Olimpo Informatico

[Gases]

Salve a tutti, ho beccato qualcosa che non riesco più ad eliminare ed ha bloccato tutto il portatile...

All'inizio mi si è installata una connessione remota che cercava di connettersi ma che ho rimosso con l'antivirus avast... adesso però il pc è pieno di problemi:

1) la pagina di esplorer dopo qualche secondo si chiude da sola;
2) quando si fanno alcune operazioni spunta il messaggio d'errore "Operazione annullata. Sul computer sono attivate delle restrizioni. Contattare l'amministratore del sistema."
3) compare continuamente il messaggio d'errore "Warning! Potential Spyware Operation! Your computer is making unauthorized copies of your system and internet files! Click here to download spyware remover ...";
4) in basso a dx compare il messaggio "Windows has detected spyware infection! It is recomended to use special antispyware tools to prevent data loss. Windows will now download and install the most up-to-date antispyware for you. Click here to protect your computer from spyware"

Ho provato ad usare prima l'Ad-aware epoi Spybot Search and Destroy (in modalità provvisoria).. Il primo non trova nulla, nel secondo dopo la scansione spunta nella prima riga una scritta strana:

"Errore durante la scansione!
Common hijacker (Datei C:\Windows\system32\drivers\etc\hosts kann nicht geoffnet werden. Impossibile accedere al file. Il file è utilizzato..."

poi nella seconda:

"Congratulazioni!
Non sono state riscontrate minacce immediate"

Ho scaricato Hijackthis e l'ho fatto girare. Il log é il seguente:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.09.15, on 07/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi scaricati\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\shell.exe
C:\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/dial_up
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D27987B8-7244-4DE0-AE10-39B826B492F1} - C:\WINDOWS\system32\bronto.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [dumprep] C:\WINDOWS\system32\spoolc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [StartUp] C:\WINDOWS\trayicons.exe /optimize speed
O4 - HKCU\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: findfast.exe
O4 - Startup: infos.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: autos.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.it/redirect/dial_up
O17 - HKLM\System\CCS\Services\Tcpip\..\{1321904F-C6E4-4110-928C-2E814AAC4AE4}: NameServer = 193.70.152.15,193.70.152.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{79464ED8-FA30-4549-A38D-D79DF6F61A72}: NameServer = 193.70.152.15,193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{1321904F-C6E4-4110-928C-2E814AAC4AE4}: NameServer = 193.70.152.15,193.70.152.25
O17 - HKLM\System\CS3\Services\Tcpip\..\{1321904F-C6E4-4110-928C-2E814AAC4AE4}: NameServer = 193.70.152.15,193.70.152.25
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi scaricati\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe

--
End of file - 6109 bytes


Ho anche fatto girare FindAWF, ma il log che tiro fuori sembra vuoto:


Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

[Sante62]

Ciao Gases
Hai più di un'ospite. Guarda questa discussione relativa a RogueRemover e procedi con la scansione del PC. Dopo Scarica Virit
Aggiornalo mediante l'icona della parabola posta nella barra in alto, e fagli fare la scansione completa del PC.
Fai in modo che rimuova automaticamente i file infetti trovati.
Non dimenticare di disattivare momentaneamente il tuo antivirus.
Incolla poi quì il risultato e un nuovo log di Hijackthis.

[Gases]

Ciao Sante62, grazie x la risposta...

Allora, ho scaricato RogueRemover come da tue indicazioni, ho fatto l'aggiornamento, avviato la scansione (in modalità provvisoria) ed effettivamente sono stati riconosciuti degli oggetti che ho eliminato.

Segue il log:

Malwarebytes' RogueRemover
Malwarebytes ©2007 http://www.malwarebytes.org
6216 total fingerprints loaded.

Loading database ...
Expanding environmental variables ...

Scanning files ... [ 100% ].
Scanning folders ... [ 100% ].
Scanning registry keys ... [ 100% ].
Scanning registry values ... [ 100% ].

RogueRemover has detected rogue antispyware components! Results below...

