Malwarebytes (http://www.hwupgrade.it/forum/attachment.php?attachmentid=65658&stc=1&d=1222847010)

A-Squared (http://www.fileqube.com/shared/aKgCA118246)

F-Secure (http://www.fileqube.com/shared/gTCFW118248)

Cure-it (sarò scemo ma il programmino non sono riuscito ad usarlo) (http://www.fileqube.com/shared/kPcDGUveq118250)

ESET SysInspector (http://www.fileqube.com/shared/IvaslhwY118252)

HiJackThis (http://www.fileqube.com/shared/bRAlz118253)

Gmer (http://www.fileqube.com/shared/ZGOWJCI118254)

PrevxCSI (http://www.fileqube.com/shared/gQErwqOYY118256)



Mi è stato consigliato anche un tool specifico per suddetto virus, ma ho preferito postare i log visto che ero in ballo con le scansioni.

Malwarebytes (http://www.hwupgrade.it/forum/attachment.php?attachmentid=65658&stc=1&d=1222847010)

A-Squared (http://www.fileqube.com/shared/aKgCA118246)

F-Secure (http://www.fileqube.com/shared/gTCFW118248)

Cure-it (sarò scemo ma il programmino non sono riuscito ad usarlo) (http://www.fileqube.com/shared/kPcDGUveq118250)

ESET SysInspector (http://www.fileqube.com/shared/IvaslhwY118252)

HiJackThis (http://www.fileqube.com/shared/bRAlz118253)

Gmer (http://www.fileqube.com/shared/ZGOWJCI118254)

PrevxCSI (http://www.fileqube.com/shared/gQErwqOYY118256)



Mi è stato consigliato anche un tool specifico per suddetto virus, ma ho preferito postare i log visto che ero in ballo con le scansioni.


Quale tool ti è stato consigliato e da chi? :)

Quello di cui stanno parlando qui (http://www.eggheadcafe.com/software/aspnet/31722916/vundovirtumonde-trojan-r.aspx), mi è stato consigliato da una persona di mia conoscenza.

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20861)


O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Policies\Explorer\Run: [NT Printing Services6] dllhosts.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - tutte le voci senza riferimenti a microsoft


poi c'è da sistemare questa, non fixarla per ora
O20 - AppInit_DLLs: avgrsstx.dll tqiukk.dll

cureit l'ho sistemato io
www.hwupgrade.helloweb.eu/ParserLog/log/output-3206888875.txt


Fai controllare su www.virustotal.com e su http://virscan.org/
C:\WINDOWS\system32\doskeys.exe
C:\WINDOWS\system32\jgsnctmq.dll

Una volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se il file dovesse essere nascosto o di sistema, Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione -> Seleziona "Visualizza cartelle e file nascosti" -> scendi e togli la spunta a "Nascondi i file di sistema (consigliato)
Alla fine della verifica rimetti le impostazioni originali

1 Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella a sx delle sottoindicate voci:

O2 - BHO: (no name) - {69787BA0-4211-4599-A4BC-AB6A4A206899} - C:\WINDOWS\system32\vtUooNFu.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Policies\Explorer\Run: [NT Printing Services6] dllhosts.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O20 - AppInit_DLLs: avgrsstx.dll tqiukk.dll


2 Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
C:\WINDOWS\system32\doskeys.exe
C:\WINDOWS\system32\jgsnctmq.dll

clicca su Execute, al termine il Pc si dovrebbe riavviare se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

Riepilogo log da allegare
Avenger
Nuovo log HJT

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20861)


O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Policies\Explorer\Run: [NT Printing Services6] dllhosts.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - tutte le voci senza riferimenti a microsoft


poi c'è da sistemare questa, non fixarla per ora
O20 - AppInit_DLLs: avgrsstx.dll tqiukk.dll

cureit l'ho sistemato io
www.hwupgrade.helloweb.eu/ParserLog/log/output-3206888875.txt


Fai controllare su www.virustotal.com e su http://virscan.org/
C:\WINDOWS\system32\doskeys.exe
C:\WINDOWS\system32\jgsnctmq.dll

Una volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se il file dovesse essere nascosto o di sistema, Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione -> Seleziona "Visualizza cartelle e file nascosti" -> scendi e togli la spunta a "Nascondi i file di sistema (consigliato)
Alla fine della verifica rimetti le impostazioni originali

