Eliminare win32.agent.pz [era: problemino con virus]

[baggio86]

salve a tutti, ne approfitto x fare i complimenti alla vostra competenza
arrivo al dunque: l'altro giorno un maledetto virus mi ha attaccato e ha cambiato il mio sfondo, facendo comparire uno in cui c'era scritto che il mio pc era infetto...dopo varie scansioni con avast,spybot,ad-aware e registry clean expert ho risolto il problema eliminando alcuni malware...
ora però ad ogni avvio mi si apre la cartella documenti, avast (e altri antivirus in seguito installati) nn hanno trovato niente, mentre spybot a trovato win32.agent.pz
dopo averlo eliminato, al ravvio mi apre sempre la cartella documenti e spybot mi trova sempre lo stesso spyware...in piu' nn riesco ad andare su nessun sito di antivirus e nn posso fare scansioni online...come avrete capito sono inespertissimo (licenza poetica ), potreste darmi una mano please?

[Deifobe]

ciao,

scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). Te lo dico perchè, dovesse essere segnalato dall'antivirus (che non hai disattivato, come da indicazione), almeno sai il motivo. La procedura postata è sicura.

Spero di riuscirlo ad analizzare a lavoro.. altrimenti non appena rientro

[baggio86]

eccolo http://www.savefile.com/files/1750202

[Deifobe]

che strano rapporto...

Esegui systemscan, clicca sul pulsante "Removal Script" nella finestra principale di Systemscan e, nella finestra che si apre, copia/incolla questo script:

files to move:
C:\Programmi\Alice ti aiuta\SmartBridge\bak\MotiveSB.exe | C:\Programmi\Alice ti aiuta\SmartBridge\MotiveSB.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\bak\GoogleToolbarNotifier.exe | C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): Controlla l'esito.


Elimina da pannello di controllo - opzioni internet - connessioni -> la connessione [InstantAccess]


Scarica ed esegui in modalota' normale SmitfraudFix (da modalità normale), seleziona l'opzione 1 (Search) e premi invio. Ti verra' visualizzato un file di testo con l'elenco dei file infetti (se presenti): dovresti trovare questo report anche in C:\rapport.txt (NB: process.exe da alcuni antivirus viene rilevato come virus, ovviamente non lo e')
Posta il log di SmitfraudFix

poi ci sono degli errori ma devo approfondirli:

disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\chiara\ntuser.dat, 0
scanning hidden files ...

disk error: C:\

please note that you need administrator rights to perform deep scan

[baggio86]

1 http://www.savefile.com/files/1752083
2 http://www.savefile.com/files/1752085
freschi freschi pronti x essere esaminati
scusami se ti faccio perdere tanto tempo

[Deifobe]

ok, qui si vede qualcosa in piu (anche riguardo il registro).

il primo intervento è molto delicato e devi farlo con molta attenzione . Se stampi questa pagina è meglio.

Apri il registro -> Start / Esegui ,digita regedit e dai l'ok
Portati in questa chiave :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Clicca su winlogon e, nella finestra a destra, trova "Userinit"

Nella colonna "dati" vedrai scritto:

c:\windows\system32\userinit.exe, C:\WINDOWS\system32\oembios.exe,

Tutto quello scritto in rosso è la parte che dovrai eliminare, guardala bene...

Ora, fai doppio clic su "userinit" e, nella finestra che si apre, elimina solo

C:\WINDOWS\system32\oembios.exe,

(ricorda devi togliere anche la virgola finale)

Al termine della modifica, nella finestra deve esserci scritto esattamente :

c:\windows\system32\userinit.exe,

(virgola compresa, mi raccomando!)

ATTENZIONE a non eliminare altro, altrimenti il computer non sarà più in grado di riavviarsi!!!

Chiudi il registro, trova ed elimina il file:
C:\WINDOWS\system32\oembios.exe

se qualcosa non ti è chiaro non toccare nulla e chiedi.

Senza ancora riavviare, scarica, installa e aggiorna malwarebytes, esegui una scansione completa (seleziona l'opzione) e posta il rapporto.

Se è ok, procediamo anche con smitfraudfix, dovesse essere ancora necessario.

edit: avenger non ha spostato i file.

[baggio86]

http://www.savefile.com/files/1752989 ora li ha spostati?
cmq se clicco su usernit mi esce C:\WINDOWS\system32\userinit.exe,userinit.exe,C:\W INDOWS\system32\oembios.exe,
devo eliminare anke il secondo usernit.exe, ?
in system32 ci sono i seguenti fileembios.bin,oembios.dat,oembios.exe e oembios.sig ... devo eliminarli tutti?

[hell's bells]

Ho visto che sei connesso, segui alla lettera le istruzioni di Deifobe:

Al termine della modifica, nella finestra deve esserci scritto esattamente :

c:\windows\system32\userinit.exe,

(virgola compresa, mi raccomando!)

il file da lasciare è solo c:\windows\system32\userinit.exe,




[ot] come richiesto[ot]


edit. Dei

[Deifobe]

grazie hell's

@ baggio86: si, i file sono stati spostati
fai esattamente quello che sta scritto. I file infetti verranno eliminati

[baggio86]

quando modifico il registro, se ri-clicco su userinit mi riesce di nuovo quello che avevo cancellato in precedenza...
se poi provo ad eliminare C:\WINDOWS\system32\oembios.exe (gli altri nn li ho toccati come hell's mi ha detto) mi dice che è impossibile eliminare il file perchè è in uso da un altro utente o programma...che faccio?