explorer.exe, reindirizzamenti, etc

[ale1974]

salve a tutti,
ho gia' fatto una ricerca nel forum e non ho trovato niente che assomigliasse al mio problema...
i fatti: un paio di giorni fa navigando(con firefox) su un sito (uscito da una ricerca, quindi sconosciuto per me) l'antivirus (avira) mi ha segnalato alcuni tentativi di infezione (peccato non averli segnati)
ho chiuso firefox, l'ho riavviato e ho fatto una scansione, questo il risultato:

C:\Documents and Settings\principale\Impostazioni locali\Temporary Internet Files\Content.IE5\JSFJDIDY\download[1].php
[RILEVAMENTO] Contiene il modello di rilevamento del virus script HTML HTML/Drop.Skintrim
[NOTA] Il file è stato spostato in quarantena con il nome '4d02dfe3.qua'!

ho riavviato e tutto e' andato bene tranne un'anomalia: ogni tanto le ricerche che facevo su google venivano reindirizzate su altri siti in nuove finestre
ho fatto di nuovo una scansione con avira e mi ha trovato questo:

C:\Documents and Settings\principale\Impostazioni locali\Dati applicazioni\iqpsksrnx\kiwwhfsuqiw.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/FraudPack.bjva
[NOTA] Il file è stato spostato in quarantena con il nome '4d051757.qua'!

C:\Documents and Settings\principale\Impostazioni locali\Dati applicazioni\urmskusoc\kiehfxiuqiw.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/FraudPack.bjva
[NOTA] Il file è stato spostato in quarantena con il nome '4cf31757.qua'!

C:\Documents and Settings\principale\Dati applicazioni\Sun\Java\Deployment\cache\6.0\34\41c6 1822-151881af
[NOTA] Il file è stato spostato in quarantena con il nome '4cf1171f.qua'!

C:\Documents and Settings\principale\Impostazioni locali\Dati applicazioni\iqpsksrnx\kiwwhfsuqiw.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/FraudPack.bjva
[AVVISO] Si è verificato un errore nel tentativo di creare una copia di backup e il file non è stato cancellato. Numero errore: 26004
[AVVISO] Impossibile trovare il file sorgente.
[NOTA] Si sta tentando di eseguire l'azione con l'aiuto della ARK Library.
[AVVISO] Errore nella ARK Library
[NOTA] Il file è stato selezionato per essere eliminato dopo il riavvio.

C:\Documents and Settings\principale\Impostazioni locali\Dati applicazioni\urmskusoc\kiehfxiuqiw.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/FraudPack.bjva
[AVVISO] Si è verificato un errore nel tentativo di creare una copia di backup e il file non è stato cancellato. Numero errore: 26004
[AVVISO] Impossibile trovare il file sorgente.
[NOTA] Si sta tentando di eseguire l'azione con l'aiuto della ARK Library.
[AVVISO] Errore nella ARK Library
[NOTA] Il file è stato selezionato per essere eliminato dopo il riavvio.

C:\Documents and Settings\principale\Impostazioni locali\Temp\mkcxhunr.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/FraudPack.bjva
[NOTA] Il file è stato spostato in quarantena con il nome '4cf11773.qua'!

C:\System Volume Information\_restore{901B5449-48B2-4628-BD3F-3FB00D99D293}\RP1\A0000004.inf
[RILEVAMENTO] Contiene il modello di rilevamento del worm WORM/Conficker.Autorun.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '4cbe1738.qua'!

pensavo di aver finito e invece ripetendo di nuovo una scansione e' uscito questo:

C:\WINXPMC\Temp\yklb\setup.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
[AVVISO] Si è verificato un errore nel tentativo di creare una copia di backup e il file non è stato cancellato. Numero errore: 26003
[AVVISO] Impossibile eliminare il file!
[NOTA] Si sta tentando di eseguire l'azione con l'aiuto della ARK Library.
[NOTA] Il file è stato spostato in quarantena con il nome '496e1042.qua'!

la cosa e' andata peggiorando perche' ora all'avvio di windows ricevo piu' volte il messaggio:

