[win XP] AIUTO VIRUS. devo risolvere il problema al più presto.

[Arki_]

salve a tutti,

ho il seguente problema:

una settimana fa circa mi è arrivata una mail (da un'amica) di auguri in cui c'era un link alla fine. tale link mi ha scaricato un file del tipo "message of the new year", quando ho cliccato sul file (di estensione tipo .exe credo, quella con l'icona col rombo fucsia e bianco) non è partito nulla. ma poi ho scoperto che si trattava di una mail autogeneratasi contenente il link che ti rilasciava questo file che in realtà è un virus. quando l'ho scoperto ho fatto analisi ed analisi con il mio antivirus (nod32) che in realtà ha iniziato a farmi comparire una finestra di continuo che mi avvisava che era stato bloccato il tentativo di accedere ad un sito (mi pare sia www.hostfilez.com) e poi un'altra che mi diceva che era stato rilevato un cavallo di troia e che era stato messo in quarantena. solo che tutto ciò è iniziato ad apparire con una certa frequenza (circa un avviso al minuto), anche se mi diceva che ogni volta era stato bloccato il tentativo credo che questo si autorigenerasse.

come seconda ipotesi (dopo le varie analisi) ho provato ad eseguire un ripristino di configurazione (ad un giorno e prima della data in cui ho aperto la mail), ma ogni volta mi diceva che non era stato possibile effettuare il ripristino a quella data.

alla fine credo di aver risolto trovando il file che si era istallato al momento dell'apertura della mail. era nella cartella system32 e si chiamava audiohq se non ricordo male. ho provato ad eliminarlo, ma all'inizio diceva che non era possibile l'eliminazione. così dal task manager ho terminato il processo e sono riuscito ad eliminarlo. infatti al riavvio non mi è apparsa più la schermata dell'antivirus con l'allarme.

adesso rimane il seguente problema, credo che questo virus, che dovrebbe essere il win32.spy.banker.BOF (cavallo di troia), mi abbia disattivato gli aggiornamenti auomatici dell'antivirus. infatti da quando sono stato infettato (il 01.01.08) non ricevo più gli aggiornamenti automatici del nod32. provo a scaricarli io dal programma, ma mi dice che la versione che ho, la 2759 (20080101), è l'ultima verione disponibile.

cosa non vera, in quanto il programa produce almeno 1 aggiornamento al giorno. credo che il virus abbia interagito sull'antivirus bloccando alcune funzioni.


come devo fare?

come faccio a fare di nuovo gli aggiornamenti?

come controllo (se avete già esperienze su questo tipo di virus) se l'ho eliminato del tutto?


aspetto notizie al più presto. vorrei sapere se ho fatto qualche procedimento sbagliato e come posso riparare al tutto. ho tutti i dati salvati sul pc e non posso permettermi di correre rischi.

grazie per aver letto, spero di aver esposto il problema in modo chiaro.

[deneb87]

usando il ripristino di configurazione di sistema potresti aver fatto piu danni che altro

Innanzitutto procedi in questo modo:

Disattivate il ripristino di sistema fino a che non sarete stati completamente disinfestati:
1. Fare clic su Start-> Programmi->Accessori->Esplora risorse.

2. Fare clic con il pulsante destro del mouse sull'icona Risorse del computer e quindi su Proprietà.

3. Selezionare la scheda "Ripristino configurazione di sistema".

4. Selezionare la voce "Disattiva ripristino configurazione di sistema"

5. Premere OK. Verrà richiesto di confermare l'azione in quanto saranno eliminati tutti i punti di ripristino memorizzati. Confermare premendo SI.

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

Installa CCLEANER:
clicca sulla icona di Setup, si avvierà il Wizard di installazione; una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

A questo punto, segui tutti i passi indicati in questo thread

[Marco P.]

Ciao, segui la Guida alla disinfezione per Infetti riportando poi i log generati dai vari programmi:

http://www.hwupgrade.it/forum/showthread.php?t=1599737

Fai tutto con calma e con la massima attenzione!!! Ciao.

EDIT: operazione già consigliata da deneb87.

