www.MegaLab.it

[acems]

in un computer di un mio amico compare in avvio l'errore di system32
allego l'immagine dell'errore e il log di hijackthis....attendo istruzioni

[gio!]

Caspita, il sistema è molto infetto.

ci sono residui di vundo e altri malware attivi.
Da hijackthis fixa:

O2 - BHO: (no name) - {2E529F87-2B52-438C-9E7C-7D0A0DD910BA} - C:\WINDOWS\system32\urqQiihg.dll (file missing)
O2 - BHO: (no name) - {467F8EC6-44C7-4AA6-A924-AC790DF2F741} - C:\WINDOWS\system32\qoMcCvvW.dll (file missing)
O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Programmi\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll (file missing)
O2 - BHO: (no name) - {76748A01-58FB-4202-9003-7B76663D81BD} - C:\WINDOWS\system32\wvUlihfe.dll (file missing)
O2 - BHO: (no name) - {ED2D7DC8-B5A4-4374-A819-344CF74354FC} - C:\WINDOWS\system32\dpwsockd.dll (file missing)
O4 - HKLM\..\Run: [winsupdater] C:\Programmi\winsupdater\winsupdater.exe /auto
O4 - HKLM\..\Run: [] winlog.exe
O4 - HKLM\..\Run: [r6bfh] C:\WINDOWS\yitmeo.exe
O4 - HKLM\..\Run: [r6bfh$vùõš/‚²‘ÆßfÏC:\Programmi\ISTsvc\istsvc.exe] C:\WINDOWS\yitmeo.exe
O4 - HKLM\..\Run: [Á³# L"h'þ9Óœð3rÅWC:\Programmi\ISTsvc\istsvc.exe] C:\WINDOWS\yitmeo.exe
O4 - HKLM\..\Run: [NI.UWFX5T_0001_N57M1412] "C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\REJUZFYO\WinFixer2005ScannerInstallITA[1].exe" -nag
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\user\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [qyzlda.exe] C:\DOCUME~1\user\IMPOST~1\Temp\qyzlda.exe
O4 - HKLM\..\Run: [zzgdfa.exe] C:\WINDOWS\TEMP\zzgdfa.exe
O4 - HKLM\..\Run: [zyzwaa.exe] C:\WINDOWS\TEMP\zyzwaa.exe
O4 - HKLM\..\Run: [xrzeaa.exe] C:\WINDOWS\TEMP\xrzeaa.exe
O4 - HKLM\..\Run: [przeaa.exe] C:\WINDOWS\TEMP\przeaa.exe
O4 - HKLM\..\Run: [xtziaa.exe] C:\WINDOWS\TEMP\xtziaa.exe
O4 - HKLM\..\Run: [zvbfaa.exe] C:\WINDOWS\TEMP\zvbfaa.exe
O4 - HKLM\..\Run: [lgjoaa.exe] C:\WINDOWS\TEMP\lgjoaa.exe
O4 - HKLM\..\Run: [zgzmaa.exe] C:\WINDOWS\TEMP\zgzmaa.exe
O4 - HKLM\..\Run: [mzziaa.exe] C:\WINDOWS\TEMP\mzziaa.exe
O4 - HKLM\..\Run: [bpzoaa.exe] C:\WINDOWS\TEMP\bpzoaa.exe
O4 - HKLM\..\Run: [zgzmaa .exe] C:\WINDOWS\TEMP\zgzmaa .exe
O4 - HKLM\..\Run: [zvbfaa .exe] C:\WINDOWS\TEMP\zvbfaa .exe
O4 - HKLM\..\Run: [lgjoaa .exe] C:\WINDOWS\TEMP\lgjoaa .exe
O4 - HKLM\..\Run: [mzziaa .exe] C:\WINDOWS\TEMP\mzziaa .exe
O4 - HKLM\..\Run: [bpzoaa .exe] C:\WINDOWS\TEMP\bpzoaa .exe
O4 - HKLM\..\Run: [advap32] C:\DOCUME~1\user\IMPOST~1\Temp\stdcons.exe/r
O4 - HKLM\..\Run: [tskypidu] "c:\windows\system32\tskypidu.exe"
O4 - HKLM\..\Run: [9cd24159] rundll32.exe "C:\WINDOWS\system32\vaqnkata.dll",b
O4 - HKLM\..\RunServices: [] winlog.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan ... stubie.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-U ... E_UNO1.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://anxeantony.spaces.live.com/Photo ... nPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b47946.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/f ... wflash.cab

