Trj downloader e siti degli antivirus inaccessibili [era: virus,trojan...aiutatemi!]

[Dr.Zip]

prima di tutto ciao, sn un nuovo utente e avrei un problema: questo pomeriggio ho scaricato un file .exe, e dopo averlo avviato iniziano a comparirmi icone di siti pornografici, ovviamente li cancello tt ma subito dopo il mio antivirus (avg 8) mi segnala dei trojan, trojan.downloader.generic.8.BHqualcosa. inizio a cancellarlo ma ne compaiono altri, li mando in quarantena ma ne compaiono altri, in + i siti degli antivirus sono inaccessibili. Dopo un po' il pc si blocca (ma il muose va) aspetto un po' e decido di riavviarlo, apro il mio account e dice che per la protezione del computer nn si può aprire clikko ok mi dice che c'è un errore nella stessa applicazione, allora clikko nn inviare informazioni e poi mi rimane lo sfondo desktop vuoto(sl l'immagine) allora riavvio e decido di usare la modalità provvisoria dv funziona tt(stranamente l'audio no...) e uso ccleaner per pulire un po' il sistema... quindi ora sono qui a chiedere aiuto, rispondetemi per favore! inoltre il computer l'ho ritirato solo qualche settimana fa!!! rispondete al più presto e grazie anticipatamente!

[Deifobe]

ho editato il titolo del thread.
cortesemente, leggi il regolamento

tornando al problema del pc, scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su megaupload e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.


ciao

[Dr.Zip]

questo è del file zip http://www.megaupload.com/?d=L0D7YH7K
questo è del file txt http://www.megaupload.com/?d=XIMBUAKE

[Deifobe]

Da installazione applicazioni disinstalla => Favorit

=======

Esegui systemscan, clicca sul pulsante "Removal Script" e, nella finestra che si apre, copia/incolla questo script:

files to delete:
C:\DOCUME~1\Nassim\IMPOST~1\Temp\AAX7D5.tmp
C:\DOCUME~1\Nassim\IMPOST~1\Temp\AAX7D2.tmp
C:\WINDOWS\temp\HTT5D9A.tmp
C:\WINDOWS\temp\CR_B00.tmp
C:\DOCUME~1\Nassim\IMPOST~1\Temp\fla3511.tmp
C:\WINDOWS\temp\_zA9A2.tmp
C:\DOCUME~1\Nassim\IMPOST~1\Temp\AAX5FE1.tmp
C:\WINDOWS\temp\__A994.tmp
C:\DOCUME~1\Nassim\IMPOST~1\Temp\AAX5FDF.tmp
C:\WINDOWS\temp\3.ico
C:\WINDOWS\temp\2.ico
C:\WINDOWS\temp\1.ico
C:\WINDOWS\temp\VRT4E98.tmp
C:\WINDOWS\temp\VRT4E8F.tmp
C:\DOCUME~1\Nassim\IMPOST~1\Temp\2.ico
C:\DOCUME~1\Nassim\IMPOST~1\Temp\3.ico
C:\DOCUME~1\Nassim\IMPOST~1\Temp\1.ico
C:\Documents and Settings\Nassim\Impostazioni locali\Dati applicazioni\cyacccw_navps.dat
C:\Documents and Settings\Nassim\Impostazioni locali\Dati applicazioni\cyacccw.dat
C:\Documents and Settings\Nassim\Impostazioni locali\Dati applicazioni\cyacccw_nav.dat
C:\Documents and Settings\Nassim\Impostazioni locali\Dati applicazioni\cyacccw.exe
C:\Documents and Settings\Nassim\Dati applicazioni\pridl\pridl.exe
C:\Programmi\Protection System\psystem.exe
C:\WINDOWS\system32\fgarjft.dll

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\cyacccw
HKEY_LOCAL_MACHINE\system\controlset003\services\r qnisrofk
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\rqnisrofk
HKEY_LOCAL_MACHINE\system\controlset002\services\r qnisrofk
HKEY_LOCAL_MACHINE\system\controlset003\enum\root\ legacy_rqnisrofk
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_rqnisrofk
HKEY_LOCAL_MACHINE\system\controlset002\enum\root\ legacy_rqnisrofk

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.

=======

Apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run]
"cyacccw"=-
"Protection System"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"pridl"=-
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file
chiudi ed eseguilo. accetta le modifiche (dura solo un attimo)

=======

scarica questa Utility ed abilita solo:
Enable SystemRestore [XP]
Enable Automatic Updates Service (Wuauserv, BITS)
Enable Security Center Service (Wscsvc)

=======

Conosci C:\Programmi\GetPrimo\GetPrimo.exe?
L'hai installato tu?


