Pc infetto da virus desktoplayer.exe

[bogarde]

Salve a tutti,
è da qualche giorno che mi sono imbattuto in questo problema: tutti i file exe, dll e html presenti nel mio pc risultano infetti. Facendo alcune ricerche in internet ho scoperto che la causa di ciò è il virus desktoplayer.exe che si trova nella cartella C:\Programmi\Microsoft\Desktoplayer.exe.
Il problema è che nn riesco ad eliminarlo perchè si rigenera ad ogni riavvio, nn posso neanche eliminare i file infetti perchè sono file di programmi che utilizzo quotidionamente.
Qualcuno di voi potrebbe consigliarmi qualcosa?
Grazie a tutti!!

[vicky67]

ciao Bogarde

• disattiva il controllo real time del tuo antivirus,scarica combofix,prima di scaricarlo rinominalo in explorer.exe http://download.bleepingcomputer.com/sUBs/ComboFix.exe , salvalo sul desktop e disconnettiti dalla rete
Una volta scaricato il programma incolla nello spazio bianco di esegui questo comando, cosi' com'e':

"%userprofile%\desktop\explorer.exe" /killall <==copia e incolla

Premi OK, dovrebbe partire la scansione che puo' durare molto, durante la scansione non fare assolutamente niente con il pc.Dopo il riavvio allega il log C:\combofix.txt

[bogarde]

Grazie della risposta vicky67. Appena fatto allego il log

[bogarde]

Ecco il log di ComboFix

[vicky67]

Bogarde
Dal log di combofix il pc è messo piuttosto male.Ci sono infezioni ben più gravi del desktoplayer.
Vediamo di riuscire a ripulirlo,ma devi avere un po' di pazienza.

1)Esegui malwarebytes che vedo installato.
è necessario aggiornarlo e solo dopo eseguire la scansione completa del sistema, è altresì richiesto eliminare tutti gli oggetti identificati e salvare il log della scansione (il file di log da allegare per il controllo si trova nel Tab "File di log").Il file di log va preso solamente dopo aver eliminato gli oggetti.



2)Scarica TDSS killer e salvalo sul desktop.Estrai il contenuto sul desktop.Doppio click su
TDSSKILLER.exe per avviare l'applicazione e poi su start scan.
Se un file infetto viene trovato,l'azione di default sarà cure,clicca su continua.
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su continua.
Se ti viene chiesto di riavviare il pc completa il processo.Clicca su riavvia ora.
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Se un riavvio è richiesto il report si trova in C:\folder in questa forma "TDSSKiller.[Version]_[Date]_[Time]_log.txt"

3)Nuova scansione con combofix e posta il log.

Log da allegare:malwarebytes-tdsskiller-combofix

[bogarde]

Ora procedo, appena fatto ti faccio sapere

[bogarde]

Ho fatto come dicevi, vicky, ma mi sa che nn è cambiato nulla, i virus ci sono ancora.
Mi sa proprio che formatterò, grazie dei preziosi consigli

Ti allego cmq i log.
Grazie ancora

[dubo]

riavvia il il pc ed esegui nuovamente combofix.

[vicky67]

Bogarde da chi vengono rilevati i virus di cui parli?
Guarda che siamo sulla buona strada.L'infezione più pericolosa il tdss rootkit è stata eliminata con tdsskiller,malwarebytes ha compiuto altre rimozioni.
Bisogna solamente terminare la procedura di disinfestazione con combofix,(per questo ti avevo chiesto un nuovo log di combofix ) e i problemi saranno risolti.Non credo sia necessaria la formattazione.

[bogarde]

I virus vengono trovati da avg antivirus.
Cmq ora faccio la scansione con ComboFix e allego il log

Ti faccio sapere

[bogarde]

Ecco il log di ComboFix

[vicky67]

Ora trascina il file che ti allego sull'icona di combofix per una nuova scansione.
Al termine allega il log.

Dopo aver effettuato la scansione con combofix,
Scarica TFC by OldTimer sul desktop
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "start"
al termine della scansione ti chiederà il riavvio, dai ok.

Al termine fai una scansione con avg e posta il suo log.

Vai poi su virustotal e fai analizzare questo file c:\acer\lanscope agent\awservsrv.exe

[dubo]

awservsrv.exe e' roba di Intel==> awserv.exe - Che cosa è awserv.exe? ==> OSA Technologies Inc., An Avocent Company Software Informer: Latest OSA Technologies Inc., An Avocent Company softwar... ed e' roba pulita.....

[vicky67]

Quello l'avevo già visto.
Il file in questione è awservsrv.exe e non awserv.exe.
Il file originale è c:\acer\lanscope agent\awserv.exe
Poi se immaginiamo che l'srv finale si riferisca a service è un altro conto.
Se poi immaginiamo che venga caricato sulla chiave di registro dell''userinit tranquillamente è ancora un altro conto.
Con questo non voglio dire che sia infetto perchè alcune rare eccezioni caricano file sull'userinit,ma dato che anche il nome del file è cambiato un controllo non fa' di certo male.
Se il risultato di virustotal sarà negativo meglio cosi'.

[bogarde]

Questo è il lgo di combofix.
Ho fatto la scansione con TFC e secondo virustotal, quel file è un virus. Cmq per ogni file .exe è stato creato un file: nomefilesrv.exe che ha lo stesso simbolo di desktoplayer. Mi sa che anche questo tentativo non ha risolto il problema. Grazie dei consigli, ma preferisco formattare il tutto!!
Ti ringrazio ancora Vicky, buona serata!!!