taskmanager,regedit e altre funzioni del pc bloccate [era:Virus, virus, virus]

[legacy]

Salve a tutti,
e grazie in anticipo per le risposte che mi darete! ho un grosso problema con un notebook di un mio amico:
da qualche giorno, windows xp funziona malissimo:
-taskmanager, regedit disattivati (riabilitati da poco)
-modalità provvisoria disattivata
-tasto esegui su menu start scomparso (riabilitato da poco)
-opzioni cartella scomparso (riabilitato da poco)
-le icone sul desktop non posso essere nè spostate nè copiate
-porta usb non attiva
-tasto cerca del menu start non funzionante
-programmi di masterizzazione (nero) non funzionanti

Ho provato con diversi tool per la rimozione di virus e schifezze simili:
-Combofix mi ha trovato ed eliminato lsass.exe nella cartella system, new folder.exe in C.
-virit mi ha trovato 123 file infetti tra cui ci sono moltissimi programmi.
-hijackthis mi dava delle chiavi di registro contenente quicknews.info

Ho provato anche con systemscan e gmer ma non ho risolto granché.

Il problema è che ho ancora dei file.exe che si generano nella cartella temp di windows.
e ho delle connessioni attive (viste con netstat) su server tipo macedonia o matrix, cose del genere.
Da qualche giorno non mi compaiono i file.exe sui temp delle impostazioni locali ma ho ancora questo file etilqs_Di60y113N1KoaerGMXDY di cui non conosco la provenienza.

vi posto il log di hijackthis

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programmi\ltmoh\Ltmoh.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\TEMP\winykhba.exe
C:\WINDOWS\TEMP\lqfjkn.exe
C:\WINDOWS\TEMP\juey.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-823518204-1482476501-682003330-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-823518204-1482476501-682003330-1003 Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe (User '?')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: DownloadInformation -
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe

grazie

[Deifobe]

ciao,
scarica SystemScan - disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Freefilehosting e posta sul forum il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[legacy]

http://freefilehosting.net/files/44lhf

Grazie ancora!

[Deifobe]

ciao, nel rapporto non vedo i file che li generano, forse si trovano in un diverso percorso.

in un file di testo copia/incolla:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"UacDisableNotify"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"UacDisableNotify"=dword:00000000
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file

chiudilo ed eseguilo - accetta le modifiche (dura solo un attimo..)


Fai una scansione on-line con Kaspersky:
clicca su Kaspersky Online Scanner => Accept => (partirà l'update)
=> seleziona "my computer" (a sinistra) e da questo momento in poi puoi anche disconnettere il pc da internet.
=> al termine della scansione clicca su "View Scan Report"
=> "Save Report As" => salva e posta il rapporto.

ciao

[legacy]

Non mi fa caricare la pagina del Kaspersky (errore caricamento pagina, provato piu volte) e cmq anche per le pagine di altri antivirus (symantec) mi dà lo stesso problema.
In questo momento mi ha disabilitato di nuovo il taskmanager e il registro.
Veramente un grosso problema.

[legacy]

C'è un modo per salvare i dati prima di formattare il tutto?
penso sia l'unico modo per eliminare il virus!
grazie!

[Deifobe]

vedi comunque se riesci a scaricare malwarebytes.

Installalo e aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.

Posta il rapporto.


per il registro e il task manager, puoi usare questa Utility (solo per il task manager e registro...)

[legacy]

Niente non riesco ad installarlo totalmente mi da' un errore di runtime! e comunque l'avevo già provato! non so proprio dove sbattere la testa !
L'unica soluzione che mi viene in mente è la formattazione! sigh sigh

[Deifobe]

allora prima di passare alla formattazione, scarica ComboFix_BleepingComputer sul desktop, eseguilo, digita 1 e segui le indicazioni.

Disconnetti il pc da internet, chiudi tutti i programmi e disattiva l'antivirus (è importante!)

NON toccare assolutamente nulla mentre combofix sta scansionando.
Quando finisce, posta il log => C:\ComboFix.txt

Onde evirate che venga riconosciuto e bloccato, mentre lo scarichi salvalo come 123@a.exe

[Gas75]

Originariamente inviato da Deifobe
Onde evirate [...]

VVoVe: Se fai così ci dai davvero un taglio e via, a 'sto virus!
:quote: