Salve gente. :) La situazione è questa:
Il computer problemi non ne da, ma facendo la scansione online di PandaActive Scan mi rileva un virus TROJAN.AGENT.GEN dicendo di averlo rimosso...ma il virus c'è ancora. Qui cè il suo log:


Virus:Trj/Downloader.RKS
C:\WINDOWS\system32\~.exe

Common name: Downloader.RKS
Technical name: Trj/Downloader.RKS
Threat level: Medium
Type: Trojan
Effects: It allows to get into the affected computer. It changes system permissions. It does not spread automatically using its own means.
Affected platforms: Windows 2003/XP/2000/NT/ME/98/95

First detected on: Dec. 1, 2007
Detection updated on: Dec. 16, 2007
In circulation? Yes
Proactive protection: Yes, using TruPrevent Technologies

PrevXCSI mi rileva lo stesso virus nel file UPDATE_0712_KB141654.EXE con le seguenti informazioni:

UPDATE_0712_KB141654.EXE

This executable program has a file size of 21,504 bytes, it is most frequently called UPDATE_0712_KB141654.EXE and is most frequently located in the %startmenu%\ folder.
This file is considered unsafe and is part of the malware group, TROJAN.AGENT.GEN. It was first seen on Saturday, Dec 15 2007. It has only been seen by one user in this section of the community. The file was first seen in ITALY but has been seen in other locations, including SPAIN.
UPDATE_0712_KB141654.EXE has been seen to perform the following behaviors:
- The Process is packed and/or encrypted using a software packing process
- This Process Deletes Other Processes From Disk
- Deletes Links in the Start Menu
- Executes a Process
- The process hooks code into all running processes which could allow it to take control of the system or record keyboard input, mouse activity and screen contents
UPDATE_0712_KB141654.EXE has been the subject of the following behaviors:
- Executed as a Process
- Deleted as a Link in the Start Menu

NOD32, SysClean, BitDefender online, A-Squared Free e Ad-Aware 2007 non mi rilevano nulla.
ESET ADS Revealer non vede nulla in c:\windows e trova alcuni file thumbs in C:\documens and settings che non riesce a correggere.
Gmer: diciture in rosso non ce ne sono.

Analizzando il log di HiJack online, risultano queste voci come sconosciute e consiglia di fixarle ma anche facendolo le voci si ripresentano.

O2 - BHO: (no name) - {19E202FA-C2AF-479F-876A-0BD21A9E8771} - c:\windows\system32\clusapie.dll

O2 - BHO: (no name) - {2E9F6A62-8CD1-47C0-B841-DB045D32C0B5} - C:\WINDOWS\system32\atitvo32w.dll (file missing)

O20 - Winlogon Notify: ekbbzkxc - C:\WINDOWS\SYSTEM32\clusapie.dll

Il programma CCleaner non riesce a correggere una chiave di registro chiamata: Problema ActiveX/COM InProcServer32\c:\WINDOWS\system32\atitvo32w.dll

Ripristino configurazione di sistema è disattivato.
Inoltre fino a poco tempo fa mi compariva questo problema, che non so se sia legato al virus o meno: error.bmp - 0.46MB (http://www.zshare.net/image/5976441f8f4adb/)

Cosa dite, cè l'infezione?
Grazie in anticipo! :)

L'infezione ce' eccome, hosta su www.zshare.net i logs di Prevx CSI e HJT, ciao.

ecco i due log:

hijackthis.log - 0.01MB (http://www.zshare.net/download/5981393c20baa1/)

prevx csi.log - 0.29MB (http://www.zshare.net/download/5981419c02f3b3/)

si dovrebbe seguire per intero la procedura descritta in Guida alla DISINFEZIONE per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) quindi non solo i log di HiJackThis e Prevx CSI ma ben di più che appunto offrono uno screenning completo!

per il momento ringrazio per la collaborazione :)

Disattiva Ripristino configurazione sistema
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Rirpristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.
N.b.: durante la procedura di disinfezione non utilizzare software di messaggistica istantanea e file sharing

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/836aab53c0dfd8723b25ba68ecc6b540/download/

Avenger
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.
Script
Files to delete:
C:\WINDOWS\system32\~.exe
c:\windows\system32\clusapie.dll
C:\WINDOWS\SYSTEM32\clusapie.dll
C:\WINDOWS\system32\atitvo32w.dll

Riavvia il PC in modalità provvisoria F8 e fixa le voci sottoindicate:

O2 - BHO: (no name) - {19E202FA-C2AF-479F-876A-0BD21A9E8771} - c:\windows\system32\clusapie.dll
O2 - BHO: (no name) - {2E9F6A62-8CD1-47C0-B841-DB045D32C0B5} - C:\WINDOWS\system32\atitvo32w.dll (file missing)
O20 - Winlogon Notify: ekbbzkxc - C:\WINDOWS\SYSTEM32\clusapie.dll
Ricorda che Hijackthis deve essere avviato da una cartella a lui dedicata. Solo così Hijackthis creerà copie di backup prima di apportare modifiche!

