Poi, sulla questione differenza tra follia e genio, lascio a te trarre le debite conclusioni: sono del parere che quando uno infetta il proprio P.C. sapendo di farlo, non è folle e neppure genio; è, semplicemente, un pirla.

Se non ha su niente non vedo cosa ci sia di strano inquanto virus che danneggiano bios non ne circolano...

Comqunue mi riferivo all'idea che il file fosse infetto. Sono sicuro tipo al 99.9% che lo è...

Si dovrebbe fare una statistica per vedere quanti, di quelli infetti, usano emule :O

Se non ha su niente non vedo cosa ci sia di strano in quanto virus che danneggiano bios non ne circolano...
Comqunue mi riferivo all'idea che il file fosse infetto. Sono sicuro tipo al 99.9%che lo è...
A parte certe strane affermazioni, mi pare che tu abbia convinto te stesso e, al 99,9%, indiviudato il problema che ti affligge :cool:
Quindi, presumendo che tu sia in grado di risolvere il problema, non vedo la ragione per la quale continuare questa discussione.
Si dovrebbe fare una statistica per vedere quanti, di quelli infetti, usano emule :O
Beh la si potrebbe anche fare al contrario: vedere quanti sono coloro che, statisticamente, sono convinti, al 99,9% che l'exe di installazione di Emule sia infetto :O.

Beh la si potrebbe anche fare al contrario: vedere quanti sono coloro che, statisticamente, sono convinti, al 99,9% che l'exe di installazione di Emule sia infetto :O.Io personalmente non lo sono :D

Io personalmente non lo sono :D
Ma sai che non avevo dubbi in merito?? :mbe: :muro: :doh:

Mi e' successo una cosa stranissima! Condividendo alcune cartelle sul desktop (avendo nod32) e poi esplorarle con il notebook mi ha cancellato tutti i file .exe mettendoli in quarantena definendoli infetti dal virus Tenga.Gen Virus questo ovviamente sul desktop.

E' nod32 ke fa questi scherzi??? Perkè scansionando tutti e due i pc non trovo virus/trojan.

Mi e' successo una cosa stranissima! Condividendo alcune cartelle sul desktop (avendo nod32) e poi esplorarle con il notebook mi ha cancellato tutti i file .exe mettendoli in quarantena definendoli infetti dal virus Tenga.Gen Virus questo ovviamente sul desktop.

E' nod32 ke fa questi scherzi??? Perkè scansionando tutti e due i pc non trovo virus/trojan.

fai scansionare quei file ritenuti infetti su entrambi i due siti di riferimento:
http://virusscan.jotti.org/
http://www.virustotal.com/

così puoi avere una conferma da altri antivirus :)

Grazie tante! Cmq ripristinando il file infetto (prima erano tutti gli exe poi gli avevo ripristinati senza problema... me ne era rimasto solo 1) ha ritrivato il virus Tenga.Gen e mi diceva ke poteva disinfettarlo... fatto cio' ora e' tutto ok! Thx di nuovo.

Grazie tante! Cmq ripristinando il file infetto (prima erano tutti gli exe poi gli avevo ripristinati senza problema... me ne era rimasto solo 1) ha ritrivato il virus Tenga.Gen e mi diceva ke poteva disinfettarlo... fatto cio' ora e' tutto ok! Thx di nuovo.

Controlla anche se quegli eseguibili ora funzionano; anche se li disinfetta ogni tanto purtroppo li corrompe!

ciao a tutti, l'ultimo dell'anno anche io mi sono preso un mezzo infarto con sto win32.gael.6666 aka tenga ecc.. aveva infettato 10 exe nel 2° hard disk (E:)
nota (emule stava funzionando)

seguendo le istruzioni del post ho fatto partire:

- dr web cure it - mi ha curato i 10 files su E: e 4 files su C: appartenenti a nod32 (*.ndq mi sembra). il povero nod aveva bloccato i 10 files su E: ma non aveva curato se stesso

- poi ho fatto una scansione da bitdefender che mi ha trovato alcuni troian nella dir java, cancellati. ho aggiornato poi java dalla 1.0 a quella odierna.

- superantispyware non ha poi trovato piu niente

- AntiRootkit non ha trovato niente

La domandona e':
- posso stare tranquillo ora?
- ma soprattutto: se collego una chiave usb o un hd portatile per fare il backup dei miei lavori rischio???

vi prego help!
grazie mille

Io continuo a rimanere dell'idea che per ora sia impossibile eliminare il virus :O

ciao kwb grazie per la risposta celere...
quindi cosa mi consiglieresti di fare, dovrei riformattare? Questa soluzione e' un po' dura per me perche' dovrei portarlo in assistenza visto che non sono in grado...
se non comparisse più non avrei problemi, la mia paura più grossa e' che possa contaminare chiavette o hd esterni che uso per fare i backup di dati, anche se in realtà contamina solo gli exe a quanto ho capito.
E se masterizzassi su cd, sarebbe lo stesso?

se sulla chiavetta non ci sono eseguibili e non intendi mettercene puoi stare tranquillo... comunque avvia in mod provvisoria e fai una scansione completa

ciao grazie dell'aiuto,
con cosa mi consigli di fare la scansione in modalità provvisoria? uso nod32 che ho installato, o l'exe del dr-web cure it?

tutti e 2

ciao a tutti, l'ultimo dell'anno anche io mi sono preso un mezzo infarto con sto win32.gael.6666 aka tenga ecc.. aveva infettato 10 exe nel 2° hard disk (E:)
nota (emule stava funzionando)

IceThorn adds a row...
-IIIII- -IIIII- II

seguendo le istruzioni del post ho fatto partire:

- dr web cure it - mi ha curato i 10 files su E: e 4 files su C: appartenenti a nod32 (*.ndq mi sembra). il povero nod aveva bloccato i 10 files su E: ma non aveva curato se stesso

Dovevi farti una copia degli exe di nod e rinominarla in "*.com" sono comunque utilizzabili e non sono infettabili dal virus.

- poi ho fatto una scansione da bitdefender che mi ha trovato alcuni troian nella dir java, cancellati. ho aggiornato poi java dalla 1.0 a quella odierna.

bene

- superantispyware non ha poi trovato piu niente

Mai sentito, è qualcosa che si mangia?

- AntiRootkit non ha trovato niente

buona.
Non ho visto però se ci sono risultati con: "HijackThis" e "CWShredder". Prova e facci sapere!

La domandona e':
- posso stare tranquillo ora?

IMHO: Finchè usi e-mule no. Il sottoscritto è passato alla rete torrent... IP non visibile. Perlomeno non pacatamente visibile ed inseribile in lista tramite script...

- ma soprattutto: se collego una chiave usb o un hd portatile per fare il backup dei miei lavori rischio???

Solo gli eseguibili. Il virus colpisce quelli.

vi prego help!
grazie mille

Detto, fatto ^_^

Io sto eseguendo ora le varie procedure postate precedentemente. Dubito comunque di risolvere, io ho formattato 5 volte in tempi diversi e sto virus me lo sono ripreso appena aperto firefox ( non IE, FIREFOX! ). Sono dell'idea che quando sto virus ti becca non ti molla più, puoi anche cambiare HD ma te lo ribecchi sempre :sofico:

hai windows xp aggiornato? hai il service pack 2?

Io sto eseguendo ora le varie procedure postate precedentemente. Dubito comunque di risolvere, io ho formattato 5 volte in tempi diversi e sto virus me lo sono ripreso appena aperto firefox ( non IE, FIREFOX! ). Sono dell'idea che quando sto virus ti becca non ti molla più, puoi anche cambiare HD ma te lo ribecchi sempre :sofico:

