Associazione file exe persa dopo malaware...

[Pikokk]

ciao a tutti, ieri sera sono stato infettato da quel fastidioso malaware ceh si spaccia per antivirus, ho avviato Malwarebytes' Anti-Malware e superantyspayware ed è stato rimosso assieme a qualche altra schifezza, però ho perso l'associazione dei file exe, ho scaricato la chiave di registro la lancio e tutto funziona, però ad ogni riavvio perdo l'associazione e devo avviare il file exe.reg, disconnettermi e riconnettermi per far avviare l'antivirus e il firewall e poi rilanciare exe.reg chi mi da una mano a risolvere??

[COCCOBELLO]

ciao
prova cosi'

Scarica questo tool per riparare gli eseguibili
http://www.nod32.it/tools/fixexe.com
lo salvi sul Desktop
e lo lanci
finita l'operazione
riavvia il sistema

[Pikokk]

niente da fare al riavvio la perde lo stesso

[Pikokk]

log di Hijackthis

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:23:54, on 08/08/2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Windows\System32\CtHelper.exe
C:\Program Files\Utilita\Sistema\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Utilita\Sistema\PC Tools Firewall Plus\FirewallGUI.exe
C:\Windows\System32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Utilita\Sistema\Opera\opera.exe
C:\Program Files\Utilita\Sistema\Hijackthis\Trend Micro\HiJackThis\HiJackThis.exe
C:\Program Files\IVT Corporation\BlueSoleil\BtTray.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.amvi.it/forum/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Utilita\Sistema\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\Utilita\Sistema\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-2336135980-206305174-2505123621-1003\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-2336135980-206305174-2505123621-1003\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'UpdatusUser')
O8 - Extra context menu item: Invia tramite Bluetooth - C:\Program Files\IVT Corporation\BlueSoleil\TransSend\IE\tsinfo.htm
O8 - Extra context menu item: Invia usando Messaggio(&M)... - C:\Program Files\IVT Corporation\BlueSoleil\TransSend\IE\tssms.htm
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {EF34051A-402A-4ABE-AA20-04E1B4422BD9} (DxClient_NetViewer Control) - http://XX.XXX.XX.XXX/DxClient_NetViewer.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Windows\system32\skype4com.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Program Files\SUPERAntiSpyware\SASCORE.EXE
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Utilita\Sistema\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Utilita\Sistema\Avira\AntiVir Desktop\avguard.exe
O23 - Service: BlueSoleilCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
O23 - Service: BsHelpCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe
O23 - Service: BsMobileCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BsMobileCS.exe
O23 - Service: Creative ALchemy AL6 Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\AL6Licensing.exe
O23 - Service: Creative Dolby Digital Live Pack Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\DDLLicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe
O23 - Service: FLEXnet Licensing Service - Flexera Software, Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: mental ray 3.9 Satellite for Autodesk 3ds Max 2012 32-bit - English 32-bit (mi-raysat_3dsmax2012_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 2012\mentalimages\satellite\raysat_3dsmax2012_32server.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - Unknown owner - C:\Program Files\Utilita\Sistema\PC Tools Firewall Plus\FWService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

--
End of file - 6858 bytes

[COCCOBELLO]

il log non presenta nulla di particolare

hai provato ha creare anche un nuovo utente come amministratore?

[Pikokk]

ho provato anche a bloccare il registro di sistema, ma nulla a ogni riavvio perdo l'associazione

questa mattina ho fatto una scansione con avira e mi ha riportato le seguenti infezioni:

19 Tr/Crypt.XPACK.Gen
1 Java/Dldr.Tharra.F
2 Java/Exdoer.BG.6
1 Tr/Dldr.Bagle.eah

The file 'C:\Users\pikokk\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\53abbd6c-54903890'
contained a virus or unwanted program 'TR/Dldr.OpenConnection.G.2' [trojan]
Action(s) taken:
The file was deleted!

The file 'C:\Users\pikokk\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\1baeccbb-776a6f39'
contained a virus or unwanted program 'EXP/Java.2009-3867' [exploit]
Action(s) taken:
The file was deleted!

The file 'F:\Adunanza\Incoming\blazemp.rar'
contained a virus or unwanted program 'TR/Crypt.XPACK.Gen' [trojan]
Action(s) taken:
The file was deleted!

The file 'C:\Users\pikokk\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\7a0b54eb-218662e9'
contained a virus or unwanted program 'JAVA/Agent.DU' [virus]
Action(s) taken:
The file was deleted!

[Pikokk]

provo a creare un nuovo utente amministratore e ti dico

[COCCOBELLO]

prova anche ad applicare il FIX:
http://support.microsoft.com/kb/950505/it
clicca su l'omino fix it
salvalo sul desktop
riavvia il pc ed entra in modalità provvisoria
ed esegui il fix

[Pikokk]

il fix che mi hai linkato è solo per vista, su seven non si installa

ora provo con la soluzione manuale descritta sotto

[Pikokk]

niente da fare, ogni volta che riavvio perdo l'associazione

spero di non dover formattare per questa cavolata!

[Pikokk]

ho provato a creare un altro account ma nulla sempre lo stesso problema uffa! idee??

