Virus [numeri a casaccio].exe

[ThePain]

Buongiorno...ho un problema enorme da 2 settimane con il portatile...ogni volta che avvio il pc mi tocca passare 20 minuti a terminare forzatamente processi che sono creati da dei programmi eseguibili con dei nomi composti da numeri e che si creano nella cartella AppData\temp e AppData\Roaming...con McAfee non me li rilevava...e su consiglio di un mio amico ho installato avira...che me li rileva tutt'ora...solo che anche eliminandoli/mettendoli in quarantena...basta che riavvio il pc e mi rispuntano fuori...causandomi un'incremento dei processi del computer...come posso fare?
Help Me T.T

[tecnico24]

Ciao , intanto presentati al forum:
Presentati alla Community
Segui questa guida:
[Guida] HiJackThis: come creare e allegare il log
Inviaci il log di Hijackthis in allegato.

[ThePain]

hijackthis.log

ecco la scansione...spero di non dover formattare...in quanto il computer lo uso anche per lavoro T.T
ps: il pc per un po' di tempo non l'ho usato io....ecco cosa succede a dare in giro il pc

[tecnico24]

Disattiva il ripristino configurazione di sistema:
Pannello di controllo
Sistema e sicurezza
Sistema
Protezione sistema a sinistra
Clicca su Configura e poi metti la spunta su Disattiva protezione sistema , Applica e dai ok.

Avvia Hijackthis , dal main menu clicca su Do a system scan only , spunta a sinistra sul quadratino a queste voci:

O23 - Service: xsherlock - Wellbia.com Co., Ltd. - C:\Windows\system32\xsherlock.xem

O4 - Startup: system.exe

O4 - Startup: 90530.exe

O4 - Startup: 6130.exe

O4 - Startup: 23902.exe

O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Google Update\taskmgr.exe

O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Google Update\taskmgr.exe

O4 - HKCU\..\Run: [derp] C:\Users\Igor\AppData\Local\Temp\rundll32.exe

O4 - HKCU\..\Run: [HKCU] c:\directory\system\install\system.exe

O4 - HKCU\..\Run: [MicroUpdate] C:\Windows\system32\MSDCSC\msdcsc.exe

O4 - HKCU..Run: [Temp] C:UsersIgorAppDataLocalTemp\90530.exe

O4 - HKCU\..\Run: [User] C:\Users\Igor\90530.exe

O4 - HKCU\..\Run: [AppData] C:\Users\Igor\AppData\Roaming\90530.exe

O4 - HKCU\..\Run: [RThCNDk1RkJGRkM1RDI0Rk] C:\ProgramData\roeiyyaq.exe

O4 - HKCU\..\Run: [aPmdsmsRnSo] "C:\Users\Igor\AppData\Roaming\winlogon.exe"

O4 - HKCU\..\Run: [winlogon.exe] "C:\Users\Igor\AppData\Roaming\winlogon.exe"

O4 - HKCU\..\Run: [services] C:\Users\Igor\AppData\Roaming\Microsoft\services.e xe

O4 - HKLM\..\Run: [facemoods] "C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\facemoodss rv.exe" /md I

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [4StoryPrePatch] C:\Program Files (x86)\Gameforge4D\4Story_IT\PrePatch.exe

O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\facemoodsT lbr.dll

O3 - Toolbar: @C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1438.0\npwinext.dll,-100 - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1438.0\npwinext.dll

O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\bh\facemoo ds.dll

O2 - BHO: PowerOffer - {3543619C-D563-43f7-95EA-4DA7E1CC396A} - C:\Users\Public\Documents\PowerOffer\PowerOfferBHO .dll

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4


e clicca sotto sul pulsantino Fix Checked.


