Computer "Influenzato". Urge vaccino!!

[Nicocasitta]

Salve a tutti!!
Oggi sono riuscito a beccare un virus abbastanza fastidioso. AVG l'ha trovato subito, peccato che non sia riuscito ad andare oltre la segnalazione!!
Il virus in questione chiamasi rkd.dll, o almeno credo. AVG lo trova ad ogni scansione ma non riesce a cancellarlo. Ho fatto una rapida ricerca su internet ed ho trovato info a riguardo e il virus in questione ha solo nove giorni di vita (http://www.prevx.com/filenames/X6591...0/RKD.DLL.html). Il sito in questione è quello di un "risolutore di virus informatici" che propone la scansione tramite Prevx CIS, ma poi per risolvere il problema necessita un seriale che verrebbe a costare 24 dollari e rotti, ma con quale garanzia??
Nella scansione Prevx ha trovato:

AMVO0.DLL Trojan.Legmir.A
AMVO1.DLL Malware.Gen
U.BAT SHeur.SHW


Premetto che al momento non ho ancora riavviato il PC e non so se darà problemi (spero di no)
Per il momento l'unica cosa evidente è che non riesco a visualizzare le cartelle nascoste tipo Impostazioni Locali e quindi neppure la cartella temp. Volevo rimuoverlo con killbox, ma non mi fa vedere proprio la cartella.

Sperando che qualche santo riesca ad aiutarmi.. allego il log (HijackThis)

Logfile of HijackThis v1.99.1
Scan saved at 22.05.15, on 17/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\ASUS\WLAN Card Utilities\Center.exe
C:\Programmi\ATI Technologies\ATI HydraVision\HydraDM.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\QuickTime\QTTask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Nico\Desktop\tvants\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll
O3 - Toolbar: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Control Center] C:\Programmi\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programmi\ATI Technologies\ATI HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe "
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [qbtdpakcga] c:\documents and settings\nico\impostazioni locali\dati applicazioni\qbtdpakcga.exe qbtdpakcga
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5CD4310E-88FB-43C1-BE24-5F3FA9C5C9D1} (KooPlayer Control) - http://www.coolstreaming.us/consolle.../KooPlayer.ocx
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{11492E79-B6A0-485D-BEFF-977AC41BB735}: NameServer = 85.37.17.51 85.38.28.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{11492E79-B6A0-485D-BEFF-977AC41BB735}: NameServer = 85.37.17.51 85.38.28.97
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Ringrazio anticipatamente quanti presteranno attenzione alla mia disperata ricerca di aiuto! Se riusciste ad aiutarmi ve ne sarei molto grato!

[bootzenn]

ciao

con hijackthis fixa questi:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKCU\..\Run: [qbtdpakcga] c:\documents and settings\nico\impostazioni locali\dati applicazioni\qbtdpakcga.exe qbtdpakcga

O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

ma lo scan con prevxcsi non ti ha segnalato questo:
amvo.exe ??

comunque fixa, riavvia disabilitando il ripristino, aggiorna e scan con avg

alla fine riposta log hijackthis

[Nicocasitta]

Grazie bootzenn!

Un piccolo aggiornamento. Sembrerebbe che il virus abbia cambiato nome, non mi è capitato altre volte.

Adesso AVG mi segnala lb2t87v.dll e guardacaso ad altra ricerca su internet corrisponde sempre lo stesso sito di prevx CSI precitato!

Il file in questione è localizzato in C:\Document and Setting\Nico\Impostazioni Locali\Temp\lb2t87v.dll

[bootzenn]

hai fixato quello che ti ho segnalato?
ri-posta un log di hijackthis dopo aver fixato (scarica l'ultima versione-link utili)

ma avg non riesce ad cancellarti quelle librerie .dll??

hai disattivato (momentaneamente) il ripristino?

[Nicocasitta]

Mi dispero per la mia ignoranza informatica.

Ehhmmm cosa vuol dire fixare e come si fà? E' la prima volta che affronto un problema con un virus di questa portata e che utilizzo hijackthis e scansioni online. Virus, worm, troyan e rootkit fino ad oggi passati sul mio PC sono riuscito sempre ad eliminarli senza l'ausilio di nessuno, tantomeno di un qualsivoglia forum tematico come questo. Non è questo il caso purtroppo!!

