windows warning message

[referee84]

Ciao ragazzi,

qualcuno di voi sa dirmi come poter trattare il problema relativo ad un virus che mi inceppa il desktop con un messaggio intitolato "windows warning message" impostato come sfondo?

Dal momento della sua comparsa non sono ovviamente più riuscito a modificare lo sfondo del desktop e con avg non c'è verso di trovare il file infetto...Inoltre le prestazioni mi sembrano leggermente rallentate e quando il pc resta inoperativo e va in stand by mi compare la schermata blu tipica degli errori nel filesystem!

Ho cercato 1 po in giro ma con scarsi risultati...AIUTO!!!!!!!!!!!!

[Deifobe]

credo basterebbe smitfraudfix...
comunque facciamo così, scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata.. ovviamente non lo è (è un falso positivo).

[referee84]

http://www.savefile.com/files/1740598

ecco il link...spero davvero possiate aiutarmi

[Deifobe]

ok, ho visto cos'ha il pc. Ti preparo la procedura e te la posto
ciao



edit: Il rapporto non era completo.

Scarica Avenger e CCleaner

Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\sqmdata02.sqm
C:\sqmnoopt02.sqm
C:\sqmdata03.sqm
C:\sqmnoopt03.sqm
C:\sqmdata04.sqm
C:\sqmnoopt04.sqm
C:\sqmdata05.sqm
C:\sqmnoopt05.sqm
C:\sqmdata06.sqm
C:\sqmnoopt06.sqm
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2A1.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2A1.tmp.vbs
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2A4.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt1.tmp.vbs
C:\DOCUME~1\user\IMPOST~1\Temp\.tt1.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt3.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2A5.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2AB.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2AD.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2AF.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2.tmp.vbs
C:\DOCUME~1\user\IMPOST~1\Temp\.tt5.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2A8.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2AA.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2AE.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2B1.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2B3.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2B5.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt4.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt4.tmp.vbs
C:\DOCUME~1\user\IMPOST~1\Temp\.tt280.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2A7.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt6.tmp.vbs
C:\DOCUME~1\user\IMPOST~1\Temp\.tt6.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt8.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2A6.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2AC.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2B2.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2B6.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2BC.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2C6.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2C9.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2D1.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2DF.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2E7.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt7.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt7.tmp.vbs
C:\DOCUME~1\user\IMPOST~1\Temp\.ttA.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt9.tmp.vbs
C:\DOCUME~1\user\IMPOST~1\Temp\.tt9.tmp
C:\DOCUME~1\user\IMPOST~1\Temp\.tt2A0.tmp
C:\Programmi\HP\HP Software Update\hpwuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\lphcl6bj0eg2t.exe
C:\WINDOWS\system32\phcl6bj0eg2t.bmp
C:\WINDOWS\system32\blphcl6bj0eg2t.scr

files to move:
C:\Programmi\Analog Devices\SoundMAX\bak\SMTray.exe | C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe | C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\Google\GoogleToolbarNotifier\bak\Goog leToolbarNotifier.exe | C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programmi\Grisoft\AVG7\bak\avgcc.exe | C:\Programmi\Grisoft\AVG7\avgcc.exe
C:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe | C:\Programmi\HP\HP Software Update\hpwuSchd2.exe
C:\Programmi\Nokia\Nokia PC Suite 6\bak\LAUNCH~1.EXE | C:\Programmi\Nokia\Nokia PC Suite 6\LAUNCH~1.EXE
C:\Programmi\Nokia\Nokia PC Suite 6\bak\PcSync2.exe | C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | lphcl6bj0eg2t

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

NOTA: qualsiasi sia l'esito, avenger devi eseguirlo una sola volta. Mi raccomando.

