virus da rimuovere come?

[menatwork]

DA START\ESEGUI DIGITA control userpasswords2 e dimmi quali utenti vedi

[ramtut]

di sotto nome utente e gruppo

nome utente: Administrator gruppo: Utentidebugger; administrators
nome utente: Guest gruppo: Guests
nome utente: HelpAssistant gruppo: Administrators
Nome utente: IUSR PIRATA gruppo: Guests
Nome utente: IWAM PIRATA gruppo: Utenti debugger

[menatwork]

li riconosci tutti? hai il desktop remoto?

[ramtut]

non ho il desktop remoto

come fare per capire se li riconosco o meno?

l'unica cosa che mi sento dire è che vi sono stati collegamenti (tramite WIFI) ai nostri accessi ad internet da altri computer (da noi consentiti).

Prima (ora non più) vi era una rete interna tra un computer "base" ed un altro PC.
grazie e ciao

[menatwork]

sei tu a sapere se sono di tua conoscenza

ATTENZIONE


QUESTO PASSAGGIO DEVI ESEGUIRLO SOLO SE NEL PC NON HAI IL DESKTOP REMOTO


da pannello di controllo ---> prestazioni e manutenzione ---> strumenti di amministrazione ---> doppio click su gestione computer ---> doppio click su utenti e gruppi locali ---> doppio click su users ---> nel pannello di destra doppio click su helpassistant e seleziona la voce "account disabilitato".


abilita la visualizzazione dei file nascosti (apri una cartella qualsiasi, vai su Strumenti--> Opzioni cartella--> Visualizzazione e spunta Visualizza file e cartelle nascosti

elimina la cartella HelpAssistant

c:\documents and settings\HelpAssistant\UserData

se ne trovi delle altre, eliminale

[ramtut]

non ho ancora eseguito le ultime indicazioni che mi hai fornito.

Ho però effettuato oggi un controllo antivirus sempre con AVG free e non sono state rilevate infezioni/virus, neanche quella di

Trojan Generic17.BTPZ

che dici! è il caso che prosegua come da programma ultimo da te indicato?
ciao,

[menatwork]

visto che non sei sicuro/a o non ti fidi, prima di eseguire quel passaggio(ti ho anche spiegato anche se devi o non devi eseguirlo) fai queste scansioni

scarica questo programma
avia la scansione cliccando su ''start scan''
alla fine verra' rilasciato il rapporto sul desktop
allegalo caricandolo su un server


scarica FixMebroot

doppio click sul file FixMebroot.exe , poi clicca su Accept

clicca su Start e segui le istruzioni a video

Una volta conclusa la scansione verrà generato sul desktop il log dal nome FixMebroot.log

[ramtut]

ho eseguito il precedente passaggio condizionato alla mancata esistenza del desktop remoto

ho eseguito anche FixMebroot

per l'altro l'applicazione non risponde

grazie

in ogni caso ecco il report:

Symantec Trojan.Mebroot Removal Tool 1.0.2
Found drive \\.\PhysicalDrive0, analyzing MBR...
Creating FixMebroot service driver
Running driver...
Trojan.Mebroot has not been found active on your computer.
Delete service driver
Delete driver file
End


The system requires a reboot but was not rebooted.
To clean up all remnants of the threat from the system it must be rebooted.

[menatwork]

vai in C:\ ed elimina il log di combofix lo trovi come ComboFix.txt

riesegui la scansione con combofix e carica il rapporto ottenuto qui

[ramtut]

mi sono ricordato solo ora di avere la pen drive infetta
faccio le stesse operazioni dal principio da te consigliate?

in ogni caso di seguito l'ultimo report


ComboFix 10-05-14.06 - Administrator 15/05/2010 9.31.43.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.511.260 [GMT 2:00]
Eseguito da: c:\documents and settings\Administrator\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2010-04-15 al 2010-05-15 )))))))))))))))))))))))))))))))))))
.

