trojan virus p3vwxx.exe

[leonardo B2B]

ciao, ho eliminato Avast antivirus anche perchè se lo lasciavo attivo il browser SR Ware Iron non apriva più nessuna pagina, con NOD invece tutto ok.
alcune toolbar che ho visto di avere dal log di HiJackThis non le ho potute disinstallare perchè in pannello di controllo>installazione applicazioni non c'erano

rapporto di combofix

ComboFix 10-03-09.06 - Gualtiero 12/03/2010 19.29.46.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.255.7 [GMT 1:00]
Eseguito da: c:\documents and settings\Gualtiero\Desktop\ComboFix.exe
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))) )
.

c:\windows\system32\_000212_.tmp.dll

.
((((((((((((((((((((((((( Files Creati Da 2010-02-12 al 2010-03-12 )))))))))))))))))))))))))))))))))))
.

2010-03-06 22:25 . 2010-03-06 22:25 388096 ----a-r- c:\documents and settings\Gualtiero\Dati applicazioni\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-03-06 21:58 . 2001-08-30 21:28 6912 -c--a-w- c:\windows\system32\dllcache\serscan.sys
2010-03-06 21:58 . 2001-08-30 21:28 6912 ----a-w- c:\windows\system32\drivers\serscan.sys
2010-03-06 21:58 . 2001-08-30 22:07 81408 -c--a-w- c:\windows\system32\dllcache\dc210usd.dll
2010-03-06 21:58 . 2001-08-30 22:07 81408 ----a-w- c:\windows\system32\dc210usd.dll
2010-03-06 21:58 . 2001-08-30 22:07 25600 -c--a-w- c:\windows\system32\dllcache\dc210_32.dll
2010-03-06 21:58 . 2001-08-30 22:07 25600 ----a-w- c:\windows\system32\dc210_32.dll
2010-03-03 17:53 . 2010-03-03 17:53 -------- d-----w- c:\programmi\ElcomSoft
2010-03-02 17:43 . 2010-03-02 17:43 -------- d-----w- c:\documents and settings\Gualtiero\Dati applicazioni\Malwarebytes
2010-03-02 17:43 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-02 17:43 . 2010-03-02 17:43 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-03-02 17:43 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-01 12:15 . 2010-03-01 12:15 -------- d-----w- c:\documents and settings\Gualtiero\Impostazioni locali\Dati applicazioni\ESET
2010-03-01 12:12 . 2010-03-01 12:12 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\ESET
2010-02-26 12:51 . 2010-03-12 18:00 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Alwil Software
2010-02-16 21:24 . 2010-02-16 21:24 793 ---ha-w- C:\hpothb07.dat

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2010-03-04 18:33 . 2009-03-21 10:50 -------- d-----w- c:\documents and settings\Gualtiero\Dati applicazioni\U3
2010-02-26 18:56 . 2008-07-07 21:16 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\avg8
2010-01-23 18:07 . 2010-01-12 16:24 -------- d-----w- c:\documents and settings\Gualtiero\Dati applicazioni\gtk-2.0
2009-12-24 17:27 . 2008-10-22 09:09 1960 ----a-w- c:\windows\system32\d3d9caps.dat
2009-01-26 19:29 . 2009-01-26 19:29 15251 ----a-w- c:\programmi\settings.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"AtiPTA"="atiptaxx.exe" [2000-04-07 151552]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.e xe" [2001-07-09 155648]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2008-01-31 385024]
"Sony Ericsson PC Suite"="g:\programmi\Ripping\cellulari\SonyEricsso n\K320 i\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"egui"="g:\programmi\Antivirus\NOD32 ESET\NOD32 Antivirus\egui.exe" [2009-11-16 2054360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Avvio veloce di Adobe Reader.lnk - g:\programmi\Acrobat 7.05\Reader\reader_sl.exe [2005-9-23 29696]
hp psc 1000 series.lnk - g:\programmi\Stampante\Ewlett packard\Digital Imaging\bin\hpohmr08.exe [2003-4-6 147456]
hpoddt01.exe.lnk - g:\programmi\Stampante\Ewlett packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]
Microsoft Office.lnk - g:\programmi\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"g:\\Programmi\\FotoCamere\\Fotocamera_Kodak\\Koda k EasyShare software\\bin\\EasyShare.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [16/11/2009 9.03.36 108792]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfw tdir.sys [16/11/2009 9.06.50 96408]
R2 ekrn;ESET Service;g:\programmi\Antivirus\NOD32 ESET\NOD32 Antivirus\ekrn.exe [16/11/2009 9.04.30 735960]
S3 K320bus;Sony Ericsson K320 driver (WDM);c:\windows\system32\drivers\K320bus.sys [14/01/2009 17.44.16 61504]
S3 K320mdfl;Sony Ericsson K320 USB WMC Modem Filter;c:\windows\system32\drivers\K320mdfl.sys [14/01/2009 17.44.22 9328]
S3 K320mdm;Sony Ericsson K320 USB WMC Modem Driver;c:\windows\system32\drivers\K320mdm.sys [14/01/2009 17.44.21 97056]
S3 K320mgmt;Sony Ericsson K320 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\K320mgmt.sys [14/01/2009 17.44.38 88560]
S3 K320obex;Sony Ericsson K320 USB WMC OBEX Interface;c:\windows\system32\drivers\K320obex.sys [14/01/2009 17.44.34 86368]

