www.MegaLab.it

da **Anathema** » gio lug 26, 2007 4:30 pm

Intanto vi metto quello che ha combinato Antivir, i cui file che ha messo in quarantena li ho eliminati anche.

Grazie a entrambi comunque [std]

Ora combino tutto il resto.

Starting the file scan:

Begin scan in 'C:\'
C:\1.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '471c6cbd.qua'!
C:\1E.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '46d66cd9.qua'!
C:\1F.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '46d66ce1.qua'!
C:\2.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '471c6ccd.qua'!
C:\22.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '46d66cd4.qua'!
C:\23.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '46d66cd8.qua'!
C:\24.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '46d66cdd.qua'!
C:\26.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '46d66ce2.qua'!
C:\2D.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '46d66cf3.qua'!
C:\2F.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '46d66cf8.qua'!
C:\33.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '46d66ced.qua'!
C:\3F.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '46d66d00.qua'!
C:\4.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '471c6ce9.qua'!
C:\40.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '46d66ceb.qua'!
C:\4B.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '46d66cfd.qua'!
C:\4D.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '47a18255.qua'!
C:\8.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '471c6cea.qua'!
C:\D.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '471c6cf2.qua'!
C:\E.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '466b83a7.qua'!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\Utente\wyofnz.exe
[DETECTION] Contains suspicious code HEUR/Malware
[INFO] The file was moved to '47176d68.qua'!
C:\WINDOWS\images035.zip
[0] Archive type: ZIP
images065.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '47098c53.qua'!
C:\WINDOWS\Look how wasted Paris Hilton is, after she got jailed :(64.zip
[0] Archive type: ZIP
Look how wasted Paris Hilton is, after she got jailed :(76.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '47178c57.qua'!
C:\WINDOWS\Look how wasted Paris Hilton is, after she got jailed :(56.zip
[0] Archive type: ZIP
Look how wasted Paris Hilton is, after she got jailed :(42.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '47178c58.qua'!
C:\WINDOWS\Look how wasted Paris Hilton is, after she got jailed :(44.zip
[0] Archive type: ZIP
Look how wasted Paris Hilton is, after she got jailed :(58.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '466bce0d.qua'!
C:\WINDOWS\Look how wasted Paris Hilton is, after she got jailed :(41.zip
[0] Archive type: ZIP
Look how wasted Paris Hilton is, after she got jailed :(92.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '47178c59.qua'!
C:\WINDOWS\Look how wasted Paris Hilton is, after she got jailed :(4.zip
[0] Archive type: ZIP
Look how wasted Paris Hilton is, after she got jailed :(16.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '466bce0e.qua'!
C:\WINDOWS\Look how wasted Paris Hilton is, after she got jailed :(34.zip
[0] Archive type: ZIP
Look how wasted Paris Hilton is, after she got jailed :(5.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '47178c5b.qua'!
C:\WINDOWS\Look how wasted Paris Hilton is, after she got jailed :(33.zip
[0] Archive type: ZIP
Look how wasted Paris Hilton is, after she got jailed :(66.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '47178c5a.qua'!
C:\WINDOWS\Look how wasted Paris Hilton is, after she got jailed :(27.zip
[0] Archive type: ZIP
Look how wasted Paris Hilton is, after she got jailed :(9.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '466bce0f.qua'!
C:\WINDOWS\Look how wasted Paris Hilton is, after she got jailed :(24.zip
[0] Archive type: ZIP
Look how wasted Paris Hilton is, after she got jailed :(1.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '466bce08.qua'!
C:\WINDOWS\photo24.zip
[0] Archive type: ZIP
photo7.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '47178c55.qua'!
C:\WINDOWS\photo31.zip
[0] Archive type: ZIP
photo2.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '466f765a.qua'!
C:\WINDOWS\photo43.zip
[0] Archive type: ZIP
photo33.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '47178c56.qua'!
C:\WINDOWS\photos025.zip
[0] Archive type: ZIP
photos083.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '466f7654.qua'!
C:\WINDOWS\picture1.zip
[0] Archive type: ZIP
picture58.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '470b8c59.qua'!
C:\WINDOWS\picture54.zip
[0] Archive type: ZIP
picture86.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '470b8c5a.qua'!
C:\WINDOWS\picture89.zip
[0] Archive type: ZIP
picture77.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '46737657.qua'!
C:\WINDOWS\picture92.zip
[0] Archive type: ZIP
picture36.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '470b8c54.qua'!
C:\WINDOWS\pictures022.zip
[0] Archive type: ZIP
pictures031.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '470b8c5b.qua'!
C:\WINDOWS\pictures06.zip
[0] Archive type: ZIP
pictures07.scr
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '46737650.qua'!
C:\WINDOWS\system32\DefLib.sys
[DETECTION] Is the Trojan horse TR/Agent.asu.1
[INFO] The file was moved to '470e9266.qua'!
C:\WINDOWS\system32\firewallav.dll
[DETECTION] Contains signature of the worm WORM/Agent.G.13
[INFO] The file was moved to '471a9276.qua'!

