virus e blocco del task manager

[netghost]

Ho preso un virus che avg non riesce a sistemare e ora anche il task manager mi è interdetto nonostante sia io l'amministratore del mio pc.
Il virus non so come si chiami, mi viene segnalato all'accensione del pc tramite una schermata di trend micro, che peraltro non ho installato sul pc, e non so come sistemare, mi chiede di inserire il disco di boot di windows, ma io furbissimo non ho floppy disc e non trovo più il cd di win xp originale
soluzioni?

[Deifobe]

ciao, mi pare di capire che comunque riesci ad avviare il pc

scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). Te lo dico perchè, dovesse essere segnalato dall'antivirus (che non hai disattivato, come da indicazione), almeno sai il motivo. La procedura postata è sicura.

[netghost]

grazie, adesso lo faccio

[netghost]

Originariamente inviato da Deifobe
ciao, mi pare di capire che comunque riesci ad avviare il pc

scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). Te lo dico perchè, dovesse essere segnalato dall'antivirus (che non hai disattivato, come da indicazione), almeno sai il motivo. La procedura postata è sicura.

01_09_2008_00_29_report.zip - Hosted on SaveFile.com

[Deifobe]

completa i punti uno per uno. Se ci sono problemi, dimmelo.
la cartella C:\Programmi\epkgmwe ti dice qualcosa? Se è tua, fermati perchè verrebbe eliminata.

1) Scarica Avenger e CCleaner

2) Apri il registro (start => esegui => digita regedit e dai l'ok).
Clicca su "Risorse del computer", poi su "file" => esporta => salva la copia del registro in c:\ (alla fine delle pulizie, la eliminerai)

3) Clicca su start - pannello di controllo - installazione applicazioni:
- disinstalla PC-Antispy
- disinstalla PC Clean Pro

4) Apri il blocco note e nella pagina copia/incolla:

Windows Registry Editor Version 5.00

[HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run]
"CmdMonApl"=-
"PC Clean Pro"=-

[-HKey_Classes_Root\CLSID\{313CA0F5-5FCD-06FF-9A6B-075998F906A0}]

salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file


5) Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\WINDOWS\system32\akttzn.exe
C:\WINDOWS\system32\anticipator.dll
C:\WINDOWS\system32\awtoolb.dll
C:\WINDOWS\system32\bdn.com
C:\WINDOWS\system32\bsva-egihsg52.exe
C:\WINDOWS\system32\dpcproxy.exe
C:\WINDOWS\system32\emesx.dll
C:\WINDOWS\system32\gbwzyzkf.exe
C:\WINDOWS\system32\h@tkeysh@@k.dll
C:\WINDOWS\system32\hoproxy.dll
C:\WINDOWS\system32\hxiwlgpm.dat
C:\WINDOWS\system32\hxiwlgpm.exe
C:\WINDOWS\system32\medup012.dll
C:\WINDOWS\system32\medup020.dll
C:\WINDOWS\system32\msgp.exe
C:\WINDOWS\system32\msnbho.dll
C:\WINDOWS\system32\mssecu.exe
C:\WINDOWS\system32\msvchost.exe
C:\WINDOWS\system32\mtr2.exe
C:\WINDOWS\system32\mwin32.exe
C:\WINDOWS\system32\netode.exe
C:\WINDOWS\system32\newsd32.exe
C:\WINDOWS\system32\ps1.exe
C:\WINDOWS\system32\psof1.exe
C:\WINDOWS\system32\psoft1.exe
C:\WINDOWS\system32\regc64.dll
C:\WINDOWS\system32\regm64.dll
C:\WINDOWS\system32\Rundl1.exe
C:\WINDOWS\system32\sncntr.exe
C:\WINDOWS\system32\ssurf022.dll
C:\WINDOWS\system32\ssvchost.com
C:\WINDOWS\system32\ssvchost.exe
C:\WINDOWS\system32\sysreq.exe
C:\WINDOWS\system32\taack.dat
C:\WINDOWS\system32\taack.exe
C:\WINDOWS\system32\temp#01.exe
C:\WINDOWS\system32\thun.dll
C:\WINDOWS\system32\thun32.dll
C:\WINDOWS\system32\VBIEWER.OCX
C:\WINDOWS\system32\vbsys2.dll
C:\WINDOWS\system32\vcatchpi.dll
C:\WINDOWS\system32\winlogonpc.exe
C:\WINDOWS\system32\winsystem.exe
C:\WINDOWS\system32\WINWGPX.EXE
C:\WINDOWS\mssecu.exe
C:\WINDOWS\bdn.com
C:\WINDOWS\winsystem.exe
C:\WINDOWS\iTunesMusic.exe
C:\WINDOWS\a.bat
C:\WINDOWS\zip2.tmp
C:\WINDOWS\zipped.tmp
C:\WINDOWS\zip3.tmp
C:\WINDOWS\userconfig9x.dll
C:\WINDOWS\zip1.tmp
C:\WINDOWS\FVProtect.exe
C:\WINDOWS\base64.tmp
c:\sqmdata03.sqm
c:\sqmnoopt03.sqm
c:\sqmdata04.sqm
c:\sqmnoopt04.sqm
C:\WINDOWS\system32\drivers\pcantispy.sys
C:\WINDOWS\temp\bca4e2da.$$$
C:\WINDOWS\temp\fa56d7ec.$$$
C:\WINDOWS\temp\ed47fa.$
c:\windows\temp\58.tmp
C:\Programmi\epkgmwe\AppSmart.dll
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(043).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(044_2).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(044_1).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(044_3).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(044_4).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(044_6).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(044_5).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(045_2).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(045_1).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(045_3).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(045_4).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(045_5).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(045_6).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(046_1).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(046_3).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(046_2).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(046_4).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(046_6).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(046_5).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Video(001).mp4
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(047).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(048).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(049).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(050).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(051).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(052).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(053).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(054).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(055).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(056).jpg
C:\DOCUME~1\Claudio\IMPOST~1\Temp\u224YHKG.htm.par t
C:\DOCUME~1\Claudio\IMPOST~1\Temp\y621PRj9.htm.par t
C:\DOCUME~1\Claudio\IMPOST~1\Temp\7L1g53yR.htm.par t
C:\DOCUME~1\Claudio\IMPOST~1\Temp\mJl99cM8.htm.par t
C:\DOCUME~1\Claudio\IMPOST~1\Temp\Foto(001).jpg
C:\Documents and Settings\Claudio\Desktop\AdobeFlashPlayerExt.exe
C:\Programmi\PC Clean Pro\PC Clean Pro.exe
C:\WINDOWS\System32\ketusk.exe

