Ciao

mi sono quasi sicuramente infettato cercando di aprire un falso aggiornamento di flash. Ho seguito tutta la procedura da voi indicata e di seguito vi riporto i log (tranne cureit che non funzionando parserlog sto cercando di caricare su Wikisend.
Attualmente, dopo le pulizie, mi continuano ad arrivare messaggi dal firewall di windows che indicano l'ingresso di Trojan (horse downloader fraudload, spy.win32.greenscreen, downloader-win32.Agent.bq, spy.html.bankfraud.dq,....), ma non vedo più i primi problemi (all'inizio sentivo anche i file che venivano scaricati dal mio pc e il loro audio).
Cosa devo fare adesso?
Grazie in anticipo

LOG:

a2scan: http://www.fileqube.com/shared/ZYUqxVd88681

f-secure: http://www.fileqube.com/shared/uViUjeM88682

gmer: http://www.fileqube.com/shared/sEINiEB88683

hijackthis: http://www.fileqube.com/shared/UFwKP88684

prevxcsi image: http://www.fileqube.com/shared/sIxMVGa88685

prevxcsi log: http://www.fileqube.com/shared/fVzdhXOXx88686

mbam: http://www.fileqube.com/shared/CvXOZM88687

sysinspector: http://www.fileqube.com/shared/BEZoKZc88688

innanzitutto complimenti per l'ordine e la compattezza ;)

Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo → Clicca Ok → Copia e Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.

Files to delete:
C:\Documents and Settings\All Users\Dati applicazioni\atchkhan\afszcdwv.exe




poi

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [netzip] C:\WINDOWS\svzip.exe
O4 - HKLM\..\Run: [netw] C:\WINDOWS\svw.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SrvSmartSet] C:\WINDOWS\system32\wxavyxil.exe
O4 - HKCU\..\Run: [ProcMnt] C:\WINDOWS\system32\vinatwjg.exe
O4 - HKCU\..\Run: [DscEnMon] C:\WINDOWS\system32\hgxidizm.exe
O4 - HKLM\..\Policies\Explorer\Run: [Gb04DNTiw9] C:\Documents and Settings\All Users\Dati applicazioni\atchkhan\afszcdwv.exe


poi ce ne sono ancora 2-3 che vorrei vedesse prima anche qualcun'altro

ok, grazie.
Mi metto al lavoro e vi faccio sapere.

a dopo

ecco il log di avenger

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Documents and Settings\All Users\Dati applicazioni\atchkhan\afszcdwv.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


All'avvio PrevxCSI mi ha dice di aver individuato 3 malaware.

Adesso procedo con HiJackThis

Fatto.

Allego log HiJackThis.

Inoltre questo è il link dell'immagine che mi appare al riavvio di prevxcsi:

immagine prevxcsi http://www.fileqube.com/shared/MOikCDI88747

innanzitutto complimenti per l'ordine e la compattezza ;)

Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo → Clicca Ok → Copia e Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.

Files to delete:
C:\Documents and Settings\All Users\Dati applicazioni\atchkhan\afszcdwv.exe




poi

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [netzip] C:\WINDOWS\svzip.exe
O4 - HKLM\..\Run: [netw] C:\WINDOWS\svw.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SrvSmartSet] C:\WINDOWS\system32\wxavyxil.exe
O4 - HKCU\..\Run: [ProcMnt] C:\WINDOWS\system32\vinatwjg.exe
O4 - HKCU\..\Run: [DscEnMon] C:\WINDOWS\system32\hgxidizm.exe
O4 - HKLM\..\Policies\Explorer\Run: [Gb04DNTiw9] C:\Documents and Settings\All Users\Dati applicazioni\atchkhan\afszcdwv.exe


poi ce ne sono ancora 2-3 che vorrei vedesse prima anche qualcun'altro

credo di aver fatto tutto
come sono messo?

disinstalla e reinstalla prevx e nuova scansione

Fai controllare su www.virustotal.com e su http://virscan.org/
C:\Programmi\xulqxp\ChkAdmMon.dll

Una volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se il file dovesse essere nascosto o di sistema, Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione -> Seleziona "Visualizza cartelle e file nascosti" -> scendi e togli la spunta a "Nascondi i file di sistema (consigliato)
Alla fine della verifica rimetti le impostazioni originali

ok, ecco il link per il log di prevxcsi.

http://www.fileqube.com/shared/nuZciYEQp88847

La shermata indica un file trovato:

C:\WINDOWS\system32\hgxidizn.exe Malicious Software (BAD in rosso)

con avenger inserisci
Files to delete:
C:\WINDOWS\system32\hgxidizm.exe

e nuovo log

VirusTotal: http://www.virustotal.com/it/analisis/c2a97f9a1a1fda95c6de230866e2ba08

VirScan: http://virscan.org/report/9a1957dc5a745497ab849b2a970f86d4.html

VirusTotal: http://www.virustotal.com/it/analisis/c2a97f9a1a1fda95c6de230866e2ba08

VirScan: http://virscan.org/report/9a1957dc5a745497ab849b2a970f86d4.html
rilevato 2 volte solo da sophos è un file ok

log di avenger in allegato

La shermata all'avvio di prevxcsi continua a indicare il file:

C:\WINDOWS\system32\hgxidizn.exe Malicious Software (BAD in rosso)

Se può essere importante, AVG non riesce a fare più l'update perchè manca un .dll

C:\WINDOWS\system32\hgxidizn.exe
dovremmo averlo eliminato con avenger
con prevx fai il giochetto di prima e ultima scansione

CLEAN!!!!!!

devo effettuare altri controlli?

inoltre, se pensi sia il caso, disinstallo AVG e seguo e installo quanto consigliato nella guida dopo disinfestazione

vai col trattamento ;)

estirpa pure avg
aggiorna win con sp3, ie7, java e adobe

Grazie Wjmat, sei stato mitico :D

aspetta di vedere la fattura.... ;)

Allega un ultimo log di HijackThis, inoltre come ti è già stato detto aggiorna il parco software complmentare, in particolare Adobe il malware ha fatto breccia anche da li.

scusate,
nel fine settimana non ero connesso.

Ecco l'ultimo log di HiJackThis

scusate,
nel fine settimana non ero connesso.

Ecco l'ultimo log di HiJackThis

Fixa le seguenti voci

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLLavgrsstx.dll
O21 - SSODL: ChkAdmMon - {3D62DD3D-AE67-854D-805D-06EE43894674} - C:\Programmi\xulqxp\ChkAdmMon.dll

allega nuovo log, inoltre aggiorna come ti ho già indicato Adobe o meglio sosituiscilo con FoxitReader

ok, ecco il nuovo log.

Adobe (reader) l'avevo già aggiornato, non mi da ulteriori aggiornamenti disponibili (ho aggiornato alla 7.0)

ok, ecco il nuovo log.

Adobe (reader) l'avevo già aggiornato, non mi da ulteriori aggiornamenti disponibili (ho aggiornato alla 7.0)

Bene, invece per quanto riguarda Adobe se non vado errato dovremmo essere alla versione 9, ciao.

Ok.

Grazie per tutto il vostro aiuto.

Ciao

Ok.

Grazie per tutto il vostro aiuto.

Ciao

Prego