da **Anathema** » gio lug 26, 2007 4:56 pm

Ecco il log di Avenger (mi sono permessa di inserire tutti i nomi dei file zip presenti nella cartella di windows, anche perché gli altri li aveva già eliminati Antivir...spero di non aver fatto casini):

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCR\CLSID\{9B4AF8E4-1CE4-4007-86E9-BA01860FB375}

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\Microsoft\vrHMPAfT

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | Firewall auto setup

//////////////////////////////////////////

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qhjekplt

*******************

Script file located at: \??\C:\uvutskhj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\photo54.zip deleted successfully.
File C:\WINDOWS\pictures057.zip deleted successfully.
File C:\WINDOWS\images071.zip deleted successfully.
File C:\WINDOWS\photo73.zip deleted successfully.
File C:\WINDOWS\pictures077.zip deleted successfully.
File C:\WINDOWS\photo61.zip deleted successfully.
File C:\WINDOWS\picture45.zip deleted successfully.
File C:\WINDOWS\album71.zip deleted successfully.
File C:\WINDOWS\photos069.zip deleted successfully.
File C:\WINDOWS\photo95.zip deleted successfully.
File C:\WINDOWS\pictures025.zip deleted successfully.
File C:\WINDOWS\photos089.zip deleted successfully.
File C:\WINDOWS\photos032.zip deleted successfully.
File C:\WINDOWS\photos068.zip deleted successfully.
File C:\WINDOWS\images086.zip deleted successfully.
File C:\WINDOWS\images087.zip deleted successfully.
File C:\WINDOWS\images090.zip deleted successfully.
File C:\WINDOWS\photos093.zip deleted successfully.
File C:\WINDOWS\images066.zip deleted successfully.
File C:\WINDOWS\images070.zip deleted successfully.
File C:\WINDOWS\system32\printers.exe deleted successfully.

Intanto Antivir mi ha messo in quarantena questaltro file C:\Documents and Settings\Utente\Impostazioni locali\Temp\nsg2.tmp\xpwajlkr.exe dicendo che è infetto da HEUR.Crypted

A breve il log di SystemScan.

da **Amantide** » gio lug 26, 2007 5:01 pm

Anathema ha scritto:Intanto vi metto quello che ha combinato Antivir, i cui file che ha messo in quarantena li ho eliminati anche.

Anche se non ha rimosso tutto, direi che Antivir ha fatto un bel lavoretto.

Starting the file scan:

C:\WINDOWS\system32\DefLib.sys
[DETECTION] Is the Trojan horse TR/Agent.asu.1
[INFO] The file was moved to '470e9266.qua'!

Questo mi era sfugito [acc2]

Se non hai ancora eseguito Avenger inserisci questa stringa C:\WINDOWS\system32\DefLib.sys sotto alla voce Files to delete e questa HKLM\system\currentcontrolset\services\SysLibrary sotto al Registry keys to delete.

da **Anathema** » gio lug 26, 2007 5:04 pm

Anathema ha scritto:Ecco il log di Avenger (mi sono permessa di inserire tutti i nomi dei file zip presenti nella cartella di windows, anche perché gli altri li aveva già eliminati Antivir...spero di non aver fatto casini):

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCR\CLSID\{9B4AF8E4-1CE4-4007-86E9-BA01860FB375}