2010-05-14 06:47 . 2010-05-14 06:47 -------- d-----w- c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\Help
2010-05-12 06:23 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll
2010-05-12 06:23 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2010-05-09 12:36 . 2010-05-09 12:36 -------- d-----w- c:\programmi\Microsoft Silverlight
2010-05-08 16:41 . 2010-04-19 08:25 2117704 ----a-w- c:\documents and settings\All Users\Dati applicazioni\AVG Security Toolbar\IEToolbar.dll
2010-05-08 16:34 . 2010-05-08 16:34 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-05-08 16:34 . 2010-05-08 16:34 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-05-08 16:34 . 2010-05-08 16:34 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-05-08 16:34 . 2010-05-08 16:34 29512 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-05-08 16:33 . 2010-05-15 07:23 -------- d-----w- c:\windows\system32\drivers\Avg
2010-05-08 16:33 . 2010-05-08 16:41 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\AVG Security Toolbar
2010-05-05 14:21 . 2010-05-05 14:21 -------- d-----w- c:\programmi\File comuni\PersonSecurityUninstall
2010-05-05 14:20 . 2010-05-05 14:21 -------- d-----w- c:\programmi\PersonSecurity
2010-04-21 07:33 . 2010-04-21 07:33 242696 ----a-w- c:\documents and settings\All Users\Dati applicazioni\avg9\update\backup\avgtdix.sys
2010-04-21 07:32 . 2010-04-21 07:32 1689952 ----a-w- c:\documents and settings\All Users\Dati applicazioni\avg9\update\backup\avgupd.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2010-05-15 07:22 . 2009-11-05 09:55 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\avg9
2010-05-14 12:02 . 2008-07-07 21:00 -------- d-----w- c:\programmi\Microsoft Works
2010-03-28 08:08 . 2001-08-31 14:00 420138 ----a-w- c:\windows\system32\perfh010.dat
2010-03-28 08:07 . 2001-08-31 14:00 73512 ----a-w- c:\windows\system32\perfc010.dat
2010-03-25 07:24 . 2008-07-09 08:59 -------- d-----w- c:\documents and settings\Administrator\Dati applicazioni\AdobeUM
2010-03-11 12:30 . 2008-04-13 19:13 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:30 . 2008-04-13 19:13 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:30 . 2008-04-13 19:13 17408 ----a-w- c:\windows\system32\corpol.dll
2010-03-09 11:09 . 2008-04-13 19:13 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-02-24 13:11 . 2008-04-13 12:17 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-17 12:05 . 2008-04-13 18:55 2193664 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:05 . 2008-04-13 18:55 2070528 ----a-w- c:\windows\system32\ntkrnlpa.exe
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\programmi\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2010-04-19 08:25 2117704 ----a-w- c:\programmi\AVG\AVG9\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programmi\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programmi\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"SpybotSD TeaTimer"="c:\programmi\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"MsmqIntCert"="mqrt.dll" [2008-04-13 177152]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.5.0_0 6\bin\jusched.exe" [2005-11-10 36975]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 57344]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 88363]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Avvio veloce di Adobe Reader.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Avvio veloce di Microsoft Office OneNote 2003.lnk - c:\programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-4-19 64864]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-05-08 16:34 12464 ----a-w- c:\windows\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\mqsvc.exe"=
"c:\\Programmi\\AVG\\AVG9\\avgupd.exe"=
"c:\\Programmi\\AVG\\AVG9\\avgnsx.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Gruppi peer-to-peer Windows
"3540:UDP"= 3540:UDP:Peer Name Resolution Protocol (PNRP)
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"7434:TCP"= 7434:TCP:Services
"7435:TCP"= 7435:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [08/05/2010 18.34.21 216200]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [08/05/2010 18.34.30 242896]
R2 avg9wd;AVG Free WatchDog;c:\programmi\AVG\AVG9\avgwdsvc.exe [08/05/2010 18.33.33 308064]
S3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\programmi\AVG\AVG9\Toolbar\ToolbarBroke r.exe [08/05/2010 18.33.55 430152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc
.
Contenuto della cartella 'Scheduled Tasks'

2010-05-15 c:\windows\Tasks\User_Feed_Synchronization-{1E8B2898-927D-452B-85B4-D2DE9AB3C3FD}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 17:36]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.repubblica.it/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - c:\programmi\AVG\AVG9\Toolbar\IEToolbar.dll
.

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-15 09:41
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

************************************************** ************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Curr entVersion\Installer\UserData\LocalSystem\Componen ts\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140710900063D11C8EF10054038389C"="C?\\WINDOWS\\s ystem32\\FM20ENU.DLL"
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\s ystem32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(1468)
c:\windows\system32\WININET.dll
.
Ora fine scansione: 2010-05-15 09:46:07
ComboFix-quarantined-files.txt 2010-05-15 07:46

Pre-Run: 44.332.019.712 byte disponibili
Post-Run: 44.657.123.328 byte disponibili

- - End Of File - - 056DDBF4FFC2E3DEB058F70111263BFE