Da più di una settimana ho preso un virus tutto è iniziato così:
era scaduto il tempo di versione di prova di Kaspersky Internet Security 2009 così l'ho disinstallato ed ho installato Avast, dopo un po' ho deciso di installare il trial di Kaspersky Antivirus e mi dava l'errore 1721 (non è a causa della licenza perchè sennò lo avrebbe installato ed avrebbe detto che avevo una licenza scauta), poi ho installato Nod32 tutto bene, ma il giorno dopo ho avviato il computer e c'era il messaggio del Centro sicurezza del PC e diceva che non avevo antivirus e quando sono andato a controllare nel folder dell'antivirus diceva che non ero l'amministratore poi che il collegamento era rotto, lo stesso lavoro me lo ha fatto con avast, Bitdefender e Avira
Così ho fatto tutto quello che diceva la guida alla disinfestazione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737)

Ecco tutti i miei log:

Malwarebytes Anti-Malware:
http://www.fileqube.com/file/zNyQNbLQ199039

A-Squared Free v4.x:
http://www.fileqube.com/file/QXvXjpTEm199041

F-Secure OnLine:
http://www.fileqube.com/file/fdxtTKP199042

Dr.Web CureIT snellito con ParserLog:
http://www.fileqube.com/file/UOABmK199043

ESET SysInspector:
http://www.fileqube.com/file/BJeWNXF199044

HiJackThis:
http://www.fileqube.com/file/tikJyz199045

Gmer:
http://www.fileqube.com/file/IPLUMCu199046

Prevx 3.0:
http://www.fileqube.com/file/efwuSG199048

Come posso risolvere il problema?
Che virus ho?

Ciao

scansioni e caricamento log eseguiti da manuale :)

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)


O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [ProductReg] "C:\Program Files\Acer\WR_PopUp\ProductReg.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [basicsmssmenu] "C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O16 - DPF: {15BC34E3-81B5-41EF-8704-A6421FAD29F9} (AgentObj Class) - https://endpointassessment.sophos.com/webagent/webagentNT.cab
O16 - DPF: {167C192D-44C1-4EAB-9279-496EA91C75D2} (CredListObj Class) - https://endpointassessment.sophos.com/webagent/credlist.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C237A80A-4C55-4C68-BAA9-CBE4408D12B2} (F-Secure Online Scanner 4.0 Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab


fai controllare su www.virustotal.com e su http://virscan.org/

c:\windows\pev.exe


Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

scusa mentre faccio la scansione con HijackThis dice che non può controllare la cartella C:\Windows\System32\drivers\etc\hosts.
è uguale o c'è il virus che si è impossessato dell'host e devo fare qualcosa?
Grazie in anticipo

E poi non sono sparite tutte le voci fixate ma solo questa:

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

ecco il risultato di virustotal.com:
http://www.virustotal.com/it/analisis/2c6714fbf70c36cf5ab49d04cf609e60fad26656735774f8b481e7649bd223db-1244274644

e quello su virscan.org:
http://virscan.org/report/31bb62f4b6ec9dfdb4bd1376b591eb17.html

hai utilizzato combofix in precedenza?

prova a rifixare

hai utilizzato combofix in precedenza?

prova a rifixare
già l'ho utilizzato per fare la disinfestazione per Bagle (http://www.hwupgrade.it/forum/showthread.php?t=1933977) lo devo riutilizzare?
Ma il file che ha trovato Dr. Web (WmrInstall_11.exe) non è quello che installa il worm. Devo fare qual cosa?

comunque ecco il log del 1 giugno di ComboFix:
http://www.fileqube.com/file/EvMxarzo198461

