non riesco ad eliminare ca.exe

**alex1909** · 04-05-2010, 07:07

Buongiorno, sono un nuovo utente di questo forum, mi chiamo Alessandro e faccio l'istruttore di autoscuola; giorni fa mi sono imbattuto in un virus che non riesco ad eliminare. Ho come antivirus avast che puntualmente ogni 15 secondi mi mostra la videata che ha trovato un virus, io clicco su sposta sul cestino, rinomina, ripara, cancella, ma non succede niente.
Potete aiutarmi?
Grazie.

**menatwork** · 04-05-2010, 09:35

ciao

scarica combofix sul desktop (non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

carica il rapporto qui

**alex1909** · 04-05-2010, 13:46

ecco il rapporto:

ComboFix 10-05-03.05 - Alessandro Rossi 04/05/2010 13.33.21.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.1023.643 [GMT 2:00]
Eseguito da: c:\documents and settings\Alessandro Rossi\Documenti\Download\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100504-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))) )
.

C:\Autorun.inf
C:\ca.exe
c:\docume~1\ALESSA~1\IMPOST~1\Temp\tmp2.tmp
c:\programmi\WindowsUpdate
c:\windows\system32\Thumbs.db

.
((((((((((((((((((((((((( Files Creati Da 2010-04-04 al 2010-05-04 )))))))))))))))))))))))))))))))))))
.

2010-05-04 04:55 . 2010-05-04 04:55 -------- d-----w- c:\programmi\Xenocode
2010-05-04 04:55 . 2010-05-04 04:55 -------- d-----w- c:\documents and settings\Alessandro Rossi\Impostazioni locali\Dati applicazioni\Xenocode
2010-05-04 04:55 . 2010-05-04 04:56 -------- d-----w- c:\programmi\High Quality Photo Resizer
2010-04-22 20:58 . 2010-04-22 20:58 -------- d-----w- c:\programmi\MWSnap
2010-04-17 12:08 . 2010-04-17 12:08 -------- d-----w- c:\documents and settings\Alessandro Rossi\Dati applicazioni\AdobeUM
2010-04-17 12:08 . 2010-04-17 12:08 -------- d-----w- c:\documents and settings\Alessandro Rossi\Impostazioni locali\Dati applicazioni\Adobe
2010-04-17 12:05 . 2010-04-17 12:05 -------- d-----w- c:\windows\Cache
2010-04-16 20:48 . 2010-04-16 20:48 -------- d-----w- c:\documents and settings\Alessandro Rossi\Impostazioni locali\Dati applicazioni\Ahead
2010-04-16 20:46 . 2010-04-16 20:46 -------- d-----w- c:\documents and settings\Alessandro Rossi\Dati applicazioni\Ahead
2010-04-16 20:45 . 2010-04-16 20:45 -------- d-----w- c:\programmi\Nero
2010-04-16 20:45 . 2010-04-16 20:45 -------- d-----w- c:\programmi\File comuni\Ahead
2010-04-16 20:40 . 2010-04-16 20:41 -------- d-----w- c:\programmi\File comuni\Adobe
2010-04-16 20:39 . 2010-04-16 20:39 -------- d--h--w- c:\programmi\InstallShield Installation Information
2010-04-16 20:37 . 2010-04-16 20:37 -------- d-----w- c:\programmi\File comuni\InstallShield
2010-04-16 20:09 . 2010-04-16 20:09 -------- d-----w- c:\documents and settings\Alessandro Rossi\Impostazioni locali\Dati applicazioni\Identities
2010-04-16 20:04 . 2003-06-18 23:31 18944 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\mdippr.d ll
2010-04-16 20:04 . 2003-06-18 23:31 17920 ----a-w- c:\windows\system32\mdimon.dll
2010-04-16 20:03 . 2010-04-16 20:03 -------- d-----w- c:\programmi\Microsoft.NET
2010-04-16 20:02 . 2010-04-16 20:03 -------- d-----w- c:\windows\SHELLNEW
2010-04-16 19:58 . 2010-04-16 19:58 -------- d-----r- C:\MSOCache
2010-04-16 19:50 . 2010-04-16 19:50 0 ----a-w- c:\windows\nsreg.dat
2010-04-16 19:50 . 2010-04-16 19:50 -------- d-----w- c:\documents and settings\Alessandro Rossi\Impostazioni locali\Dati applicazioni\Mozilla

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2010-05-01 07:57 . 2010-04-16 12:31 42624 ----a-w- c:\documents and settings\Alessandro Rossi\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2010-04-16 20:06 . 2004-08-19 12:00 48790 ----a-w- c:\windows\system32\perfc010.dat
2010-04-16 20:06 . 2004-08-19 12:00 348238 ----a-w- c:\windows\system32\perfh010.dat
2010-04-16 12:43 . 2010-04-16 12:43 -------- d-----w- c:\programmi\Alwil Software
2010-04-16 12:31 . 2010-04-16 12:30 -------- d-----w- c:\programmi\Mobile Partner
2010-04-16 12:20 . 2010-04-16 12:20 -------- d-----w- c:\programmi\microsoft frontpage
2010-04-16 12:19 . 2010-04-16 12:19 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-04-16 12:18 . 2010-04-16 12:18 -------- d-----w- c:\programmi\Servizi in linea
2010-04-16 12:16 . 2010-04-16 12:16 21840 ----a-w- c:\windows\system32\emptyregdb.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.e xe" [2001-07-09 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Gamma Loader.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2010-4-16 113664]

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [16/04/2010 15.09.38 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswF sBlk.sys [16/04/2010 15.09.38 20560]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Alessandro Rossi\Dati applicazioni\Mozilla\Firefox\Profiles\nd781bvg.def ault\

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabl ed", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_every where__temporarily_available_pref", true);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_bro ken", false);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programmi\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programmi\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKLM-Run-NWEReboot - (no file)

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-04 13:37
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

************************************************** ************************
.
Ora fine scansione: 2010-05-04 13:38:34
ComboFix-quarantined-files.txt 2010-05-04 11:38

Pre-Run: 64.754.974.720 byte disponibili
Post-Run: 64.773.652.480 byte disponibili

- - End Of File - - A0C3E37D0A23DDECAB3ED9BA0F4D963F

**menatwork** · 04-05-2010, 15:39

fortuna che ti avevo lasciato il link per caricarlo.....

combofix lo ha fatto secco!!!

avevi anche l'Autorun - se hai una chiavetta o dispositivo esterno collegalo al pc avendo cura di tenere premuto il tasto ''shift'' presente sulla tastiera in basso a sinistra e rilascialo dopo qualche secondo

scarica malwarebytes
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione) del pc e della chiavetta

A scansione completa, fai clic su OK => Mostra i Risultati.

posta il rapporto secondo le regole

**alex1909** · 04-05-2010, 21:28

Grazie!!!
Tutto risolto.
A presto.

Discussione: non riesco ad eliminare ca.exe

Strumenti discussione

Ricerca discussione

Visualizza

aiuto non riesco ad eliminare ca.exe

Permessi di invio