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).
Svuota C:\WINDOWS\Prefetch


Scarica, installa e aggiorna malwarebytes, esegui una scansione completa (seleziona l'opzione) e posta il rapporto.

dovrebbe eliminare anche questi:
C:\WINDOWS\system32\wpx2.cpx
C:\WINDOWS\system32\shell31.dll
C:\WINDOWS\system32\wpx3.cpx
C:\WINDOWS\system32\wpx1.cpx
C:\WINDOWS\system32\lich.dat

Se non li ha eliminati, vai su Virustotal, analizza
C:\WINDOWS\system32\shell31.dll
C:\WINDOWS\system32\lich.dat
e posta i risultati


I rapporti da postare:
- in malwrebytes, vai in "File di log" apri il file di testo copia/incolla il rapporto di scansione.
- un nuovo rapporto di SystemScan (possibilmente completo, mi raccomando)

[referee84]

Mentre giravo su internet avevo già trovato malwarebytes da 1 altra parte e ho rimosso il problema con quello.

credi che sia bastato o c'è cmq bisogno che io esegua la tua procedura x maggiore sicurezza?

Per quanto riguarda il rapporto, io ho copiato quello che mi ha generato lui, cmq fammi sapere se devo eseguire anche tutti gli altri passaggi che mi hai illustrato, anche solo x farlo tornare utile a qualche altro utente non c'è problema lo faccio!

Grazie mille per l'aiuto intanto!

[Deifobe]

certo che puoi postarlo, te lo avevo comunque chiesto, se vedi


edit: sei andato via. Allora te lo lascio scritto per quando tornerai perchè è importante. Di tutta la procedura, devi di sicuro eseguire avenger perchè hai dei files che devono essere spostati. ciao

[referee84]

Buongiorno...

questo è il link con i report di avenger (fatto stamattina) e malware bytes (con la scansione di ieri): http://www.savefile.com/files/1742602

Ho eseguito anche ccleaner e ho dato 1 pulita per un totale di circa 7Mb.

Per quanto riguarda la directory C:\WINDOWS\Prefetch, intendi svuotarla manualmente o con qualcuno di questi strumenti?

Intanto che attendo risposta, faccio le ultime due cose, cioè una nuova scansione con malware bytes e una con system scan.

Grazie ancora

[Deifobe]

ciao,
riguardo Prefetch, puoi farlo manualmente (ovviamente elimini i file, non la cartella )

[referee84]

Ok ho fatto tutto quello che mi rimaneva...a un primo impatto sembra anche che le prestazioni del pc siano un pochino aumentate come velocità!

Questo è il link con gli ultimi due report

http://www.savefile.com/files/1742806


Grazie, grazie e ancora grazie!

[Deifobe]

ok, non ci siano ancora, forse, ma vedo che i file sono stati eliminati.

due valori sono da ripristinare, non capirò mai perchè malwarebytes li elimina invece di ripristinare quelli di default..
ti mando un messaggio privato con un exe, scaricalo ed eseguilo. Il file ripristina:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System\NoDispBackgroundPage, NoDispScrSavPage , REG_DWORD, 00000000
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System\NoDispBackgroundPage, NoDispBackgroundPage , REG_DWORD, 00000000


analizza C:\DOCUME~1\user\IMPOST~1\Temp\hp_prn_hlp_update.e xe su virustotal e posta i risultati (magari è un file ok ma non trovo molto...)

ho già chiuso l'exe... elimina manualmente le cartelle bak :
C:\Programmi\Analog Devices\SoundMAX\bak
C:\Programmi\CyberLink\PowerDVD\bak
C:\Programmi\Google\GoogleToolbarNotifier\bak
C:\Programmi\Grisoft\AVG7\bak
C:\Programmi\HP\HP Software Update\bak
C:\Programmi\MSN Messenger\bak
C:\Programmi\Nokia\Nokia PC Suite 6\bak
C:\WINDOWS\system32\bak

ripeti la pulizia con ccleaner, ci sono ancora parecchi temp.


Per ripristinare la Trusted Zone scarica DelDomains e salvalo sul desktop.. Fai clic con tasto destro del mouse e scegli "Installa".

Fai una scansione on-line con Kaspersky:
clicca su Kaspersky Online Scanner => Accept => (partirà l'update)
=> seleziona "my computer" (a sinistra) => al termine della scansione clicca su "View Scan Report"
=> "Save Report As" => salva e posta il rapporto.

Posta anche un log di hijackthis