Win32/Kryptik.PO e Win32/Injector.OO [era: aiuto il mio pc ha preso di tutto]

**rosyalba** · 23-05-2009, 21:09

salve a tutti ho un problema con il pc con virus e malware spyware credo ecc...
allora mi succede questo : accendo il pc e il nod32 mi rivela dei virus vi elenco qualche nome win32/Kryptik.PO Win32/Injector.OO ecc... poi dopo mi appare una scritta rossa enorme sul desktop WARNING...... E successivamente dopo qualche minuto mi appare una schermata blu con scritto:
si è verificato un problema e windows è stato arrestato per impedire danni al computer.
un processo o un thread fondamentale per il funzionamento del sistema è uscito o è stato terminato in modo inaspettato. se la prima volta che appare la schermata di errore relativa all'arresto,riavviare il computer.se la schermata riappare procedere come segue:
verificare che tutto il nuovo hardware o software sia installato correttamente . se si tratta di una nuova installazione, richiedere al produttore dell'hardware o del software i necessari aggiornamenti di windows.
se il problema persiste, disattivare o rimuovere l'hardware o il software di nuova installazione.disattivare nel bios le opzioni relative alla memoria cache o shadowing. per utilizzare la modalità provvisoria allo scopo di rimuovere o disattivare componenti , e riavviare il computer,premere f8 per selezionae le opzioni di avvio avanzate quindi selezionare la modalità provvisoria.
informazione tecnica:
*** STOP: 0X000000F4 (0X00000003, 0X86EC9D60,0X86EC9ED4,0X8O5D297C)
inizio creazione immagine della memora fisica su disco scaricamento della memoria fisico completato.
contattare l'amministratore di sistema o il gruppo di supporto tecnico per ulte
se qualcuno riesce a dirmi come posso risolvere perfavore perchè non riesco più a far niente...
il virus l'ho preso da messanger ho accettato un immagine da una mia amica non sapendo che era un virus... :-(
ringrazio tutti anticipatamente e spero mi aiuterete....un saluto rosy...

**Deifobe** · 23-05-2009, 22:15

ciao,
Scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto (per ora non rimuovere nulla)

ciao

**rosyalba** · 23-05-2009, 23:28

grazie mille...ma volevo solo chiederti una volta che ha finito la scansione come devo fare per postare il file che non ricordo...scusami e grazie ancora

**rosyalba** · 23-05-2009, 23:41

ho provato a fare la scansione ma non me la fà nemmeno terminare
dopo una ventina di minuti mi appare la schermata blu con la scritta e non posso più fare niente.....

adesso ho messo il pc in modalità provvisoria e l'ho fatta partire da lì...va bene lo stesso?. sperando non mi si impalli dinuovo.... grazie ancora

un saluto rosy...

**Deifobe** · 24-05-2009, 02:10

- riesegui systemscan saltando la scansione che ti blocca il pc (togli la spunta corrispondente)
- il rapporto, poi, devi caricarlo su megaupload come indicato sopra..
- meglio se la esegui in modalita' normale

ciao,
dei

**rosyalba** · 24-05-2009, 09:52

allora la scansione con malwarebytes lo dovuta fare per forza in modalità provvisoria e questo è il risultato:

www.megauload.com/?d=KYJF8N46

devo farla anche con systemscan?

grazie ancora rosy...

**rosyalba** · 24-05-2009, 09:58

scusa avevo dimenticato una lettera

www.megaupload.com/?d=KYJF8N46

**Deifobe** · 24-05-2009, 17:14

Ciao rosy
ripeti la scansione con malwarebytes e rimuovi tutto:
a scansione completata, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.