Scarica avenger http://swandog46.geekstogo.com/avenger2/download.php
avvialo e nella casella bianca copia/incolla:

Files to delete:
C:\WINDOWS\yitmeo.exe
C:\DOCUME~1\user\IMPOST~1\Temp\qyzlda.exe
C:\WINDOWS\TEMP\zzgdfa.exe
C:\WINDOWS\TEMP\zyzwaa.exe
C:\WINDOWS\TEMP\xrzeaa.exe
C:\WINDOWS\TEMP\przeaa.exe
C:\WINDOWS\TEMP\xtziaa.exe
C:\WINDOWS\TEMP\zvbfaa.exe
C:\WINDOWS\TEMP\lgjoaa.exe
C:\WINDOWS\TEMP\zgzmaa.exe
C:\WINDOWS\TEMP\mzziaa.exe
C:\WINDOWS\TEMP\bpzoaa.exe
C:\WINDOWS\TEMP\zgzmaa .exe
C:\WINDOWS\TEMP\zvbfaa .exe
C:\WINDOWS\TEMP\lgjoaa .exe
C:\WINDOWS\TEMP\mzziaa .exe
C:\WINDOWS\TEMP\bpzoaa .exe
c:\windows\system32\tskypidu.exe
C:\WINDOWS\system32\vaqnkata.dll
C:\Programmi\winsupdater\winsupdater.exe

Folders to delete:
C:\Windows\Temp
C:\DOCUME~1\user\IMPOST~1\Temp
C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files


Premi execute, fai riavviare il pc e posta il log.

Fai queste operazioni velocemente per evitare che il computer si continui ad infettare.

[acems]

Caspita, il sistema è molto infetto.


Fai queste operazioni velocemente per evitare che il computer si continui ad infettare.

caspita , però c'è un ulteriore problema, ogni volta che cerco tramite internet di scaricare qualcosa che abbia nel nome avenger mi chiude il browser automaticamente, come è possibile?

[gio!]

Dopo aver fatto le operazioni del post precedente precedenti e postatomi i log richiesti fai questo:

Parlo in seconda persona ma naturalmente queste operazioni le devi fare tu o chi altro sul pc infetto.
Scarica questi programmi:

AtfCleaner: http://www.atribune.org/index.php?optio ... &Itemid=25 scaricalo e salvalo sul desktop

Combofix: http://subs.geekstogo.com/ComboFix.exe salva anch'esso sul desktop.

Suspectfile: www.systemscan.com/suspectfile e salvalo sempre sul desktop

Avvia AtfCleaner, seleziona tutte le caselle e premi empty selected.

Adesso disconnettiti da Internet, disabilita l'antivirus e chiudi tutti i programmi attivi
Avvia combofix, segui le istruzioni a video e fagli fare la scansione, al termine salva il log che dovrai postare.

Adesso avvia systemscan, accetta il contratto, accertati che siano selezionate tutte le caselle e inizia la scansione.
NB: Non usare altre applicazioni!! SystemScan potrebbe dare l'impressione di essersi bloccato o che non stia lavorando, è normale. Dagli tutto il tempo di cui necessita.

Combofix e Systemscan possono essere scambiati per virus da alcuni AV, è naturalmente un errore, per questo devi disabilitarli, altrimenti non li fanno funzionare

Alla fine devi postare i log di combofix e systemscan.

[gio!]

Caspita, il sistema è molto infetto.


Fai queste operazioni velocemente per evitare che il computer si continui ad infettare.

caspita , però c'è un ulteriore problema, ogni volta che cerco tramite internet di scaricare qualcosa che abbia nel nome avenger mi chiude il browser automaticamente, come è possibile?

E' un bel problema, passalo dal tuo computer, se non puoi scarica da subito systemscan ed invece di fare la scansione premi su removal script e metti quello che ti ho dato per avenger.
Però è meglio se metti l'altra versione, è più nuova ed efficace.