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\Microsoft\vrHMPAfT

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | Firewall auto setup

//////////////////////////////////////////

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qhjekplt

*******************

Script file located at: \??\C:\uvutskhj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\photo54.zip deleted successfully.
File C:\WINDOWS\pictures057.zip deleted successfully.
File C:\WINDOWS\images071.zip deleted successfully.
File C:\WINDOWS\photo73.zip deleted successfully.
File C:\WINDOWS\pictures077.zip deleted successfully.
File C:\WINDOWS\photo61.zip deleted successfully.
File C:\WINDOWS\picture45.zip deleted successfully.
File C:\WINDOWS\album71.zip deleted successfully.
File C:\WINDOWS\photos069.zip deleted successfully.
File C:\WINDOWS\photo95.zip deleted successfully.
File C:\WINDOWS\pictures025.zip deleted successfully.
File C:\WINDOWS\photos089.zip deleted successfully.
File C:\WINDOWS\photos032.zip deleted successfully.
File C:\WINDOWS\photos068.zip deleted successfully.
File C:\WINDOWS\images086.zip deleted successfully.
File C:\WINDOWS\images087.zip deleted successfully.
File C:\WINDOWS\images090.zip deleted successfully.
File C:\WINDOWS\photos093.zip deleted successfully.
File C:\WINDOWS\images066.zip deleted successfully.
File C:\WINDOWS\images070.zip deleted successfully.
File C:\WINDOWS\system32\printers.exe deleted successfully.

Intanto Antivir mi ha messo in quarantena questaltro file C:\Documents and Settings\Utente\Impostazioni locali\Temp\nsg2.tmp\xpwajlkr.exe dicendo che è infetto da HEUR.Crypted

A breve il log di SystemScan.

...eh purtroppo ha già fatto.....rifaccio uguale aggiungendo quello?

by Amantide:
Ops... scusami. Anziche premere Cita ho premuto Modifica [acc2]

Mannaggia a sto caldo.
Per fortuna sono riuscita a recuperare il post originale, ora è come prima. [:)]

da **Amantide** » gio lug 26, 2007 5:13 pm

Scusami ancora per l'errore imperdonabile [V]

Comunque, dicevo (spacciandomi per Anathema [rolleyes]

)... Per il momento lasciamo Avenger a riposare.
Apri il registro di sistema ed elimina manualmente queste chiavi:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"Firewall auto setup"

HKCR\CLSID\{9B4AF8E4-1CE4-4007-86E9-BA01860FB375

HKEY_CURRENT_USER\Software\Microsoft\vrHMPAfT

Dopo riavvia il pc in modalità provvisoria e fai la pulizia dei file temporanei con aiuto di CCleaner. Alla fine postami il nuovo log di Systemscan.

da **Anathema** » gio lug 26, 2007 5:18 pm

Intanto antivir continua a ritrovarmi gli stessi trojan, malware ecc. di prima, ma in file diversi [uhm]

da **Amantide** » gio lug 26, 2007 5:20 pm

Anathema ha scritto:Intanto antivir continua a ritrovarmi gli stessi trojan, malware ecc. di prima, ma in file diversi

Elimina prima manualmente quelle voci nel registro, meglio se dalla modalità provvisoria, e poi si dovrebbe risolvere anche il resto.

da **Anathema** » gio lug 26, 2007 5:23 pm

Amantide ha scritto:Scusami ancora per l'errore imperdonabile

Comunque, dicevo (spacciandomi per Anathema )... Per il momento lasciamo Avenger a riposare.
Apri il registro di sistema ed elimina manualmente queste chiavi:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"Firewall auto setup"

HKCR\CLSID\{9B4AF8E4-1CE4-4007-86E9-BA01860FB375

HKEY_CURRENT_USER\Software\Microsoft\vrHMPAfT

Dopo riavvia il pc in modalità provvisoria e fai la pulizia dei file temporanei con aiuto di CCleaner. Alla fine postami il nuovo log di Systemscan.

L'ultimo l'ho eliminato, ma gli altri 2 non li ho trovati.

Ora Ccleaner, poi spero funzioni systemscan perché si era impallato prima.

da **Amantide** » gio lug 26, 2007 5:33 pm

Mi sembra che nel report di Avenger mancano i riferimenti ad alcune voci che avevo inserito nel log.
Ricapitoliamo:
1. Riavvia il pc in modalità provvisoria;
2. Avvia il registro di sistema Start--> Esegui--> regedit--> Ok;
3. Elimina i seguenti valori:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"Firewall auto setup"

