ciao a tutti!
mi trovo di fronte a questo problema, sospetto sia un virus ma non riesco a scovare la fonte.

Ogni volta che riavvio il pc nella partizione dati creata di xp trovo un lista di circa 300 elementi che hanno il nome dei più famosi programmi in circolazione, sono tutti file .rar da 1.06 MB. Il mio avast antivirus non si accorge di niente, i log di hijackthis sono puliti. Ho provato a fare varie pulizie con anti spyware e con ccleaner in modalità provvisoria ma niente. In realtà però all'inizio mi ogni tot minuti avast mi diceva che c'era un trojan in system32 ma una delle 1000 pulizie effettuate deve essere andata parzialmente a buon fine perchè gli avvisi non ci sono più ma rimango con il problema.
Nel forum ho trovato problematiche che mi sembravano come la mia ma che non lo erano...a questo punto è en accetto qualsiasi consiglio...
Thx

...... Il mio avast antivirus non si accorge di niente
Ma ...... guarda te Avast cosa non combina ;)

Al lavoro, su ....... inizia da qui:

http://www.hwupgrade.it/forum/showthread.php?t=1589984

http://www.hwupgrade.it/forum/showthread.php?t=1599737

ok...sto effettuando una scansione con i programmi indicati nel secondo link, posto tutti i log?? (sta trovando qualcosa)

ok...sto effettuando una scansione con i programmi indicati nel secondo link, posto tutti i log?? (sta trovando qualcosa)

quando hai finito posta tutti i log hostandoli su www.fileup.itadib.com

ps: hai disattivato il ripristino di sistema?

si il ripristino di sistema lo ho scaricato.

log a-square: http://www.fileup.itadib.com/download.php?id=2yWAVDzrDGz0fZXET7OD

log gmer: http://www.fileup.itadib.com/download.php?id=Z3Z2nlPoWpsZAciWFATi

log hijackthis: http://www.fileup.itadib.com/download.php?id=C0dSlJDJBmdVhaI2LOQv

log prev x : http://www.fileup.itadib.com/download.php?id=0qdciVABBfExhAnKqbQV

Prevx CSI Log - Version v1.5.103.214
Summary:
C:\WINDOWS\system32\swreg.exe - >> Generic.Malware

[b]PROCEDI IN QUESTO MODO:

WARNING: PROCEDURA NON STANDARD RISPETTO A QUELLA INDICATA SUL FORUM.

PRIMA DI PROCEDERE LEGGERE BENE LE SPECIFICHE RELATIVE AL SISTEMA OPERATIVO IN USO ED ALLA COMPTABILITA’ DEI RELATIVI SOFTWARE E TOOL

***************

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

IN BASE AL SISTEMA OPERATIVO IN USO, SCARICA ED INSTALLA:

● CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup201.exe)
Compatibilita: Windows XP e Windows Vista

● clicca sulla icona di Setup, si avvierà il Wizard di installazione
● durante l'installazione, tra le diverse opzioni, verrà, anche, richiesta l'installazione della Toolbar di Yahoo: togli la spunta alla relativa voce in maniera da non installarla
Una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● nel menu di sinistra portati alla voce Opzioni
● nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate e togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro
● spunta tutte le voci comprese nella sezione
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

**********

● KASPERSKY VIRUS REMOVAL TOOL: clicca qui per il download (http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/)
Compatibilita: Windows XP
scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione

● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva il log che verrà rilasciato

Nota 1: ● Il tool è incompatibile se si hanno già prodotti Kaspersky installati
Nota 2: ● non possiede una funzione di aggiornamento automatico delle firme

PROCEDURA DI DISINSTALLAZIONE DI KASPERSKY VIRUS REMOVAL TOOL:

● clicca sull’icona per lanciare il tool
● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection
● verrà visualizzato un messaggio: clicca su Ok
● chiudi la pagina web che verrà aperta
● nel messaggio successivo, clicca su SI per avviare la disinstallazione
● al termine, verrà richiesto di riavviare il P.C.
Si suggerisce di eseguire la disinstallazione, una volta risolto il probema

SE IL S.O. IN USO È WINDOWS VISTA, TENUTO CONTO CHE KASPERSKY VIRUS REMOVAL TOOL NON È COMPATIBILE:

● BITDEFENDER ONLINE SCANNER
Compatibilità: Windows XP e Windows VISTA

● esegui una scansione online da: clicca qui per lo scan online (http://www.bitdefender.com/scan8/ie.html)
● una volta aperta la pagina, clicca I AGREE
● ti farà scaricare ed installare un Activex: segui la procedura guidata.
salva il log ed Report html che verrà rilasciato