Type: File
Vendor: Rogue.Misc
Location: C:\WINDOWS\system32\proper.exe
Selected for removal: Yes

Type: File
Vendor: Rogue.Misc
Location: C:\WINDOWS\system32\bronto.dll
Selected for removal: Yes

Type: File
Vendor: Rogue.Misc
Location: C:\WINDOWS\system32\winter.exe
Selected for removal: Yes

Type: Registry Key
Vendor: Rogue.Misc
Location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D27987B8-7244-4DE0-AE10-39B826B492F1}
Selected for removal: Yes

RogueRemover has found the objects above.

Il problema però continuava a persistere, così ho scaricato Virit, al solito l'ho aggiornato ed ho proceduto con la scansione (a proposito: è normale che le altre scansioni durino soltanto qualche minuto mentre quella con Virit più di un'ora??). Ho trovato ed eliminato un solo oggetto.

Il log è il seguente:

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
08/12/2007 - 16:10:53

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\WINDOWS\system32\spoolc.exe Infetto da Trojan.Win32.Agent.BHD
* * * RIMOSSO * * *

[D:]


[E:]
BOOT SECTOR: OK


[F:]
BOOT SECTOR: OK


[G:]
BOOT SECTOR: OK


Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 76136.
Files Totali: 76136.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.

Infine ho fatto girare nuovamente Hijackthis. Ecco il log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.20.56, on 08/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi scaricati\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\shell.exe
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
G:\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/dial_up
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [StartUp] C:\WINDOWS\trayicons.exe /optimize speed
O4 - HKCU\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: findfast.exe
O4 - Startup: infos.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: autos.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.it/redirect/dial_up
O17 - HKLM\System\CCS\Services\Tcpip\..\{1321904F-C6E4-4110-928C-2E814AAC4AE4}: NameServer = 193.70.152.15,193.70.152.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{79464ED8-FA30-4549-A38D-D79DF6F61A72}: NameServer = 193.70.152.15,193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{1321904F-C6E4-4110-928C-2E814AAC4AE4}: NameServer = 193.70.152.15,193.70.152.25
O17 - HKLM\System\CS3\Services\Tcpip\..\{1321904F-C6E4-4110-928C-2E814AAC4AE4}: NameServer = 193.70.152.15,193.70.152.25
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi scaricati\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe

--
End of file - 5995 bytes

I problemi comunque persistono ancora.

[Sante62]

RogueRemover si occupa solo di eliminare falsi antispyware e quindi non approfondosce la scansione più di tanto. Al contrario di Virit che la fa completa. Ecco più o meno la spiegazione della durata delle scansioni.
Bene, adesso avvia il PC in modalità provvisoria. Avvia Hijackthis e seleziona a sinistra queste righe:

[Gases]

Fatto. Ho avviato Hijackthis in modalità provvisoria, fissato tutte le righe che mi hai indicato e rifatto la scansione in modalità normale ottenendo il seguente log:

http://www.freefilehosting.net/download/NDc0OTY=

Ho anche fatto la scansione con GMER, procedendo allo scan sia in Autostart:

http://www.freefilehosting.net/download/NDc1MTc=

che in Rootkit:

http://www.freefilehosting.net/download/NDc1MjQ=

Infine ho riavviato e, sempre in modalità normale, ho fatto la scansione con FindAWF:

http://www.freefilehosting.net/download/NDc1Mjk=

Mi sa che però il pc è ancora pieno di skifezze..

[Sante62]

Ancora non ci siamo....
Apri il notepad e copia/incolla queste scritte:

[Gases]

Beh grazie cmq per il tempo che mi stai dedicando..

Seguendo le tue istruzioni ho creato il file C:\fix.reg. Subito mi è stao chiesto se volevo aggiungere le informazioni al file di registro ed ho accettato.

Ho scaricato AVENGER. L'ho salvato su C:\ e l'ho decompresso ma subito si è attivato il messaggio d'errore di AVAST che riconosceva AVENGER come virus... Allora ho disabilitato AVAST e ho fatto ripartire AVENGER eseguendo lo script che mi hai indicato.