HKCR\CLSID\{9B4AF8E4-1CE4-4007-86E9-BA01860FB375}

HKEY_CURRENT_USER\Software\Microsoft\vrHMPAfT

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
"antivirus"
P.S. Per trovare la CLSID da eliminare prova ad andare su Modifica--> Trova e cercare la chiave {9B4AF8E4-1CE4-4007-86E9-BA01860FB375}
4. Abilita la visualizzazione dei file nascosti (apri una cartella qualsiasi, vai su Strumenti--> Opzioni cartella--> Visualizzazione e spunta Visualizza file e cartelle nascosti) e controlla se questi file si trovano ancora li, sono da eliminare:

C:\WINDOWS\system32\firewallav.dll
C:\DOCUME~1\Utente\IMPOST~1\Temp\winlogon.exe
C:\WINDOWS\Look how wasted Paris Hilton is, after she got jailed
5. Elimina tutto il contenuto della cartella C:\DOCUME~1\Utente\IMPOST~1\Temp e fai una passata con CCleaner;
6. Anche la scansione con Antivir dalla modalità provvisoria non è da scartare.

Alla fine postami il nuovo log di Systemscan.

da **Anathema** » gio lug 26, 2007 5:45 pm

Ma, HKCU=HKEY-CURRENT-USER ?

perché se no, non so dove trovarla; se sì, non riesco a trovare lì il Firewall auto setup, nè in HKEY-CLASSES-ROOT (=HKCR?) tutta quella sfilza di numeri.

Ho provato sia in modalità normale che provvisoria.

Comunque ora riavvio e rifaccio tutto come hai detto, ma prima aspetto a vedere se mi spieghi quella faccenda dei HKCU e HKCR [8)]

da **Anathema** » gio lug 26, 2007 5:48 pm

Uhm mi si continua a impallare SyStemScan, e mi dà errore runme.exe

Credo abbia dei problemi di convivenza con Antivir, perché quando c'è su SystemScan comincia a trovarmi un po' di rogne...ma non so...

da **Amantide** » gio lug 26, 2007 5:49 pm

HKCU - HKEY_CURRENT_USER
HKCR - HKEY_CLASSES_ROOT

Se non riesci a trovare qualche voce, prova a cercarla tramite Modifica--> Trova.

da **Anathema** » gio lug 26, 2007 6:25 pm

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"Firewall auto setup"

Non c'è.

HKCR\CLSID\{9B4AF8E4-1CE4-4007-86E9-BA01860FB375}

Non c'è.

HKEY_CURRENT_USER\Software\Microsoft\vrHMPAfT

Eliminato.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
"antivirus"

Non c'è.

C:\WINDOWS\system32\firewallav.dll

Non c'è.

C:\DOCUME~1\Utente\IMPOST~1\Temp\winlogon.exe

Non c'è.

C:\WINDOWS\Look how wasted Paris Hilton is, after she got jailed

Non riesco ad eliminarlo; mi appare questa scritta: Impossibile eliminare File: Impossibile leggere dal file o dal disco di origine

Se devo fare andare Antivir in modalità provvisoria dimmi, perché ci mette 2 ore e mezza.

RIprovo a far funzionare SystemScan.

da **Amantide** » gio lug 26, 2007 6:32 pm

Anathema ha scritto:C:\WINDOWS\Look how wasted Paris Hilton is, after she got jailed

Non riesco ad eliminarlo; mi appare questa scritta: Impossibile eliminare File: Impossibile leggere dal file o dal disco di origine

Prova ad eliminarlo con Unlocker o AGVPFIX.

RIprovo a far funzionare SystemScan.

Ok, resto in attesa.

da JK » gio lug 26, 2007 8:11 pm

ciao amantide.. ho lo stesso problema di anathema e sto seguendo la discussione in tepo reale per risolvere il mio problema [:D]

stai veramente fornendo un grande aiuto alle non poche persone che hanno questo problema [;)]

sfogliando le cartelle con AGVPFIX ho notato che in C: ci sono dei file che altrimenti sarebbero invisibili: si chiamano sqmdata01.sqm e sqmnoopt01.sqm (entrambi arrivano al 19) e una cartella che si chiama $VAULT$.AVG; e in C:\WINDOWS tantissime cartelle che si chiamano $NtUninstallKB926255$ (ogni cartella ha una cifra diversa). sono da cancellare o sono file di sistema? e comunque è inutile cancellare photo pictures17 ecc. quelle robe lì perche dopo 5 minuti spuntano ancora [dry]

e poi provare a eliminare con AGVPFIX il how to paris hilton ecc. ecc. è inutile perché il virus annulla l'operazione da solo [...]

e unlocker mi si apre e poi chiude subito... certo che ci ha fatto sto virus non c'aveva proprio un cazz. da fare... [dry]

da **Anathema** » gio lug 26, 2007 8:30 pm

Confermo, non riesco a cancellarlo nemmeno io il file con AGVPFIX.

