virus blocca antivirus e connessione wireless

[oenabswista]

ho letto che anche altri hanno avuto questo problema....vi prego di aiutarmi....sono in crisi....ieri ho istallato un programma stupido....ero alquanto sospettoso...xò alla fine ho ceduto(che idiota) e l'ho istallato.....ha fatto una schermata blu e poi il pc si è riavviato....la connessione non funge più e l'antivirus mi dice che non è un'applicazione di win32 valida....aiutatemi please.....magari se fate presto è meglio...il pc mi serve urgentissimamente...grazie

[Deifobe]

ciao,
scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[oenabswista]

ok ho fatto la scansione.....eccoti il link per il rapporto: quihttp://www.savefile.com/files/1868860 grazie per l'aiuto

[Deifobe]

ciao,
scarica elibagla, eseguilo e clicca su Explorar - riavvia il pc quando finisce. Posta il rapporto (C:\Infosat.txt)

terminali dal task manager e poi elimina manualmente, se ci riesci:

C:\WINDOWS\system32\drivers\winfilse.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe

e la cartella C:\WINDOWS\system32\drivers\downld

In ogni caso, poi, scarica questo http://www.savefile.com/files/1868905, scompattalo e trascinalo sul desktop - disconnetti il pc da internet, chiudi tutti i programmi e disattiva l'antivirus (è importante!)
clicca sull'icona di combox => esegui come => ok (se il to user è amministratore del pc)
digita 1 e segui le indicazioni (ricorda.. "1")

NON toccare assolutamente il pc mentre sta scansionando.
se vedi che ci mette tempo non preoccuparti, attendi...

Quando finisce, posta il log, lo trovi in C:\ComboFix.txt

[oenabswista]

il link del secondo programma quello da scompattare e trascinare sul desktop non funziona....potresti per favore ripostarlo please......cmq nel system 32 quei files nn ci sono..... è possibile che io li abbia già messo in quarantena con malwarebytes' anti malware....cosa dvo fare??

[Deifobe]

dipende da quando hai eseguito malwarebytes
io li ho visti in systemscan..
al link avevo attaccato una virgola... ecco perchè non funzionava

http://www.savefile.com/files/1868905

[oenabswista]

scusa per questo periodo nel quale nn ti ho risposto comunque ho fatto la scansione con combofix e eccoti il file del rapporto http://www.savefile.com/files/1924463 grazie per l'aiuto....

[Deifobe]

ciao...

1) conosci queste cartelle?
c:\programmi\Raptr
c:\documents and settings\Utente\Dati applicazioni\Raptr

se no, apri un file di testo e copiaci dentro:

@echo off
dir "c:\programmi\Raptr">C:\Raptr.txt
dir "c:\documents and settings\Utente\Dati applicazioni\Raptr">C:\Raptr2.txt

salvalo sul desktop come:
nomeippo.bat
tipo di file: tutti i file

chiudilo ed eseguilo (dura 1 attimo)
vao in c:\ e postami il contenuto dei file C:\Raptr.txt e C:\Raptr2.txt


2) se ne puoi fare a meno, disinstalla c:\programmi\MessengerDiscovery


3) Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

files to delete:
c:\windows\system32\xa3495296.exe
c:\windows\system32\xa3494531.exe
c:\windows\system32\xa3489484.exe
c:\windows\system32\xa3488593.exe
c:\windows\system32\xa3480421.exe
c:\windows\system32\xa3478531.exe
c:\windows\system32\xwr97477.dll
c:\windows\system32\wr97477.dll
c:\windows\system32\Collegamento a mspaint.exe.lnk
c:\documents and settings\Utente\yonrhptb.exe
c:\documents and settings\Utente\jjvdtkwg.exe
c:\documents and settings\Utente\vlyunsyp.exe

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{ae5619ca-d637-3a0e-b048-83627b096d00}

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato


4) scarica SystemScan - disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

5) ...riguardo
<< c:\windows\system32\winlogon.exe . . . è infetto!!>>
analizza c:\windows\system32\winlogon.exe su Virustotal e posta il link ottenuto

[oenabswista]

eccoti postati i tre rapporti:
http://www.virustotal.com/it/analisi...b0d9df7c8954d8

http://www.savefile.com/files/1925844

http://www.savefile.com/files/1925848

grazie ancora!!

[Deifobe]

1) beh, winlogon risulta pulito per tutti e 37 antivirus (solo che forse non hai ripetuto l'analisi, la vedo datata 2008.11.24 14:21:24 se così è, ti conviene comunque farla...).. A parte questo, l'md5 è..... quasi sconosciuto... Approfondirò..

2) avenger ok

3) elimina:
C:\DOCUME~1\Utente\IMPOST~1\Temp\nr6xbYNW.htm.part
C:\DOCUME~1\Utente\IMPOST~1\Temp\h3g17ZGS.htm.part

non so se sono cose che stai scaricando... ma meglio non rischiare.

e analizza su VirusTotal:
C:\DOCUME~1\Utente\IMPOST~1\Temp\Uninstall.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\Install.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\AutoRun.exe



in un file di testo copia/incolla:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\DomainPr ofile]
"EnableFirewall"=dword:00000001
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file

chiudilo ed eseguilo (dura un attimo)


posta le tre analisi di virustotal
il pc come va?



NB: hai dimenticato di dirmi cosa sono:
c:\programmi\Raptr
c:\documents and settings\Utente\Dati applicazioni\Raptr

(leggi sopra..)