Security Shield

[claudiaxyz]

Ciao a tutti,
ho un pc con Vista home premium a 32, infettato da security shield.
ho già fatto tutte le operazioni consigliate che ho letto nei post, eliminando parte del problema, ma ho ancora il pc bloccato.

in aggiunta il virus sembra essersi sovrapposto alla barra del menu in basso facendola diventare trasparente, e impedendomi la connessione.
il messaggio di errore è "processo host dei servizi di windows ha smesso di funzionare". Dettagli del problema: APPCRASH - svchost.exe.

ho già utilizzato Malware Bytes scansione veloce e completa sia in modalità provvisoria da admin sia in avvio normale, sempre da admin. Aveva rilevato 4 files infetti che ho cancellato, ma il problema rimane.
Ho anche verificato le impostazioni Lan, sono corrette

Di seguito il rapporto di Malware Bytes:

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 1
Voci infette nei dati di registro: 3
Cartelle infette: 0
File infetti: 4

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\SmartIndex (Trojan.Agent) -> Value: SmartIndex -> Quarantined and deleted successfully.

Voci infette nei dati di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Bad: (93.188.163.86,93.188.160.66) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\Interfaces\{878522BE-8957-4E6F-B492-6AB1FA6C3A19}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.163.86,93.188.160.66) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\Interfaces\{DD836A71-5CBD-4424-A9A2-532AAF27B5F3}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.163.86,93.188.160.66) Good: () -> Quarantined and deleted successfully.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\Windows\System32\spool\prtprocs\w32x86\179s1e.d ll (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Windows\System32\spool\prtprocs\w32x86\x17cEIQ. dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\claroxyz\AppData\Local\Temp\setup_759.exe (Backdoor.Bredolab) -> Quarantined and deleted successfully.
c:\Users\claroxyz\AppData\Local\Temp\s_762.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.


A successive scansioni, non sono più stati rilevati files infetti. Per scrupolo ho anche usato CCcleaner e SpyBot, oltre ad AVG, ma nada.

Ho poi effettuato manualmente la ricerca dei file sospetti nel registro, ma senza esito. Tra i servizi e i processi non sembrano esserci nomi strani o privi di voce produttore. Quei produttori di cui non ero sicura, li ho verificati su google.

Di seguito copio l'ultima analisi di hijack:

http://wikisend.com/download/925408/hijackthisb 20_12 ore 15.log

ComboFix che o scaricato dal link in un precedente post, non è partito, neanche da esegui. A un successivo tentativo mi dice che il file è corrotto.

Qualcuno può darmi una mano per cortesia?
Grazie mille

[claudiaxyz]

scusate, il link ad hijack corretto è questo:

hijackthisb 20_12 ore 15.log

[luca.antonello]

ciao!! ho avuto proprio oggi un computer infettato con questo virus a lavoro!!!
allora io ho risolto in questo modo:
da modalita provvisoria (accendi il pc premendo f8 o start-esegui-msconfig-boot.ini selezioni /safeboot e network) installi malwarebytes e fai partire la scansione. googlando trovi spiegazioni + dettagliate su come fare.
teoricamente così la maggior parte degli utenti (almeno da quanto ho letto) risolvono il problema.. e ovviamente io non ero uno di questi ho dovuto cercare manualmente nel registro di sistema che cosa provocava l'esecuzione del file .exe di Security Shield (il cui nome è random).
per sapere il nome sono andato nelle proprietà del link di Security Shield comparso nell'avvio veloce e desktop e ho visto il nome del processo.
le chiavi di registro che mi davano noie erano in hkey_current_user/software/Microsoft/windows/correntversion/run e run once e le ho semplicemente eliminate.
una volta fatto questo ho riavviato il pc in modalità normale (se hai utilizzato msconfig devi spuntare la voce avvia normalmente nella scheda generale), dopodiché ti consiglio di fare scansioni con sw antivirus aggiornati e anti spyware..

spero di esserti stato utile!!

ciauz

[claudiaxyz]

Ciao e grazie mille per il riscontro.
Avevo già fatto le procedure che mi hai consigliato, ma avendo già eliminato in parte il malefico dal pc, non avevo modo di andare a individuare il nome del processo.
Ho fatto un'analisi con il kaspersky, avviato da cd iso, e ha rilevato 157 file di registro infetti. Il problema è che il virus si autorigenera ogni volta installando file di registro con nomi insospettabili.

In definitiva, dopo aver tentato con il ripristino di sistema, fallito, ho dovuto formattare :/

[Ester1985]

Ciao ragazzi..
io ho provato di tutto, ho provato a seguire i vostri consigli, ma il problema fondamentalmente è che questo virus mi blocca qualunque cosa io voglia aprire, tipo l'antivirus, il task manager, msconfig... non so più che fare!