AVG riesce a visualizzare la .dll ma non a rimuoverla!

Altra disperazione... come si disattiva il ripristino?

Scusami se mi permetto di approfittare della tua bontà e della tua esperienza, spero di non chiedere troppo...

Nell'attesa di una risposta (se ci sarà ohimè) aspetto che termini la scansione on-line kaspersky per poi postare, sperando di riuscirci, l'esito della stessa.

Grazie!

[bootzenn]

ciao

se leggi la guida alla rimozione-virus all'inizio del forum sicurezza trovi tutte le risposte alle tue domande.

leggi, controlla se hai fatto tutto correttamente e alla fine di tutte le scansioni puoi postare log di hijack e kasper on.line

[Nicocasitta]

Ok lo farò quanto prima.

Per il momento posto il report di Kaspersky.

Nel contempo se ci sono altri problemi... anche se mi sembrano "sufficienti"!!

KASPERSKY ONLINE SCANNER REPORT
Friday, January 18, 2008 2:44:01 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 18/01/2008
Kaspersky Anti-Virus database records: 519236


Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\

Scan Statistics
Total number of scanned objects 88139
Number of viruses found 3
Number of infected objects 12
Number of suspicious objects 0
Duration of the scan process 01:17:18

Infected Object Name Virus Name Last Action
C:\autorun.inf Infected: Trojan-PSW.Win32.OnLineGames.oob skipped

C:\Documents and Settings\All Users\Dati applicazioni\avg7\Log\emc.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Grisoft\Avg7Data\avg7log.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Grisoft\Avg7Data\avg7log.log.lck Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked

skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object

is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG

Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object

is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat

Object is locked skipped

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG

Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Nico\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\Nico\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Nico\Impostazioni locali\Dati

applicazioni\Microsoft\Messenger\myaccount@hotmail .it\SharingMetadata\Logs\Dfsr00005.log Object is locked skipped

C:\Documents and Settings\Nico\Impostazioni locali\Dati

applicazioni\Microsoft\Messenger\myaccount@hotmail .it\SharingMetadata\pending.dat Object is locked skipped

C:\Documents and Settings\Nico\Impostazioni locali\Dati

applicazioni\Microsoft\Messenger\myaccount@hotmail .it\SharingMetadata\Working\database_C2F4_209C_F42 0_9527\dfsr.db

Object is locked skipped

C:\Documents and Settings\Nico\Impostazioni locali\Dati

applicazioni\Microsoft\Messenger\myaccount@hotmail .it\SharingMetadata\Working\database_C2F4_209C_F42 0_9527\fsr.log

Object is locked skipped

C:\Documents and Settings\Nico\Impostazioni locali\Dati

applicazioni\Microsoft\Messenger\myaccount@hotmail .it\SharingMetadata\Working\database_C2F4_209C_F42 0_9527\fsrtmp.log

Object is locked skipped

C:\Documents and Settings\Nico\Impostazioni locali\Dati

applicazioni\Microsoft\Messenger\myaccount@hotmail .it\SharingMetadata\Working\database_C2F4_209C_F42 0_9527\tmp.edb

Object is locked skipped

C:\Documents and Settings\Nico\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is

locked skipped

C:\Documents and Settings\Nico\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is

locked skipped

C:\Documents and Settings\Nico\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live

Contacts\myaccount@hotmail.it\real\members.stg Object is locked skipped

C:\Documents and Settings\Nico\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live

Contacts\myaccount@hotmail.it\shadow\members.stg Object is locked skipped

C:\Documents and Settings\Nico\Impostazioni locali\Temp\~DF5F08.tmp Object is locked skipped

C:\Documents and Settings\Nico\Impostazioni locali\Temp\~DF5F4D.tmp Object is locked skipped

C:\Documents and Settings\Nico\Impostazioni locali\Temp\~DF7350.tmp Object is locked skipped

C:\Documents and Settings\Nico\Impostazioni locali\Temp\~DF7363.tmp Object is locked skipped

