allplicazione windows fixdisk

[roxi.g]

ciao, da qualche giorno ho un problema sul mio pc.
dopo aver dato utente e pwd di windows mi parte un'applicazione chiamata windows fixdisk che mi segnala cluster danneggiati ed errori a non finire, invitandomi ad acquistare la versione completa del tool per risolvere i problemi.
non riesco a fare nulla dato che nel menù programmi è sparito tutto, così come sul desktop.
oltretutto la schermata di fixdisk rimane costantemente in primo piano.
navigando in rete ho visto che fixdisk dovrebbe essere un malware.
come posso procedere per eliminarlo?
sulla mia macchina ho la versione free di malwarebytes.
pensavo di partire in modalità provvisoria con supporto di rete e lanciare malwarebytes, ma basterà o mi potete consigliare qualcosa d'altro?

grazie a tutti.

[amvinfe]

Ciao,
è una di quelle applicazioni fake che oltre a mostrare falsi problemi del computer, modifica la corretta visualizzazione dei file presenti nelle cartelle una volta rimossa l'infezione.

Ti preparo la procedura per la corretta rimozione e riparazione dei valori del registro di configurazione.

[amvinfe]

Premetto due cose

- se non riesci a scaricare i tool direttamente da questo pc, ti devi servire di un secondo computer e caricare tutto su CD/DVD o pen-drive
- consiglio di stampare la procedura di rimozione

========

- scarica sul desktop
http://download.bleepingcomputer.com...r/iExplore.exe
http://download.bleepingcomputer.com/grinler/unhide.exe

- disconnettiti da internet

========

. esegui iExplore.exe ed attendi che la finestra si chiuda automaticamente. Qualora venisse rilevata un'infezione (falsa) di questa applicazione, non chiudere gli eventuali messaggi, ma esegui nuovamente iExplore.exe
Se anche così dovessi riscontrare problemi useremo un altro modo per bypassare il problema

. esegui Malwarebytes (dev'essere aggiornato alle ultime definizioni) ed effettua una scansione completa del pc. Elimina tutte le infezioni trovate.
Riavvia il pc.

. sempre non connesso esegui il tool unhide.exe si aprirà questa finestra dos




attendi pazientemente fino al completamento, ti verrà mostrato un pop-up con scritto "Your files should now be visible". Premi su OK e riavvia il computer.



Apri Malwarebytes, portati nella scheda dei Log e copia il contenuto del file di testo, incollalo nella tua prossima risposta.

[roxi.g]

ciao, scusa se non mi sono fatta più sentire ma sono risucita solo ieri sera a provare quanto mi hai scritto.
inizialmente ho avuto un problema di base: il pc non mi si connetteva ad internet quindi ho dovuto scaricare le utility dal pc dell'ufficio. Ok per unhide, mentre per iExplore l'antivirus aziendale mi bloccava il sito; allora cercando un po' con google ho visto che potevo scaricare altre applicazioni per bloccare il processo di fixdisk e ho optato per rkill. la prima scansione con malwarebytes ha rilevato un trojan che ho eliminato, ma non era quello giusto dato che fixdisk all'avvio partiva ancora; smanettando un po' sono riuscita a connettermi ad internet così ho aggiornato malwarebytes e rifatto la scansione. stavolta ha trovato le cose giuste, che ho subito eliminato. già che c'ero ho effettuato una scansione anche con AVG.
con unhide ho ripristinato la visualizzazione dei files e adesso all'accensione non ho più problemi.
appena riesco posto comunque i due files di log che ieri sera non ho fatto in tempo a postare. in ogni caso grazie mille!

[amvinfe]

Ciao, contento tu abbia risolto

rkill spesso viene bloccato dai malware a causa del suo nome, ecco perchè l'autore (Lawrence Abrams) lo ha rinominato dandogli differenti nomi o differenti estensioni

http://www.bleepingcomputer.com/down...ti-virus/rkill

aspetto il log della scansione,
ciao

[roxi.g]

ciao, ecco il log della prima scansione:

*****
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19/04/2011 22.22.44
mbam-log-2011-04-19 (22-22-44).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 190766
Tempo trascorso: 36 minuti, 11 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 1
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)
****



ed ecco il secondo log:

****
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 6407

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20/04/2011 22.44.18
mbam-log-2011-04-20 (22-44-18).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 224408
Tempo trascorso: 31 minuti, 29 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 2

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\system volume information\_restore{3392303d-e296-4924-9ddc-c4c96688e57e}\RP184\A0247217.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{3392303d-e296-4924-9ddc-c4c96688e57e}\RP184\A0247218.exe (Trojan.Agent) -> Quarantined and deleted successfully.
****

grazie ancora!

[amvinfe]

ok, grazie

se poi ti ricordi anche com'è avvenuta l'infezione... siti visitati, software installati..., meglioi... così approfondisco magari scrivendone un tutorial

[roxi.g]

su questo purtroppo temo di non poterti aiutare...
quel giorno sul pc stava lavorando mio marito che di solito smanetta su internet senza avere la minima idea di cosa stia facendo. purtroppo tra le varie cose che ho fatto ho pure cancellato cookies e cronologia esplorazioni, e non mi è venuto in mente di guardare prima i siti che aveva visitato.
mio figlio qualche giorno prima aveva installato un software per l'action replay del nintendo DS, non so se può essere stato quello ma è stato comprato regolarmente in un negozio.
è anche vero però che dopo aver installato quel software il pc è stato spento e la successiva riaccensione è stata proprio il giorno della scoperta del virus.

[amvinfe]

ti ringrazio