si ma: a parte il fatto che devi formattare tutte le unità senza reinstallare windows (in pratica: cancelli le partizioni e le rifai... così non rimane salvata la traccia "indice" dell'exe inquanto cancelli direttamente i file system... fisicamente il virus resterebbe sul pc... con un programma per recuperare i dati formattati dovrebbe pure essere possibile recuperarlo se sei deficente fino all'osso ma dubito qualcuno lo farà mai. Anche se so per certo che il 90% dei problemi dei pc stà tra sedia e monitor e che per quanto i programmatori si possano sforzare di creare programmi perfetti l'universo si sforzerà di creare imbecilli sempre piu' perfetti in grado di vanificare ore di lavoro) Poi: se non usi un firewall... è uguale... io me lo sono ripreso un mesetto fa aprendo e-mule... ed outpost era bello pimpante con i suoi 20mb di ram usati a sbafo e non si è accorto del tentativo di attacco...:confused:
Diciamo che sto virus è un mistero. finchè non si riuscirà a mettere mano ai sorgenti non si saprà come debellarlo definitivamente. E' un vero e proprio cactur nel didietro... e non c'è bisogno assolutamente di mezzi termini... Ogni volta che si installa qualcosa bisogna fare un backup degli exe o vengono infettati... :muro:
Io le mie ipotesi le ho fatte e m'hanno allegramente riso dietro (non deve essere cosi' difficile far salvare ad e-mule gli ip della gente che si connette a te in una lista...) ricordo tralaltro che e-cule è OS... quindi il primo pollo che si scarica la versione infame e non quella originale aiuta la diffusione... :muro:

grazie anche a Sajiuuk Kaar, per la completa risposta... emule ovviamente l'ho deletato all'istante con tutto quello che era in scaricamento e giammai lo riaprirò... (fatale mi fu sta serie "Californication" per ora solo in inglese con il mitico David Duchovny :(

Allego il log di HijackThis, ora provo a fare una scansione da modalità provvisoria con i vari tool già elencati sperando di non trovare niente... a dopo e grazie ancora a tutti per l'aiuto!

Logfile of HijackThis v1.99.1
Scan saved at 16.28.21, on 02/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\VIA\RAID\raid_tool.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\ATKKBService.exe
C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3dsmax9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Marco\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 60.248.67.186:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RaidTool] C:\Programmi\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\FILECO~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [C:\Documents and Settings\Marco\Menu Avvio\Programmi\Esecuzione automatica\Diskeeper 9 Professional Edition Registration.lnk] C:\Programmi\Executive Software\Diskeeper\ESIRegister.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by119fd.bay119.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.pcn.minambiente.it/ecwplugins/ncs.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS3 - Unknown owner - C:\Programmi\File comuni\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe" -win32service (file missing)
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - E:\3dsmax9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe

mmh non trova porcherie...

speriamo dai...
intanto mi limito a provare a usare tutto in questi giorni normalmente evitando emule... per quando dovro' portare in giro degli exe non so come fare: magari comprero' una chiavetta test e vedro' cosa succede ad andare in giro con quella...

grazie ancora,

Mmm bho, io con avast l'ho emarginato, gli exe infettati li ho messi da parte e quando ne spunta uno nuovo lo sbatto in quarantena, più o meno è ok ;)

Salve a tutti, vi leggo da tempo nn mi ero mai registrato perchè cmq grazie alle vostre dritte riuscivo sempre a risolvere i problemi...ora ho capito di avere anche io quest virus, il tenga, me ne sono accorto da quando ho il portatile, da gennaio. vi spiego cosa succede: il virus nn l'ho mai riscontrato sul portatile, ma sul fisso, però l'ho trovato quando dal portatile accedevo ad una particolare cartella del fisso dove ho una trentina di setup salvati. La prima volta ho rimosso tutti i files infetti, poi li ho riscaricati e rimessi in quella cartella. proprio ieri si sono infettati altri 4 .exe di quella stessa cartella. Diciamo che nn ho avuto problemi gravi, dato che mi è successo solo li, ora vorrei capire se questo virus rimane isolato li, o può attaccare altri hard disk ( per essere più preciso l'ho riscontrato su una cartella presente su uno dei 2 hard disk che ho sul fisso ). vi posto anche il log di hijackthis, lanciato dal portatile, poichè da qui ho visto che il fisso aveva virus. ho su entrambi i pc nod32 aggiornato. la rete è fatta tramite alice gate 2 plus...ed il portatile entra tramite wi-fi. vi sarei grato se ci poteste dare un'occhiata, non so interpretare il log, e nn so neanche se fixare le voci missing dato che non so a cosa si riferiscano. grazie in anticipo a presto. a proposito sul portatile ho vista, su fisso xp sp2.
P.S. ho letto in giro che tenga è fatto apposta per attaccare le reti, ma nn ho idea di cosa voglia dire.

