Il Desktop Sparisce E Riappare In Continuazione

[joppys]

ciao a tutti!

ho un problema con explorer.exe. in pratica dopo aver installato un programma spybot e avast hanno iniziato a segnalarmi in continuazione dei file infetti (mi sono ritrovato con un certo antivirus 2008 pro installato senza aver fatto nulla)... dopo aver riavviato e disinstallato il tutto il desktop continua a sparire e a riappare... help me

[thesorrow83]

C'è già QUESTA discussione a riguardo.

[joppys]

si grazie ho pulito tutto ma il problema del desktop c'è ancora

[$angelique!?]

Ciao joppys

facciamo questi controlli:

chiudi i tuoi programmi di sicurezza

Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://subs.geekstogo.com/ComboFix.exe

Salvalo sul desktop.

(se il file salvato dal primo link non dovesse funzionare, scaricalo dal secondo link)

Disconnettiti da internet...

1. Doppio click su combofix.exe, comparirà la seguente videata:

http://img293.imageshack.us/img293/8500/combofix01fn6zj1.jpg

2. Digita 1, premi Invio e segui le indicazioni.

3. Al termine, verrà creato un file log chiamato C:\ComboFix.txt.

4. Posta il log creato

Nota: Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.

_________________________________

preleva l'ultima versione di VirIT. (non crea conflitti)

http://www.tgsoft.it/italy/download.htm

Installalo, avvialo, aspetta il termine del controllo della memoria, ed AGGIORNALO (importante)

poi fai la scansione completa del sistema (salva il log e postalo)

allega un log di Hijackthis

http://forum.wininizio.it/index.php?showtopic=21584

[joppys]

grazie per l'aiuto

ho fatto tutto, ecco i 3 log

ComboFix.txt

hijackthis.log

log_virIT.txt

[$angelique!?]

Ciao joppys,

Scarica the Avenger

http://swandog46.geekstogo.com/avenger.zip

lo salvi in una cartella, scompatti il file .zip.

individua avenger.exe, lo avvii.

inserisci questo script nel box bianco

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:

C:\explorer.zip

C:\Documents and Settings\Matteo\pyjjkhlm.exe

c:\windows\system32\monahhry.exe

H:\autorun.exe

H:\ClickMe.exe

C:\PROGRA~1\DAP\DAP.EXE

C:\DOCUME~1\Matteo\DATIAP~1\USERDU~1\ping iso axis.exe

C:\windows\TEMP\3995CAB3.exe

C:\DOCUME~1\Matteo\IMPOST~1\Temp\689551.exe

C:\windows\system32\ntos.exe

folders to delete:

C:\WINDOWS\temp

C:\WINDOWS\Tasks

registry keys to delete:

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5cfb1222-62c4-11db-8816-0050fca77506}

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{965d4fd0-4b18-11dc-9d19-000000000000}

Clicca su Execute

Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

Scarica SDFix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

e salvalo sul desktop

- Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix

* Adesso avvia il sistema in modalità provvisoria http://www.kuma215.it/WI/Mod_Provv.html

- Apri la cartella SDFix situata in C:\ e fai un doppio click su RunThis.bat per lanciare lo script

- seleziona Y per avviare la pulizia

- Quando te lo chiederà premi un tasto per riavviare

(il sistema sarà piu lungo nell'avviarsi perchè lo script eseguirà l'eliminazione dei file trovati)

- Quando apparirà il desktop il tool terminerà il suo lavoro e visualizzerà il messaggio "Finished"

- Premi un tasto per terminare lo script e ricaricare le icone del desktop

- Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt

[joppys]

ecco il log di avenger.. mentre per sdfix non c'è l'opzione per la lettera Y nella lista e se provo a inserirla si chiude il programma

avenger.txt

[$angelique!?]