Riavvia il PC in modalità normale scarica Dr.Web CureIt prelevabile a questo indirizzo: ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
N.B: una volta eseguito fà una scansione delle aree sensibili, cioè più a rischio di infezioni, una volta terminata questa prima fase, lancia una scansione di tutto il sistema

Riepilogo dei log da allegare:
Avenger
Nuovo log di HJT
CureIt

Ciao

Scusate ma almeno il primo post lo avete letto?
Disattiva Ripristino configurazione sistema
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Rirpristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.
N.b.: durante la procedura di disinfezione non utilizzare software di messaggistica istantanea e file sharing

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/83...b540/download/

Tutto questo l'ho gia fatto e nel primo post cè scritto :)

si dovrebbe seguire per intero la procedura descritta in Guida alla DISINFEZIONE per Infetti quindi non solo i log di HiJackThis e Prevx CSI ma ben di più che appunto offrono uno screenning completo!

L'ho letta la guida ed infatti mi sembra di aver abbastanza rispettato il procedimento...no? :mbe:
Ora procedo con Avenger e Dr.Web poi vi dico i risultati, intanto grazie per l'aiuto. ;)

Disattiva Ripristino configurazione sistema
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Rirpristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.
N.b.: durante la procedura di disinfezione non utilizzare software di messaggistica istantanea e file sharing

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/83...b540/download/

il post l'ho letto e quello che leggo lo comprendo, ho preferito riepilogare i punti indicati per ulteriore scrupolo e per non vanificare l'intera procedura. Comunque la sequenza è la seguente Avenger - HijackThis - CureIt
Ciao attendiamo i log

Ho seguito i vostri consigli ed ecco i log richiesti:

avenger.txt - 0.00MB (http://www.zshare.net/download/5998483313d02a/)

cureit.log - 7.54MB (http://www.zshare.net/download/5999339df377ba/)

hijackthis.log - 0.01MB (http://www.zshare.net/download/599944196cd861/)

prevxcsi.log - 0.28MB (http://www.zshare.net/download/5999502871998d/)

Da quel che ho capito Avenger non è riuscito ad eliminare quei file e neppure HiJack da modalità provvisoria. Dr.Web non mi pare che trovi nulla, mentre PrevX rileva ancora il solito virus. :muro:
Però ho rifatto qualche passata con CCleaner e quella chiave di registro che trovava sempre ora è riuscito a fixarla.

Rilancia lo script di Avenger da modalità provvisoria, allega il log + un log degli Startup in questo modo:
Lancia HJT clicca su Open the Misc Tool section - clicca su Generate Startup List log mettendo il segno di spunta su entrambi i campi a dx

Ciao

Fatto:

avenger.txt - 0.00MB (http://www.zshare.net/download/60090433a15935/)

startuplist.txt - 0.03MB (http://www.zshare.net/download/600906387fd4a0/)

http://www.hwupgrade.it/forum/showpost.php?p=20291527&postcount=32

Fatto:

combofix.txt - 0.01MB (http://www.zshare.net/download/601241048f341e/)

hijack log.log - 0.01MB (http://www.zshare.net/download/6012420a421000/)

hijack startuplist.txt - 0.03MB (http://www.zshare.net/download/60124242d3f33e/)

Come procedo?

Scarica SDFix e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Log completo di Gmer bisogna trovare il componente che impedisce la cancellazione dei files + log di SDFix thx.

Non riesco a reperire SDFix, pare che nel sito non sia piu disponibile... :doh:

Non riesco a reperire SDFix, pare che nel sito non sia piu disponibile... :doh:

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Ma tu riesci a scaricarlo da quell'indirizzo? hai provato? perche io ci ho provato in tutti i modi, il download parte ma si blocca verso la fine...