**********

● TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download (http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip)
Compatibilità: Windows XP

Devi creare una apposta Cartella sul Desktop ed al suo interno scompatta il file
● lancia il tool e clicca su Scan
● al termine della scansione ti verrà richiesto di salvare il log
● se venissero rilevati rootkit provvedi alla loro eliminazione
● verrà generato un log in una cartella denominata TRMBLog all'interno della cartella che hai precedentemente creato
salva il log che verrà rilasciato

SE IL S.O. IN USO È WINDOWS VISTA, TENUTO CONTO CHE TRENDMICRO ROOTKIT BOOSTER NON È COMPATIBILE:

● GMER: clicca qui per il download (http://www.gmer.net/gmer113.zip)
Utility Antirootkit in grado di rilevare molte informazioni nascoste di Windows
Compatibilità: Windows XP e Windows VISTA

● devi creare una apposta Cartella sul Desktop ed al suo interno scompatta il file
● avvialo per eseguire la scansione
salva il log che verrà rilasciato

**********

● SUPER ANTISPYWARE: clicca qui per il download (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
Compatibilita: Windows XP e Windows Vista

Una volta installato, accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazioni cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

TERMINATE LE SCANSIONI, SI SUGGERISCE DI RIAVVIARE IL SISTEMA

Infine, Installa HIJACKTHIS v.2.0.2:
● devi creare una apposta Cartella in C:/Programmi (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip

pulisci, prima di tutto, gli eventuali ADS, quindi:
● lancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

rilancia Hijackthis_v2, clicca su Do a system scan and save a logfile
● una volta che è stata creata la list, clicca su Save Log
salva il log che verrà rilasciato

A questo punto, devi allegare, i seguenti log che hai salvato

● il log di KASPERSKY VIRUS REMOVAL TOOL
● il log ed il report html di BITDEFENDER SCANNER ONLINE solo se il S.O. Windows VISTA
● il log di GMER solo se il S.O. Windows VISTA
● il log di SUPER ANTISPYWARE
● il log di HIJACKTHIS

[b]MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP (http://www.fileup.itadib.com/index.php), pubblicando, nella discussione, in unico post, singolarmente per ogni log, il link che verrà rilasciato per il download

ho notato questo

Key: HKEY_USERS\S-1-5-21-796845957-838170752-1801674531-1004\software\kazaa

chiave che a-squared ha rimosso anche dal mio pc nella scansione che ho fatto oggi dopo averlo aggiornato, e la cosa mi è stata da subito un po' sospetta in quando io quel programma non l'ho mai avuto :D

ps: ora faccio quell'altra ennesima scansione sul portatile

visto che stò ricevendo molto gentilmente un ottimo supporto mi sembra opportuno ed educato avvisare che stò già eseguendo la procedura che mi è stata suggerita ma che per problemi "logisticisti" (mi devo svegliare prestissimo!!) sono costretto a rimandare a domani il tutto...

grazie mille a domani

ok ci sono, ho effettuato tutti i passaggi per filo e per segno, al momento al primo riavvio il problema è ancora in essere, comunque allego i log:

kaspersky http://www.fileup.itadib.com/download.php?id=kmm9541JXWcZzUobkrLh

superantispyware http://www.fileup.itadib.com/download.php?id=I3u8LaOSxCSStvn5g6xs


hijackthis http://www.fileup.itadib.com/download.php?id=RRaTHKwKO1Egs2sxUzXj

anche se non servono in quanto non ho windows vista , nel caso ho anche i log di gmer e bitdefender....

ho letto vundo un po ovunque, avevi gia seguito una guida per rimuovere Vundo?

più che qualche guida ho seguito qualche nozione appresa tempo fa, ma senza esito.....

allora se si presenta ancora il problema, dovresti essere ancora infetto da vundo, e devi seguire la guida relativa (trovi il link nella guida alla disinfezione)

ormai credo che puoi continuare pure a postare qui i log di quella guida :D

ripassavo di qui eh... :D si sei sicuramene infetto da vundo

ho riletto la scansione con kaspersky tool e nn ho capito se i file ce ti ha identificato li ha cancellati o no :confused: e se ha finito la scansione

fixa questa voce:
O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe


se non ti ha eliminato i file il tool di kaspersky
scarica avenger (lo trovi nel topic di vundo)
premi insert script manually e inserisci questo:

