[Virus] Popup e antivirus che non vanno

[ch_kat]

Ciao, rieccomi ^^"
Mi trovo ad avere a che fare con un virus piuttosto duro... O più di uno, non so. Sto cercando di pulire questo portatile che mi è stato dato ma sembra non volerne sapere.

Problemi riscontrati: programmi che si bloccano, riavvii automatici del computer, popup fastidiosi, explorer viene chiuso se si cerca di andare sul sito della Kaspersky o altri antivirus. I problemi persistono anche in modalità provvisoria.
Fatta scansione col Trendmicro che c'è su, trova poco o nulla. Fatta scansione con Malwarebytes e trova 29 oggetti infetti, Trojan e Rootkit infilati dappertutto anche nel registro di sistema. Malwarebytes pulisce ma i problemi rimangono (un po' meno invadenti).

Ho fatto una scansione con SystemScan, qualcuno gentile potrebbe darci un'occhiata e darmi un suggerimento? Grazie infinite.

http://freefilehosting.net/download/453cj

[Deifobe]

Ciao Ch.a

Controllo il rapporto e ti faccio sapere...

[Deifobe]

Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

folders to delete:
C:\FOUND.006
C:\FOUND.005
C:\FOUND.004
C:\FOUND.003
C:\FOUND.002
C:\FOUND.001
C:\FOUND.000
C:\FOUND.027
C:\FOUND.026
C:\FOUND.025
C:\FOUND.024
C:\FOUND.023
C:\FOUND.022
C:\FOUND.021
C:\FOUND.020

files to delete:
C:\DOCUME~1\Paola\IMPOST~1\Temp\jar_cache872621439 4455284354.tmp
C:\DOCUME~1\Paola\IMPOST~1\Temp\jar_cache581293132 3772625424.tmp
C:\DOCUME~1\Paola\IMPOST~1\Temp\jar_cache633096495 5362300265.tmp
C:\DOCUME~1\Paola\IMPOST~1\Temp\jar_cache367753467 7230669992.tmp
C:\DOCUME~1\Paola\IMPOST~1\Temp\jar_cache586396654 7644093639.tmp
C:\WINDOWS\system32\ceccdffaaceaaddb.dll
C:\WINDOWS\system32\a1b218a2398ab7c24ab8ee9a025ac1 5a.exe
C:\WINDOWS\system32\eeeatszy.txt
C:\WINDOWS\system32\drivers\ehahn.sys
C:\Documents and Settings\Paola\Impostazioni locali\Dati applicazioni\euiyosi.dat
C:\Documents and Settings\Paola\Impostazioni locali\Dati applicazioni\euiyosi_nav.dat
C:\Documents and Settings\Paola\Impostazioni locali\Dati applicazioni\euiyosi_navps.dat
C:\Documents and Settings\Paola\Impostazioni locali\Dati applicazioni\euiyosi.exe

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ceccdffaaceaaddb

Spunta "Automatically disable any rootkits found" e clicca su "execute". Il pc si riavvierà.



apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run]
"euiyosi"=-
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file
chiudi ed eseguilo. accetta le modifiche (dura solo n attimo)


Esegui CCleaner e ripulisci i file temporanei e i cookie


hai disabilitato tu le notifiche del firewall e degli aggiornamenti? Se no, scarica questa Utility ed attiva solo:
7) Abilita notifiche del Centro Sicurezza Windows

Posta un nuovo systemscan e il rapporto della scansione fatta con malwarebytes.


ciao

[ch_kat]

Ciao Deifobe, sempre gentilissima

Però qua son cavoli amari: Avenger non si esegue! Appare per un nanosecondo la finestra del disclaimer (tipo "Avenger è un programma così e così, clicca OK per continuare") e poi si chiude. Nemmeno in modalità provvisoria parte.

Formatto?

Ma che cos'è poi? ha un nome? Dove può essere stato preso? Tra l'altro in C:\Documents&Settings\Utente c'è pure una cartella che si chiama "Dati applicazionitbskin" E in C: ci son due cartelle che si chiamano tipo "dje830f0r9m93jns83m"


Le notifiche le avevo disabilitate io cmq: il portatile va poi in mano a un'utonta, per cui le notifiche vengono disabilitate perchè questa non telefoni nel panico dicendo "oddio si è aperta una finestrina che dice attenzione, cosa devo fare? cos'è??"

Grazie per l'aiuto!

[Deifobe]

riavvia in modalità provvisoria, dal task manager termina il processo euiyosi.exe ed elimina manualmente questi file:

C:\WINDOWS\system32\ceccdffaaceaaddb.dll
C:\WINDOWS\system32\a1b218a2398ab7c24ab8ee9a025ac1 5a.exe
C:\WINDOWS\system32\eeeatszy.txt
C:\WINDOWS\system32\drivers\ehahn.sys
C:\Documents and Settings\Paola\Impostazioni locali\Dati applicazioni\euiyosi.dat
C:\Documents and Settings\Paola\Impostazioni locali\Dati applicazioni\euiyosi_nav.dat
C:\Documents and Settings\Paola\Impostazioni locali\Dati applicazioni\euiyosi_navps.dat
C:\Documents and Settings\Paola\Impostazioni locali\Dati applicazioni\euiyosi.exe

poi esegui il fix.reg.

Riprova e vedi se ora avenger si esegue

[ch_kat]

In modalità provvisoria il processo euiyosi.exe non appare nel task manager... Ho provato a cancellare manualmente i file e ci sono riuscita, tranne C:\WINDOWS\system32\ceccdffaaceaaddb.dll che risulta in uso e non mi viene permesso di cancellarlo. :-/
Ho eseguito anche il fix.reg, ma Avenger ancora non si avvia.

Mi sa che passo alla formattazione... Grazie cmq tantissimo per l'aiuto!!!

[Deifobe]

Originariamente inviato da ch_kat
Mi sa che passo alla formattazione...

come peferisci

ciao

[ch_kat]

Buondì, son di nuovo qua.
Ho formattato lo stupido portatile, ma ancora non va sul sito della trendmicro, nè su quello della microsoft, eccetera.
Sembrerebbe che il virus sia ancora qui da qualche parte. Nè il trendmicro (che però non è aggiornato, dato che non riesce a collegarsi al sito) nè malwarebytes (aggiornato, in modalità provvisoria ce l'ha fatta) trovano nulla.
Ho fatto una scansione con SystemScan...
http://freefilehosting.net/download/457m2
C'è qualcosa da qualche parte o è sto portatile che è nato male? :-/

Grazie per la pazienza!
Chiara

[Deifobe]

scarica questa Utility ed attiva solo:
14) Abilita servizio "Aggiornamenti AutomaticI" (Wuauserv & BITS)
16) Abilita servizio "Centro sicurezza PC" (Wscsvc)
12) Abilita SystemRestore

riprova ora, vedi un po'..

[ch_kat]

Ho provato, ma non va ancora: non apre il sito della trendmicro, nè della microsoft eccetera. O mi dà "Impossibile trovare la pagina" oppure apre la ricerca automatica di msn dicendo "non trovo microsoft, intendevi microsoft?" e cliccando sui link della ricerca torna all'"Impossibile trovare la pagina".

Se provassi a formattare con il cd di Windows, si piallerebbe a un livello più basso? Ora l'ho formattato usando i recovery cd Asus forniti col portatile, ma presumo non facciano una pulizia profonda, sbaglio? -.-

Grazie ancora Deifobe, sei gentilissima!