ecco il log:
Logfile of HijackThis v1.99.1
Scan saved at 13.25.07, on 26/03/2008
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\ESET\nod32kui.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\giacomo\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Nuova cartella\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\Windows\system32\drivers\pclepci.sys
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Program Files\Acer Arcade Deluxe\TV Joy\Kernel\TV\TVECapSvc.exe
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Program Files\Acer Arcade Deluxe\TV Joy\Kernel\TV\TVESched.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

ciao, anche io sono stato colpito dal virus. Avevo anche io Nod32 non mi ricordo che versione, forse la 2.5x e qualcosa, ed era arrivato mentre girava emule. non avevo aggiornamenti java (avevo disabilitato il servizio).
Non ho ben capito come mi ha colpito...

dal post di hjack this non ho trovato niente di strano, di solito vado a farlo analizzare su
http://www.hijackthis.de
lo incolli e te lo analizza direttamente
mi ha segnalato piu' che altro:

O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting
Applicazione sconosciuta.

non credo cmq sia il tenga

per provare a fixare puoi seguire le cose che hanno scritto a me rileggendo all'indietro. all'inizio sembrava tutto sano, poi invece alla fine ho riformattato rifacendo le partizioni. più che altro se non sei sicuro di averlo tolto rischi di passarlo in giro coi vari exe che utilizzi.

-come scanner non usare nod32 prova drweb cure it c'e' un tool che funziona bene e dovrebbe trovarti tutti i file infetti; puoi provare anche tutti gli scanner online come bitdefender ecc
-poi ti consiglio di scaricare
avast! home edition (ti registri e lo scarichi gratis) che reputo 1000 volte meglio di quel nod32 che avevo (forse era anche una versione un po' sfigata), in più come dicevo, e' free.

poi se vuoi essere ancora più sicuro c'e' comodo firewall free che potresti installare alla fine, sembra un buon prodotto.

ciao in bocca al lupo :)

Moriremo tutti... Un bump di 3 mesi...
Cmq ho risolto in un modo abbastanza rudimentale: sono passato a fastweb. :D

eheheh, ah dici sia colpa di alice e non del mulo?
cmq ora only utorrent che l'è megl!

ciao ciao

eheheh, ah dici sia colpa di alice e non del mulo?
cmq ora only utorrent che l'è megl!

ciao ciao

No, semplicemente sulla rete fastweb non può entrare nessun virus dato che gli utenti non hanno un'IP LORO ^^

Anche io sono quasi definitivamente passato a uTorrent, però sto virus ancora non sono riuscito a segarlo! :muro:

http://www.hwupgrade.it/forum/showthread.php?p=20374410

http://www.hwupgrade.it/forum/showthread.php?p=20374410

:read: Spero per lui che abbia (se ce l'ha) la A e non come me che avevo la D... una tristezza...

Io ho la B ;)

io uso Kaspersky anti-virus versione 7.0.0.125 e il tenga me li blocca e me li disinfetta..

Ma io ho questo problema su un Hard Disk esterno Collegato ad un Mac.
L'Hard Disk è condiviso e quindi quando lo apro da un altro pc della Rete con WIN, mi rileva il virus...come posso risolvere??

Ma io ho questo problema su un Hard Disk esterno Collegato ad un Mac.
L'Hard Disk è condiviso e quindi quando lo apro da un altro pc della Rete con WIN, mi rileva il virus...come posso risolvere??

Necroposting in allegria. :D

Oramai rispondo :)

Ti conviene togliere la condivisione dell'hd tanto per iniziare visto che è infetto.
Poi ti conviene rimontarlo su un pc con vista in modo che non si possa autoeseguire, quindi installare un antivirus anhce free, aggiornarlo e far partire la scansione.
Non sperare che ti ripari i files perchè la riparazione purtroppo fa più danni del virus stesso. Ti conviene eliminare gli eseguibili infetti direttamente.
Per esperienza mia: da quando ho vista di virus per p2p non me ne arrivano più ;)

Ma io ho questo problema su un Hard Disk esterno Collegato ad un Mac.
L'Hard Disk è condiviso e quindi quando lo apro da un altro pc della Rete con WIN, mi rileva il virus...come posso risolvere??

In questo caso la soluzione migliore è formattarlo.

L'ho preso anche io ed ho molti file exe sputtanati come faccio?