--- Altri Servizi/Drivers In Memoria ---

*Deregistered* - avast! Antivirus
.
Contenuto della cartella 'Scheduled Tasks'

2009-02-13 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1200 series5E771253C1676EBED677BF361FDFC537825E15B82270 47792.job
- g:\programmi\Stampante\Ewlett packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]

2009-01-15 c:\windows\Tasks\Sony Ericsson PC Suite.job
- c:\documents and settings\All Users\Menu Avvio\Programmi\Accessori\Sony Ericsson\Sony Ericsson PC Suite.lnk [2009-01-14 16:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - g:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Gualtiero\Dati applicazioni\Mozilla\Firefox\Profiles\1yj6jpuc.def ault\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
FF - plugin: g:\programmi\Acrobat 7.05\Reader\browser\nppdf32.dll
FF - plugin: g:\programmi\browser mozilla3\plugins\npFoxitReaderPlugin.dll
FF - plugin: g:\programmi\Riproduzione video\VLC\VideoLAN\VLC\npvlc.dll
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKCU-Run-DriverUpdaterPro - g:\programmi\Stampante\iXi Tools\Driver Updater Pro\DriverUpdaterPro.exe



************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-12 19:36
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

************************************************** ************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\ESET\ESET Security\CurrentVersion\Info]
@Denied: (2) (LocalSystem)
"AppDataDir"="c:\\Documents and Settings\\All Users\\Dati applicazioni\\ESET\\ESET NOD32 Antivirus\\"
"DataDir"="ESET\\ESET NOD32 Antivirus\\"
"EditionName"=" "
"InstallDir"="g:\\Programmi\\Antivirus\\NOD32 ESET\\NOD32 Antivirus\\"
"LanguageId"=dword:00000409
"PackageTag"=dword:6090e758
"ProductBase"=dword:00000000
"ProductCode"="{6864ABC3-A982-436B-BEF1-5652D6303361}"
"ProductName"="ESET NOD32 Antivirus"
"ProductType"="eav"
"ProductVersion"="4.0.474.0"
"UniqueId"="000FE8064B8BAF8E"
"ScannerBuild"=dword:00001a4a
"ScannerVersionId"=dword:00001344
"ScannerVersion"="Locked/open ESET for status."
"FixId"=dword:00000005
.
Ora fine scansione: 2010-03-12 19:40:07
ComboFix-quarantined-files.txt 2010-03-12 18:40

Pre-Run: 6.491.295.744 byte disponibili
Post-Run: 6.472.802.304 byte disponibili

- - End Of File - - E4926E022B7C534C1D6D870E3DC18D89

[menatwork]

combofix sembra pulito

disinstallalo con questo tool


eseguilo
Clicca su CleanUp.
Alla richiesta di riavvio clicca SI

vai in Disco Locale C: ed elimina la cartella QooBox

pulisci il sistema con ccleaner

In fase d’installazione levare la spunta altrimenti viene installata Yahoo Tollbar.
Avvialo e clicca su:
- Opzioni Avanzate
Togli la spunta da:
- Elimina file solo se più vecchi di 48 ore
Clicca i tasti:
- Pulizia (il primo in alto a Sinistra)
- Analizza ( Pulsante in basso Centrale)
- Avvia Pulizia (Pulsante in basso a Destra)

Correzione errori File di Registro
CCleaner
Clicca i tasti:
- Registro (Secondo tasto in alto a Sinistra)
- Trova Problemi (Pulsante in basso Centrale)
- Ripara selezionati Pulsante in basso a Destra
- alla domanda:
- Vuoi eseguire il Backup delle modifiche del Registro”
- clicca:
- SI


scarica atf cleaner (Non richiede installazione)

Spunta la voce:
- Select all
Premi il tasto:
- Empty Select

Posta un log di hijackthis

[leonardo B2B]

ciao,grazie per l'aiuto che mi stai dando!
la cartella QooBox non l'ho trovata, l'ho anche cercata con "Cerca" di Windows

log di HJT:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 21.40.59, on 15/03/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
G:\Programmi\Antivirus\NOD32 ESET\NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\atiptaxx.exe
G:\Programmi\Antivirus\NOD32 ESET\NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
G:\Programmi\Antivirus\HiJackThis\TrendMicro\HiJac kThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programmi\Acrobat 6.0 Professional\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - G:\Programmi\Acrobat 6.0 Professional\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - G:\Programmi\Acrobat 6.0 Professional\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "G:\Programmi\Ripping\cellulari\SonyEricsson\K 320 i\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [egui] "G:\Programmi\Antivirus\NOD32 ESET\NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = G:\Programmi\Acrobat 7.05\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = G:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://G:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - G:\Programmi\Antivirus\NOD32 ESET\NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - G:\Programmi\Antivirus\NOD32 ESET\NOD32 Antivirus\ekrn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 3881 bytes

[menatwork]

a parte questa riga che sinceramente non saprei se fixarla sembra pulito

O4 - Global Startup: hpoddt01.exe.lnk = ?

[leonardo B2B]

forse "O4 - Global Startup: hpoddt01.exe.lnk = ?" è un file del software della stampante HP.

per ripulire il pc avevo selezionato la voce "Disattiva ripristino configurazione di sistema", ora posso rittivarla?

[menatwork]

si ora puoi riattivare il ripristino e se il pc va bene possiamo chiudere la discussione

[leonardo B2B]

ciao il pc ora è ok e vedo che è anche un pò più veloce rispetto agli ultimi tempi!
GRAZIE ANCORA PER L'AIUTO!