folders to delete:
C:\WINDOWS\system32\smp
C:\Programmi\akl
C:\Programmi\epkgmwe
C:\Programmi\PC-Antispy
C:\Programmi\Inet Delivery
C:\Documents and Settings\Claudio\Dati applicazioni\PC-Antispy
C:\Documents and Settings\Claudio\Dati applicazioni\PC Clean Pro
C:\Programmi\PC Clean Pro

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run | CqsW9hSx1X
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad | AppSmart
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | PC-Antispy
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Services
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List | C:\WINDOWS\system32\ketusk.exe

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset001\services\p cantispy
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\pcantispy
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\{DEF85C80-216A-43ab-AF70-1665EDBE2780}
HKEY_LOCAL_MACHINE\system\controlset001\services\{ DEF85C80-216A-43ab-AF70-1665EDBE2780}
HKEY_LOCAL_MACHINE\system\controlset002\services\{ DEF85C80-216A-43ab-AF70-1665EDBE2780}
HKEY_LOCAL_MACHINE\system\controlset003\services\{ DEF85C80-216A-43ab-AF70-1665EDBE2780}
HKEY_LOCAL_MACHINE\system\controlset002\enum\root\ legacy_{DEF85C80-216A-43ab-AF70-1665EDBE2780}
HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_{DEF85C80-216A-43ab-AF70-1665EDBE2780}
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_{DEF85C80-216A-43ab-AF70-1665EDBE2780}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\PC-Antispy
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\PC Clean Pro

programs to launch on reboot:
c:\fix.reg

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

6) Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).
Svuota C:\WINDOWS\Prefetch


Riguardo questo:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
malicious code @ sector 0xe4fbfe2 size 0x1ac !
copy of MBR has been found in sector 62 !

7) scarica in c:\ mbr.exe, disattiva l'antivirus
start => esegui => digita: c:\mbr.exe -f
NOTA: c:\mbr.exe[spazio]-f
posta il rapporto, lo trovi in c:\


8) Fai una scansione con Dr.Web CureIt.
Scarica il programma ed avvia la scansione.
Partirà in automatico con "express scan". Quando ha finito, clicca anche su "completa scansione".
Controlla i file infetti trovati e ripulisci
Per salvare il rapporto => file => salva rapporto


9) Posta un nuovo systemscan, il rapporto di CureIt e il rapporto di avenger

[Deifobe]

ps: mi raccomando di inserire tutta la citazione.

riguardo questi:

C:\.security
C:\WINDOWS\.security
C:\documents and settings\Claudio\Menu Avvio\Programmi\Esecuzione automatica\.security

vedremo...

[netghost]

mi sa che ho combinato un casino e ho fatto più danno che beneficio. Ma per recuperare il task manager?

[Deifobe]

scusa chiedi del task manager.. ma i rapporti richiesti dove stanno?
l'hai eseguita la procedura?

[netghost]

sì, ma prima di fare quello ho buttato nel cestino i cookies, i file temporanei e altro ancora e ho disinstallato prima anche i due software e così facendo certe cose non sono andate nel verso giusto

[Deifobe]

ok
posta un nuovo systemscan e vediamo...