Poi, scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su megaupload e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

ciao

**rosyalba** · 26-05-2009, 00:18

ho fatto la scansione con system scan però ho dovuto farla in modalità provvisoria..In modalità normalr si impalla ..questo è il risultato spero vada bene :

www.megaupload.com/?d=807URG6J

grazie un saluto rosy

**Deifobe** · 26-05-2009, 22:45

sei un po' messa male, forse

1 Esegui systemscan, clicca sul pulsante "Removal Script" e, nella finestra che si apre, copia/incolla questo script:

files to delete:
C:\hxisn.exe
C:\hisn.exe
C:\qenef.exe
C:\dlrs.exe
C:\ltin.exe
C:\dialer.exe
C:\boletin.exe
C:\elast.exe
C:\WINDOWS\system\mysmas.exe
C:\WINDOWS\msnmsgrss.exe
C:\WINDOWS\system32\zidudanu
C:\WINDOWS\system32\kungsfltfbvpso.dat
C:\WINDOWS\system32\kungsfbpjllkgd.dll
C:\WINDOWS\system32\BITB1.tmp
C:\WINDOWS\system32\hovogove.dll
C:\WINDOWS\system32\BITAF.tmp
C:\WINDOWS\system32\kungsfujfqtilt.dat
C:\WINDOWS\system32\fcne.exe
C:\WINDOWS\system32\kungsfonqoewcm.dll
C:\WINDOWS\system32\worusego.exe
C:\WINDOWS\system32\fezijepa.dll
C:\WINDOWS\system32\yuzeditu.dll
C:\WINDOWS\system32\kungsfgoayxysw.dat
C:\WINDOWS\system32\ebtddt.exe
C:\WINDOWS\system32\gaqacq.exe
C:\WINDOWS\system32\idclppje.exe
C:\WINDOWS\system32\zewewegi.dll
C:\WINDOWS\system32\kungsfjnqmnovi.dll
C:\WINDOWS\system32\horijige.dll
C:\WINDOWS\system32\vedilune.dll
C:\WINDOWS\system32\tehunevo.dll
C:\WINDOWS\system32\mohasobi.dll
C:\WINDOWS\system32\rojisabo.dll
C:\WINDOWS\system32\jirohowu.dll
C:\WINDOWS\system32\jefiyuna.dll
C:\WINDOWS\system32\gavulowe.dll
C:\WINDOWS\system32\suhahebu.dll
C:\WINDOWS\system32\rekomeve.dll
C:\WINDOWS\system32\padanoku.dll
C:\WINDOWS\system32\nuhitida.dll
C:\WINDOWS\system32\dumepiwo.dll
C:\WINDOWS\system32\dowikabu.dll
C:\WINDOWS\system32\pajuseyu.exe
C:\WINDOWS\system32\zedojoga.dll
C:\WINDOWS\system32\mlfcache.dat
C:\WINDOWS\system32\fekabota.exe
C:\WINDOWS\system32\hepoyaba.dll
C:\WINDOWS\system32\fofajupa.dll
C:\WINDOWS\system32\jokofumo.exe
C:\WINDOWS\system32\fidavine.dll
C:\WINDOWS\system32\puwohuwu.exe
C:\WINDOWS\system32\fovayaga.dll
C:\WINDOWS\system32\tonasuta.dll
C:\WINDOWS\system32\joredoma.exe
C:\WINDOWS\system32\sivuvaje.dll
C:\WINDOWS\system32\jevayeyi.dll
C:\WINDOWS\system32\dujiyera.dll
C:\WINDOWS\system32\dezuwabi.exe
C:\WINDOWS\system32\dowalora.dll
C:\WINDOWS\system32\ajugefuv.ini
C:\WINDOWS\system32\borababu.dll
C:\WINDOWS\system32\toyutabo.dll
C:\WINDOWS\system32\gipidiwu.dll
C:\WINDOWS\system32\mopifobi.exe
C:\WINDOWS\system32\kalahavi.dll
C:\WINDOWS\system32\wigudozi.exe
C:\WINDOWS\system32\upikageb.ini
C:\WINDOWS\system32\lesohufu.exe
C:\WINDOWS\system32\wenihubi.dll
C:\WINDOWS\system32\mokehohi.dll
C:\WINDOWS\system32\gokisoso.dll
C:\WINDOWS\system32\jisaleyu.exe
C:\WINDOWS\system32\tupurevo.exe
C:\WINDOWS\system32\gidobedi.dll
C:\WINDOWS\system32\firovopa.dll
C:\WINDOWS\system32\motatuwo.exe
C:\WINDOWS\system32\vidajadu.dll
C:\WINDOWS\system32\tijebevi.dll
C:\WINDOWS\system32\tuwejipe.exe
C:\WINDOWS\system32\sarotehi.exe
