pc infetto non funge ne tastiera ne touchpad con la batteria

[Deifobe]

solitamente non dico mai di cambiare antivirus in prima battuta.....

1) scarica il tool utility e clicca sul tasto 2 (cioè abilita il task manager e il regedit)

2) esegui hijackthis e fixa:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O4 - HKLM\..\Run: [Windows Service Processor] shdocvw.exe
O4 - HKLM\..\RunServices: [Windows Service Processor] shdocvw.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOCUME~1\xp\IMPOST~1\Temp\csrssc.exe
O4 - HKLM\..\Run: [Windows Spooler] C:\WINDOWS\system32\spoolsv32.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\twex.exe,
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

3) Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

files to delete:
C:\autorun.inf
C:\ufwh.exe
C:\839718926
C:\sxki.exe
C:\sqmnoopt03.sqm
C:\sqmdata03.sqm
C:\sqmnoopt02.sqm
C:\sqmdata02.sqm
C:\sqmnoopt01.sqm
C:\sqmdata01.sqm
C:\DOCUME~1\xp\IMPOST~1\Temp\csrssc.exe
C:\WINDOWS\system32\'
C:\WINDOWS\temp\2F.tmp
C:\WINDOWS\temp\2E.tmp
C:\WINDOWS\system32\drivers\gaopdxyardlwfq.sys
C:\WINDOWS\system32\twain32\local.ds
C:\WINDOWS\system32\twain32\user.ds
C:\WINDOWS\system32\gaopdxjdsxylkl.dll
C:\Documents and Settings\xp\Menu Avvio\Programmi\Esecuzione automatica\Piylzq2tOn.lnk
C:\WINDOWS\pss\Piylzq2tOn.lnkStartup
C:\Documents and Settings\xp\Impostazioni locali\Temp\venekmzo.exe
C:\Programmi\Mozilla Firefox\components\iamfamous.dll
C:\Program Files\Media Access\MediaAccK.exe
C:\WINDOWS\temp\tempo-0B.tmp
C:\WINDOWS\temp\tempo-87.tmp
C:\WINDOWS\temp\preconfig.exe

folders to delete:
C:\resycled
C:\WINDOWS\system32\twain32

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Windows Service Processor
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services | Windows Service Processor

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset003\services\g aopdxserv.sys
HKEY_LOCAL_MACHINE\system\controlset001\services\g aopdxserv.sys
HKEY_LOCAL_MACHINE\system\crrentcontrolset\service s\gaopdxserv.sys
HKEY_LOCAL_MACHINE\system\controlset003\enum\root\ legacy_gaopdxserv.sys
HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_gaopdxserv.sys
HKEY_LOCAL_MACHINE\system\crrentcontrolset\enum\ro ot\legacy_gaopdxserv.sys
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^xp^Menu Avvio^Programmi^Esecuzione automatica^Piylzq2tOn.lnk
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Media Access
HKEY_CLASSES_ROOT\videoplay

Spunta "Automatically disable any rootkits found" e clicca su "execute". Il pc si riavvierà.


4) Apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run]
"Jnskdfmf9eldfd"=-
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file
chiudi ed eseguilo. accetta le modifiche (dura solo un attimo..)

5) Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte)

6) Usa la funzione cerca di windows e cerca i file:
spoolsv32.exe
shdocvw.exe

(devi solo cercarli)

7) poi, analizza Virustotal su il file C:\WINDOWS\system32\drivers\4626e591.sys

dovesse essere infetto, riesegui avenger con questo script:

files to delete:
C:\WINDOWS\system32\drivers\4626e591.sys

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset003\services\4 626e591
HKEY_LOCAL_MACHINE\system\controlset001\services\4 626e591
HKEY_LOCAL_MACHINE\system\crrentcontrolset\service s\4626e591
HKEY_LOCAL_MACHINE\system\controlset003\enum\root\ legacy_4626e591
HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_4626e591
HKEY_LOCAL_MACHINE\system\crrentcontrolset\enum\ro ot\legacy_4626e591

se sei in dubbio, posta il link e lo controllo.

8) Ripeti la scansione con malwarebytes e posta un nuovo systemscan


9) Poi dovresti farmi una cortesia, se ti va (per me sarebbe importante...):
visualizza file e cartelle nascoste
1) zippa la cartella c:\Avenger e caricala su Freefilehosting (non chiudere la pagina)
2) zippa la cartella c:\documents and settings\il tuo user\dati applicazioni\malwarebytes\Malwarebytes' Anti-Malware\quarantine e carica anche questo su freefilehosting.
Carica il .zip su freefilehosting.net e mandami il link con un messaggio privato
Inviami tutte e due i link con un messaggio privato (non postarli sul forum, mi raccomando)


10) In ultimo, questo account lo conosci? => rdpuser18


Ciao...