C:\Documents and Settings\Nico\Impostazioni locali\Temp\~DF76B4.tmp Object is locked skipped

C:\Documents and Settings\Nico\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked

skipped

C:\Documents and Settings\Nico\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\Nico\ntuser.dat.LOG Object is locked skipped

C:\m1t8ta.com Infected: Trojan-PSW.Win32.OnLineGames.oob skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\System Volume Information\_restore{41482CF0-2EA1-4D6C-8B84-16A4618D2AC4}\RP61\A0010303.exe Infected:

not-a-virusownloader.Win32.ImLoader.c skipped

C:\System Volume Information\_restore{41482CF0-2EA1-4D6C-8B84-16A4618D2AC4}\RP87\A0019906.com Infected:

Trojan-PSW.Win32.OnLineGames.oob skipped

C:\System Volume Information\_restore{41482CF0-2EA1-4D6C-8B84-16A4618D2AC4}\RP87\A0019907.inf Infected:

Trojan-PSW.Win32.OnLineGames.oob skipped

C:\System Volume Information\_restore{41482CF0-2EA1-4D6C-8B84-16A4618D2AC4}\RP87\A0019972.dll Infected:

Worm.Win32.AutoRun.bnq skipped

C:\System Volume Information\_restore{41482CF0-2EA1-4D6C-8B84-16A4618D2AC4}\RP87\A0019976.com Infected:

Trojan-PSW.Win32.OnLineGames.oob skipped

C:\System Volume Information\_restore{41482CF0-2EA1-4D6C-8B84-16A4618D2AC4}\RP87\A0019977.inf Infected:

Trojan-PSW.Win32.OnLineGames.oob skipped

C:\System Volume Information\_restore{41482CF0-2EA1-4D6C-8B84-16A4618D2AC4}\RP87\change.log Object is locked

skipped

C:\u.bat Infected: Worm.Win32.AutoRun.bnq skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked skipped

C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked skipped

C:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked skipped

C:\WINDOWS\Internet Logs\NICO.ldb Object is locked skipped

C:\WINDOWS\Internet Logs\tvDebug.log Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\amvo.exe Infected: Trojan-PSW.Win32.OnLineGames.oob skipped

C:\WINDOWS\system32\amvo0.dll Infected: Trojan-PSW.Win32.OnLineGames.oob skipped

C:\WINDOWS\system32\amvo1.dll Infected: Trojan-PSW.Win32.OnLineGames.oob skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\Internet.evt Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\Temp\ZLT00c49.TMP Object is locked skipped

C:\WINDOWS\Temp\ZLT00c4c.TMP Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.

[bootzenn]

allora:

elimina i temporanei
disabilita ripristino
disinstalla avg
installa la trial di kasper
aggiorna e scansione

poi puoi ritornare ad un antivirus free perchè la trial di kasper dura 30 giorni(consiglio antivir free al posto di avg)

se non sai fare qualcosa trovi tutto nella guida alla rimozione-virus

facci sapere se tutto va a buon fine

[Nicocasitta]

Guarda. Non so come va a finire, spero bene. Ma per la tua pazienza ed il tuo aiuto ti meriti una statua! Grazie davvero!

[Nicocasitta]

bootzenn ho seguito i tuoi suggerimenti.

AVG è stato disinstallato e kaspersky ha preso il suo posto.

Ho eseguito la scansione e sembrerebbe che sia riuscito a rimuovere i problemi causati dal virus!
Ma il problema è che continuo a non poter ancora visualizzare file e cartelle nascoste.
Non ho quindi ancora accesso a Impostazioni Locali per verificare la effettiva rimozione della .dll.

Qualche idea?? Cmq posto il report di kaspersky che sono riuscito ad estrapolare. E' necessario riprovare a fare una scansione online per verificare l'effettiva rimozione di questi maledetti virus/troyan?

