infetto da QAQKO.EXE come lo rimuovo?

[hugodesign]

Dopo aver constato che firefox apriva da solo pagine promozionali di concorsi di ogni genere e avendo problemi con facebook, ho fatto alcuni controlli con vari programmi finchè solamente con PREVXCSI 3.0 ho individuato un processo che mi aveva già dato dei sospetti fra quelli attivi...
QAQKO.EXE, posizionato in C:\Documents and Settings\utente\Impostazioni locali\Dati applicazioni assieme ad altri suoi amichetti dalle estensioni varie...A quanto pare è in giro da una decina di giorni....
Putroppo PREVXCSI mi segnala che per tale infezione necessita della licenza (mi ricorda quella cosa chiamata "pizzo"...dato che ne kaspersky, AVG, malwarebutes e adware me lo hanno segnalato)..
Come posso operare l'eliminazione sicura senza usare PREVXCSI? grazie!

[amvinfe]

Non si chiama "pizzo", più semplicemente sei libero d'usare o meno il loro prodotto. Se hai intenzioni d'usarlo per la rimozione, devi pagare la licenza. Tutto qui.

Evitiamo d'esprimere, per favore, giudizi "gratuiti"...giusto per rimanere in tema.

Scarica
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
installa il programma
seleziona l'opzione 1
posta il risultato della scansione

[hugodesign]

Grazie per la tempestiva risposta...Per il discorso pizzo era solo banale ironia..non avevo certo intenzione di offendere nessuno...
Ho seguito tue indicazioni e sembra che l'abbia individuato...per ora ho solamente fatto un controllo senza azionare rimozioni...(se ho capito bene nel menu del tool c'è anche la rizione giusto?) ecco il report:

Search Navipromo version 3.7.0 began on 22/12/2008 at 19.06.33,90

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programmi\navilog1

Updated on 10.12.2008 at 21h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Mobile AMD Sempron(tm) Processor 3000+ )
BIOS : Ver 1.00PARTTBL
USER : utente ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)


C:\ (Local Disk) - FAT32 - Total:35 Go (Free:10 Go)
D:\ (Local Disk) - NTFS - Total:38 Go (Free:20 Go)
E:\ (CD or DVD) - UDF - Total:3 Go (Free:0 Go)
F:\ (CD or DVD)


Search done in normal mode

*** Searching for installed Software ***

Favorit

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programmi" ***


*** Search folders in "C:\Documents and Settings\All Users\menuav~1\progra~1" ***


*** Search folders in "C:\Documents and Settings\All Users\menuav~1" ***


*** Search folders in "c:\docume~1\alluse~1\datiap~1" ***


*** Search folders in "C:\Documents and Settings\utente\datiap~1" ***


*** Search folders in "C:\DOCUME~1\ADMINI~1\datiap~1" ***


*** Search folders in "C:\DOCUME~1\ADMINI~1.VOL\datiap~1" ***


*** Search folders in "C:\Documents and Settings\utente\impost~1\datiap~1" ***


*** Search folders in "C:\DOCUME~1\ADMINI~1\impost~1\datiap~1" ***


*** Search folders in "C:\DOCUME~1\ADMINI~1.VOL\impost~1\datiap~1" ***


*** Search folders in "C:\Documents and Settings\utente\menuav~1\progra~1" ***


*** Search folders in "C:\DOCUME~1\ADMINI~1\menuav~1\progra~1" ***


*** Search folders in "C:\DOCUME~1\ADMINI~1.VOL\menuav~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Documents and Settings\utente\impost~1\datiap~1" *

* Scan in "C:\DOCUME~1\ADMINI~1\impost~1\datiap~1" *

* Scan in "C:\DOCUME~1\ADMINI~1.VOL\impost~1\datiap~1" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!

HKEY_CURRENT_USER\Software\Lanconfig found !
HKEY_CURRENT_USER\Software\mc found !

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"qaqko"="\"c:\\documents and settings\\utente\\impostazioni locali\\dati

applicazioni\\qaqko.exe\" qaqko"


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Documents and Settings\utente\impost~1\datiap~1" :

qaqko.exe found !
qaqko.dat found !
qaqko_nav.dat found !
qaqko_navps.dat found !

* In "C:\DOCUME~1\ADMINI~1\impost~1\datiap~1" :


* In "C:\DOCUME~1\ADMINI~1.VOL\impost~1\datiap~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 22/12/2008 at 19.10.44,37 **

[amvinfe]

Puoi procedere con l'eliminazione (digita 2).
Al riavvio dovrebbe essere tutto a posto.

[hugodesign]

grazie per il supporto amvinfe, con il sitema automatico non è stato possibile rimuovere QAQKO.EXE e soci, ma con la modalità manuale indicando solo il nome del file senza estenzione, Navilog ha riavviato il sistema in automatico e al riavvio ha pulito l'infezione eliminando anche i file associati all'infezione oltre all'eseguibile ( individuabili anche ad occhio perchè riportavano parte del nome qaqko nel nome file).Ora la directory appare pulita e Prevx CSI pare confermarlo, il processo non esiste più e firefox le turnà a lavurà regolarmente anche con facebook....

buone feste!

[amvinfe]

buone feste anche a te