[COCCOBELLO]

credo che il problema sia dovuto alle infezioni prese
vedo anche il bagle tra queste

disinstalla tutte le versioni di java
in programmi e funzionalità

pulisci il sistema registro compreso con ccleaner

reinstalla java
http://www.java.com/it/download/

poi
vai in start>tutti i programmi>accessori , clicca destro su "prompt dei comandi" e scegli
"esegui come amministratore".per aprire il prompt

Nella finestra digita:
assoc.exe=exefile
Dai invio.

Poi digita:
assoc.lnk=lnkfile
Dai invio.

Chiudi il prompt
e riavvia.il pc

[Pikokk]

provato e niente

però ho cercato

http://www.nod32.it/threat-center/encyc ... hp?id=2501

questo è quello che il virus che ho preso fa al registro, in pratica cambia l'associazione dei file exe in modo che si avvii il virus qualsiasi cosa si faccia

ora se cerco queste chiavi nel registro le troverò?? e se ne trovo anche una come faccio a sapere quella originale qual'era??

[COCCOBELLO]

io direi di non mettere mani al registro per non creare danni

invece proverei ad andare piu' in fondo con altre scansioni

Scarica ComboFix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
scaricalo con ( Internet Explorer) [b]no con Firefox
posizionalo sul Desktop obbligatoriamente
disattiva l'Antivirus in uso (è importante)
disattiva il Firewall (è importante)
chiudi tutti i programmi aperti (è importante)
chiudi la connessione. (è importante)[/B]

lancia ComboFix con tasto destro - esegui come amministratore
segui le istruzioni di combofix
verrà richiesta l'installazione della Console di ripristino :clicca su NO
senza eseguire nessuna altra operazione sul pc, lascia che ComboFix completi la scansione non usare ne anche il mouse
altrimenti si Blocca il Pc
se vengono rilasciati dei messaggi Riguardo all' Antivirus e il Firewall
prosegui ignorando i messaggi
Quando ComboFix avrà concluso la scansione:
il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu
vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

caricalo da qui
http://wikisend.com/
Seleziona Forum Link, copialo e incolla il link in un nuovo messaggio per il forum

[Pikokk]

ti allego 2 log, una scansione l'ho fatta con il fix exe.reg già lanciato e l'altra senza (non so se cambia qualcosa)

con fix
ComboFix con fix.txt

senza fix
ComboFix.txt

[COCCOBELLO]

ciao
bastava fare una scansione con combofix

ora
Fai un click destro in un punto vuoto del Desktop
crea un Nuovo documento di testo
Ci copi e incolli il codice che vedi sotto, e lo salvi con il nome CFScript.txt
e trascinalo sull'icona di ComboFix.
partirà la scansione attendi la fine senza toccare niente
se chiede il riavvio del pc riavvia
Posta il log aggiornato di combofix

File::
c:\programdata\xkr.exe
c:\programdata\asf.exe
c:\programdata\xyr.exe
c:\programdata\stn.exe
c:\programdata\isy.exe
c:\programdata\bah.exe
c:\program files\Application Updater\ApplicationUpdater.exe

Folder::
c:\program files\Application Updater

Driver::
Application Updater

[Pikokk]

fatto, quando combofix ha riavviato il sistema l'associazione è rimasta, dopo che ha finito di fare quello che doveva fare ho riavviato il pc e associazione nuovamente persa

questo è il log

ComboFix.txt

[COCCOBELLO]

ciao

proviamo questa operazione

apri una pagina del browser per scaricare questo file , in questo modo tasto destro sull'icona del browser - Esegui come Amministratore
http://download.bleepingcomputer.com/reg/FixNCR.reg
salvalo sul desktop
e doppio clic su di esso per unirlo al registro

ora scarica rkill
http://download.bleepingcomputer.com/grinler/rkill.com
salvalo sul desktop
lancia rkill.com
Se ti appare un avviso in cui ti dice che rkill.com è pericoloso o infetto, ignoralo. (NON chiuderla): è un trucco del virus per non farti eseguire il tool
Rifai partire rkill.com, e lascia che continui la scansione.
Se ricompare ancora la finestra, tu continui a far ripartire rkill.com .senza chiudere la finestra
devi riuscire ha portare al termine la scansione
Appena la scansione finisce,
Senza riavviare, o spegnere il pc,
avvia Malwarebytes AntiMalware
vai alla voce Aggiornamento e aggiorna le firme prima di fare la scansione
disconnettiti da internet-spegni il modem/router . (è importante)
poi vai sulla voce Scansione ed Esegui la scansione completa del sistema selezionando tutte le unità
A scansione completa se vengono rilevate infezioni e fai clic su OK => Mostra i Risultati.
seleziona gli elementi trovati da malwarebyts
clicca su Rimuovi gli elementi selezionati
se Malwarebytes' chiede di riavviare il pc riavvia
altrimenti riavvialo tu manualmente
salva il Report della scansione sul Desktop
e Postalo qui sul forum

[Pikokk]

rkill mi ha trovato ed eliminato un malaware

rkill.log

mentre Malwarebytes AntiMalware non ha trovato nulla

mbam-log-2011-08-09 (14-50-03).txt

l'associazione continua a essere persa ad ogni avvio

[COCCOBELLO]

il file di registro che ti ho detto di scaricare lo hai unito al registro?

allega un nuovo log di HijackThis
da una nuova scansione

poi vorrei vedere cosa aveva trovato la scansione precedente fatta con MBAM dove aveva trovato infezioni
Allegami il log