[xcdegasp]

attendiamo i log con trepidazione per aiutarti

[Arki_]

grazie per aver risposto velocemente, ho cercato di fare tutto seguendo i passi uno alla volta. ecco i risultati, spero possiate aiutarmi ad eliminare il problema dalla radice (perchè ancora non sono riuscito ad aggiornare l'antivirus).

[murack83pa]

ciao
il log di ads lo puoi togliere: nn c serve (anche x la tua privacy)
ciò che importa è che il programma abbia fatto un po di pulizia
inoltre
x quanto riguarda il metodo di postare i log, ti consiglio di leggere le regole di sezione
in particolare, scegliendo tra:
1)i tag (code) (/code)
2)la funzione allegati, rinominando i log in formato txt
3)caricare il log su un server come www.zshare.net, copiando qui i link x il download
è preferibile l'ultima opzione
quindi: gentilmente modifica il tuo primo post (clicca sul pulsante modifica, selezioni il log e lo cancelli)
notte
ciao

[Arki_]

grazie, ho appena letto.

ti ringrazio davvero,

so di star combinando un macello.

in ogni caso confido nei consigli e cercherò di fare il possibile per togliere il disturbo al più presto.

[murack83pa]

arki.....che facciamo?
sei un po stanchino?
elimina il log di asquared e lo carichi secondo le regole
ciao

EDIT: bravisssimo!

[Arki_]

il file che ho caricato è in formato .doc, spero vada bane.

allora aspetto vostre notizie.

nel frattempo riavvio il sistema provando a vedere se cambia qualcosa.

grazie davvero.

questo posto è davvero unico.




il link a zShare :

http://www.zshare.net/download/6257433cb06ad0/

[murack83pa]

allora: nn c siamo
x noi è molto piu comodo che tu posti i vari log separati, e nn in un documento .doc di cui è difficile la lettura

ricapitolando:
crei un nuovo post e allegi o carichi sul server i vari log separati dei programmi richiesti dalla guida
il ripristino va lasciato disattivato
hai fatto la scansione on line?
il log rinominarli in formato txt
x quanto riguardo prevx csi a me il link della guida funzione, cmq ecco qui il link
tutto chiaro?
c vediamo domani
ciao ciao

edit: la scansione online ho visto ora che l'hai fatta.....come puoi notare è difficile capire cosa hai fatto....cmq vedo che hai seguito bene la guida....
edit2: in gmer hai notato righe rosse?

[Arki_]

capito come rimediare.

volevo solo dirti che ho appena riavviato il sistema e "stranamente" appena connesso il nod32 ha effettuato di nuovo l'aggiornamento del database (infatti la versione che ho adesso è la 2768 del 20080106) quindi qualcosa di buono ho fatto...cioè avete fatto.

grazie mille.

vado avanti con la separazione dei log e dell'inserimento in formato .txt comunque.

a domattina allora.

(ho capito che quando è ora è ora, di chiudere bottega, scusa)

[Arki_]

ecco i vari log separati ed in formato .txt

dimenticavo, nessuna riga rossa in gmer.

a presto.

grazie sempre.

1_ log a2scan : http://www.zshare.net/download/62584651da6838/

2_ log ccleaner : http://www.zshare.net/download/6258524b4028c8/

3_ log gmer : http://www.zshare.net/download/6258550b49bd52/

4_ log hijackthis : http://www.zshare.net/download/625857789840ce/

5_ log prevx csi : http://www.zshare.net/download/62586377c346a6/

credo sia tutto.

la scansione con prevx sono riuscito adesso a farla, quindi se il problema è forse stato risolto (da come ti dicevo prima) non so se possa cmq servire.

notte (anche per me).

grazie.

[xcdegasp]

ma la scansione con Eset ADS revelear l'hai fatta? inutile dire che devi eliminare tutto cio che trova...
fai la scansione anche con i due tool: D.Web CureIT e "VirIT Explore Lite"
per prevx CSI risulta tutto pulito dopo la passata di a-squared

[murack83pa]

Quote:

Originariamente inviato da xcdegasp

ma la scansione con Eset ADS revelear l'hai fatta? inutile dire che devi eliminare tutto cio che trova...
fai la scansione anche con i due tool: D.Web CureIT e "VirIT Explore Lite"
per prevx CSI risulta tutto pulito dopo la passata di a-squared

la scansione con eset ads l'ha fatta: gli ho fatto togliere il log sia xchè nn conforme alle regole di sezione sia x la sua privacy
ho cmq sottolineanto che ciò che importa è che il programma faccia il suo lavoro: la pulizia degli ads