Files to delete:
c:\windows\system32\winprint.exe
c:\windows\system32\NTSpool.exe
C:\Documents and Settings\Gabri\Impostazioni locali\Temp\Setup + Patch.exe
C:\Documents and Settings\Gabri\Impostazioni locali\Temp\TEMP1.ZIP/Setup + Patch.exe

clicca done, premi il semaforo, clicca su OK e ora dovrebbe riavviare il pc
credo :confused: che tutti gli altri file infetti da vundo li puoi cancellare manualmente, altrimenti aggiungi il percorso nello script

ora inizia a seguire passo passo la guida per il vundo
qui: http://www.hwupgrade.it/forum/showthread.php?t=1603273

credo di aver indicato giusto, o no? :D
la parola ai capi :stordita:
buona notteeeeeeeeeeee :D

a questo punto lo tengo aperto per verificare che sia solo infetto da vundo...
ovviamente si attendono anche qui le news finito con la disinfezione del vundo :)

Allora, inizio con i primi log, dopodichè riavvio il pc in modalità normale e procedo con il punto sei della guida.
- renV mi ha dato come risultato 0
- log Vundofix http://www.fileup.itadib.com/download.php?id=C94Y7pPzKnoCejR4vtFt
- log Fixvundo http://www.fileup.itadib.com/download.php?id=MX2x21W7IjGfkiimU5K6
- log VirtumundoBeGone http://www.fileup.itadib.com/download.php?id=WrNh15kidqIV8q0fcp1Q
- log ComboFix http://www.fileup.itadib.com/download.php?id=3yx3vfhyos7a6PUEOvg3

procedo con il resto dei log:

- log Prevx CSI http://www.fileup.itadib.com/download.php?id=vUzZCmJhNNREuQyhCluC

- log virit (anche provando a riavviare più volte il pc non riesco ad installarlo in quanto si blocca credo quasi al termine dell'installazione)

- log hijackthis http://www.fileup.itadib.com/download.php?id=xhLclXzrvMhVyjmvPy5G

- log FindAWF http://www.fileup.itadib.com/download.php?id=zBhxg1d5PXXKZlzYnZPu

- log avenger http://www.fileup.itadib.com/download.php?id=Df98ct586hb52EeTqJPP

NOTE : dopo il primo riavvio in modalità normale e dopo i successivi riavvii il problema non si è più presentato, i file che trovavo nella partizione dati sono sapriti!!!!!!!!!!!!!!!

disinstalla la toolbar di Yahoo!
se non la hai ancora fatta, fai una pulizia con Ccleaner (leggi le regole di sezione per la configurazione)

dopodiche questo è ancora li

O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe

fixalo assieme a tutte le voci 016, riavvia e fai un altro log di Hijackthis

operazione effettuata, ecco il log
http://www.fileup.itadib.com/download.php?id=W67npdmB8aILjV7XG57a

a me pare, che non hai fixato nulla :D e nemmeno disinstallato la toolbar di yahoo, a meno che nn hai hostato il log sbagliato di hthis

guarda io la yahoo toolbar l'ho disinstallata e ho fixato ciò che mi hai detto...riprovo a mandarti il log, magari ho messo quello vecchio...
http://www.fileup.itadib.com/download.php?id=iOZLYLdP5Ca1FYXGrg94

Ora è quello giusto

fixa questo:
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

il log mi sembra pulito, puoi anche fixare queste voci piu o meno inutili per ottimizzare l'avvio del pc:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start

dato che ancora non mi pare che hai fatto questa procedura di disinstallazione:

[CENTER][SIZE="3"][COLOR="RED"][B]PROCEDURA DI DISINSTALLAZIONE DI KASPERSKY VIRUS REMOVAL TOOL:

● clicca sull’icona per lanciare il tool
● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection
● verrà visualizzato un messaggio: clicca su Ok
● chiudi la pagina web che verrà aperta
● nel messaggio successivo, clicca su SI per avviare la disinstallazione
● al termine, verrà richiesto di riavviare il P.C.
Si suggerisce di eseguire la disinstallazione, una volta risolto il probema

e che non sei riuscito a installare Virit, esegui un altra scansione e salva il log finale. Quando terminato riavvia e posta un altro log di Hthis e quello di kas

non ho ancora ben capito come leggere il log di combofix ma mi sembra sia tutto a posto :stordita:
a meno che qualche socio non ne voglia vedere uno fresco e nuovo, questa è la procedura di disinstallazione di combofix:
Start-> Esegui-> combofix /u

Ricordati di disattivare nuovamente il ripristino di sistema poichè sia con l'installazione che con la disinstallazione Combofix lo riattiva