Ciao, nel frattempo non usare penne usb, dischi esterni o cose simili.. (con molta probabilità è il classico malware che infetta le pennette usb e simili) inoltre, considerando che il tipo di malware che infetta questo tipo tipo di supporti va a copiarsi anche sui dischi, inserendo anche il file autorun.inf, dovrai evitare di cliccare anche sui dischi e/o partizioni che sono presenti sul pc. Leggi questo articolo per capire un po' meglio la situazione:
http://pcprimipassi.it/psoftware/psoftware.asp?ID=AUTOPLAY Passiamo ad una rimozione manuale, usando il programma avenger.
Scarica
Avenger, estrailo dall'archivio ed inseriscilo in una cartella.
Questo programma ci permetterà di cancellare file anche difficili da eliminare... nel nostro caso gli impartiremo le cose da fare utilizzando uno script che copierai ed incollerai nello specchietto del programma stesso.
Lo script è il seguente:
Segue del testo riportato...
Files to delete:
C:\WINDOWS\system32\arking.exe
C:\Documents and Settings\Utente\qinh.exe
C:\WINDOWS\system32\arking0.dll
C:\WINDOWS\system32\arking1.dll
C:\WINDOWS\system32\arking2.dll
C:\autorun.inf
Folders to delete:
%temp%
C:\WINDOWS\TempFine testo riportato...
Seleziona e copia quello che c'è nello specchietto precedente (seleziona e poi usa la combinazione di tasti Ctrl+c per copiare) e poi, dopo aver avviato il programma avenger (che avrai messo in una cartella sul desktop) e fatto clic con il mouse nello specchietto del programma, incolla quello che hai appena copiato (usando la combinazione dei tasti Ctrl + V)
A questo punto clicca su "Execute" (puoi mettere anche il segno di spunta in "Automatical Disable Any Rootkits Found", gmer non ne da comunque presenti.. ma non si sa mai!)
A questo punto il pc si riavvierà per eseguire lo script. Posta il log dei risultati.
Al riavvio prosegui con le seguenti impostazioni
Rispetto l'eventuale ripristino della modalità provvisoria, prova e scaricare questo archivio:
http://www.techportal.it/dl/SafeBoot.zipCi sono i backup relativi alle impostazioni di registro riguardo la modalità provvisoria (che molti malware disattivano)
Facendo un clic sul file .reg, avvii il ripristino delle impostazioni giuste. Nell'archivio ci sono 3 file, il file sul quale devi fare doppio clic è:
SafeBoot_Windows-XP-SP2.reg
Dato che dai log si evince che il tuo sistema operativo e XP service pack 2 (sp2).
Rispetto al ripristino delle chiavi relative alla visualizzazione dei file nascosti e di sistema, bisognerà cambiare qualche impostazione di registro utilizzando lo strumento regedit, così come hai fatto per "Urlinfo REG_SZ dfgsxw.f" che hai cancellato (adesso non dobbiamo cancellare ma variare le impostazioni):
Quindi, in start -> esegui, digita regedit (e poi premi invio per fare accettare)
Nell'editor di registro, segui il seguente percorso:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\
SHOWALLNella parte a destra, trova il valore
CheckedValue e, facendoci doppio clic sopra, nello specchietto, in Dati valore, metti
1Clicca su ok per fare accettare
segui il seguente percorso:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
SuperHiddenNella parte a destra, trova il valore
CheckedValue e, facendoci doppio clic sopra, nello specchietto, in Dati valore, metti
0Clicca su ok per fare accettare.
segui il seguente percorso:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
AdvancedNella parte a destra, trova il valore
Hidden e, facendoci doppio clic sopra, nello specchietto, in Dati valore, metti
1 Clicca su ok per fare accettare.
Controlla adesso se ti è possibile visionare i file nascosti e di sistema e se comunque mantiene le tue impostazioni.
Le altre voci dovrebbero essere ok (avevo dato una sbirciata al primo log che hai postato)
Dopo aver fatto questo c'è da dire che potresti avere ancora altri file infetti sul tuo pc (quelli che potrebbero essere ancora nella root del disco c) e se ci sono altri dischi potresti avere il file autorun.inf nella root dei dischi/partizioni e quindi potresti reinfettarti ad ogni clic che farai su quei dischi/partizioni... (nell'articolo che ti ho indicato prima è spiegato il meccanismo) La cosa che mi pare strana è che avira avrebbe dovuto darti degli avvisi o comunque (con l'impostazione che è stata fatta per la scansione "all files - tutti i file) avrebbe dovuto trovare almeno file infetti... ed invece non ha trovato nulla.. Quindi c'è ancora da fare altro.
Rispetto malwarebytes, è opportuno tu faccia una scansione completa anche con questo tool, quindi proviamo adesso ad installarlo ma prima di farlo, bisogna utilizzare un programmino, si chiama Rkill e serve appunto per terminare processi che potrebbero impedire l'installazione dello stesso, bisogna aggiungere che Rkill non elimina i file infetti... ma termina solo i processi infetti, quindi bisogna usarlo appena prima di installare malwarebytes senza riavviare il pc.
Rkill lo puoi prendere dal seguente indirizzo:
Rkill.exeSe non dovessi riuscire a scaricarlo.. allora ricontrolla il file hosts
Se poi invece riesci a scaricare Rkill ma non riesci ad avviarlo.. scarica:
iExplore.exeche non è altro che Rkill con il nome cambiato.
Alcuni antivirus potrebbero riconoscerlo come infetto... non ti preoccupare è un falso positivo... (c'è anche da dire che alcuni malware danno avvisi fasulli a riguardo dicendo che è infetto... non lo è)
Appena dopo aver usato RKill, installa malwarebytes e fai una scansione completa, digli di eliminare gli oggetti rilevati infetti e poi posta i log
Ciao
Modificato da prgn - 07/Maggio/2011 alle 18:00