Ciao joppys

scarica KASPERSKY VIRUS REMOVAL TOOL (non richiede l’installazione)

clicca qui per il download

● scarica la versione del tool più aggiornata rispetto alla data di pubblicazione

● crea una apposta Cartella sul Desktop ed al suo interno posiziona il file

● lancia il tool

● imposta le aree che intendi scansionare (non è possibile eseguire la scansione di specifiche cartelle)

● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati

Salva ed allega, il log che verrà rilasciato

Nota 1: ● Il tool è incompatibile se si hanno già prodotti Kaspersky installati

Nota 2: ● non possiede una funzione di aggiornamento automatico delle firme

Procedura di disinstallazione di KASPERSKY VIRUS REMOVAL TOOL

● clicca sull’icona per lanciare il tool

● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection

● verrà visualizzato un messaggio: clicca su Ok

● chiudi la pagina web che verrà aperta

● nel messaggio successivo, clicca su SI per avviare la disinstallazione

● al termine, verrà richiesto di riavviare il P.C.

[joppys]

c'è un piccolo problema con il log di kapersky... occupa 103 mb

[$angelique!?]

Ha trovato infezioni?? le hai rimosse??

Se le hai rimosse non c'è alcun bisogno di allegare il report, altrimenti riporta qui solo le infezioni

[joppys]

si le ha trovate e rimosse tutte tranne 1 perchè protetta da password... questo:

detected: new threat Password-protected-EXE (modification) File: C:\Programmi\svchosts.tbe/svchosts.exe

[thesorrow83]

Per sicurezza puoi fare un upload di quel file a VirusTotal, molto probabilmente ti dirà che è infetto, per eliminarlo quindi puoi usare KillBox.

Appena scaricato apri il programma, metti la spunta su "delete on reboot" e scrivi nel riquadro il percorso completo del file da eliminare (in questo caso C:\Programmi\svchosts.tbe/svchosts.exe).

Premi ora il pulsantino simile ad un cerchietto rosso con una X bianca al centro e dai ok per riavviare il computer.

Modificato August 6, 2008 da thesorrow

[joppys]

scusa come faccio a vedere se mi dice che è infetto? perchè il file "svchosts.exe"non posso caricarlo visto che "svchosts.tbe" non è un archivio nè una cartella.. è un normalissimo file... comunque ho provato a caricare questo e mi ha dato questo risultato:

File svchosts.tbe ricevuto il 2008.03.20 15:27:11 (CET)

Stato corrente: finito

Risultato: 3/31 (9.68%) Formattato Stampa risultati Antivirus Versione Ultimo aggiornamento Risultato AhnLab-V3 - - - AntiVir - - - Authentium - - - Avast - - - AVG - - - BitDefender - - - CAT-QuickHeal - - - ClamAV - - - DrWeb - - - eSafe - - - eTrust-Vet - - - Ewido - - - F-Prot - - - F-Secure - - - FileAdvisor - - - Fortinet - - - Ikarus - - - Kaspersky - - Password-protected-EXE McAfee - - - Microsoft - - - NOD32v2 - - error - password-protected file Norman - - - Panda - - - Rising - - - Sophos - - - Sunbelt - -

Symantec - - - TheHacker - - - VBA32 - - - VirusBuster - - - Webwasher-Gateway - - - Informazioni addizionali MD5: 1e3013a4fe9f5ab192c99dca7ade2e44 SHA1: fe374b9c37cbbeedafe3346d33ffbd9b542dd4b1 SHA256: e565451b8700410c1e3a1b4d1747cf2f8401eda26f33818473720be3789a3fab SHA512: 82eb8a58f13067f9cd552a59ae4d95f25b4f43985173ee38ea5f22ef3c3ba8e51e0457e3cde1ede0

046c267a2ef20b4930aedd578d772d41fa01fe877618c86d

[$angelique!?]

Ciao joppys,

C:\Programmi\svchosts.tbe/svchosts.exe

si tratta di un virus protetto da password

hai provato ad eliminarla con killbox??

altrimenti usa - OtMoveIt

Poi segui le indicazioni per - SmitfraudFix

[joppys]

scusate il ritardo...

ecco i log di killbox (che mi ha eliminato quel file) e di smitfraudfix

kb.log

rapport.txt

[$angelique!?]

Ciao joppys

hai eseguito smitfraudfix anche con l'opzione 2?

riscontri ancora problemi?