Nel file 'C:\WINXPMC\system32\dllcache\explorer.exe'
è stato rilevato un virus o programma indesiderato 'TR/Spy.1034752.8' [trojan].
Azione eseguita: Nega accesso

Nel file 'C:\WINXPMC\explorer.exe'
è stato rilevato un virus o programma indesiderato 'TR/Spy.1034752.8' [trojan].
Azione eseguita: Nega accesso

(ho messo l'azione "nega accesso" in automatico per non dover sempre cliccare (ma genera l'errore ripetutamente)

ho fatto recentemente una scansione con questi risultati:

C:\WINXPMC\Explorer.EXE
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.1034752.8
[AVVISO] Si è verificato un errore nel tentativo di creare una copia di backup e il file non è stato cancellato. Numero errore: 26003
[AVVISO] Impossibile eliminare il file!
[NOTA] Si sta tentando di eseguire l'azione con l'aiuto della ARK Library.
C:\WINXPMC\Explorer.EXE
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.1034752.8
[AVVISO] Si è verificato un errore nel tentativo di creare una copia di backup e il file non è stato cancellato. Numero errore: 26003
[AVVISO] Impossibile eliminare il file!
[NOTA] Si sta tentando di eseguire l'azione con l'aiuto della ARK Library.

ho scaricato hijackthis e ho generato il file di log ma non so come interpretarlo...
scusate la lungaggine... qualcuno ha capito di che sto parlando?

ale

[ale1974]

ps ho letto la guida (nei thread in evidenza in questo forum) ma ho saltato volutamente i punti [2] e [3] perche' sono cose che non ho mai usato e vorrei capirci di piu' prima di incasinare di piu' le cose...
per ora ho spento il pc infetto perche' ho paura che sia un virus nuovo o una nuova variante di un vecchio virus che non e' stata ancora risolta completamente

grazie ancora!
ale

[amvinfe]

Scarica SystemScan
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Portati su www.wikisend.com carica il file con estensione .zip e scrivi l'URL nella tua prossima risposta.

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disattivato.


SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.


Ciao

[ale1974]

grazie amvinfe per il suggerimento: ho scaricato e fatto andare SystemScan ma il file di log prodotto mi e' sembrato un po' troppo "impiccione"... comunque dopo aver seguito tutti i passi della guida (nei thread in evidenza in questo forum) sono qui a postare il log di hijackthis sperando che ci si capisca qualcosa (ho individuato varie voci da sola - che pensavo di aver estirpato ma si sono ricreate - ma altre non sono in grado di individuarle)... help!

[ale1974]

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19.58.49, on 15/09/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINXPMC\System32\smss.exe
C:\WINXPMC\system32\winlogon.exe
C:\WINXPMC\system32\services.exe
C:\WINXPMC\system32\lsass.exe
C:\WINXPMC\system32\svchost.exe
C:\WINXPMC\System32\svchost.exe
C:\WINXPMC\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINXPMC\Explorer.EXE
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINXPMC\eHome\ehRecvr.exe
C:\WINXPMC\eHome\ehSched.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINXPMC\system32\nvsvc32.exe
C:\WINXPMC\system32\svchost.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt. exe
C:\WINXPMC\ehome\ehtray.exe
C:\WINXPMC\system32\RUNDLL32.EXE
C:\WINXPMC\RTHDCPL.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\WINXPMC\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
C:\WINXPMC\eHome\ehmsas.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINXPMC\system32\dllhost.exe
C:\Programmi\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINXPMC\system32\wuauclt.exe
C:\Documents and Settings\principale\Documenti\Downloads\HijackThis .exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [ehTray] C:\WINXPMC\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXPMC\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXPMC\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.e xe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [uosqsxdr] C:\Documents and Settings\principale\Impostazioni locali\Dati applicazioni\iqpsksrnx\kiwwhfsuqiw.exe
O4 - HKLM\..\Run: [rxbyutvy] C:\Documents and Settings\principale\Impostazioni locali\Dati applicazioni\urmskusoc\kiehfxiuqiw.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXPMC\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\principale\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [uosqsxdr] C:\Documents and Settings\principale\Impostazioni locali\Dati applicazioni\iqpsksrnx\kiwwhfsuqiw.exe
O4 - HKCU\..\Run: [rxbyutvy] C:\Documents and Settings\principale\Impostazioni locali\Dati applicazioni\urmskusoc\kiehfxiuqiw.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXPMC\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXPMC\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXPMC\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXPMC\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\winxpmc\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\winxpmc\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\winxpmc\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\winxpmc\system32\nvlsp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXPMC\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXPMC\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt. exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXPMC\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINXPMC\system32\HPZipm12.exe

