KASPERSKY 2011 non si avvia!!!

[Zenida]

Salve ragazzi ho una serie di problemi, cerco di spiegarvi brevemente.

(Premetto che ho formattato neanche un mese fa per lo stesso motivo )

Kaspersky Internet Security 2011 un giorno mi ha rilevato un'infezione che non è riuscito a rimuovere, dunque ho usato ComboFix che in un primo momento mi ha risolto il problema, ma tempo più avanti e si presentano questi sintomi:


1 - Come da titolo Kaspersky non si avvia più all'avvio del PC (non perchè non è in esecuzione automatica, ma per colpa di uno stramaledetto rootkit che ancora non ho individuato con precisione). Se tento di avviarlo manualmente, compare in taskmanager il processo, che dopo un pò viene terminato kaspersky tenta però in continuazione di avviarsi sotto la voce System ma viene terminato in continuazione;

2 - In task manager ho potuto notare che ci sono altri due processi che si alternano a vicenda. Si avvia il primo (rundll32.exe) poi termina e si avvia il secondo (wermgr.exe) poi termina e ricominciano da capo;


3 - ComboFix mi rileva questa infezione:

c:\users\ADMINI~1\AppData\Local\Temp\RtkBtMnt.exe
c:\users\Administrator\AppData\Local\Temp\RtkBtMnt .exe

che puntualmente rimuove, ma sfortunatamente non per sempre, perchè si rigenerano in automatico, e non è una dipendenza della mia scheda audio Realtek, primo perchè in una cartella di file temporenei hanno senso, secondo perchè sono protetti da scrittura e modifica e terzo perchè non si rigenererrebero.

4 - Per fortuna questo è l'ultimo punto
Dopo aver usato ComboFix ho notato che scomparivano le estensioni dei file così sono andato a riattivarle notando questo

Ma cos'è???? non c'è mai stato prima. Il fatto che sia in inglese molto spesso mi fa pensare a quesi virus che cercando di spacciarsi per file sicuri mettono una dicitura standard di windows, peccato che non venga tradotta per tutte le lingue e quindi vengono sgamati -.-
Era abilitata io per sicurezza ho tolto il segno di spunta e come mi aspettavo non ho notato differenze dopo aver premuto OK.


Vi prego aiutatemi non voglio formattare di nuovo, sto cercando di risolvere ma non ne vengo a capo.
Grazie

[amvinfe]

Ciao,
scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file, portati su www.wikisend.com e carica il file con estensione .zip
Nella tua prossima risposta copia / incolla l'URL per poter scaricare il report.

Ricordati d'effettuare la scansione senza connessione attiva.

NB:
ricordati di disattivare l'antivirus prima d'effettuare la scansione e di riattivarlo prima di riconnetterti ad internet.

PS
potrò risponderti domani sera

[Zenida]

Ieri sera ho disinstallato Kaspersky ed ho installato BitDefender Total Security 2011 che ho trovato recensito da molte parti come uno dei migliori. Sembra avermi risolto tutti i problemi peccato che è in prova per 30 giorni

Volevo cmq utilizzare il software che mi hai indicato tu, ma non riesco a trovare il modo per disattivare bitdefender. Purtroppo se provo ad eseguirlo cmq mi blocca il processo dicendo che è un trojan.

Per il momento ho risolto ma ora non so se ritornare a Kasperksy o lasciare bitdefender ho 30 giorni per decidere.

Il punto 4 dei miei problemi invece non l'ho ancora risolto. Non so se è un problema o meno perchè su internet ho trovato solo una discussione in merito dalla quale non si sono avute soluzioni

[amvinfe]

BitDefender è un buonissimo antivirus, forse un po' lento come motore di scansione.

Riguardo il punto 4 credo si debba modificare questachiave di registro
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\
ClassicViewState=dword:00000001

in

ClassicViewState=dword:00000000

ma se l'hai già disattivato togliendo la spunta, io eviterei di metterci mano

[Zenida]

Beh! da quella chiave posso solo abilitarla o disabilitarla, cosa che posso fare anche normalmente. Ho provato a cancellare la chiave (previo backup) ma la voce era ancora li.

Innanzitutto la mia intenzione non è rimuovere quella voce, perchè non so se è dovuta ad un virus o meno, però stando a quello che ho trovato su internet, nessun Windows 7 Ultimate x64 ha quella opzione. Quindi c'è da preoccuparsi? o posso stare tranquillo e lasciarla li?

[amvinfe]

E' una sottochiave di Windows, probabile che l'uso di ComboFix abbia modificato quei parametri nel registro, ti ricordo che il programma non è compatibile con S.O. a 64 Bit.

I rootkit riescono ad infettare facilmente i sistemi operativi a 32 Bit perchè ha una struttura molto meno sicura di quella a 64 Bit, i driver infatti possono non avere la firma digitale.