Se è necessario faccio un'altra scansione con Combofix
Rispondetemi per favore
Grazie in anticipo

rimuovi combofix come da info nel bigino in firma

rimuovi combofix come da info nel bigino in firma

fatto ma io non ho capito una cosa: il virus sono riuscito ad eliminarlo o no?
il file WmrInstall_11.exe che ha trovato Dr. Web l'ho fatto analizzare su virscan.org ecco il risultato: http://www.virscan.org/report/e8541b...aa9dfd4d2.html
Sembra un file infetto

fatto ma io non ho capito una cosa: il virus sono riuscito ad eliminarlo o no?
il file WmrInstall_11.exe che ha trovato Dr. Web l'ho fatto analizzare su virscan.org ecco il risultato: http://www.virscan.org/report/e8541b...aa9dfd4d2.html
Sembra un file infetto

Quel file nello specifico era già nella Quarantena di DrWeb, per cui non ti devi preoccupare :)

Quel file nello specifico era già nella Quarantena di DrWeb, per cui non ti devi preoccupare :)

No: stava nella quarantena di Dr. Web perchè mentre facevo la scansione l'ha trovato e l'ha messo in quarantena, poi è andata via la corrente a casa ed ho dovuto rifarfare la scansione e quindi ha trovato SlgClientServicesRedists.exe e WmrInstall_11.exe nella quarantena perchè l'aveva spostato il giorno prima.

Ma xampp-win32-1.7.0.exe invece che è pericoloso o no?
era quello per installare apache, php ed altro (io gestisco un sito web):)

In definitiva: l'ho trovato il virus o no? A me sembra che gli Avira sia ancora bloccato (quindi è problabile che il virus c'è ancora :( ).
Ora provo a disinstallarlo e ad installarlo poi vi farò sapere.
Per favore aiutatemi:ave: :ave:

A me sembra che gli Avira sia ancora bloccato (quindi è problabile che il virus c'è ancora :( ).
Ora provo a disinstallarlo e ad installarlo poi vi farò sapere.
Per favore aiutatemi:ave: :ave:

Avira l'ho disinstallato, poi l'ho riinstallato.
Tutto bene... ma poi oggi ho riacceso ed avira non era nell'area notifica, così ho cliccato sull'icona del desktop ma come al solito viene fuori questo messaggio:

http://img4.imageshack.us/img4/4114/catturaznw.jpg


il virus c'è ancora... perchè non rispondete più? per favore
Grazie in anticipo

nuovo log di prevx

Avira va disinstallato correttamente come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1514684 e successivamente reinstallato.

Ecco il novo log di Prevx:
http://www.fileqube.com/file/fGSRyLb199720

Ecco la screenshot di Prevx:
http://img4.imageshack.us/img4/9229/catturalvb.jpg

Un mio amico mi ha detto che potrei avere anche due o più antivirus che sono entrati in conflitto ma io su programmi e funzionalità ho solo Avast quindi...

è più probabile che abbia un virus
per favore aiutatemi ad eliminarlo
Grazie ancora per la vostra attenzione

Avira va disinstallato correttamente come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1514684 e successivamente reinstallato.

Se parli di questo:
R1:Provate ad eseguire questa (http://www.wintotal.de/server/tipps/SystemTray.zip) utility
R2: Disinstallate il programma e,nell'ordine:
1)riavviate il pc
2)eseguite questo (http://www.avira.com/en/documents/utils/av7_tools/en/avuninstXPeng.zip) tool
3)eseguite quest'altro (http://www.avira.com/en/documents/utils/av7_tools/registrycleaner.zip) tool
4)reinstallate il programma

l'ho fatto
ma il virus sembra che ci sia ancora

vuoi lasciare avast o antivir?
ammesso che non possano convivere 2 antivirus contemporaneamente non è detto che tu sia necessariamente infetto se l'av non si installa correttamente

Se parli di questo:

l'ho fatto
ma il virus sembra che ci sia ancora

Quale virus? Dai log non risulta nulla, se poi ce lo vogliamo inventare :)

Quale virus? Dai log non risulta nulla, se poi ce lo vogliamo inventare :)

ottimo!!:) ;)
è quello che voglio dire io: perchè se non è risultato nessun virus mi si bloccano tutti gli antivirus.
Grazie
credo che stiamo per arrivare alla soluzione del mio problema:sperem: :D :winner:

vuoi lasciare avast o antivir?
ammesso che non possano convivere 2 antivirus contemporaneamente non è detto che tu sia necessariamente infetto se l'av non si installa correttamente
io in verità avevo pensato che quando avevo risolto il problema di comprarmi la versione originale del Kaspersky Internet Security 2009 ma vedo che non mi fà installare neanche il trial...