--
End of file - 6677 bytes

[amvinfe]

ciao,
qualche anno fa HijackThis era l'unico strumento valido per poter capire dove era nascosta un'infezione. Oggi HJT, pur rimanendo un utile strumento, non è più sufficiente ad individuare, eliminare tutti i tipi d'infezione tante sono le varialbili.

Oggi SystemScan è, insieme a pochi altri programmi, indispensabile per poter ricercare davvero, in tutte o quasi le dir di una macchina, dove vengono scaricati e collocati i valori infetti.

Nella licenza d'uso di questo programma viene descritto "il pericolo" di una scansione di questo tipo, ma è anche vero che abbiamo cercato di salvaguardare la privacy di ogni utente, per farlo abbiamo nascosto email, numeri telefonici (ad esempio), non potevavmo certo rendere non visibili programmi installati, URLs presenti nei Preferiti od ancora omettere user o admin.
Tutto questo proprio perchè anche da questi valori si possono escludere infezioni o, viceversa, determinare l'infezione di una macchina.

Fatta questa premessa, scarica, installa ed aggiorna http://www.malwarebytes.org/mbam.php (free)

Esegui una scansione completa, elimina i valori trovati infetti.
Dalla maschera principale del programma portati nella sezione dei log, copia/incolla il risultato della scansione.

[ale1974]

allora, malwarebytes l'avevo gia' passato, cosi' come hijackthis per controllo... comunque dopo vari smanettamenti sembrano dare entrambi un pc pulito... il problema me lo rileva solo avira... questo maledetto explorer.exe infetto... il problema e' che non posso rischiare di fare errori perche' e' evidente che senza explorer.exe il pc non funziona piu'
ho trovato questo articolo che sembrerebbe proprio fare al caso mio ma mi sembra MOLTO azzardato:
http://www.b2b24.ilsole24ore.com/ite..._77104,00.html


splittati in 2 messaggi ecco gli ultimi 3 log (malwarebytes, hijackthis e avira):

--------------------------- malwarebytes ----------------------------------

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4621

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

18/09/2010 8.16.48
mbam-log-2010-09-18 (08-16-48).txt

Tipo di scansione: Scansione veloce
Elementi esaminati: 133454
Tempo trascorso: 4 minuti, 32 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

---------------------------------- hijackthis -----------------------------------

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 8.19.16, on 18/09/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINXPMC\System32\smss.exe
C:\WINXPMC\system32\winlogon.exe
C:\WINXPMC\system32\services.exe
C:\WINXPMC\system32\lsass.exe
C:\WINXPMC\system32\svchost.exe
C:\WINXPMC\System32\svchost.exe
C:\WINXPMC\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINXPMC\Explorer.EXE
C:\WINXPMC\ehome\ehtray.exe
C:\WINXPMC\system32\RUNDLL32.EXE
C:\WINXPMC\RTHDCPL.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\WINXPMC\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINXPMC\eHome\ehmsas.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINXPMC\eHome\ehRecvr.exe
C:\WINXPMC\eHome\ehSched.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINXPMC\system32\nvsvc32.exe
C:\WINXPMC\system32\svchost.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt. exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINXPMC\system32\dllhost.exe
C:\Programmi\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINXPMC\system32\wuauclt.exe
C:\Documents and Settings\principale\Documenti\Downloads\HijackThis .exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [ehTray] C:\WINXPMC\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXPMC\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXPMC\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.e xe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXPMC\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\principale\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXPMC\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXPMC\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXPMC\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXPMC\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\winxpmc\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\winxpmc\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\winxpmc\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\winxpmc\system32\nvlsp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXPMC\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXPMC\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt. exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXPMC\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINXPMC\system32\HPZipm12.exe

--
End of file - 6152 bytes

[ale1974]

--------------------------------- avira -----------------------------------------

Avira AntiVir Personal
Data del file di report: venerdì 17 settembre 2010 16:42

Ricerca di 2846660 virus e programmi indesiderati.