Edit: intanto allego due log di scansioni appena effettuate nel caso servissero. Ho notato ke prevx trova un file diverso infetto...

prevx csi.log - 0.29MB (http://www.zshare.net/download/6027150cabc92b/)

gmer.log - 0.17MB (http://www.zshare.net/download/6027163fae5e5c/)

Intanto ti ringrazio vivamente per l'impegno che stai prestando ;)

te l'ho messo qui:
http://www.zshare.net/download/6027447a134e1b/

Edit: c'è qualcosa che non mi quadra per quanto riguarda i log mi potresti allegare anche questo:
C:\qoobox\ComboFix-quarantined-files.txt

Era il Nod32 che mi bloccava il download del file... e faceva cosi anche con SmitFraudFix, perche li rileva come virus.
Eccoti i log: (ho rifatto anke quello di Gmer dopo aver lanciato SDFix)

report.txt - 0.09MB (http://www.zshare.net/download/602819193bac95/)

gmer.log - 0.17MB (http://www.zshare.net/download/6028530112b6c1/)

combofix-quarantined-files.txt - 0.00MB (http://www.zshare.net/download/6028575577d173/)

dovremmo essere in dirittura di arrivo, nuovo log di PrevX + HJT

Edit: prima dei log fai questo
Scarica sul Desktop SmitFraudfix e decomprimilo http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Riavvia in modalità provvisoria F8
Apri la cartella che contiene SmitfraudFix e avvia smitfraudfix.cmd
Seleziona opzione 2 - Clean cliccando sul 2 e premi Invio.
Riceverai questo messaggio: Registry cleaning - Do you want to clean the registry ?
Rispondi Sì cliccando Y e premi invio.
Rispondi Sì (Y) ad eventuali altre domande

Il log di PrevX l'ho dovuto fare in modalità provvisoria perche in normale mi si chiudeva improvvisamente durante la scansione... Inoltre rileva ancora quel virus.
Di seguito trovi tutti i log:

hijackthis.log - 0.01MB (http://www.zshare.net/download/6030162c8fbe50/)

startuplist.txt - 0.03MB (http://www.zshare.net/download/6030171d32ddbb/)

prevx.log - 0.24MB (http://www.zshare.net/download/6030176efd0a9d/)

smitfraudfix.txt - 0.00MB (http://www.zshare.net/download/6030187d52803b/)

puoi tranquillamente fixare:

O2 - BHO: (no name) - {19E202FA-C2AF-479F-876A-0BD21A9E8771} - c:\windows\system32\clusapie.dll

O2 - BHO: (no name) - {2E9F6A62-8CD1-47C0-B841-DB045D32C0B5} - (no file)

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programmi\BitComet\tools\BitCometBHO_1.1.9.24.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Scarica tutti i video usando BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddVideo.htm
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Programmi\BitComet\tools\BitCometBHO_1.1.9.24.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1194265518921

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://sofysuper94.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: ekbbzkxc - C:\WINDOWS\SYSTEM32\clusapie.dll

oltre a fixare le voci indicate sopra, esegui questo Script ovvero tutto quello che è all'interno del Quote

Files to delete:
c:\windows\system32\clusapie.dll
C:\WINDOWS\system32\swreg.exe

poi nuovo log di Hjt, incrociamo le dita dovremmo essere a posto.

Prima di fare questi log e i procedimenti indicati nell'ultimo post, ho fatto per scrupolo una scansione con Nod32 nella cartella system32 e mi ha rilevato ed eliminato questo:
C:\WINDOWS\system32\Process.exe - Win32/PrcView applicazione

avenger.txt - 0.00MB (http://www.zshare.net/download/60324142cba373/)

hijackthis.log - 0.00MB (http://www.zshare.net/download/6032422e08eac7/)

startuplist.txt - 0.03MB (http://www.zshare.net/download/60324312a51ae0/)

prevx.log - 0.29MB (http://www.zshare.net/download/603244361daa24/)

Speriamo sia la volta buona...

Prima di fare questi log e i procedimenti indicati nell'ultimo post, ho fatto per scrupolo una scansione con Nod32 nella cartella system32 e mi ha rilevato ed eliminato questo:
C:\WINDOWS\system32\Process.exe - Win32/PrcView applicazione

ha eliminato un processo di SmitfraudFix

Speriamo sia la volta buona...

non siamo ancora a posto, quindi fixa queste voci da nodalità provvisoria F8 con il browser chiuso:
O20 - Winlogon Notify: ekbbzkxc - C:\WINDOWS\SYSTEM32\clusapie.dll
O2 - BHO: (no name) - {19E202FA-C2AF-479F-876A-0BD21A9E8771} - c:\windows\system32\clusapie.dll
O2 - BHO: (no name) - {2E9F6A62-8CD1-47C0-B841-DB045D32C0B5} - (no file)

Inserisci questo Script in Avenger:

Files to delete:
C:\WINDOWS\SYSTEM32\clusapie.dll
c:\windows\system32\clusapie.dll

Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19E202FA-C2AF-479F-876A-0BD21A9E8771}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2E9F6A62-8CD1-47C0-B841-DB045D32C0B5}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ekbbzkxc

Al termine nuovo log di HJT + Prevx CSI procediamo per gradi ci sono altre cose da fare.

prevx.log - 0.28MB (http://www.zshare.net/download/6054558e7c9562/)

hijackthis.log - 0.00MB (http://www.zshare.net/download/6054565971386b/)

startuplist.txt - 0.03MB (http://www.zshare.net/download/6054575447203c/)

log di Avenger me lo sono dimenticato, stò controllando i log ma come è possibile che Prevx rilevi ciò C:\WINDOWS\system32\swreg.exe dal momento che è stato cancellato con Avenger, i passaggi indicati sono stati eseguiti?

Si, i passaggi sono stati eseguiti alla lettera.

Per sicurezza ho rifatto tutto l'ultimo passaggio e questi sono i nuovi log.

Ho notato che ad ogni riavvio del pc mi ritrovo ripristino configurazione di sistema attivato, che sia questa la causa?

Poi, quando fixo le voci di HiJack se riprovo subito a fare un secondo scan me le ritrova immediatamente nonostante siano state fixate, è normale?


avenger.txt - 0.00MB (http://www.zshare.net/download/60582927d353d2/)

prevx.log - 0.29MB (http://www.zshare.net/download/60583153f1471f/)

hijackthis.log - 0.00MB (http://www.zshare.net/download/605832229b9fcc/)

startuplist.txt - 0.03MB (http://www.zshare.net/download/6058329755016b/)

Il system restore deve essere disabilitato è così deve rimanere

1 - Look2Me-Destroyer
http://www.atribune.org/ccount/click.php?id=7
Chiudere tutti i programmi prima di continuare.
Cliccare su Look2Me-Destroyer.exe per eseguirlo.
Mettere la spunta a "next to Run this program as a task"
Riceverete un messaggio messaggio che Look2Me-Destroyer si chiuderà e riaprirà in 1 minuto. CliccateOK
Quando Look2Me-Destroyer si riapre, Clicca sul bottone "Scan for L2M " , le icone del desktop scompariranno, questo è normale.
Una volta fatta la scansione, cliccare su "Remove L2M".
Riceverete il messaggio scansione effettuata, cliccare OK.
Quando completato, vedrete messaggio: " Done removing infected files! Look2Me-Destroyer will now shutdown your computer", cliccare OK.
Al riavvio, allegare il contenuto di Look2Me-Destroyer.txt ed un nuovo log HiJackThis

2 - Fai girare nuovamente ComboFix da mod.provvisoria disabilitando momentaneamente il tuo AV, allega il log.

Riepilogo log
Look2Me
ComboFix
HJT

Il system restore deve essere disabilitato è così deve rimanere

Lo sò, ma ogni volta che riavvio, ed ogni tot di tempo anche senza riavviare durante la giornata, lo ricontrollo e nonostante tutte le volte io lo disabiliti, me lo ritrovo attivato. Che sia il virus che fa questo?

Ecco i nuovi log:

combofix.txt - 0.01MB (http://www.zshare.net/download/612183495b8769/)

prevx.log - 0.29MB (http://www.zshare.net/download/6121901cb15840/)

look2me-destroyer.txt - 0.00MB (http://www.zshare.net/download/612191639b08f0/)

hijackthis.log - 0.00MB (http://www.zshare.net/download/612185293df885/)

startuplist.txt - 0.03MB (http://www.zshare.net/download/61218607433c7c/)

Ho notato che PrevX non rileva più quel virus di prima, ma rileva clusapie.dll

Mi sai dire che tipo di attività malevole mi causa questo virus?
Ciao

Per quanto riguarda il Trojan eliminato da SDFix questi sono gli effetti che produce:
Virus:Trj/Downloader.RKS
C:\WINDOWS\system32\~.exe

Common name: Downloader.RKS
Technical name: Trj/Downloader.RKS
Threat level: Medium
Type: Trojan
Effects: It allows to get into the affected computer. It changes system permissions. It does not spread automatically using its own means.
Affected platforms: Windows 2003/XP/2000/NT/ME/98/95

per quanto concerne questo c:\windows\system32\clusapie.dll è sicuramente un Trojan che ha delle caratterisitche assimilabili al Vundo, ma di "preciso" non sò dirti quali siano gli effetti che produce, tanto è vero che sembra ineliminabile, un'altro utente ha il tuo medesimo problema http://www.hwupgrade.it/forum/showthread.php?t=1638213.

Sarebbe opportuno caricare su www.virustotal.com clusapie.dll per farla analizzare, indica nel prossimo post i risultati, successivamente scarica VirIt http://www.tgsoft.it/files/vnlt6230.exe aggiornalo e fallo scansionare, attendiamo i risultati, ciao.

Il log di Vir-It, l'ho fatto solo nella cartella system32 ed in modalità provvisoria, per mancanza di tempo (l'aggiornamento l'ho fatto); se non va bene cercherò di farlo a tutto il sistema appena ho un po piu di tempo (in questi giorni mi riesce difficile).

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
03/01/2008 - 18:22:37

[SCANSIONE DEL REGISTRO]
OK

[C:\WINDOWS\system32]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 5894.
Files Totali: 5894.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.


Analisi del file su VirusTotal:

MD5: d41450e3acb635e83357e73915adcf7c
Data 2008.01.02 20:06:33 (CET) [<1D]
Risultati 7/32
Permalink: analisis/894a0a5241e5d7df385e265c7bd77bf9 (http://www.virustotal.com/it/analisis/894a0a5241e5d7df385e265c7bd77bf9)

Sarebe opportuno scansionare tutto il sistema, quindi dopo aver fatto girare VirIt ed allegato il log, segui la seguente procedura:

Fixa per l'ennesima volte le seguenti voci, quindi esegui HJT clicca su Do a system scan - metti il segno di spunta nella casella bianca a sx delle voci sottoindicate - clicca su Fix checked:
O2 - BHO: (no name) - {19E202FA-C2AF-479F-876A-0BD21A9E8771} - c:\windows\system32\clusapie.dll
O2 - BHO: (no name) - {2E9F6A62-8CD1-47C0-B841-DB045D32C0B5} - (no file)
O20 - Winlogon Notify: ekbbzkxc - C:\WINDOWS\SYSTEM32\clusapie.dll

Apri il Blocco Note copia e incolla queste righe:

File::
c:\windows\system32\clusapie.dll
C:\WINDOWS\SYSTEM32\clusapie.dll
C:\WINDOWS\system32\drivers\enqorddb.dat

Driver::
C:\WINDOWS\system32\drivers\enqorddb.dat

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2E9F6A62-8CD1-47C0-B841-DB045D32C0B5}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{19E202FA-C2AF-479F-876A-0BD21A9E8771}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ekbbzkxc]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt + nuovo log di HJT, ciao.

La scansione completa con Vir-It l'ho fatta. PrevX non rileva più virus.
Ecco i log:

combofix.txt - 0.01MB (http://www.zshare.net/download/618689506d4b0a/)

prevx.log - 0.29MB (http://www.zshare.net/download/618693422fa429/)

vir-it.txt - 0.00MB (http://www.zshare.net/download/6186958f54e3e9/)

hijackthis.log - 0.00MB (http://www.zshare.net/download/6186966493b37a/)

startuplist.txt - 0.03MB (http://www.zshare.net/download/6187001f440d24/)

Dal log di HiJack sono scomparse quelle voci, che sia la volta buona?

Dopo lunga e penosa malattia :) dovremmo essere finalmente a posto, ultime cosuccie:

Fai un'altra pulizia con CCleaner
Aggiorna IE alla versione 7 da qui: http://www.microsoft.com/italy/windows/products/winfamily/ie/default.mspx
a prescindere dall'aggiornamento di IE ti consiglio di utilizzare un browser alternativo come Opera o Firefox
Installa un Firewall software di solito l'accoppiata con Nod32 è Outpost http://www.hwupgrade.it/forum/showthread.php?t=1327005
Installa un'antispyware con la protezione real-time tipo SpywareTerminator
http://www.hwupgrade.it/forum/showthread.php?t=1246338
Ti consiglio inoltre l'utilizzo di Sandboxie http://www.hwupgrade.it/forum/showthread.php?t=1570797 anche in fuzione del fatto che usi Emule
Ciao e buon proseguimento.

o OnlineArmor che è notevolmente più semplice e come protezione è allo stesso pari del firewall outpost-pro :)

Grazie ragazzi siete veramente fenomenali :D

Comunque CCleaner lo uso costantemente, e come browser uso Firefox, solamente che essendo un pc "familiare" lo usano anche mia sorella e mio padre che di pc non son molto pratici, e loro usano IE appunto...
Come firewall uso quello del router, che mi protegge tutti i pc di casa e non mi appesantisce i sistemi.
Sandboxie non lo conosco, ma ascolterò il tuo consiglio e ci darò un'occhiata.

Ciao e grazie ancora, in particolare a Chill-Out che mi ha seguito assiduamente durante il calvario :ave: :mano:

Ciao!