Mi raccomando procedi in ordine altrimenti si fa confusione.

[acems]

Dopo aver fatto le operazioni del post precedente precedenti e postatomi i log richiesti fai questo:

Parlo in seconda persona ma naturalmente queste operazioni le devi fare tu o chi altro sul pc infetto.
Scarica questi programmi:

AtfCleaner: http://www.atribune.org/index.php?optio ... &Itemid=25 scaricalo e salvalo sul desktop

Combofix: http://subs.geekstogo.com/ComboFix.exe salva anch'esso sul desktop.

Suspectfile: www.systemscan.com/suspectfile e salvalo sempre sul desktop

Avvia AtfCleaner, seleziona tutte le caselle e premi empty selected.

Adesso disconnettiti da Internet, disabilita l'antivirus e chiudi tutti i programmi attivi
Avvia combofix, segui le istruzioni a video e fagli fare la scansione, al termine salva il log che dovrai postare.

Adesso avvia systemscan, accetta il contratto, accertati che siano selezionate tutte le caselle e inizia la scansione.
NB: Non usare altre applicazioni!! SystemScan potrebbe dare l'impressione di essersi bloccato o che non stia lavorando, è normale. Dagli tutto il tempo di cui necessita.

Combofix e Systemscan possono essere scambiati per virus da alcuni AV, è naturalmente un errore, per questo devi disabilitarli, altrimenti non li fanno funzionare

Alla fine devi postare i log di combofix e systemscan.

il problema è che non posso scaricare avenger, o meglio c'è l'ho già avnenger ma non mi permette di avviarlo in nessun modo

[gio!]

il problema è che non posso scaricare avenger, o meglio c'è l'ho già avnenger ma non mi permette di avviarlo in nessun modo

Hai provato systemscan? Che errore ti da avenger?

[acems]

il problema è che non posso scaricare avenger, o meglio c'è l'ho già avnenger ma non mi permette di avviarlo in nessun modo

Hai provato systemscan? Che errore ti da avenger?

non mi fa eseguire neppure quello, blocca questi eseguibili appena li metto in esecuzione ,,,,,, boh [nonono]

[gio!]

il problema è che non posso scaricare avenger, o meglio c'è l'ho già avnenger ma non mi permette di avviarlo in nessun modo

Hai provato systemscan? Che errore ti da avenger?

non mi fa eseguire neppure quello, blocca questi eseguibili appena li metto in esecuzione ,,,,,, boh [nonono]

Procedi allora a fixare quelle cose da hijackthis e segui le istruzioni del secondo post mio.
Prima di salvare combofix sul desktop, rinominalo in 123 (ricorda, PRIMA di salvarlo).

[ste_95]

Altrimenti, prova ad accedere in modalità provvisoria per avviare Avenger.

[acems]

il problema è che non posso scaricare avenger, o meglio c'è l'ho già avnenger ma non mi permette di avviarlo in nessun modo

Hai provato systemscan? Che errore ti da avenger?

non mi fa eseguire neppure quello, blocca questi eseguibili appena li metto in esecuzione ,,,,,, boh [nonono]

Procedi allora a fixare quelle cose da hijackthis e segui le istruzioni del secondo post mio.
Prima di salvare combofix sul desktop, rinominalo in 123 (ricorda, PRIMA di salvarlo).

oggi sono tornato dalle vacanze, ora mi metto all'opera per veder quello che si può fare

[acems]

il problema è che non posso scaricare avenger, o meglio c'è l'ho già avnenger ma non mi permette di avviarlo in nessun modo

Hai provato systemscan? Che errore ti da avenger?

non mi fa eseguire neppure quello, blocca questi eseguibili appena li metto in esecuzione ,,,,,, boh [nonono]

Procedi allora a fixare quelle cose da hijackthis e segui le istruzioni del secondo post mio.
Prima di salvare combofix sul desktop, rinominalo in 123 (ricorda, PRIMA di salvarlo).

oggi sono tornato dalle vacanze, ora mi metto all'opera per veder quello che si può fare

niente il mio amico ha deciso di formattare l'hard disk....era troppo troppo infetto...e continuava a creare virus che l'elaboratore inseriva automaticamente ogni qualvolta veniva inserita una periferica di archiviazione di massa .......