EDIT:
come già detto asquared ha fatto un po di pulizia (nn so la natura benigna di questo programmab:messenger discovery)
prevx csi nn ha trovato nulla
bene che nn spuntino righe rosse in gmer
x quanto riguarda hijakcthis, c'è questa voce molto sospetta

Quote:

O4 - HKLM\..\Run: [AudioHQ] "C:\WINDOWS\system32\audiohq.exe"

oltre che riferirsi all'audio hq, potrebbe essere un trojan,forse
come gia detto, fai una scansion con virit oppure drweb e posta qui i log (nella guida c'è scritto come procedere alle loro scansioni)
ciao ciao

[xcdegasp]

Quote:

Originariamente inviato da murack83pa

come gia detto, fai una scansion con virit oppure drweb e posta qui i log (nella guida c'è scritto come procedere alle loro scansioni)
ciao ciao

meglio la scansione con entrambi, meno cose lasciate al caso e più info utili

[Arki_]

ciao ad entrambi,

oggi non ho potuto fare le scansioni. ho provveduto a farle adesso.

volevo solo fare noto che ieri al termine delle scansioni il nod332 si è aggiornato automaticamente come ha sempre fatto. l'ultima versione infatti ieri sera era la 2768 (20080106).

ma da stammattina è rimasta quella. è strano, ma sembra essersi bloccato di nuovo. io non ho lavorato al pc oggi, anche essendo rimasto acceso e connesso tutta la giornata (come sempre del resto).

l'ultima versione virus è la 2772 (controllata sul sito del nod). come fare? ma è per caso possibile scaricarle manualmente? se provo a fare aggiorna ora dal programma, mi apre l'avviso che è già aggiornato.

non saprei.

in ogni caso, quella riga di hijackthis si riferiva proprio a quel file di cui parlavo all'inizio se ci fate caso (audiohq) che si è istallato quando aprii la mail. infatti l'ho cancellato manualmente. ed in goni caso dopo aver rifatto hijackthis ho selezionato la voce e cliccato fix checked (infatti a rifare la scansione adesso nn compare più).

vi posto gli ultimi log :

- VirIT Lite

Codice:

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
07/01/2008 - 18:31:05

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
 
 
Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 108178.
Files Totali: 108178.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

- CureIT

Codice:

_desktop.ini;C:\WINDOWS\OPTIONS\CABS;Win32.HLLW.Gavir.ini;Cancellato.

grazie mille.

chiedo scusa per il ritardo, ma non ho potuto fare prima.

[xcdegasp]

se vai sul sito http://www.nod32.it/ nella home a destra subito sotto il banner orrizontale compare il numero della versione dell'aggiornamento del database virus e hai proprio l'ultima versione

CureIT sembrta aver identificato qualcosa... rifai un log hijackthis

[Arki_]

ciao,

pensavo di aver risolto il problema più grosso, ma all'improvviso ieri reinstallando il discovery live di messenger (che credo sia stato rimosso da una delle utility a cui ho fatto scansire il pc, dopo che lo ha rilevato come un possibile malware) mi si sono iniziate ad inceppare un pò di cose.

prima di tutte, al riavvio del pc mi è comparso questo avviso che diceva :

impossibile trovare il file C:/Windows/system32/ssqpm.exe

e poi ancora, subito dopo aver cliccato OK :

impossibilie caricare ed eseguire il file C:/Windows/system32/ssqpm.exe

ho cliccato okay e windows poi si è concluso di caricare.

1_il programma di monitoraggio di nod32 è saltato (il nod32 control center)

2_anche il file emule.exe diceva di non trovarlo più.

allora ho subito iniziato a rifare tutte le scansioni con lo stesso procedimento dell'ultima volta e prevx csi mi ha rilevato 4 bad files :

erano delle .dll createsi proprio pochi minuti prima posizionate nella cartella system32. una era proprio ssqpm.dll e le altre non ricordo bene il nome (se posso adesso riprovo a fare la scansione e vedo se le trova di nuovo). cmq diceva che si trattava di un trojan.vundo (ssqpm.dll).

quindi subito ho seguito le indicazioni del forum per l'eliminazione dei trojan.vundo facendo esaminare il pc a VundoFix e FixVundo.

