www.MegaLab.it

[nicola82]

Ragazzi ho un problema su un pc che sicuramente ha file sospetti:

Nod32 mi rileva 2 file bloccati, quindi in esecuzione, in windows\system32 col nome di "lexmark-status.exe" e "fujitsu-center.exe" che erano presenti nel registro di windows nella riga "userinit"; elementi che ho cancellato da quella riga.

Hijackthis e Gmer non riesco nè a scaricarli, nè a copiarli: Windows va in disconnessione. Anche se apro Google e ricerco: "gmer download" o parole con questi tools. IExplorer si chiude.

Ho provato con KillBox a cancellare questi file al reboot successivo, ma senza esito.

Come faccio ad eliminare il problema?

Inoltre il pc quando gli do il "Chiudi Sessione", anzichè spegnersi si riavvia... Absurdo!!!

[crazy.cat]

Con il tools della nod dovresti riuscire ad eliminare i file con nomi strani che hai già individuato.
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP

Dopo scarica virit o il tools della prevx e fagli fare la scansione completa del pc.
http://www.prevx.com/gromozon.asp
http://www.tgsoft.it/italy/index_ita.html

Fatto questo dovresti poter cercare hijackthis e gmer e postare un log che vediamo se c'è dell'altro da eliminare.

[nicola82]

Ho cancellato i file sospetti nella directory system32 con il tool della Nod32; ho eseguito il tool Gromozon e mi ha rimosso le voci infette; ho installato ed aggiornato le definizioni di VirIt con il seguente log dopo la scansione:
VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
28/03/2007 - 07:54:16

[SCANSIONE DEL REGISTRO]
{2ee25147-37d4-4640-832c-fccfac8b21d9} Infetto da BHO.Agent.AR
* * * RIMOSSO * * *

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\!Submit:cFJ.exe:$DATA Infetto da Trojan.Win32.Agent.ADW
* * * RIMOSSO * * *
C:\WINDOWS\$hf_mig$\KB090545\target.dat Infetto da Trojan.Win32.Dialer.HW
* * * RIMOSSO * * *
C:\_cleaned.tmp Infetto da Trojan.Win32.RootKit.E
* * * RIMOSSO * * *

[D:]


[Z:]
MASTER BOOT RECORD: Non analizzato, mancano i privilegi di amministratore
BOOT SECTOR: Non analizzato, mancano i privilegi di amministratore


Chiavi Registro infette: 1.
Files Infetti: 3.
Files Sospetti: 0.
Files Analizzati: 210083.
Files Totali: 210083.
Chiavi Registro rimosse: 1.
Virus Rimossi: 3.


Ma dopo questo HijackThis non si apre ancora e non riesco a far girare Gmer.

[Amantide]

Sei sicuro che nel task manager non è rimasto qualche altro processo attivo tipo lexmark-status.exe e fujitsu-center.exe che hai già eliminato?
Se nel task manager (CTRL+ALT+CANC) non trovi nessun file sospetto allora apri il registro di sistema (Start--> Esegui--> regedit), trova la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options e controllare se esiste una sottochiave \Explorer.exe
Se trovi la sottochiave Explorer.exe, riportami per piacere il suo contenuto, cioè i dati che vedrai nella scheda a destra.

[nicola82]

questo è il contenuto della chiave richiesta:

"c:\windows\system32\qwtfqwao.dat"

la elimino? su altri pc la voce explorer.exe non esiste nel registro...

[Amantide]

questo è il contenuto della chiave richiesta:

"c:\windows\system32\qwtfqwao.dat"

la elimino? su altri pc la voce explorer.exe non esiste nel registro...

Dovresti riavviare il pc in modalità provvisoria (F8 all'avvio), eliminare prima il file c:\windows\system32\qwtfqwao.dat e poi eliminare anche la sottochiave Explorer.exe

[nicola82]

Ho fatto tutto ciò ma non funziona ancora: tra l'altro non sono nemmeno riuscito a rimuoverla subito e ho forzato l'autorizzazione sulla chiave.
Eliminando il tutto come da passaggi da te elencati, al riavvio successivo il pc, dopo il login si blocca il processo explorer. Praticamente dopo l'accesso, non si carica nè la barra di avvio ne il desktop (solo lo sfondo). Mi sa tanto che devo reinstallare tutto su un hard disk e poi far la copia dei dati...

[Amantide]

Riavvia un altra volta il pc e ricontrolla che sia il file c:\windows\system32\qwtfqwao.dat che la voce Explorer.exe siano stati eliminati.

[nicola82]

Il file l'ho eliminato con KillBox e dopo il riavvio non esiste più. La chiave riappare dopo il riavvio.

Ma cosa sta succedendo???

[Amantide]

Il nome del file che riappare sotto alla chiave Explorer.exe è sempre quello?
Prova ad eliminare un altra volta sia il file che la chiave Explorer.exe, poi apri il task manager, termina il processo explorer.exe e vedi se tramite i comandi di task manager riesci ad avviare Gmer e fare la scansione della scheda Autostart, spuntando la voce Show all e postare qui il log. Se ci riesci, scarica ed avvia (sempre dal task manager con explorer.exe terminato) Systemscan, spunta tutte le voci e clicca su Scan Now. A scansione terminata trova in C:\suspectfile il file report.txt, comprimilo in un archivio rar o zip ed allegalo qui.

Fatte le scansioni, tramite task manager trova ed avvia il file C:\WINDOWS\explorer.exe

[Amantide]

Prova ad eliminare la chiave con RegAssassin, forse avrai più successo, dovrai incollare questa stringa come il percorso della chiave da eliminare
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe

[nicola82]

ho reinstallato il pc, non potevo far aspettar troppo il cliente
grazie comunque

ma che cos'era? per la prossima volta...