Concesso in licenza a : Avira AntiVir Personal - FREE Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows XP
Versione di Windows : (Service Pack 2) [5.1.2600]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : WINXPMC

Informazioni sulla versione:
BUILD.DAT : 9.0.0.24 21699 Bytes 10/06/2010 09:34:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20/11/2009 06:16:33
AVSCAN.DLL : 9.0.3.0 47873 Bytes 03/03/2009 10:14:29
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:56
LUKERES.DLL : 9.0.2.0 12545 Bytes 03/03/2009 10:15:14
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:16:33
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 06:16:33
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 06:29:35
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 06:31:05
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 18:57:43
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 05:31:30
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 06:03:40
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 18:01:10
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13/09/2010 06:03:35
VBASE009.VDF : 7.10.11.134 2048 Bytes 13/09/2010 06:03:35
VBASE010.VDF : 7.10.11.135 2048 Bytes 13/09/2010 06:03:35
VBASE011.VDF : 7.10.11.136 2048 Bytes 13/09/2010 06:03:35
VBASE012.VDF : 7.10.11.137 2048 Bytes 13/09/2010 06:03:35
VBASE013.VDF : 7.10.11.165 172032 Bytes 15/09/2010 14:35:08
VBASE014.VDF : 7.10.11.166 2048 Bytes 15/09/2010 14:35:08
VBASE015.VDF : 7.10.11.167 2048 Bytes 15/09/2010 14:35:08
VBASE016.VDF : 7.10.11.168 2048 Bytes 15/09/2010 14:35:08
VBASE017.VDF : 7.10.11.169 2048 Bytes 15/09/2010 14:35:09
VBASE018.VDF : 7.10.11.170 2048 Bytes 15/09/2010 14:35:09
VBASE019.VDF : 7.10.11.171 2048 Bytes 15/09/2010 14:35:10
VBASE020.VDF : 7.10.11.172 2048 Bytes 15/09/2010 14:35:10
VBASE021.VDF : 7.10.11.173 2048 Bytes 15/09/2010 14:35:10
VBASE022.VDF : 7.10.11.174 2048 Bytes 15/09/2010 14:35:10
VBASE023.VDF : 7.10.11.175 2048 Bytes 15/09/2010 14:35:10
VBASE024.VDF : 7.10.11.176 2048 Bytes 15/09/2010 14:35:10
VBASE025.VDF : 7.10.11.177 2048 Bytes 15/09/2010 14:35:10
VBASE026.VDF : 7.10.11.178 2048 Bytes 15/09/2010 14:35:10
VBASE027.VDF : 7.10.11.179 2048 Bytes 15/09/2010 14:35:11
VBASE028.VDF : 7.10.11.180 2048 Bytes 15/09/2010 14:35:11
VBASE029.VDF : 7.10.11.181 2048 Bytes 15/09/2010 14:35:11
VBASE030.VDF : 7.10.11.182 2048 Bytes 15/09/2010 14:35:11
VBASE031.VDF : 7.10.11.186 28672 Bytes 15/09/2010 14:35:13
Motore : 8.2.4.52
AEVDF.DLL : 8.1.2.1 106868 Bytes 29/07/2010 18:15:42
AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 27/08/2010 05:42:10
AESCN.DLL : 8.1.6.1 127347 Bytes 13/05/2010 05:56:58
AESBX.DLL : 8.1.3.1 254324 Bytes 24/04/2010 06:50:42
AERDL.DLL : 8.1.8.2 614772 Bytes 20/07/2010 17:55:55
AEPACK.DLL : 8.2.3.5 471412 Bytes 22/08/2010 22:06:24
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21/07/2010 17:56:12
AEHEUR.DLL : 8.1.2.21 2883958 Bytes 03/09/2010 15:25:32
AEHELP.DLL : 8.1.13.3 242038 Bytes 27/08/2010 05:42:04
AEGEN.DLL : 8.1.3.21 401780 Bytes 14/09/2010 06:03:49
AEEMU.DLL : 8.1.2.0 393588 Bytes 24/04/2010 06:50:39
AECORE.DLL : 8.1.16.2 192887 Bytes 20/07/2010 17:55:35
AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 06:50:39
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:48:02
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/09/2009 18:34:47
AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 17:46:47
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:25:10
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:45
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:37:12
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:21:38
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:41:28
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 13/07/2009 15:07:27
RCTEXT.DLL : 9.0.73.0 87809 Bytes 20/11/2009 06:16:32