ottimo!!:) ;)
è quello che voglio dire io: perchè se non è risultato nessun virus mi si bloccano tutti gli antivirus.
Grazie
credo che stiamo per arrivare alla soluzione del mio problema:sperem: :D :winner:

Perche hai fatto un gran pasticcio

Da più di una settimana ho preso un virus tutto è iniziato così:
era scaduto il tempo di versione di prova di Kaspersky Internet Security 2009 così l'ho disinstallato ed ho installato Avast, dopo un po' ho deciso di installare il trial di Kaspersky Antivirus e mi dava l'errore 1721 (non è a causa della licenza perchè sennò lo avrebbe installato ed avrebbe detto che avevo una licenza scauta), poi ho installato Nod32 tutto bene, ma il giorno dopo ho avviato il computer e c'era il messaggio del Centro sicurezza del PC e diceva che non avevo antivirus e quando sono andato a controllare nel folder dell'antivirus diceva che non ero l'amministratore poi che il collegamento era rotto, lo stesso lavoro me lo ha fatto con avast, Bitdefender e Avira


Edit: dimenticavo questo è ciò che risulta dal log di Prevx

c:\program files\avira\antivir desktop\avgnt.exe

Avira Antivir è regolarmente funzionante

Perche hai fatto un gran pasticcio

Allora perchè all'inizio c'era l'errore 1721 qualche motivo ci deve essere, ho provato di tutto, questo (http://support.microsoft.com/kb/891985/it) ma non è cabiato nulla
ad eseguire la Windows Installer CleaneUp Utility (http://support.microsoft.com/kb/290301) ma si avvia e poi sparisce
ad riinstallare la versione 4.5 di Windows installer (http://www.microsoft.com/downloads/details.aspx?familyid=5A58B56F-60B6-4412-95B9-54D056D6F9F4&displaylang=en) ma non è cambiato nulla

come posso risolvere il casino che ho combinato?

Edit: dimenticavo questo è ciò che risulta dal log di Prevx

c:\program files\avira\antivir desktop\avgnt.exe

Avira Antivir è regolarmente funzionante
.

Avira l'ho disinstallato, poi l'ho riinstallato.
Tutto bene... ma poi oggi ho riacceso ed avira non era nell'area notifica, così ho cliccato sull'icona del desktop ma come al solito viene fuori questo messaggio:
http://img4.imageshack.us/img4/4114/catturaznw.jpg

.

Elimina quel collegamento e ricrealo :)

Elimina quel collegamento e ricrealo :)

cancellato, poi vado col tasto destro sul desktop-> nuovo-> collegamento ma non succende niente.
Mi hai fatto scoprire un altro errore sul PC :(

cancellato, poi vado col tasto destro sul desktop-> nuovo-> collegamento ma non succende niente.
Mi hai fatto scoprire un altro errore sul PC :(

Nessun errore, ti chiede il percoso del file, se non lo indchi non ti crea nessun collegamento.

Mi alleghi uno Screenshot del tuo Desktop

]Nessun errore, ti chiede il percoso del file, se non lo indchi non ti crea nessun collegamento.

Mi alleghi uno Screenshot del tuo Desktop

Lo sò come si crea un collegamento ma non esce proprio la finestra con la schermata che mi chiede l'indirizzo del collegamento
ecco la screenshot del mio desktop:
http://img13.imageshack.us/img13/8748/catturaqzy.jpg

ma quando uno finisce la disinfestazione devo riattivare il ripristino di sistema?
devo anche disattivare i server dns?

ma quando uno finisce la disinfestazione devo riattivare il ripristino di sistema?
devo anche disattivare i server dns?

Trovi tutto qui http://www.hwupgrade.it/forum/showthread.php?t=1726383