Virus (credo luhe.sirefef.a) e problemi connessi

[agiaco]

Qualcuno aiuti un povero moderatore di serie B esodato.
Causa torrent, ho scaricato qualche schifezza. Continui avvisi di AVG, positività di malwarebytes, cancellazioni apparentemente avvenute ma di fatto inutili, un windows/system apparentemente infetto e non riparabile.
Dice AVG che trattasi di luhe.sirefef.a.
Cercando dei tutorial su internet, li ho seguiti tutti, scaricati una cinquantina di sfotware vari, attualmente ho emzzo hard disk in quarantena.
Fatto sta che le ultime scansioni AVG e malwarebytes sono immacolate.
Unico problema rimasto, il centro sicurezza windows (seven 64) rimane non attivo, e se lo attivo a mano non si attiva.
Vorrei avere conferma in qualche modo di aver rimosso il virus prima di cestinare tutti i sopftware installati, e sapere come riattivare il centro sicurezza.

Grazie

[amvinfe]

Ciao

Scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Carica su wikisend.com il file con estensione .zip nella tua prossima risposta.

Ricordati d'effettuare la scansione senza connessione attiva.

NB:
ricordati di disattivare l'antivirus prima di scaricare il programma e prima d'effettuare la scansione e di riattivarlo prima di riconnetterti ad internet.

[agiaco]

Credo di aver fatto tutto bene:

http://wikisend.com/download/962594/..._04_report.zip

[amvinfe]

Ciao,

non vedo nel report valori infetti se non la mancanza del servizio wscsvc relativo al Centro sicurezza PC e questo non è normale.

Generalmente i malware modificano lo stato del servizio da automatico a manuale, la totale assenza può essere sintomo di valori corrotti all'interno del registro di sistema.

A tal proposito si possono percorrere due strade:

- la prima, che credo tu abbia già percorso, è quella della verifica dei parametri all'interno dei "Servizi" (da "Start" scrivi "servizi", senza apici, e dai l'OK). Sotto la voce "Nomi" portati in "Centro sicurezza PC" e verifica che lo stato sia su "Avviato", che sotto la voce "Tipo di avvio" sia selezionata l'opzione "Automatico", infine sotto la voce "Connessione" sia selezionata l'opzione "Locale".

- la seconda è quella di eliminare il servizio wscsvc per poi ricrearlo. Nel secondo caso una volta eliminata la voce wscsvc presente nel registro di sistema la si deve ripristinare servendosi del file fix.reg che caricherò su wikisend.com all'interno di un file compresso con password che ti invierò attraverso un pm. Il file decompresso va salvato sul desktop.

Da "Start" scrivi regedit e dai l'OK, portati in

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es

apri la cartella gialla services e scorri l'elenco fino ad individuare la sottochiave wscsvc, click di destro e dal menu a tendina seleziona "Elimina". Premi F5 per salvare le modifiche.

Sempre dal registro fai click su "File" e poi su "Importa" , cerca ed esegui il file fix.reg, accetta l'unione al registro, premi F5. Riavvia e verifica se il servizio è ora attivo.


fix.rar



edit:
il fix è compatibile SOLO per sistemi Vista e 7

[amvinfe]

Hai la casella dei pm piena, svuotala per ricevere il mio messaggio privato

[agiaco]

fatto grazie, in realtà non ho provato neanche la prima strada (mi sopravvaluti), ora farò tutto.

Nel frattempo posso disinstallare i 500 software con relativi 1000 file in quarantena che avevo scaricato quando alle prese con il virus?
Grazie.

[agiaco]

http://wikisend.com/download/847392/Immagine.jpg

Come vedi, quella chiave non risulta in elenco, credo a questo punto cancellata dal virus.
Anche tra i servizi non risulta il centro sicurezza, nè attivato, nè disattivato

[amvinfe]

Prima di rimuovere tutto, verifica se dopo le procedure il Centro sicurezza PC è di nuovo attivo.

Se riesci carica su wikisend.com tutti i rapporti delle scansioni che hai effettuato con antivirus e vari tool di rimozione, mi serve per capire che tipo malware ha infettato il tuo pc.

Gli URLs ai rapporti, se preferisci, puoi inviarmeli con un pm


Ciao

[agiaco]

mi manca sempre la pass del file che mi hai caricato...

[amvinfe]

te la rimando, ma devi svuotare la cache dei tuoi pm