C:\WINDOWS\system32\doskeys.exe (1) (http://www.virustotal.com/it/analisis/5730e7e6fbdd62d7357ff751e3818338)

C:\WINDOWS\system32\doskeys.exe (2) (http://virscan.org/report/7fc94a4b3436fdc60c225e85951a30e3.html)


C:\WINDOWS\system32\jgsnctmq.dll (1) (http://www.virustotal.com/it/analisis/76a32ba8f2e7395c3d61e055a4b764a8)

C:\WINDOWS\system32\jgsnctmq.dll (2) (http://virscan.org/report/faf98de89834d8ba0553ae32fe9a27a1.html)

Log Hijackthis (http://www.fileqube.com/shared/XBCvKI118272) (successivamente ho fixato anche
O2 - BHO: (no name) - {69787BA0-4211-4599-A4BC-AB6A4A206899} - C:\WINDOWS\system32\vtUooNFu.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
come indicato da Chillout e quindi non sono segnati nel log).

Va bene così o devo fare anche gli scan di Chillout?
Ho visto che avete postato circa insieme e ho pensato che le cose si sovrapponessero.

fai l'operazione con avenger che ti ha detto chill, i controlli che ti ho fatto fare confermano che i file sono infetti

Fatto, ecco il log (http://www.fileqube.com/shared/JrYBOcmR118292).

Sono pulito? Il punto è che ad ogni riavvio mi compare questa schermata (anche adesso).

http://img151.imageshack.us/img151/241/immagineed4.jpg (http://imagehack.us)
http://img151.imageshack.us/img151/immagineed4.jpg/1/w640.png (http://g.imageshack.us/img151/immagineed4.jpg/1/)

disinstallalo
riavvia il pc
riscaricalo http://pxnow.prevx.com/zeroL/PREVXCSIFREE_IT.exe
reinstallalo
nuovo scan e nuovo log

Ora mi segna quello dei tre che non è stato cancellato (il terzo nell'immagine sopra).

log (http://www.fileqube.com/shared/AJYjY118298)

in avenger
Files to delete:
C:\WINDOWS\system32\oqkwdk.dll

e log

log (http://www.fileqube.com/shared/duOXFC118301)

pulito?

log (http://www.fileqube.com/shared/duOXFC118301)

pulito?

Nuovo log di Prevx CSI e HJT

prevx (http://www.fileqube.com/shared/cJxqRk118306)

Hijackthis (http://www.fileqube.com/shared/oYVSLOl118307)

prevx (http://www.fileqube.com/shared/cJxqRk118306)

Hijackthis (http://www.fileqube.com/shared/oYVSLOl118307)

Da fixare come ti avevo già detto

O20 - AppInit_DLLs: avgrsstx.dll tqiukk.dll

O20 - AppInit_DLLs: avgrsstx.dll tqiukk.dll
l'avevi fixata questa?

O20 - AppInit_DLLs: avgrsstx.dll tqiukk.dll
l'avevi fixata questa?

Mi avevi scritto di aspettare allora non l'avevo fixata, poi me ne sono scordato.

Fixata adesso con hjt.

Mi avevi scritto di aspettare allora non l'avevo fixata, poi me ne sono scordato.

Fixata adesso con hjt.

Log

log (http://www.fileqube.com/shared/IzfyxZdEs118313)

log (http://www.fileqube.com/shared/IzfyxZdEs118313)

Ok log pulito, riscontri ancora problemi?

A proposito di questo problema.: "compresi innumerevoli rar di crack nella cartella incoming" che mi dici dai log non vedo nulla

Io non riscontro problemi, per quanti riguarda i crack erano tipo centinaia di rar da pochi kb che comparivano nella cartella incoming di emule, li ho cancellati due volte e non sono più ricomparsi.
Penso quindi di aver risolto, grazie dell'aiuto.

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene iltrattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

Io non riscontro problemi, per quanti riguarda i crack erano tipo centinaia di rar da pochi kb che comparivano nella cartella incoming di emule, li ho cancellati due volte e non sono più ricomparsi.
Penso quindi di aver risolto, grazie dell'aiuto.

Prego di nulla ;)