Salve ragazzi.
Ho il notebook Compaq nx7300 ,montante Windows Xp Sp3, infettato da questo worm.
E' stato rilevato da Avira ed è situato nella cartella Documents&Settings/Administrator/ImpostazioniLocali/Temp,sotto il nome tzshost.exe .
Mettendolo in quarantena il problema non viene risolto,in quanto compare nuovamente e viene nuovamente rilevato.
Inoltre il processo è attivo,nel senso che risulta presente nella taskmanager (in "duplice" copia).
L'ho più volte eliminato dall'avvio automatico tramite msconfig,ma si "autochecka" (scusate il termine) ad ogni riavvio.
Il file è stato eliminato pure attraverso HiJack,ma niente.
Insomma,cosa dovrei fare?
Ho inoltre eseguito una scansione con Prevx e risulto essere infettato da un file nominato "sfc_os.dll",localizzato nella cartella system32.
Tramite HiJack e msconfig ho trovato inoltre due programmi anomali : uno è nominato "N",mentre l'altro ha la forma di un quadratino,simile a quello che appare quando il s.o. non è in grado di codificare caratteri particolari.
Posto i vari logs :

Malwarebytes Anti-Malware : Nessun malware trovato mbam-log-2010-01-12 (18-13-23).txt (http://wikisend.com/download/591432/mbam-log-2010-01-12 (18-13-23).txt)

A-Squared Free v4.x : Sembrerebbe tutto ok (però mi ha fatto cancellare il collegamento ad Emule che avevo sul desktop) : a2scan_100112-192847.txt (http://wikisend.com/download/200002/a2scan_100112-192847.txt)

Dr.Web CureIT : Ho effettuato la scansione rapida settata come default e non gli risultano file infetti

ESET SysInspector : SysInspector-PC-100112-2226.zip (http://wikisend.com/download/944296/SysInspector-PC-100112-2226.zip)

HiJackThis : hijackthis.log (http://wikisend.com/download/440738/hijackthis.log)

Prevx 3.0 : Non sono stato in grado di salvare il log,ma solo l'immagine : Immagine.JPG (http://wikisend.com/download/515694/Immagine.JPG)

F-Secure Online ed il Gmer non li ho utilizzati perchè la scansione mi si blocca.
Mio grande problema ,è che dopo un poco (specie dopo aver visualizzato video),la CPU arriva al 100% di utilizzo.

p.s. Fatta eccezione di DrWeb,tutti gli altri programmi li ho utilizzati NON in modalità provvisoria.

Ciao

per il solo controllo del log di hjt esiste un 3d dedicato
i log qui non si incollano ma si caricano secondo le regole di sezione, detto questo fixa se vuoi le voci in grassetto e poi segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log in un unico post e secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) (esempio1 (http://www.hwupgrade.it/forum/showpost.php?p=25836804&postcount=6) & esempio2 (http://www.hwupgrade.it/forum/showpost.php?p=30220144&postcount=48))

link caricamento log generici ► fileqube.com (http://fileqube.com/) ■ wikisend.com (http://wikisend.com/)
link caricamento immagini ► fileqube.com (http://fileqube.com/) ■ picoodle.com (http://www.picoodle.com/) ■ imageshack.us (http://imageshack.us/)

Ho modificato il primo post.
Grazie in anticipo.

sfc_os.dll probabilmente l'hai sostituito tu tempo fa per poter moddare i temi di win

almeno una scansione antivirus completa devi finirla, opta per il kaspersky removal tool

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)


O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab




devi aggiornare
Internet Explorer alla versione 8
non si vede o è disattivato il firewall
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui (http://www.hwupgrade.it/forum/showthread.php?t=1726383)

Ciao.
Ho fixato le voci, ma ho aggiornato ed installato altri programmi.
Puoi vedere se è tutto ok?
Intanto ho effettuato un aggiornamento dei vari driver del notebook tramite il sito dell'HP.
In questo modo sono state riconosciute due periferiche che non riuscivano ad essere installate (famigerato punto esclamativo) .
Ho aggiornato anche la scheda video.
Ti informo di questo perchè il notebook raggiunge l'utilizzo della CPU al 100% soprattutto quando si visualizzano video o a causa di giochi flash,ecc.
Può essere un problema di scheda video che non era aggiornata?

Volevo però riportarti una cosa : quando la cpu arriva al 100%,il riavvio del computer spesso fallisce, nel senso che la nuova accensione non avviene : il notebook si spegne prima di visualizzare il logo di win xp o subito dopo.
Mi capita quindi di doverlo lasciare un pò spento prima di poter tentare la nuova accensione.
Non è che ho un problema di ram?
Grazie e a presto

Antonio

p.s. : Ho effettuato la scansione completa tramite Avira : nessun virus/programma indesiderato. E' possibile ?
Non so quante volte ho dovuto fixare/eliminare tramite HiJack il file tzshost.exe e quante volte Avira me l'ha fatto mettere in quarantena. E' possibile che quando l'ho eliminato manualmente il file è stato definitivamente allontanato?