virus che si ripresenta dopo l'eliminazione

[wiamty]

Salve a tutti,
sono nuova del forum, e premetto che non sono affatto esperta.
Qualche giorno fà ho preso un virus che mi blocca completamente il pc avviando Internet Explorer e collegandosi ad un fantomatico sito della "guardia di finanza" in cui mi si chiede di pagare 100 € per sbloccare il tutto...
Entrando in modalità provvisoria faccio i seguenti tentativi: scansione con NOD32, che non trova niente. Scansione con Malwarebytes, che trova 3 o 4 voci infette e le elimina. Esecuzione di Combofix, che in base ad alcune discussioni trovare in rete avrebbe dovuto eliminare questo virus specifico. Faccio tutte le operazioni disattivando il ripristino delle configurazioni di sistema.
Questo sembra risolvere il problema, il pc funziona per un paio di giorni (anche di meno) ma poi il virus si ripresenta.
Allego i log delle ultime scansioni con Malwarebytes e quello di HijackThis.
http://www.wikifortio.com/849569/mbam-log-2011-12-21 (03-10-45).txt
http://www.wikifortio.com/838569/hij...s_21_12log.txt

Cosa mi consigliate?
Vi ringrazio anticipatamente

[menatwork]

ciao wiamty hai il virus Ransom abbastanza difficile da debellare

di questa infezione gia' se ne e' parlato qui vediamo se riusciamo a risolvere in qualche modo

dovresti postarmi anche combofix ci potrebbero essere delle elilinazioni manuali da fare oltre quelle che gia' sono state fatte dal tool

fai questa scansione

scarica TDSSKiller sul desktop ed estrai il contenuto

Start > Esegui > copia/incolla il seguente comando e dai OK.

"%userprofile%\Desktop\TDSSKiller.exe"

Clicca su Start Scan.
Se c’è un’infezione, l'azione di default sarà cure. Clicca su continua.
Se c’è il sospetto di un’infezione, l'azione di default sarà skip. Clicca su continua.
Se viene richiesto il riavvio, accetta.
Il rapporto si troverà in C:, sotto queste sembianze: TDSSKiller.[Version]_[Date]_[Time]_log.txt

[wiamty]

Intanto grazie per l'aiuto!
ecco il rapporto di TDSSKiller:
http://www.wikifortio.com/480811/TDS....07.24_log.txt
A seguire ho eseguto di nuovo combofix, ecco il log:
http://www.wikifortio.com/770665/log.txt

Grazie di nuovo

[menatwork]

sei ancora infetta dammi il tempo di prepararti una procedura per eliminare le infezioni dal pc
_____

Ora apri una pagina del blocco note e copia incolla quanto segue

folder::
c:\documents and settings\Irene\Dati applicazioni\Seawu
c:\documents and settings\Irene\Dati applicazioni\Epva
c:\programmi\ConduitEngine
c:\programmi\uTorrentBar_IT

file::
c:\programmi\uTorrentBar_IT\prxtbuTo0.dll
c:\programmi\Softonic-IT\prxtbSof0.dll
c:\programmi\ConduitEngine\prxConduitEngine.dll
c:\documents and settings\Irene\Dati applicazioni\Seawu\oktoah.exe

registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[-HKEY_CLASSES_ROOT\clsid\{e3393495-8103-46a0-8181-270273eddd60}]
[-HKEY_CLASSES_ROOT\clsid\{4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1}]
[-HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1}"=-
"{e3393495-8103-46a0-8181-270273eddd60}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{e3393495-8103-46a0-8181-270273eddd60}"=-
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
"{4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1}"=-

salva la pagina nominandola obligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine e riposta il suo log

[wiamty]

Fatto! Scusa la lentezza, ho avuto qualche problema.
Ecco il log:
http://www.wikifortio.com/784945/logCOMB.txt

[friedr]

..ricordati di aggiornare Internet Explorer 7 alla versione 8

aggiorna anche Java (java.com),disinstalla la vecchia versione, e installa la 6.0.30

ed il flash player da adobe.com .

[menatwork]

sei ancora infetta....ora controlla su virus total questo file dovresti trovarlo cosi' dopo l'estensione .EXE vedrai -i LLUVIA e' dentro la cartella Binn

c:\programmi\Microsoft SQL Server\MSSQL$LLUVIA\Binn\sqlagent.EXE -i LLUVIA

[wiamty]

non vedo -i LLUVIA dopo l'estensione .EXE, ho controllato
c:\programmi\Microsoft SQL Server\MSSQL$LLUVIA\Binn\sqlagent.EXE
su virus total e dice questo:
"File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5: e3f974bdedc336490a2e6f3a703f016a
Date first seen: 2009-07-08 19:01:50 (UTC)
Date last seen: 2011-12-11 23:44:39 (UTC)
Detection ratio: 0/43"

[menatwork]

apri nuovamente un nuovo file di testo e incollaci queste righe

file::
c:\documents and settings\Irene\Dati applicazioni\Seawu\oktoah.exe

folder::
C:\FOUND.015
C:\FOUND.016

registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"{FCEC6D7F-9986-BF72-A5E5-07A519CC90CF}"=-

Dirlook::
c:\programmi\Microsoft SQL Server\MSSQL$LLUVIA\Binn\

Salva il file nella stessa posizione dove è presente combofix.exe e chiamalo CFScript.txt
Adesso trascina il file CFScript.txt su combofix.exe
Riavvia il pc se ti viene richiesto dal programma.
Riavvia e posta il contenuto del file C:\ComboFix.txt

[wiamty]

ecco qui:
http://www.wikifortio.com/788591/ComboFix.txt
...qualche cambiamento?