Come da te anticipato il pc si è riavviato, ma al riavvio sono spuntate:

a) una finestra che mi ha chiesto nuovamente se volevao aggiungere le informazioni al file di registro ed ho accettato;
b) il seguente messaggio d'errore http://www.freefilehosting.net/show/NDc3OTg= (prima ho provato a cliccare su "riprova" ma non andava via e quindi ho optato per "annulla"..)

Segue il log aggiornato di hijackthis: http://www.freefilehosting.net/download/NDc4MDE=

[Sante62]

Allora, mi sa che dobbiamo cambiare approccio, perchè a quanto pare, questo virus ti ha anche cancellato tutti i punti di ripristino.
Scarica Spybot Search & Destroy, lo trovi anche su www.filehippo.com.
Aggiornalo mediante il bottone cerca aggiornamenti e poi assicurati che siano selezionati tutti gli aggiornamenti e clicca su Scarica aggiornamenti, e fai la scansione del PC Dalla modalità provvisoria. Troverà sicuramente dei problemi, clicca su correggi problemi. Riavvia il PC alla modalità normale, Apri task manager e termina il processo se presente shell.exe; e modifica questa chiave:

[Gases]

Allora, ho fatto la scansione con Spybot Search & Destroy.. A dire il vero era la prima cosa che avevo fatto quando mi sono beccato il virus ed il risultato è praticamente lo stesso..

Il risultato della scansione è mostrato nello screenshot che segue: http://www.freefilehosting.net/show/NDgxMjI=
Lo posto perchè la prima riga a me sembra stranissima e comunque è segnalata come un errore durante la scansione... alla file comunque, dopo aver effettuato la correzione dei problemi, spunta la spunta di "risolto" anche se il risultato è che riesce a risolvere 16 problemi e non riesce invece per due (http://www.freefilehosting.net/show/NDgxMjM=)

[Gases]

Allora, ho fatto la scansione con Spybot Search & Destroy.. A dire il vero era la prima cosa che avevo fatto quando mi sono beccato il virus ed il risultato di adesso è praticamente lo stesso..

Il risultato della scansione è mostrato nello screenshot che segue: http://www.freefilehosting.net/show/NDgxMjI=
Lo posto perchè la prima riga a me sembra stranissima e comunque è segnalata come un errore durante la scansione... alla fine comunque, dopo aver effettuato la correzione dei problemi, anche nella prima riga compare la spunta di "risolto" anche se il risultato è che riesce a risolvere 16 problemi e non riesce invece a risolverne due.
Segue il log di Spybot dal quale si vedono i due problemi che non riescono ad essere fissati: http://www.freefilehosting.net/download/NDgxMjc=

Purtroppo però non ti seguo sulla 2a parte delle operazioni da effettuare.. O meglio riesco ad aprire in modalità normale task manager ed a terminare il processo shell.exe, ma poi mi perdo... non capisco dove devo andare per il percorso HKLM \Software \Microsoft \Windows NT \CurrentVersion \Winlogon \...

[Gases]

Mi spiego meglio: vado su start->esegui e digito regedit; si apre il registro di sietema:

A questo punto però non riesco a trovare il percorso: HKLM \Software \Microsoft \Windows NT \CurrentVersion \Winlogon
Per comodità segue lo screenshot della schermata del registro: http://www.freefilehosting.net/show/NDgxMzM=

[Sante62]

[Gases]

Chiarissimo, grazie

Ho fatto la scansione con Spybot Search & Destroy: era comunque la prima cosa che avevo fatto giorni fa quando mi sono beccato il virus ed il risultato di adesso è praticamente lo stesso..

Il risultato della scansione è mostrato nello screenshot che segue: http://www.freefilehosting.net/show/NDgxMjI=
Lo posto perchè la prima riga a me sembra stranissima e comunque è segnalata come un errore durante la scansione... alla fine comunque, dopo aver effettuato la correzione dei problemi, anche nella prima riga compare la spunta di "risolto" anche se il risultato è che riesce a risolvere 16 problemi e non riesce invece a risolverne due.
Segue il log di Spybot dal quale si vedono i due problemi che non riescono ad essere fissati: http://www.freefilehosting.net/download/NDgxMjc=

Ho riavviato quindi in modalità normale e dal task manager ho terminato il processo shell.exe.