- il primo mi ha rilevato proprio gli stessi 4 files che ho cercato di rimuovere. uno solo alla fine è rimasto credo, il nome l'ho segnato ed è nnnmlmj.dll. infatti mi ha fatto riavviare il pc e al riavvio ha cercato di rimuoverlo, ma non c'è riuscito credo. infatti è ancora nella cartella system32.

- il secondo invece non ha rilevato nulla. ho fatto la scansione dopo che si è conclusa quella di VundoFix.

in ogni caso ho appena rifatto hijackthis, ti allego il log :

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8.59.56, on 08/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FILECO~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programmi\C6 Messenger\c6Messenger.exe
C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
C:\Programmi\Yahoo!\Widgets\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Widgets\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Widgets\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Widgets\YahooWidgetEngine.exe
C:\Programmi\MessengerDiscovery\MessengerDiscovery Live.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\a-squared Free\a2free.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F3 - REG:win.ini: load=C:\WINDOWS\system32\ssqpq.exe
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: C6 Messenger.lnk = C:\Programmi\C6 Messenger\c6Messenger.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programmi\Yahoo!\Widgets\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Aggiungi a PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?ae3645db1e1d4a4abb59a6ba70ad3c9a
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?ae3645db1e1d4a4abb59a6ba70ad3c9a
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programmi\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: bw+0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {AC2C8765-9783-4FEA-B9F7-9F0C0E3DACEB} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programmi\File comuni\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programmi\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas   www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 20340 bytes

credo che adesso, al posto del file ssqpm.dll (che era accompagnato anche da un ssqpm.exe che ho cancellato ieri) ci siano 2 nuovi files, ssqpq.dll e ssqpq.exe che hanno come data di creazione proprio ieri sera. per precazuzione NON LI CANCELLO (non vorrei peggiorare le cose).

ho reinstallato messenger discovery live solo perchè fino all'infezione del virus (audiohq) non aveva mai dato problemi. il pc funzionava correttamente, e l'antivirus si aggiornava.

ho reinstallato anche emule dal file di istallazione che avevo già ed ora funziona di nuovo correttamente.

ho anche reinstallato il nod32 da un vecchio file di istallazione che avevo conservato, solo che la versione era meno recente di quella che avevo, infatti si è riparato il control center, ma la versione dell'aggiornamento è la 1.1167 (20050713) ! ed inutile dire che non me l'ha aggiornata ancora (è stato connesso tutta la notte, con impostazione automatica per l'aggiornamento)

aspetto vostre notizie prima di creare altri danni.

grazie come sempre, oramai sembra quasi un gioco, ma per me resta un incubo.

ps ripeto, credo che i programmi quali emule e discovery live siano saltati a causa di una delle utility che forse ha messo in quarantena i diversi file dei programmi. quindi non credo dipenda dal trpjan.

[Arki_]

il VundoFix mi ha appena trovato i seguenti files :

nnnmlmj.dll

qpqss.ini

qpqss.ini2

ssqpq.dll

sspqp.exe

sono tutti nella cartella C:/WINDOWS/system32

che faccio ?

clicco remove vundo ?

aspetto. solo che tra un pò devo scappare.

[Arki_]

ho fatto remove vundo.

si è riavviato come da default e ha eliminato due dei tre files :

qpqss.ini

qpqss.ini2

gli altri tre sono ancora nella cartella system32.

ed al riavvio mi ha cacciato lo stesso avviso di prima solo che al posto del file ssqpm.exe adesso c'è ssqpq.exe.

ma com'è possibile che l'antivirus resta aggiornato al 2005 e non mi esegue l'aggiornamento??

è davvero strano sto fatto mi sta mandando in tilt.

anche se cerco di aggiornarlo io.

in ogni caso dal sito ufficiale ho provato come dicevi, ma mi si apre solo la pagina contenente tutti gli aggiornamenti che sono solo visualizzabili.

non si possono scaricare come file e poi istallarli manualmente come accadeva per il norton?

grazie.

vado.

ad oggi pomeriggio.

lascio il pc acceso, sperando di trovarlo aggiornato.