per l'aiuto.

[Deifobe]

preparo la procedura

[Deifobe]

malwearebytes individua solo una parte dell'infezione.

Esegui Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Printer Driver] C:\WINDOWS\system32\PRINTDRV.EXE
O4 - HKLM\..\Policies\Explorer\Run: [PrinterSecurityLayer] C:\WINDOWS\LSPRN.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Scarica Avenger, eseguilo e nella finestra copia/incolla:

files to delete:
C:\WINDOWS\system32\PRINTDRV.EXE
C:\WINDOWS\LSPRN.EXE
C:\WINDOWS\system32\divxdrv32.exe
C:\WINDOWS\system32\apisc32.dll
C:\WINDOWS\system32\apibsc32.dll
C:\WINDOWS\system32\39upd.dll

clicca su execute. il pc si riavvierà

Il firewall l'hai disabilitato tu?
Posta un nuovo systemscan


nota extra: http://www.suspectfile.com/forum/vie...php?f=2&t=2646
AVG ora dovrebbe riconoscere l'infezione..

[peppone81]

Questo è il log:
http://www.savefile.com/files/1860427

Per quanto riguarda il firewall, quale intendi quello di avg? Perchè oggi l'avevo disabilitato momentaneamente.
Non so perchè avg non lo abbia riconosciuto :/


Grazie mille sei mitica, ora sembra non dare più problemi, hai una cena pagata

[Deifobe]

se non ti dispiace, dopo che hai eseguito avenger, zippa la cartella c:\avenger, carica l'archivio su savefile e inviami il link con un messaggio privato, cortesemente, così analizzo anche gli altri file.

[Deifobe]

ok, elimina manualmente C:\WINDOWS\iexplore.html e svuota il cestino.
ora dovrebbe essere tutto ok.
aggiorna tu AVG, per sicurezza


per il firewall, in un file di testo copia incolla:

Windows Registry Editor Version 5.00

[HKey_Local_Machine\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\DomainPr ofile]
"EnableFirewall"=dword:00000001

salvalo come:
nome: fix.reg
tipo di file: tutti i file
chiudi il file, eseguilo e accetta le modifiche aggiunte al registro.


quando hai tempo, fai una scansione on-line con Kaspersky (è solo un ulteriore controllo ):
clicca su Kaspersky Online Scanner => Accept => (partirà l'update)
=> seleziona "my computer" (a sinistra) => al termine della scansione clicca su "View Scan Report"
=> "Save Report As" => salva e posta il rapporto.


edit: archivio ricevuto. 1000 grazie
edit 2: - apibsc32.dll e apisc32.dll sono lo stesso file.. Comunque nessun antivirus li riconosce, pur facendo parte dell'infezione (vedi qui)
- il file 39upd.dll è vuoto e dà come risultato 0 bytes size received / Se ha recibido un archivo vacio
- gli altri file erano già stati analizzati..

[peppone81]

Questo è il report fatto con kaspersky:
http://www.savefile.com/files/1860608

Scusa se approfitto ancora della tua gentilezza ma mi è sparito il task manager, hai qualche altro trucchetto tipo file di registro? :P

Grazie mille.

[Deifobe]

no, nessun trucchetto, l'inconveniente lo crea stesso il malware.

esegui avenger e copiaci dentro:

files to delete:
C:\WINDOWS\shapi32.dll
C:\WINDOWS\LSPRN.EXE
C:\WINDOWS\system32\divxdrv32.exe
C:\WINDOWS\system32\apibsc32.dll
C:\WINDOWS\system32\apisc32.dll
C:\WINDOWS\system32\39upd.dll
C:\WINDOWS\system32\PRINTDRV.EXE
C:\WINDOWS\iexplore.html

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

clicca su execute

[peppone81]

Arigatouuuu miTTica, ora è tornato tutto alla normalità, ti sei meritata anche un cocktail dopo cena ghghgh.

Ciao ciao grazie ancora, gentilissa

[Deifobe]

ok