Nel registro di sistema, in HKEY_LOCAL_MMACHINE \Software \Microsoft \Windows NT \CurrentVersion \Winlogon \, ho individuato Shell ed in effetti c'era Explorer.exe-> C:\WINDOWS\shell.exe. Come da tue indicazioni ho eliminato il valore aggiunto e adesso compare soltanto Explorer.exe.

Infine ho eliminato manualmente:

C:\WINDOWS\shell.exe
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\spoolvs.exe

Segue il log di HJT: http://www.freefilehosting.net/download/NDgxNTE=

[Sante62]

Bene, complimenti...
Adesso avvia HJT e seleziona a sinistra queste righe:

[Gases]

Fatto... Ho trovato tutti le righe e le ho eliminate. Questo è il log di HJT http://www.freefilehosting.net/download/NDg1NjI=

Un dubbio.. Il firewall devo installarlo adesso? No, perchè con il portatile sono offline: a causa del virus la finestra di explorer dopo qualche secondo si chiude da se e qindi non posso navigare... per scrivere qui uso un altro pc!

[Sante62]

Purtroppo quelle vioci ci sono ancora...
Apri il registro di sistema e naviga attraverso queste chiavi:

[Gases]

Ho aperto il registro di sistema, ma le chiavi:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.e

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe

non sono presenti.

Invece per quanto riguarda la sottochiave Userinit di:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

c'è già solo C:\WINDOWS\system32\userinit.exe, (virgola compresa).

Complessivamente quindi nel registro di sistema non ho apportato alcuna modifica.

Ho però scaricato su un altro pc Combofix e SmithFraudfix (su un altro pc e poi li ho messi nel portatile con il pennino..).

Durante la scansione con Combofix (eseguita in modalità normale) ad un certo punto il pc si è riavviato (è normale??)... Al riavvio ha però continuato con la scansione ed ha generato il seguente log:

http://www.freefilehosting.net/download/NDg3Mjc=

Come da istruzioni prima di effettuare la scansione con SmithFraudfix (eseguita in modalità provvisoria) ho disattivato il ripristino di sistema. Ho proceduto con la scansione e con la pulizia del registro e riavviato il pc. Questo è il log:

http://www.freefilehosting.net/download/NDg3Mjk=

Infine ecco il log di HJT: http://www.freefilehosting.net/download/NDg3MzA=

PS: Devo riattivare il ripristino di sistema?

[Sante62]

OK, pare che vada un po meglio.
Controlla un'altra volta questa chiave ed elimina l'eventuale valore aggiunto:

[Gases]

Allora, ho controllato la chiave

HKEY_LOCAL_MMACHINE \Software \Microsoft \Windows NT \CurrentVersion \Winlogon \

e sul valore Shell sulla destra c'è solo Explorer.exe, quindi non ho modificato nulla..

Poi ho scaricato ATF Cleaner ed ho pulito tutto... Non ho nè Firefox nè Opera, quindi ho semplicemente eseguito il programma, selezionato tutto ed eliminato quel che aveva da eliminare...

Infine ho eseguito Spybot in modalità provvisoria. La strana prima riga delle scansioni precedenti in effetti non c'è più... dopo la scansione ho selezionato tutto (le 2 voci rosse e la decina di verdi...), non so se ho fatto bene, ma non sono riuscito comunque ad eliminare due delle entries in verde.

Anche la scansione con Spybot in modalità normale ha individuato degli errori: ancora una volta ho eliminato sia le vioci in verde che quelle in rosso ed ancora una volta due delle voci in verde non sono andate via...

Il problema è ke non riesco più a ricordare come tirare fuori il log di Spybot

PS: prima di effettuare la scansione con SmithFraudfix ho disattivato il ripristino di sistema perchè così si diceva nel forum.. devo riattivarlo?

[Sante62]