Però dopo aver fatto tutte ste pulizie, al contrario di JK, gli zip che ho cancellato non si sono ricreati (ora non ne ho nemmeno uno), e il file di Paris non mi si aggiorna da ieri sera, quando invece ieri si aggiornava ogni volta che facevo qualcosa al pc.

Il disco C invece è pieno di file tmp [8)]

alcuni eliminati da Antivir e che non si sono ricreati, ma gli altri sono rimasti: li cancello o che?

Proprio fetente sta roba....

Ah! E non riesco a far andare SystemScan [nonono]

da **Amantide** » gio lug 26, 2007 8:31 pm

JK ha scritto:ciao amantide..

Ciao e benvenuto [^]

JK ha scritto:sfogliando le cartelle con AGVPFIX ho notato che in C: ci sono dei file che altrimenti sarebbero invisibili:

Per poterli visualizzare normalmente devi abilitare la visualizzazione dei file nascosti (apri una cartella qualsiasi, vai su Strumenti--> Opzioni cartella--> Visualizzazione e spunta Visualizza file e cartelle nascosti)

si chiamano sqmdata01.sqm e sqmnoopt01.sqm (entrambi arrivano al 19)

Sono le cartelle di Live Messenger
http://www.MegaLab.it/forum/viewtopic.p ... 3c736accbf

e una cartella che si chiama $VAULT$.AVG;

Prova a svuotare la cartella quarantena di AVG.

e in C:\WINDOWS tantissime cartelle che si chiamano $NtUninstallKB926255$ (ogni cartella ha una cifra diversa).

Queste contengono i dati necessari per la disinstallazione degli aggiornamenti di windows update.

Intanto postami anche tu il report di Systemscan, e poi vediamo il da farsi.

da JK » gio lug 26, 2007 8:39 pm

grazie ehe.. non ho nemmeno pensato a presentarmi... che stupido.. be vedro di rimediare a problema risolto [:)]

adesso che mi hai detto a cosa servono quelle cartelle, mi sono un po tranquillizzato (anche se ne ho cancellate alcune, me nefasto) per il resto non c'è bisogno di postare i miei log visto che sono praticamente identici a quelli di anathema oltre a nn aver molto tempo.. aspettiamo e vediamo cosa combina lui. ciau [;)]

da **Anathema** » gio lug 26, 2007 8:42 pm

JK ha scritto:grazie ehe.. non ho nemmeno pensato a presentarmi... che stupido.. be vedro di rimediare a problema risolto

adesso che mi hai detto a cosa servono quelle cartelle, mi sono un po tranquillizzato (anche se ne ho cancellate alcune, me nefasto) per il resto non c'è bisogno di postare i miei log visto che sono praticamente identici a quelli di anathema oltre a nn aver molto tempo.. aspettiamo e vediamo cosa combina lui. ciau

Se quel "lui" è riferito me fallo diventare un "lei" [bleh]

Comunque Amantide non so che fare per SystemScan...se vuoi ti posto un nuovo log di HiJackThis.......ma non credo sia la stessa cosa [...]

da **Amantide** » gio lug 26, 2007 8:43 pm

Anathema ha scritto:Confermo, non riesco a cancellarlo nemmeno io il file con AGVPFIX.

Prova prima a rinominarlo con l'aiuto di Unlocker.

Il disco C invece è pieno di file tmp alcuni eliminati da Antivir e che non si sono ricreati, ma gli altri sono rimasti: li cancello o che?

Si, dovresti eliminarli. Vai anche su Opzioni Internet e sotto alla voce File temporanei internet clicca su Elimina file.
Ricordati di fare tutte queste cose dalla modalità provvisoria.

Ah! E non riesco a far andare SystemScan

Prova con questo:

P.S. Per ultimare potresti fare anche la scansione con Antivir, sempre dalla m.p.

www.MegaLab.it

[VIRUS]File "Look how wasted Paris Hilton is, after she

Chi c’è in linea