consrv.dll e X

[RufyAce]

Salve a tutti, ieri sera avira mi ha trovato questi 2 file infetti, conserv.dll e X.
Ho fatto una scansione con malwarebytes e mi ha eliminato alcuni file sospetti, tra cui PUM.bad.proxy
Inoltre ho fatto una passata con combofix.
Dopo avere messo tutto in quarantena, non mi riuscivo più a collegare. Infatti Firefox aveva impostato la connessione tramite proxy in automatico; per collegarmi ho dovuto levare questa impostazione.
Ora volevo chiedervi se ho qualcosa di "sporco" nel pc (file, chiavi, ecc.) da eliminare.
Vi allego i log di avira, malwarebytes, combofix e HijackThis, sperando nella vostra cortesia.
avira
mbam
combofix
HijackThis

[R16]

Ciao.
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

codice:

KillAll::

Folder::
c:\users\Carlo\AppData\Local\46580643
c:\users\Carlo\AppData\Roaming\2487D
c:\program files (x86)\ConduitEngine

Registry::
[-HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
[-HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

RegLock::
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10w_ActiveX.exe,-101"
.

"Enabled"=dword:00000001
.

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10w_ActiveX.exe"
.

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx"
"ThreadingModel"="Apartment"
.

@="0"
.

@="ShockwaveFlash.ShockwaveFlash.10"
.

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx, 1"
.

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.

@="1.0"
.

@="ShockwaveFlash.ShockwaveFlash"
.

@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx"
"ThreadingModel"="Apartment"
.

@="FlashFactory.FlashFactory.1"
.

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx, 1"
.

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx, 1"
.

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.

@="1.0"
.

@="FlashFactory.FlashFactory"
.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.

@="{00020424-0000-0000-C000-000000000046}"
.

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]
@Denied: (A) (Everyone)
"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"
.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3]
@Denied: (A) (Everyone)
.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]
"Key"="ActionsPane3"
"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"
.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix


N.B:
Se viene visualizzato il seguente errore: Operazione non valida tentata su una chiave di registro che è stato contrassegnato per l'eliminazione allora sarà necessario riavviare il computer che di norma risolve questo problema.

[RufyAce]

Ti ringrazio,
avevo qualcosina? devo fare altro ora?ecco il log.

[R16]

Ciao.
Sono rimaste alcune chiavi da sistemare:
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

codice:

KillAll::

RegLock::
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx"
"ThreadingModel"="Apartment"
.

@="FlashFactory.FlashFactory.1"
.

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx, 1"
.

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.

@="1.0"
.

@="FlashFactory.FlashFactory"
.

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix

[RufyAce]

fatto eccolo qui Dopo ogni "passata" con combofix firefox mi chiede sempre di impostarlo come browser predefinito... è normale?

[R16]

Direi che ci siamo.
Scarica OTL, e salvalo sul desktop:
http://oldtimer.geekstogo.com/OTL.exe
Clicca sull'icona di OTL che trovi sul tuo desktop .
Clicca su Cleanup.
Si disistallerà correttamente sia Combofix che OTL.

Se non riscontri problemi, abbiamo finito.

[RufyAce]

Ho disinstallato combifix come mi ha detto.
Successivamente ho fatto una scansione con l'antivirus e mi ha rilevato due file log
Cosa sono? Posso stare tranquillo?

[R16]

Ciao.
Non proprio tranquillo.....

Disattiva il Ripristino configurazione sistema:
http://windows.microsoft.com/it-IT/w...tore-on-or-off

Poi:
Da Pannello di controllo, vai in "Programmi e funzionalità" e disistalla TUTTE le versioni Java che trovi.

Fai una pulizia con CCleaner. (registro compreso)

Installa l'ultima versione:
http://www.java.com/it/download/index.jsp

Riattiva il Ripristino configurazione sistema.

Rifai la scansione con Avira, e vedi se rileva ancora qualcosa.

[RufyAce]

Non mi ha rilevato niente... grazie mille!

[RufyAce]

Salve a tutti, riscrivo perchè solo ora ho notato un problema.
Praticamente il virus che avevo preso mi ha disinstallato windows firewall, se provo ad attivarlo nel pannello di controlllo mi da errore mentre in servizi non esiste proprio e quindi non posso attivarlo... Come posso risolvere?