LinkOptimizer malware/NaviPromo adware [era: TR/Vundo.Gen non fa andare explorer.exe]

[FraNe91]

ciao a tutti sono nuovo e volero proporvi questo problema: ieri ho fatto una scansione al portatile di mio padre con antivir, e ha trovato diversi virus. Gli ho messi tutti in quarantena senza problemi tranne uno: il trojan vundo, che era nella cartella di system32, sotto il nome di fexavvlo.gif
quando provo a metterlo in quarantena mi dice che sarà messo in quarantena solo al riavvio del computer per motivi di permessi mi sembra.
Ok, riavvio, ma tutte le icone e la barra applicazioni non ci sono! allora apro il task manager e vado ad avviare explorer.exe con nuova operazione, ma mi appare l'avviso di "file non trovato".
A quel punto dopo aver cercato un pò su internet ho provato a rinominarlo pippo.exe, lo avvio senza problemi mi appare solo la cartella dei documenti, senza icone sul desktop o barra applicazioni (mi sembra che comunque sia giusto che faccia così).
Quindi in pratica con il nome explorer.exe non funziona, ma sotto un altro nome si. Ora io non so come fare a eliminare il virus senza avere problemi con explorer.exe, e sinceramente l'idea di formattare non mi passa nemmeno x la testa... potete aiutarmi?

appena posso allego il log di hijackthis.
grazie mille in anticipo

[FraNe91]

ecco il log, l'ho fatto con il virus nel sistema, ora tolgo il virus e se serve lo faccio con il virus in quarantena (in pratica quando non funziona explorer.exe)
http://www.fileden.com/files/2007/6/...hijackthis.log

[amvinfe]

Ciao,

scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Vai su http://www.savefile.com/ carica il file con estensione .zip e scrivi, nella tua prossima replica l'URL per poterlo scaricare.

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.




SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.

[FraNe91]

http://www.savefile.com/files/2180726
questo è il report ma con il virus in quarantena, e cioè con explorer non funzionante.
se serve quello con il virus nel sistema dimmelo, grazie mille

[amvinfe]

Scarica Navolog1

- disconnettiti da internet
- disattiva l'antivirus

==

esegui Navilog1.exe
dopo aver selezionato la lingua, scegli l'opzione 1
finita la scansione seleziona questa volta l'opzione 2; dopo il riavvio portati in C:\ e copia/incolla il contenuto del file cleannavi.txt

esegui un nuovo SystemScan, posta l'URL per poter scaricare il nuovo report.

[FraNe91]

ho seguito le indicazioni per Navolog1 e questo è il suo report:

====

Fix Navipromo version 4.0.1 began on 15/08/2009 19.10.50,01

!!! Warning, this report may include legitimate files/programs!!!
!!! Post this report on the forum you are being helped !!!

Fix running from C:\Programmi\navilog1

Updated on 18.07.2009 at 11h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.50GHz )
BIOS : PhoenixBIOS 4.0 Release 6.0
USER : Carlos ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.30 (Activated)


C:\ (Local Disk) - NTFS - Total:8 Go (Free:2 Go)
D:\ (Local Disk) - FAT32 - Total:9 Go (Free:7 Go)
E:\ (CD or DVD)
F:\ (USB) - FAT32 - Total:1920 Mo (Free:1 Go)



Manual Removal

Typed filename : fexavvlo

====
poi ho fatto una SystemScan e questo è il report: http://www.savefile.com/files/2181412

tutto questo l'ho fatto con il virus in quarantena e explorer non funzionante

[FraNe91]

scusa mi puoi aiutare cosa devo fare ora?
il computer serve a mio padre per lavoro e non posso metterci troppo...

[amvinfe]

non si riesce a scaricare il file.

Carica il report su http://www.megaupload.com/

grazie

[FraNe91]

http://www.megaupload.com/?d=69W14TWR
ecco il report caricato su megaupload, grazie

[amvinfe]

ciao,
ho dato una velocissima occhiata al report ed effettivamente il problema principale è nella chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

domani con calma ti scrivo la procedura di rimozione.