Scarica The Avenger e posizionalo sul desktop:
Wikisend: free file sharing service
Nella schermata Input script here , inserisci queste righe in grassetto facendo copia | incolla:

Files to delete:
C:\Windows\system32\MSDCSC\msdcsc.exe
C:\ProgramData\roeiyyaq.exe
C:\Users\Igor\AppData\Roaming\winlogon.exe
C:\directory\system\install\system.exe
C:\Users\Igor\AppData\Roaming\Microsoft\services.exe

Folders to delete:
C:\Users\Igor\AppData\Local\Temp


Leva la spunta da Scan for Rootkit
Clicca su Excute
Attendi fino a che il pc non si riavvia
Al riavvio uscira un log , quello di The Avenger , postalo in allegato sul forum.


Scarica Ccleaner:
http://download.html.it/software/get...ccleaner-free/
Dalla sezione Pulizia clicca su Analizza ed attendi la fine della scansione...al termine clicca su "Avvia Pulizia".
Nella sezione Registro clicca su Trova problemi e quando ha finito su Ripara Selezionati cliccando su si per il Backup.

[ThePain]

era davvero messo male il mio computer ç_ç
fatto tutto tranne che non mi èuscito il log di The Avenger...è normale?

[tecnico24]

Lo dovresti trovare in C:\
Trovalo e invialo nel forum insieme ad un nuovo log di Hijackthis (do a system scan and salve logfile)

[ThePain]

spero che il log sia questo T.T log.txt
questo invece è quello di Hijackthis hijackthis.log

[tecnico24]

Lo dovresti trovare in C:\ con il nome Avenger.txt , non c'è?
Forse il programma ha qualche incompatibilità col sistema operativo , eppure l'ho provato sul mio ( Win 7 ) e andava alla grande.
Non abbiamo finito , Hijackthis non ha rimosso alcune voci.
Riavvialo e fixa queste voci rimanenti:

O4 - HKCU\..\Run: [derp] C:\Users\Igor\AppData\Local\Temp\rundll32.exe

O4 - HKCU\..\Run: [RThCNDk1RkJGRkM1RDI0Rk] C:\ProgramData\roeiyyaq.exe

O4 - Startup: system.exe



Start
nello spazio di ricerca scrivi "Opzioni Cartella"
Apri Opzioni Cartella
scegli Visualizzazione e attiva la voce "Visualizza cartelle,file e unità nascosti".
Togli la spunta anche su Nascondi i file protetti di sistema (consigliato).
Conferma con applica e dai ok.

Ricerca questo file seguendo il percorso ed eliminalo:

C:\ProgramData\roeiyyaq.exe

Poi dai start - nella casella di ricerca digita %TEMP% e dai invio.

Elimina tutto il contenuto della cartella.

Se hai problemi ad eliminarli , utilizza Unlocker:
Download Unlocker 1.9.1 - FileHippo.com

Riavvia il pc.

[ThePain]

fatto tutto..ora? scansiono di nuovo?

[tecnico24]

Si riposta un nuovo log di HJT , dovresti essere pulito.

[ThePain]

hijackthis.log

O4 - HKCU\..\Run: [derp] C:\Users\Igor\AppData\Local\Temp\rundll32.exe

O4 - HKCU\..\Run: [RThCNDk1RkJGRkM1RDI0Rk] C:\ProgramData\roeiyyaq.exe

ricompaiono ancora...ho provato a cercarli di nuovo ma non ci sono

[tecnico24]

Scarica e installa Malware Bytes anti-malware:
Malwarebytes Anti-Malware - Download.com
Aggiorna il database delle definizioni
Esegui una Scansione completa del sistema
Al termine , quando rileverà le minaccie , assicurati che siano spuntate e clicca su Rimuovi elementi Selezionati.
Invia il log generato dal programma.

[ThePain]

ecco la scansione...
mbam-log-2012-02-10 (07-01-58).txt
nel log dice Nessuna azione intrapresa ma io sono sicuro di aver fatto rimuovi elementi selezionati...

[tecnico24]

Ciao ,disattiva l'Antivirus
disattiva Firewall
Chiudi la connessione
Scarica Combofix sul desktop:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Tasto destro e su esegui come ammininistratore
Procedi con le istruzioni senza toccare nulla
attendi fino al riavvio e posta il suo log (esce in automatico o C:\Combofix.txt )

[ThePain]

ecco il log
ComboFix.txt