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: c:\programmi\avira\antivir desktop\sysscan.avp
Report......................................: basso
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:,
Scansione dei programmi attivi..............: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: medio

Avvio della scansione: venerdì 17 settembre 2010 16:42

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
Sono stati esaminati '31814' oggetti, sono stati rilevati '0' oggetti nascosti.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wuauclt.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'hprblog.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'alg.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'hpqste08.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'dllhost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'hpqtra08.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'msmsgs.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'ctfmon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'ehmsas.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'jusched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'hpwuSchd2.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'reader_sl.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'RTHDCPL.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'rundll32.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'ehtray.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'nSvcIp.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wuauclt.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'nSvcAppFlt.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'explorer.exe' - '1' modulo(i) scansionato(i)
Il modulo è infetto -> 'C:\WINXPMC\Explorer.EXE'
Scansione processo 'nvsvc32.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'jqs.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'ehSched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'ehRecvr.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'mDNSResponder.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '1' modulo(i) scansionato(i)

42 processi scansionati con '42' Moduli

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
C:\WINXPMC\Explorer.EXE
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.1034752.8
C:\WINXPMC\Explorer.EXE
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.1034752.8

Il registro è stato scansionato ( 53 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
C:\pagefile.sys
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\WINXPMC\explorer.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.1034752.8
C:\WINXPMC\system32\dllcache\explorer.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.1034752.8

Avvio della disinfezione:
C:\WINXPMC\Explorer.EXE
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.1034752.8
[AVVISO] Il file è stato ignorato.
C:\WINXPMC\Explorer.EXE
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.1034752.8
[AVVISO] Il file è stato ignorato.
C:\WINXPMC\explorer.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.1034752.8
[AVVISO] Il file è stato ignorato.
C:\WINXPMC\system32\dllcache\explorer.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.1034752.8
[AVVISO] Il file è stato ignorato.


Fine della scansione: venerdì 17 settembre 2010 17:43
Tempo impiegato: 34:23 Minuto(i)

La scansione è stata completamente eseguita.

7893 Directory scansionate
234954 I file sono stati scansionati
5 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
0 File spostati in quarantena
0 File rinominati
1 Impossibile scansionare i file
234948 File non infetti
1129 Archivi scansionati
5 Avvisi
1 Note
31814 Oggetti scansionati durante la scansione dei rootkit
0 Sono stati rilevati oggetti nascosti

[amvinfe]

non vorrei si trattasse di falso positivo. Fai controllare il file su www.virustotal.com

[ale1974]

Originariamente inviato da amvinfe
non vorrei si trattasse di falso positivo. Fai controllare il file su www.virustotal.com

non me lo carica (ma mi carica altri file)...
forse perche' e' un exe...?
o perche' in qualche modo l'antivirus mi blocca l'operazione...?
magari lo zippo...?
comunque credo che qualcosa ci sia: mi sembra troppo strano che ci sia un riferimento a C:\WINXPMC\Explorer.EXE (perche' quello vero/originale e' explorer.exe tutto minuscolo)
mah...