Ciao, la situazione in cui mi trovo è molto simile a quella già descritta in questa discussione http://forum.html.it/forum/showthrea...readid=1418776
Ho un Windows Vista Home Premium a 32 bit, pc della Acer.
E' iniziato con il messaggio "Processo host per servizi di Windows ha smesso di funzionare", con Firefox e connessione - chiavetta della 3 - che si interrompevano, mentre Chrome proprio non partiva.
Solo IE versione 7 (ecc...) funziona.
Cercando una soluzione al problema del processo host - credevo fosse quello il guaio, visto che Vista sembra avere ogni sorta di magagno riguardo aggiornamenti e robe varie - ho trovato questa discussione.
Avviando la scansione di Avira AntiVir, versione free, ho riscontrati diversi malware, nonché dei Trojan - meh :|
Mi sono decisa a scrivere quando, pur seguendo le vostre indicazioni, non sono riuscita a scaricare SystemScan - la pagina mi dà errore, non trova nessun file. E siccome sono abbastanza capra quando si va sul tecnico tecnico, prima di far danni è meglio che chieda aiuto, vah. ^^"
Ho poi seguito le istruzione riportate nel vostro topic "Guida rimozione Malware", scricando i programmi consigliati.
Con ATF-cleaner ho selezionato tutti i flag, rimuovendo (credo) tutto. Tuttavia, quando si è trattato di ripetere la stessa procedura per Firefox, mi è apparsa la casella con scritto "No files deleted" - il senso era quello.
Ho poi usato il programma Malwarebytes, aggiornato; ho fatto la scansione veloce per tre volte, ma ogni volta che terminava mi mostrava una finestra con scritto di cliccare su "Mostra risultati", e, una volta schiacciato per chiudere la finestra, si chiudeva il programma stesso. Mah.
Alla fine, ho fatto partire Avira e questo è il risultato:
Begin scan in 'C:\'
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Users\Anthea\AppData\Local\Microsoft\Windows\Te mporary Internet Files\Component Update 506
[0] Archive type: NSIS
--> [UnknownDir]
[DETECTION] Is the TR/BHO.abf Trojan
--> [UnknownDir]
[WARNING] No further files can be extracted from this archive. The archive will be closed
[WARNING] An error has occurred and the file was not deleted. ErrorID: 26003
[WARNING] The file could not be deleted!
[NOTE] Attempting to perform action using the ARK lib.
[WARNING] Error in ARK lib
[WARNING] The file could not be marked for deleting after reboot. Error description: Accesso negato.
C:\Users\Anthea\AppData\Local\Microsoft\Windows\Te mporary Internet Files\Content.IE5\CNIZB313\index[1].htm
[DETECTION] Contains HEUR/HTML.Malware suspicious code
[NOTE] The detection was classified as suspicious.
[WARNING] An error has occurred and the file was not deleted. ErrorID: 26003
[WARNING] The file could not be deleted!
[NOTE] Attempting to perform action using the ARK lib.
[WARNING] Error in ARK lib
[WARNING] The file could not be marked for deleting after reboot. Error description: Accesso negato.
C:\Users\Anthea\AppData\Local\Microsoft\Windows\Te mporary Internet Files\Content.IE5\RERYG9DS\oHe6e4ad70V0100f070006R 42f94ddd108Tadfaf95d201l0010317[1].pdf
[0] Archive type: PDF Stream
--> Object
[DETECTION] Contains recognition pattern of the EXP/Pidief.GI exploit
[WARNING] An error has occurred and the file was not deleted. ErrorID: 26003
[WARNING] The file could not be deleted!
[NOTE] Attempting to perform action using the ARK lib.
[WARNING] Error in ARK lib
[WARNING] The file could not be marked for deleting after reboot. Error description: Accesso negato.
C:\Users\Martina.PC-Utente\Downloads\Shockwave_Installer_Slim.exe.part
[0] Archive type: NSIS
--> e
[WARNING] No further files can be extracted from this archive. The archive will be closed
Non riesco a capire perché non me li cancella, visto che sono, per l'appunto, dentro l'utente "Anthea" e, oltretutto, dovrei avere i permessi di amministratore.
Ho visto che l'altro utente ha posto anche i registri di Windows Defender.
Tenendo conto che credo che il tutto sia cominciato il giorno 11, riporto quelli che credo possano rigurdare tutta questa rottura!
1)
Risorse:
regkey:
HKCU@S-1-5-21-1397001759-746645684-498828427-1002\Software\Microsoft\Windows\CurrentVersion\Run \\msav
runkey:
HKCU@S-1-5-21-1397001759-746645684-498828427-1002\Software\Microsoft\Windows\CurrentVersion\Run \\msav
file:
C:\Users\Martina.PC-Utente\AppData\Roaming\Bitrix Security\kahvux.dll
Categoria:
Non ancora classificato
2):
Risorse:
regkey:
HKCU@S-1-5-21-1397001759-746645684-498828427-1002\Software\Microsoft\Windows\CurrentVersion\Run \\Bwocohahuro
runkey:
HKCU@S-1-5-21-1397001759-746645684-498828427-1002\Software\Microsoft\Windows\CurrentVersion\Run \\Bwocohahuro
file:
C:\Users\Martina.PC-Utente\AppData\Local\dlecms.dll
Categoria:
Non ancora classificato
3)
Risorse:
regkey:
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\qegcerctpob sdqb
file:
C:\Windows\TEMP\EB96.tmp
Categoria:
Non ancora classificato
Effettivamente sul desktop di "Martina" c'erano programmi dannosi, che ho subito cancellato - anche dal cestino.
Mi scuso per la lunghezza del messaggio, ma il mio tempo al pc è limitato, a causa del lavoro, quindi finché posso vi passo tutto ciò che ritengo possa servirvi, ma poi mi affido a voi e alle vostre competenze. ^^
Giusto per correttezza, avviso che posso rispondere al pc alla sera dopo le 20.30 e al pomeriggio fra l'una e le tre e mezza - non per obbligarvi a rispondere a queste ore, eh! Solo per farvi capire che se non rispondo immediatamente è per questi motivi!
Grazie per la pazienza e dell'attenzione e scusate il disturbo!
Anthea
Rispondi quotando