L'ho preso anche io ed ho molti file exe sputtanati come faccio?

Non saranno tutti riparabili ed appena li anche solo selezioni il virus le reinfetta... devi formattare mi sa...

L'ho preso anche io ed ho molti file exe sputtanati come faccio?

prova a fare una scansione con Antivir Rescue System, segui queste indicazioni:
http://www.hwupgrade.it/forum/showpost.php?p=22757132&postcount=13

Ho usato virt explorer lasciando tutta la notta sia il primo pc sia il secondo.
Entrambi in lan erano stati contagiati da sto schifo.
Ho perso patchi di giochi di anni fa,setup che dovrò ricercare...
no comment.

Ho usato virt explorer lasciando tutta la notta sia il primo pc sia il secondo.
Entrambi in lan erano stati contagiati da sto schifo.
Ho perso patchi di giochi di anni fa,setup che dovrò ricercare...
no comment.

virit in genere non lo consigliamo, prediligendone altri :)

virit in genere non lo consigliamo, prediligendone altri :)

Ora mi ha cancellato delle cartelle intere che non centrano niente :(
che assurda situazione.

Ora mi ha cancellato delle cartelle intere che non centrano niente :(
che assurda situazione.

prova a guardare nella quarantena se ha mantenuto una copia.. ti consigliavo il Antivir Rescue System proprio perchè Avira Antivir è decisamente più sicuro come antivirus e il poter eseguire la scansione prima dell'avvio di windows permette di scovare e risolvere agevolmente molte avversità..

prova a guardare nella quarantena se ha mantenuto una copia.. ti consigliavo il Antivir Rescue System proprio perchè Avira Antivir è decisamente più sicuro come antivirus e il poter eseguire la scansione prima dell'avvio di windows permette di scovare e risolvere agevolmente molte avversità..

In virt non mi da neanche come eliminate quelle cartelle.
le ho viste semplicemente mancanti perche me le ricordavo a memoria
hjacktis dice questo
log rimosso, leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

le scansioni devono essere complete a maggior ragione in questo caso
i log devi caricarli sui server remoti, grazie

le scansioni devono essere complete a maggior ragione in questo caso
i log devi caricarli sui server remoti, grazie

non ho capito dove li devo mettere.

sui server remoti indicati nelle regole di sezione

dopo le varie scansiooni puoi provare a verificare ed eventualmente rimpiazzare i file di sistema corrotti con i loro originali.
Tieni a portata di mano il cd di win aggiornato al service pack attualmente installato
Se non ce l'hai aggiornato, creane uno nuovo integrando il service pack mancante seguendo questa guida (http://www.hwupgrade.it/forum/showthread.php?p=15552156) ad NLite

Una volta in possesso del cd aggiornato
Start → Esegui → digita
sfc /scannow (invio)
ti chiederà di inserire il cd per ripristinare eventuali file corrotti o modificati


se i problemi poi permangono fai il backup dei dati che ti interessano non infetti e procedi alla formattazione
dopodichè il sistema nuovo dovrai immunizzarlo meglio magari con i consigli che trovi nel trattamento in firma

sui server remoti indicati nelle regole di sezione

dopo le varie scansiooni puoi provare a verificare ed eventualmente rimpiazzare i file di sistema corrotti con i loro originali.
Tieni a portata di mano il cd di win aggiornato al service pack attualmente installato
Se non ce l'hai aggiornato, creane uno nuovo integrando il service pack mancante seguendo questa guida (http://www.hwupgrade.it/forum/showthread.php?p=15552156) ad NLite

Una volta in possesso del cd aggiornato
Start → Esegui → digita
sfc /scannow (invio)
ti chiederà di inserire il cd per ripristinare eventuali file corrotti o modificati


se i problemi poi permangono fai il backup dei dati che ti interessano non infetti e procedi alla formattazione
dopodichè il sistema nuovo dovrai immunizzarlo meglio magari con i consigli che trovi nel trattamento in firma

Io ho windows vista x64 ultimate.
questo il link del log mbam-log-2009-10-02 (11-29-55).txt (http://wikisend.com/download/485264/mbam-log-2009-10-02 (11-29-55).txt)
questo invece di hijachits: hijackthis.log (http://wikisend.com/download/504802/hijackthis.log)

prova a guardare nella quarantena se ha mantenuto una copia.. ti consigliavo il Antivir Rescue System proprio perchè Avira Antivir è decisamente più sicuro come antivirus e il poter eseguire la scansione prima dell'avvio di windows permette di scovare e risolvere agevolmente molte avversità..

