Chiedo aiuto per eliminare un Virus ["Your computer is infected""]

[realgigio]

Un saluto a tutti, mi sono iscritto adesso a questo forum nella speranza che mi possiate dare una mano per eliminare un virus che mi sta facendo impazzire (pc portatile, winXP)

Si tratta di un finto spyware che mi è entrato mentre navigavo su siti strani per cercare una crak, in sostanza mi appare un bollino rosso con croce bianca in basso a destra, e mi esce spesso il messaggio "Your computer is infected"

Poi piano piano, mentre cercavo di rimuoverlo, hanno iniziato a verificarsi altri problemi (applicazioni che non funzionano/si chiudono sole, ecc)

Ho provato a leggere in internet e anche su questo forum a proposito di questo virus, ma tutti parlano di togliere degli eseguibili dalla cartella system32 che però io non ho, probabilmente sarà un'altra versione del virus...

considerate con con il pc me la cavo ma non sono esattamente un esperto

Grazie in anticipo, spero riusciate ad aiutarmi

Luigi

p.s.
se ho sbagliato sezione chiedo scusa, spostate pure nella sez. + adeguata

[francofait]

Il diavolo fa le pentole ma no i coperchi , cercando un crack hai finito per ritrovart krackato

Comunque hai sbaglia sezione forum , qui sei su windows non su sicurezza e virus.

[comas17]

Originariamente inviato da francofait
Comunque hai sbaglia sezione forum , qui sei su windows non su sicurezza e virus.

Spostiamo

[amvinfe]

Ciao,

scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Vai su http://www.mediafire.com clicca su "Use basic uploader" carica il file con estensione .zip e scrivi, nella tua prossima replica, l'URL per poterlo scaricare.

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.




SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.

[realgigio]

Originariamente inviato da amvinfe
Ciao,

scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Vai su http://www.mediafire.com clicca su "Use basic uploader" carica il file con estensione .zip e scrivi, nella tua prossima replica, l'URL per poterlo scaricare.

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.

Ciao, ho fatto esattamente come mi hai detto, questo è il link:
http://myfreefilehosting.com/f/7843d4bcb7_0.04MB

[amvinfe]

Aggiorna le definizioni del tuo antivirus.
Disconnettiti da internet, disattiva l'antivirus.
=====

Apri il Blocco note ed inserisci al suo interno questo script, fai un copia/incolla

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"restorer32_a"=-
"mserv"="-
"svchost"=-
"ntias64"=-
;

Clicca in alto a sx su "File" poi su "Salva con nome", dalla finestra che si apre clicca in corrispondenza di "Salva come:">seleziona "Tutti i file">nella casella "Nome file" scrivi fix.reg > salva il file sul desktop

=====

Esegui il file fix.reg ed accetta le modifiche ma NON riavviare

=====

Apri SystemScan>Clicca su "Removal Script".
All'interno del box bianco copia ed incolla i valori riportati qui sotto

