scusate se mi intrometto ma a causa di un amico di mia sorella ho un problema analogo.
ho fatto una scansione antivirus, ho provato a modificare la stringa di registro ma non riesco a cancellare il file dalla cartella system32.
allego il log di suspectfile nella speranza che possiate darmi una mano. grazie
http://www.freefilehosting.net/download/3elbg
ciao,
ho diviso la discussione.
La prossima volta no ti accodare a discussioni aperte da altri uteni.
Grazie
Ciao, scarica Avenger e CCleaner
SOLO se hai delle pen drive o HD esterni, fai una scansione con Bitdefender (collegando pen e/o HD)
Salva queste indicazioni in un file word e disconnetti il pc da internet (per tutta la procedura)
Esegui avenger e all'interno del box bianco, copia/incolla:
Spunta "Automatically disable any rootkits found" e clicca su "execute".files to delete:
C:\WINDOWS\system32\secpol.exe
C:\WINDOWS\system32\fsmgmt.dll.tmp
C:\WINDOWS\system32\fsmgmt.dll
C:\WINDOWS\systhost.exe
C:\DOCUME~1\GABRIE~1.GAB\IMPOST~1\Temp\P60K8200803 23.html
C:\DOCUME~1\GABRIE~1.GAB\IMPOST~1\Temp\689211B7.TM P
C:\DOCUME~1\GABRIE~1.GAB\IMPOST~1\Temp\88zkmnw9.ln k
C:\DOCUME~1\GABRIE~1.GAB\IMPOST~1\Temp\vmi4r34s.ln k
C:\WINDOWS\lwsys32.exe
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
registry keys to delete:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\W inlogon\Notify\fsmgmt
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run | YF65J4R49V
HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run | update32
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List | C:\WINDOWS\system32\%%%%%.exe
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato
Crea una nuova cartella in c:\ chiamata pippo e spostaci dentro il file C:\WINDOWS\system32\2F64BCD216.sys (trascinalo nella cartella pippo)
Esegui hijackthis, clicca su "Open the Misc Tools section" - "Open ADS Spy" - "Scan". Se rileva ADS spunta voci e clicca su "remove selected".
Esegui CCleaner e ripulisci sia i file temporanei e cookie (eseguilo 2 volte) che il registro.
Svuota il contenuto di c:\windows\prefetch\
Se questi indirizzi non ti appartengono, fixa le voci in verde - Esegui Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"
O1 - Hosts: 216.107.250.194 nprotect.lineage2.com
O1 - Hosts: 88.86.107.207 L2authd.lineage2.com #field of glory
O1 - Hosts: 88.86.107.207 L2testauthd.lineage2.com #field of glory
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
(se presente) O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\SYSTEM32\fsmgmt.dll
Rifai attentamente questa procedura:
Apri il registro -> Start / Esegui ,digita regedit e dai l'ok
Portati in questa chiave :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Clicca sulla cartella winlogon e, nella finestra a destra, trova "Userinit"
In "dati" vedrai scritto:
c:\windows\system32\userinit.exe, C:\WINDOWS\system32\%%%%%.exe,
Fai doppio clic su "userinit" e, nella finestra che si apre, evidenzia ed elimina SOLO:
C:\WINDOWS\system32\%%%%%.exe,
ATTENZIONE a non eliminare tutto altrimenti il computer non sarà più in grado di riavviarsi!!!
Quindi devi eliminare solo la voce infetta:
C:\WINDOWS\system32\%%%%%.exe,
(virgola compresa)
il valore dopo la modifica deve rimanere cosi :
c:\windows\system32\userinit.exe,
(virgola compresa)
Chiudi il registro, vai nella cartella C:\WINDOWS\system32, trova ed elimina il file %%%%%.exe.
Riavvia il sistema.
Analizza su Virustotal il file C:\WINDOWS\system32\2F64BCD216.sys
Posta i risultati dell'analisi del file e un nuovo rapporto di systemscan
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Permessi di invio
Rispondi quotando