Purtroppo ho il lettore dvd rotto e non posso usare antivir rescue system.
Per il resto è bizzarro che se un programma nel proprio log non ti dice che ha eliminato una cartella intera o una serie di file poi lo faccia e c'erano file txt e foto che non centravano niente con il virus o gli exe corrotti.

Io ho windows vista x64 ultimate.
questo il link del log mbam-log-2009-10-02 (11-29-55).txt (http://wikisend.com/download/485264/mbam-log-2009-10-02 (11-29-55).txt)
questo invece di hijachits: hijackthis.log (http://wikisend.com/download/504802/hijackthis.log)

dal non emerge se hai canecllato gli oggetti trovati da malwarebytes, quindi ti chiedo di rifare la scansione e pubblicare anche il nuovo log :)

nel log di hijackthis non compare nulla ma è altrettanto vero che hijackthis è solo una foto parziale del proprio pc ed è per questo che richiediamo anche altri logs..

Io ho windows vista x64 ultimate.
questo il link del log mbam-log-2009-10-02 (11-29-55).txt (http://wikisend.com/download/485264/mbam-log-2009-10-02 (11-29-55).txt)
questo invece di hijachits: hijackthis.log (http://wikisend.com/download/504802/hijackthis.log)
con vista non cambia il discorso
http://support.microsoft.com/kb/928228/it

con mbam scan completo ed elimina tutto dal log non si capisce se hai eliminato

Se non risulta eliminato dal log non è colpa mia.
Qui risulta in quarantena:

http://img194.imageshack.us/img194/1097/virusck.th.jpg (http://img194.imageshack.us/i/virusck.jpg/)

Siccome ho il dual boot ora sono su windows 7 cmq cresce il mio rammarico.
Questo virus è davvero pazzesco e mi ha rovinato non solo gli exe ma dopo aver usato virt pare aver corrotto delle cartelle che non contenevano solo exe rintracciabili solo via programmi per file eliminati.
Ed era presente anche nel pc piu vecchio che ho in rete locale con su xp3,anche li tutti i file exe contaminati dal tenga w32.

Ciao, ti invito a non postare immagini a grandezza reale, ma anteprime rimpicciolite delle stesse. Puoi crearle in automatico utilizzando http://www.imageshack.us/

Ciao, ti invito a non postare immagini a grandezza reale, ma anteprime rimpicciolite delle stesse. Puoi crearle in automatico utilizzando http://www.imageshack.us/

Ok scusa fatto ;)

Ogni volta che entro in internet si riforma.
sembra che sia cosi.
Ho controllato in windows system32 quei file missing che dice hijackhis ma ci sono.Allora perchè mi dice mancanti?

Aggiornamento: ho disabilitato sia sul primo pc sia su questo la condivisione dei file ed eliminato i seguenti file:
Da windows i file wow.exe hibernit.sys e pagefile.sys visto che non li avevo abilitati.
Ho notato che ora non si rigenera piu questo file dl.exe ma in compenso ho trovato queste cose in windows: ntbtlog.txt (http://wikisend.com/download/175494/ntbtlog.txt)

Doppio post

Questo invece quello fatto in 2 giorni con virt explorer:
VIRITEXP.LOG (http://wikisend.com/download/666260/VIRITEXP.LOG)

Con kaspersky online:

viru.html (http://wikisend.com/download/461152/viru.html)

Sconcertante quello che ho trovato sia con prevx sia con a squared...
Fra poco ve lo posto :eek:

A squared

a2scan_091003-071934.txt (http://wikisend.com/download/585390/a2scan_091003-071934.txt)

a2scan_091004-004056.txt (http://wikisend.com/download/493408/a2scan_091004-004056.txt)

a2scan_091004-011920.txt (http://wikisend.com/download/522320/a2scan_091004-011920.txt)

Prexv

ultima.log (http://wikisend.com/download/497998/ultima.log)

ora compare virut come infezioni quindi hai trovato il fondo.. con virut non c'è nulla da fare se contagia i files di sistema.

ora compare virut come infezioni quindi hai trovato il fondo.. con virut non c'è nulla da fare se contagia i files di sistema.

