antivirus disattivati!

[fochina]

Ciao a tutti!
Ho bisogno del vostro aiuto!Stavoripulendo il mio pc da virus e malware e stavo seguendo pedissequanmente i punti. Ho passato ccleaner, ho passato l'antivir aggiornato in modalità provvisoria e disattivando ripristino configurazione di sistema, quando ho disattivato l'antivirus per fare la ascansione online col kaspersky, il virus mi ha fregato!Mi succedeva spesso negli ultimi giorni, che l'antivir mi bloccase dei .exe ( uno era sicuramente svchost.exe; un altro che ricordo era smsh.exe). cliccavo su delete o su quarantine eil mio pc non aveva problemi di nessun tipo. Ma credo che averlo disattivato per la scansione online sia stato il mio problema. Uno diq uesti si sarà eseguito!Ho fatto una scansione con hijackthis prima che mi succedesse il problema. Adesso ho la cpu al 100% e Antivir non mi si aprono più, mi dice che è un'applicazione di win32 non valida. Lo stesso con hijackthis ma non con malwarebytes anti malware.
mi autorizzate a postare il file log di hijackthis come allegato?oppure lo copio-incollo in un mesaggio a seguire?aiutatemi....
Grazie!
Ida
p.s. niente panico!!!

[Deifobe]

no, niente panico...

scarica SystemScan - disconnetti il pc da internet => esegui systemscan => clicca su "Scan Now". Finita la scansione, carica il rapporto che trovi sul desktop su Freefilehosting e posta sul forum il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[fochina]

Grazie pert l'aiuto! adesso entro nel panico!
Provo ad installare systemscan ma mi si riavvia il pc!!!Che faccio???Entro in modalità provvisoria???non sono riuscita ad installare systemscan ancora!!!
Fra l'altro dopo il riavvio si è ri-riavviato!!!cpu sempre al 100%!Al momento è tranquillo...Io un po' meno ma ho un portatile da cui leggere il forum...
Grazie Amico!!!!!

[Deifobe]

sistemscan non va installato...

uhmm... in provvisoria potresti tentare, dipende dall'infezione (se ti fa accedere).

se ci entri, si, prova da li' (solo premendo f8 all'avvio del pc)

comunque stai tranquilla.... sto qui se serve altro..

[fochina]

non me lo fa partire in modalità provvisoria. mi ridà la schermata di opzioni...Ho provato a fare "Ultima configurazione sicuramente funzionante....ma visto che ho di recente cancellato tutti i punti di ripristino, chissà se ne troverà....ho fatto una cazz**** facendo così???ora che faccio?

[Deifobe]

ok, allora è bagle.
ti mando un file con delle indicazioni tramite messaggio privato.
fai quello che ti indico

nb: accedi ai messaggi privati cliccando in alto su "profilo"

[fochina]

Grazie!Grazie mille!!!!

[Deifobe]

inviato....

[fochina]

questo è il systemscan in modalità normale
http://freefilehosting.net/download/4443f

e questo è l'altro, in modalità provvisoria, dal nome impronunciabile!!!
http://freefilehosting.net/download/4443g

Aspetto il parere medico...

[Deifobe]

il nome del tool ah, non sapevo cosa mettere... ho messo il nome di uno dei file che si chiama proprio mqtgsvc ...


il bagle sembra sia stato eliminato (stranamente, però, nel rapporto vedo solo due file rispetto a quanto è stato eliminato (7,5 Mb)... ora voglio vedere se trovo qualche altro rapporto in qualche backup... .. avevi per caso eseguito avenger? io non lo vedo nel rapporto di systemscan, quindi penso di no...)


poi.. il secondo tool pure ha fatto il suo dovere...


ma da systemscan vedo che le due infezioni non erano sole (ma l'antivirus è un optional?...)

vedo un servizio autorun con c:\huadio.tmp (the trojan horse TR/ Rootkit)

Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

files to delete:
c:\huadio.tmp
C:\sqmdata13.sqm
C:\sqmnoopt13.sqm
C:\sqmnoopt12.sqm
C:\sqmdata12.sqm
C:\sqmnoopt11.sqm
C:\sqmdata11.sqm
C:\sqmdata10.sqm
C:\sqmnoopt10.sqm
C:\sqmnoopt09.sqm
C:\sqmdata09.sqm
C:\sqmdata08.sqm
C:\sqmnoopt08.sqm
C:\sqmdata07.sqm
C:\sqmnoopt07.sqm
C:\sqmdata06.sqm
C:\sqmnoopt06.sqm
C:\sqmdata05.sqm
C:\sqmnoopt05.sqm
C:\sqmdata04.sqm
C:\sqmnoopt04.sqm
C:\sqmdata03.sqm
C:\sqmnoopt03.sqm
C:\sqmdata03.sqm
C:\sqmnoopt02.sqm
C:\sqmdata01.sqm
C:\sqmnoopt01.sqm
C:\DOCUME~1\UTENTE~1\IMPOST~1\Temp\xfsf96.exe
C:\DOCUME~1\UTENTE~1\IMPOST~1\Temp\s4453wt.exe

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset002\services\a utorun
HKEY_LOCAL_MACHINE\system\controlset001\services\a utorun
HKEY_LOCAL_MACHINE\system\controlset003\services\a utorun
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\autorun

Spunta "Automatically disable any rootkits found" e clicca su "execute". Il pc si riavvierà.
Mi invii con un messaggio privato (domani) la cartella c:\avenger zippata?


Scarica ed esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte) (questo usalo di tanto in tanto per ripulire...)


Domani, quando vuoi, postami un systemscan completo, così vedo anche il resto....