Posta anche un nuovo rapporto di systemscan..

ciao

[Dr.Zip]

prima mi dice (systemscan)integrity check failed! This filefiles as been modified. Reason might be a possible virus infection, poi si spegne il programma e quando l'ho riavviato dice Removal script was executed correctly. Results are in c:\avenger,txt e quando clicco ok si spegne il programma. è normale che non si riavvi il pc? allora continuo a fare quello che mi hai detto.
cmq ho fatto tutto il resto,
ecco il file zip: http://www.megaupload.com/?d=BJXTGH44
ecco il file txt: http://www.megaupload.com/?d=H2GSH39H
ed il file avrunner.ini(nn so cos'è ma era nella cartella) :http://www.megaupload.com/?d=0Q3SHXH9
getprimo nn l'ho installato io
scusate x sbaglio al posto di rispondere ho perto 2 nuovi topic... scusate ancora

[Dr.Zip]

un'altra cosa
Deifobe (nn posso editare) puoi dirmi anche gli orari in cui ti connetti così riesco a risolvere questo strafastidioso problema?

[Deifobe]

Originariamente inviato da Dr.Zip
scusate x sbaglio al posto di rispondere ho perto 2 nuovi topic... scusate ancora

ho eliminato i due thread extra..
i rapporti li controllo maggiormente di sera.. durante il giorno mi riesce un po' piu' difficile..
controllo quanto postato e ti faccio sapere non appena possibile

ps: non è normale che il pc si riavii ma è probabile che sia il malware e creare questo problema.

[Deifobe]

allora prima di iniziare, posta (copia/incolla direttamente sul forum) il contenuto del file C:\avenger.txt cosi' se sono on line comincio a vedere cosa aveva trovato/eliminato.
===
poi, scarica/installa questa patch WindowsXP-KB958644-x86-ENU.exe (scegli la lingua e clicca su change)
===
Scarica Hijackthis e mettilo in un cartella dedicata (tipo: c:\programmi\Hijackthis o la sua predefinita). Eseguilo e clicca sul tasto "Do a system scan and save a log file". Posta il file di testo ottenuto.
===
Apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"systemprofile"=-
"reader_s"=-
"GetPrimo"=-

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\system]
"DisableTaskMgr"=-
"DisableRegistryTools"=-
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file
chiudi - eseguilo - accetta le modifiche
===
Riesegui systemscan, clicca sul pulsante "Removal Script" e, nella finestra che si apre, copia/incolla questo script:

files to delete:
C:\WINDOWS\system32\fgarjft.dll
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\system32\config\systemprofile\reader_s. exe
C:\WINDOWS\system32\config\systemprofile\systempro file.exe
C:\DOCUME~1\Nassim\IMPOST~1\Temp\CR_114.tmp
C:\DOCUME~1\Nassim\IMPOST~1\Temp\uq222B.tmp
C:\DOCUME~1\Nassim\IMPOST~1\Temp\4vf214.tmp
C:\DOCUME~1\Nassim\IMPOST~1\Temp\afu213.tmp
C:\DOCUME~1\Nassim\IMPOST~1\Temp\ve4212.tmp
C:\DOCUME~1\Nassim\IMPOST~1\Temp\AAX7D5.tmp
C:\DOCUME~1\Nassim\IMPOST~1\Temp\AAX7D2.tmp
C:\DOCUME~1\Nassim\IMPOST~1\Temp\AAX5FE1.tmp
C:\DOCUME~1\Nassim\IMPOST~1\Temp\AAX5FDF.tmp

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | reader_s
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Regedit32

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset002\services\r qnisrofk
HKEY_LOCAL_MACHINE\system\controlset003\services\r qnisrofk
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\rqnisrofk

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.
===
altre al log di hijackthis, posta anche il file c:\avenger.txt e un nuovo systemscan

ciao

[Dr.Zip]

c:\avenger.txt:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Sun Aug 02 20:51:20 2009

20:51:20: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Sun Aug 02 20:52:33 2009

20:52:33: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////

il file di hijackthis

http://www.megaupload.com/?d=WOA1KM6Z

per quanto riguarda system scan ha fatto come prima ma il pc nn si è riavviato per rimuovere lo script...
i conseguenti risultati di avenger...
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Sun Aug 02 20:51:20 2009

20:51:20: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Sun Aug 02 20:52:33 2009

20:52:33: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////

un altro file di hijackthis dp aver tentato di rimuovere lo script
http://www.megaupload.com/?d=KZ3Y5RBE

[Deifobe]

non ci siamo.. sei certo di incollare tutto il contenuto della citazione? Copai/incolla tutto, compreso "files to delete:"