Ti posso dire che l'unica cosa mi mi fa pensare di aver contratto questo virus è aver scaricato da un link rapidshare la versione full di spyware doctor.
Può essere stata questa la causa scatenante? magari un codice infetto nel setup :muro:

Gmer:

looog.log (http://wikisend.com/download/689762/looog.log)
Se qualcuno mi può consigliare cosa ha capito in questi log che ho postato e cosa rimuovere gliene sarei grato.

Per favore mi aiutate o no?

L'ho beccato anche io :cry:
Ho windows 7, prima infezione con solo avira installato, seconda infezione con avira+mbam+comodo firewall.
Fatta scansione anche con asquared e non trova nulla... help :cry:

Ciao, sinceramente non ho ben capito il tuo problema, a tal proposito avevo letto qualcosa nel 3D di Avira.

Ho un pc di un cliente infetto.

non riesco a toglierlo, si riforma sempre.

Ho un pc di un cliente infetto.

non riesco a toglierlo, si riforma sempre.

soluzione universale: formatta tutto e ripartiziona le unità U.U
:muro:
Io è l'unico modo in cui l'ho potuto estirpare...

Tempo fa c'era un utility Avast per riioverlo, ma ora non la trovo +

e' possibile riaverla?

Il Virus in questione compromette i file .exe e .scr, purtroppo in questo specifico caso la soluzione migliore è il Format, se desideri fare un tentativo ti suggerisco DrWeb CureIt.

grazie!

provoero' anche quello!

E' da stamani che avast mi segnala questo virus e ha già infettato qualche .exe, ho fatto varie scansioni anche con i programmi da voi consigliati (alcuni ma niente) e pure con avast in mod provvisoria e ripristino di sistema disabilitato. Ora ho scaricato Dr. wb cure it e proverò anche con quello, intanto vi posto il log di hijackthis e sxo nel vs aiuto

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:22:12, on 18/09/2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Windows\RTHDCPL.EXE
C:\Program Files\Alice ti aiuta\McciTrayApp.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Epson Software\Event Manager\EEventManager.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
D:\DAEMON Tools Net\DTAgent.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AliceRV_McciTrayApp] C:\Program Files\Alice ti aiuta\McciTrayApp.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [EPSON SX210 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIFDE.EXE /FU "C:\Windows\TEMP\E_SBAC7.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [DAEMON Tools Net Agent] "D:\DAEMON Tools Net\DTAgent.exe" -autorun
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: DTNetService - DT Soft Ltd - D:\DAEMON Tools Net\DTNetSrv.exe
O23 - Service: EPSON V5 Service4(01) (EPSON_EB_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S40ST7.EXE
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

--
End of file - 5358 bytes

E' da stamani che avast mi segnala questo virus e ha già infettato qualche .exe, ho fatto varie scansioni anche con i programmi da voi consigliati (alcuni ma niente) e pure con avast in mod provvisoria e ripristino di sistema disabilitato. Ora ho scaricato Dr. wb cure it e proverò anche con quello, intanto vi posto il log di hijackthis e sxo nel vs aiuto

Ciao, stesso suggerimento

http://www.hwupgrade.it/forum/showpost.php?p=32519082&postcount=322

PS: il log di HJT in questo caso serve a nulla.

Ieri ho usato dr web cure it e mi ha trovato:
drnlvn.exe\updater_gen\compileroom\49975C4FF00A10B4.au3.tbl Win32.HLLW.Autoruner.based

Tutto ciò era in D:\drnlvn.exe che nn so cosa sia.

Poi ho fatto anche scansione con kapersky che ha trovato un trojian-clicker.html.IFrame.rp

Siccome ho formattato il pc una settimana fa e ho pagato xchè nn sono molto capace da sola se potevo evitare di nuovo la spesa era meglio, ma se mi dici che nn c'è niente da fare lo rifarò :(

Cmq davvero grazie mille per la risposta

Ah un'ultima cosa, nel caso formattassi devo cancellare anche tutto D:\ o basta che cancelli i .exe? Perchè ho diversi documenti che cancellare mi costerebbe davvero