C:\WINDOWS\system32\wuleketo.dll
C:\WINDOWS\system32\obunogok.ini
C:\WINDOWS\system32\yujukumi.dll
C:\WINDOWS\system32\tesirolo.exe
C:\WINDOWS\system32\lalolezi.exe
C:\WINDOWS\system32\lenozafi.dll
C:\WINDOWS\system32\zadoguze.exe
C:\WINDOWS\system32\jihipabe.dll
C:\WINDOWS\system32\vajozesi.dll
C:\WINDOWS\system32\pozayeda.exe
C:\WINDOWS\system32\ojilagil.ini
C:\WINDOWS\system32\sujegaru.dll
C:\WINDOWS\system32\vumefesa.dll
C:\WINDOWS\system32\nihovoja.dll
C:\WINDOWS\system32\gosijado.dll
C:\WINDOWS\system32\magohupa.dll
C:\WINDOWS\system32\puyekari.dll
C:\WINDOWS\system32\winasara.exe
C:\WINDOWS\system32\zodoviru.dll
C:\WINDOWS\system32\visegobu.dll
C:\WINDOWS\system32\gitoribo.exe
C:\WINDOWS\system32\vetobibu.dll
C:\WINDOWS\system32\dikonaju.exe
C:\WINDOWS\system32\kelewaba.dll
C:\WINDOWS\system32\saduyaya.exe
C:\WINDOWS\system32\nowuvaku.dll
C:\WINDOWS\system32\vayojema.exe
C:\WINDOWS\system32\movohugo.exe
C:\WINDOWS\system32\bagahone.dll
C:\WINDOWS\system32\muyijoha.dll
C:\WINDOWS\system32\nodivivo.exe
C:\WINDOWS\system32\kepivuve.dll
C:\WINDOWS\system32\yoguyutu.exe
C:\WINDOWS\system32\feyiloto.exe
C:\WINDOWS\system32\venijija.exe
C:\WINDOWS\system32\bimewefi.dll
C:\WINDOWS\system32\jumaruri.dll
C:\WINDOWS\system32\pafelewa.exe
C:\WINDOWS\system32\defupabo.exe
C:\WINDOWS\system32\fopihofu.exe
C:\WINDOWS\system32\yapafeju.exe
C:\WINDOWS\system32\sabiyogi.dll
C:\WINDOWS\system32\sohovaha.dll
C:\WINDOWS\system32\jofoliyo.exe
C:\WINDOWS\system32\hevotuza.exe
C:\WINDOWS\system32\buyoziyi.exe
C:\WINDOWS\system32\fabapitu.dll
C:\WINDOWS\system32\mekiroba.dll
C:\WINDOWS\system32\sabadobe.exe
C:\WINDOWS\system32\rujudagu.dll
C:\WINDOWS\system32\sihosido.dll
C:\WINDOWS\system32\winufame.dll
C:\WINDOWS\system32\rubezaga.dll
C:\WINDOWS\system32\befomita.dll
C:\WINDOWS\system32\soluwale.exe
C:\WINDOWS\system32\nolomipu.exe
C:\WINDOWS\system32\fujumara.exe
C:\WINDOWS\system32\vosorudi.exe
C:\WINDOWS\system32\gihunuwa.exe
C:\WINDOWS\system32\hudiyili.exe
C:\WINDOWS\system32\fosowefe.exe
C:\WINDOWS\system32\dituguwu.dll
C:\WINDOWS\system32\nowelafo.exe
C:\WINDOWS\temp\86.exe
C:\WINDOWS\system32\drivers\kungsfgicdxods.sys
C:\WINDOWS\system32\drivers\kungsfmrwwrqhb.sys
C:\WINDOWS\system32\drivers\kungsfrcphwuoe.sys
C:\WINDOWS\system32\kungsfltfbvpso.dat
C:\WINDOWS\system32\kungsfdxcpurpy.dat
C:\WINDOWS\system32\kungsfbpjllkgd.dll
C:\WINDOWS\system32\kungsfonqoewcm.dll
C:\WINDOWS\system32\kungsfujfqtilt.dat
C:\WINDOWS\system32\kungsfhsbioyro.dat
C:\WINDOWS\system32\kungsfjnqmnovi.dll
C:\WINDOWS\system32\kungsfgoayxysw.dat
C:\WINDOWS\system32\kungsfrrqelwxb.dat
C:\WINDOWS\system32\kungsfbpjllkgd.dll
C:\WINDOWS\system32\kungsfltfbvpso.dat
C:\WINDOWS\system32\kungsfdxcpurpy.dat
C:\WINDOWS\system32\kungsfonqoewcm.dll
C:\WINDOWS\system32\kungsfujfqtilt.dat
C:\WINDOWS\system32\kungsfhsbioyro.dat
C:\WINDOWS\system32\kungsfjnqmnovi.dll
C:\WINDOWS\system32\kungsfgoayxysw.dat
C:\WINDOWS\system32\kungsfrrqelwxb.dat
C:\WINDOWS\system32\drivers\sysdrv32.sys
c:\windows\system32\zewewegi.dll
C:\WINDOWS\system32\fahokipa.dll
C:\WINDOWS\system32\wvUmmNGY.dll

