Virus imagen

[maggio98]

Salve a tutti, ho purtroppo ingenuamente accettato su msn un allegato che mi ha infettato il pc, e ho preso un virus incredibile.... l'allegato si presentava come "imagen...." e seguiva delle frasi in spagnolo (ho un'amica spagnola e sovrapensiero ho creduto fosse lei), ed ora nell'ordine: mi ha blokkato il NOD, non mi consente l'accesso a tutti i siti di antivirus che consentono on-line-scanning, non mi consente l'accesso in modalità provvisoria, non mi consente l'accesso al regedit, ho installato pandaantivirus ma non lo trova....
non so che fare...
aiuto!!!
grazie in anticipo!

[maggio98]

Ho provato a scaricare unblocker per poter cancellare dei file che risultano blokkati, e niente, mi chiude l'applicazione non appena la lancio!

[Deifobe]

scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now".

Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

Nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata, ovviamente non lo è.

[maggio98]

Ok..done

questo è il link:
http://www.savefile.com/files/1907239

grazie

[Deifobe]

lo controllo ora.
non toccare nulla..


edit: in un file di testo copia/incolla:

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Ru]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"Windows Network Data Management System Service"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Network Data Management System Service"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\policies\Explorer\Run]
"NT Printing Services6"=-
"Windows Printing Driver"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Network Data Management System Service"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"UpdatesDisableNotify"=dword:00000000
;

salvalo sul desktop come:
nome: fix.reg
tipo di file: tutti i file
chiudi il file


Esegui Avenger e nella finestra che si apre copia/incolla:

files to delete:
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\64.exe
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\71.exe
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\86.exe
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\73.exe
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\74.exe
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\31.exe
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\05.exe
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\46.exe
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\82.exe
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\27.exe
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\47.exe
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\62.exe
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\03.exe
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\removeMe8766.ba t
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\removeMe6432.ba t
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\jar_cache6161.t mp
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\jar_cache56147. tmp
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\jar_cache56148. tmp
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\jar_cache11133. tmp
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\jar_cache11131. tmp
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\jar_cache56146. tmp
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\jar_cache56145. tmp
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\Setup+Patch.exe
C:\DOCUME~1\ZEROTE~1\IMPOST~1\Temp\imagen-4.zip
C:\WINDOWS\system32\jpg.dat
C:\WINDOWS\system32\gh14rs.txt
C:\WINDOWS\system32\doskeys.exe
C:\WINDOWS\system32\dllhosts.exe
C:\WINDOWS\system32\bvdpss.exe
C:\WINDOWS\system32\symrestore.exe
C:\WINDOWS\system32\rar.exe

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato in c:\avenger

Dopo il riavvio, esegui il file fix.reg salvato sul desktop e accetta le modifiche al registro.

Riavvia

Posta un nuovo systemscan

Zippa, cortesemente, la cartella c:\avenger, caricala su savefile e mandami il link con un messaggio privato (mi raccomando, non inserire questo link sul forum )

[maggio98]

Ok, grazie mille, ora ho lasciato il posto di lavoro e il pc infetto è lì; appena mi è possibile, domattina al più tardi, eseguo tutte le procedure che mi hai indicato e ti mando (in pvt) il nuovo report....

nel frattempo ti ringrazio..

ciao

[Deifobe]

l'archivio di avenger me lo ivii in pvt
il rapporto, se non ci sono problemi, lo posti sul forum....

[maggio98]

Ciao, eccomi, ho iniziato creando il fix.reg, ma come avevo paura accadesse, mi impedisce il lancio di avenger..... come lo lancio me lo chiude, così come per molti altri programmi.... l'avevo detto è bastardissimo!!!
sono nelle tue mani!

[Deifobe]

ok
Esegui systemscan, clicca sul pulsante "Removal Script" nella finestra principale di Systemscan e, nella finestra che si apre, copia/incolla quello script...

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.

(in breve.... systemscan include avenger :P )

[Deifobe]

quando hai finito, cortesemente, ricrea il file fix.reg e rieseguilo.