Files to delete:
C:\documents and settings\Luigi\Menu Avvio\Programmi\Esecuzione automatica\ikowin32.exe
C:\DOCUME~1\Luigi\IMPOST~1\Temp\BN15.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\BN13.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\BN14.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\BN12.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\BN17.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\BN18.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\BN10.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\BN11.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\{D94CBB23-58F0-95A8-D372-EFAB98D9D188}-svcst.exe
C:\DOCUME~1\Luigi\IMPOST~1\Temp\{01234567-0089-ABCD-0102-030405060708}
C:\DOCUME~1\Luigi\IMPOST~1\Temp\{5639DE0A-9506-5AD0-063D-BF59D5231224}-seres.exe
C:\DOCUME~1\Luigi\IMPOST~1\Temp\{A6456646-737F-67D6-BE3D-1BC235166AD0}-svchost.exe
C:\DOCUME~1\Luigi\IMPOST~1\Temp\{9B6C6329-789A-D669-26C3-D90BCA2D858E}-svchost.exe
C:\DOCUME~1\Luigi\IMPOST~1\Temp\BN41.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\BN40.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\~TM3C.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\CFG36.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\CFG33.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\CFG23.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\rad74A69.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\CFG45.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\CFG42.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\CFG13.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\CFG10.tmp
C:\DOCUME~1\Luigi\IMPOST~1\Temp\set8E.tmp
C:\WINDOWS\system32\restorer32_a.exe
C:\WINDOWS\system32\ezsidmv.dat
C:\WINDOWS\system32\lsdelete.exe
C:\DOCUME~1\Luigi\IMPOST~1\Temp\install_flash_play er.exe
C:\WINDOWS\temp\wpv331254457154.exe
C:\WINDOWS\temp\wpv341254425989.exe
C:\WINDOWS\temp\wpv131252894422.exe
C:\Documents and Settings\Luigi\Dati applicazioni\lizkavd.exe
C:\Documents and Settings\Luigi\Dati applicazioni\svcst.exe
C:\Documents and Settings\Luigi\Dati applicazioni\seres.exe
C:\WINDOWS\system32\regedit.exe
C:\Documents and Settings\Luigi\Impostazioni locali\Dati applicazioni\ntias64\ntias64.dll
C:\Documents and Settings\Luigi\restorer32_a.exe
C:\DOCUME~1\Luigi\IMPOST~1\Temp\tmpwr7
C:\DOCUME~1\Luigi\IMPOST~1\Temp\tmpwr6
C:\DOCUME~1\Luigi\IMPOST~1\Temp\tmpwr5
C:\DOCUME~1\Luigi\IMPOST~1\Temp\tmpwr4
C:\DOCUME~1\Luigi\IMPOST~1\Temp\tmpwr3
C:\DOCUME~1\Luigi\IMPOST~1\Temp\tmpwr2

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Regedit32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | restorer32_a

ora clicca su "Proceed with removal" e poi su OK.

Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.

Esegui una scansione del disco con il tuo antivirus, riavvia ilpc.

Portati in C:\ postami il contenuto del log generato da Avenger (avenger.txt) e l'URL per poter scaricare il report di una nuova scansione fatta con SystemScan

[realgigio]

fatto tutto alla lettera, ma purtroppo la malefica croce è ancora al suo posto

un particolare di cui mi ero dimenticato, non riesco ad aggiornare il mio antivirus (avira antivir)
l'ultimo aggiornamento cmq è recente, una settimana fa

questo è il link al report: http://myfreefilehosting.com/f/d0fe8d4692_0.05MB

e questo il contenuto del file avenger.txt:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\eqkbyeqc

*******************

Script file located at: loobpgcy

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!

[amvinfe]

portati in questo ottimo sito http://www.steven.altervista.org/files/tools.html scarica il tool SDFix, nella pagina ci sono descritti in modo chiaro e semplice i passaggi per un corretto utilizzo del fix_tool

una volta riavviato copia il log della rimozione ed incollalo nella tua prossima risposta.

Grazie

[realgigio]

grazie a te dell'aiuto!
ho fatto tutto quello che hai scritto, ma nonostante tutto il virus è ancora al suo posto

ti copio qui sotto il log rilasciato da SDfix al termine di tutta l'operazione:


SDFix: Version 1.240
Run by Luigi on 05/10/2009 at 00.26

Microsoft Windows XP [Versione 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-05 00:30:33
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\SMINST\\Scheduler.exe"="C:\\WINDOWS\ \SMINST\\Scheduler.exe:*:Enabled:Scheduler "
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programmi\\uTorrent\\uTorrent.exe"="C:\\Progr ammi\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Programmi\\Skype\\Phone\\Skype.exe"="C:\\Prog rammi\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Sat 26 Sep 2009 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 23 Sep 2009 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Finished!

[realgigio]

volevo informarvi che nonostante dopo un paio di scan/riavvii il virus fosse ancora al suo posto, oggi per fortuna durante l'ennesimo scan antivir ha trovato e eliminato 24 file infetti, ed ora sembra essere tornato tutto a posto

grazie mille per l'aiuto