folders to delete:
C:\WINDOWS\temp
C:\WINDOWS\system32\twain32

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | CPM5bfea2cf
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | jekedabud
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad | SSODL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler | {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List | C:\WINDOWS\system32\gaqacq.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List | C:\WINDOWS\system32\ebtddt.exe

registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{905f1b8c-7346-413b-813c-e4ad3245f23d}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{F7441B16-13ED-4B4C-98C1-495B097DA96A}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\kungsfaorgrkcj
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\k ungsfaorgrkcj
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\k ungsfaorgrkcj
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\kungsfbdmrrnty
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\k ungsfbdmrrnty
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\k ungsfbdmrrnty
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\kungsfrsvnohii
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\k ungsfrsvnohii
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\k ungsfrsvnohii
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\enum\r oot\legacy_kungsfaorgrkcj
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\enum\root\ legacy_kungsfaorgrkcj
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\enum\root\ legacy_kungsfaorgrkcj
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\enum\r oot\legacy_kungsfbdmrrnty
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\enum\root\ legacy_kungsfbdmrrnty
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\enum\root\ legacy_kungsfbdmrrnty
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\enum\r oot\legacy_kungsfrsvnohii
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\enum\root\ legacy_kungsfrsvnohii
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\enum\root\ legacy_kungsfrsvnohii

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.

2 Apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}]

[HKEY_CLASSES_ROOT\CLSID\{905f1b8c-7346-413b-813c-e4ad3245f23d}]

[HKEY_CLASSES_ROOT\CLSID\{F7441B16-13ED-4B4C-98C1-495B097DA96A}]
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file
chiudi ed eseguilo. accetta le modifiche (dura solo un attimo)

3 Per ripristinare la Trusted Zone scarica DelDomains e salvalo sul desktop.
=> clic con tasto destro del mouse e scegli "Installa".

4 Scarica questa Utility ed attiva solo:
Abilita servizio "Aggiornamenti AutomaticI" (Wuauserv & BITS)
Abilita notifiche del Centro Sicurezza Windows

5 Aggiorna malwarebytes ed esegui nuovamente la scansione (posta il rapporto e non rimuovere nulla per ora)
Posta anche un nuovo systemscan

Discussione: Win32/Kryptik.PO e Win32/Injector.OO [era: aiuto il mio pc ha preso di tutto]

Strumenti discussione

Ricerca discussione

Visualizza

aiuto il mio pc ha preso di tutto....

Permessi di invio