Protezione : in esecuzione
--------------------------
Totale elementi analizzati: 310962
Rilevato: 7
Non isolati: 0
Ora di inizio: 18/01/2008 17.01.38
Durata: 01.18.44


Rilevato
--------
Stato Oggetto
----- -------
eliminato: Trojan program Trojan-PSW.Win32.OnLineGames.oob File: C:\m1t8ta.com
eliminato: Trojan program Trojan-PSW.Win32.OnLineGames.oob File: C:\WINDOWS\system32\amvo.exe
eliminato: Trojan program Trojan-PSW.Win32.OnLineGames.oob File: C:\autorun.inf
eliminato: virus Worm.Win32.AutoRun.bnq File: C:\u.bat
eliminato: Trojan program Trojan-PSW.Win32.OnLineGames.oob File: C:\Documents and Settings\Nico\Impostazioni locali\Temp\lb2t87v.dll
eliminato: Trojan program Trojan-PSW.Win32.OnLineGames.oob File: C:\WINDOWS\system32\amvo0.dll
eliminato: Trojan program Trojan-PSW.Win32.OnLineGames.oob File: C:\WINDOWS\system32\amvo1.dll


Eventi
------
Ora Evento
--- ------
18/01/2008 16.53.21 Non è stata ancora eseguita una scansione completa del computer: si consiglia di eseguirla il più presto possibile.
18/01/2008 16.53.27 Protezione in tempo reale avviata.
18/01/2008 16.53.43 Errore di aggiornamento: .
18/01/2008 16.53.43 Il database del programma non è aggiornato. Il computer è a rischio di infezione. Si raccomanda di aggiornare il database.
18/01/2008 16.53.56 Errore di aggiornamento: .
18/01/2008 16.53.56 Il database del programma non è aggiornato. Il computer è a rischio di infezione. Si raccomanda di aggiornare il database.
18/01/2008 16.58.36 Riavviare il computer per completare l'installazione di componenti della protezione nuovi o aggiornati.
18/01/2008 16.58.46 Riavviare il computer per completare l'installazione di componenti della protezione nuovi o aggiornati.
18/01/2008 16.58.47 Aggiornamento completato correttamente
18/01/2008 16.58.54 File C:\m1t8ta.com: rilevato Trojan program Trojan-PSW.Win32.OnLineGames.oob. Utente: NICO\Nico, computer: localhost.
18/01/2008 16.58.54 Sono state rilevate delle minacce alla protezione. Si consiglia di isolarle immediatamente.
18/01/2008 16.59.11 File C:\m1t8ta.com: eliminato.
18/01/2008 16.59.11 File C:\WINDOWS\system32\amvo.exe: rilevato Trojan program Trojan-PSW.Win32.OnLineGames.oob. Utente: NICO\Nico, computer: localhost.
18/01/2008 16.59.11 Sono state rilevate delle minacce alla protezione. Si consiglia di isolarle immediatamente.
18/01/2008 16.59.32 File C:\WINDOWS\system32\amvo.exe: rilevato Trojan program Trojan-PSW.Win32.OnLineGames.oob.
18/01/2008 16.59.32 File C:\autorun.inf: rilevato Trojan program Trojan-PSW.Win32.OnLineGames.oob. Utente: NICO\Nico, computer: localhost.
18/01/2008 16.59.33 File C:\WINDOWS\system32\amvo.exe: eliminato.
18/01/2008 16.59.39 File C:\autorun.inf: eliminato.
18/01/2008 17.00.13 Alcuni componenti della protezione non sono stati avviati.
18/01/2008 17.01.31 Non è stata ancora eseguita una scansione completa del computer: si consiglia di eseguirla il più presto possibile.
18/01/2008 17.01.38 Protezione in tempo reale avviata.
18/01/2008 17.01.54 Il processo (PID 900) ha tentato per accedere al processo Kaspersky Anti-Virus (PID 2196), ma l’azione è stata bloccata dal componente Self-Defense. All’utente non è richiesta alcuna azione.
18/01/2008 17.01.54 Il processo (PID 900) ha tentato per accedere al processo Kaspersky Anti-Virus (PID 948), ma l’azione è stata bloccata dal componente Self-Defense. All’utente non è richiesta alcuna azione.
18/01/2008 17.07.52 File C:\u.bat: rilevato virus Worm.Win32.AutoRun.bnq.
18/01/2008 17.07.52 Sono state rilevate delle minacce alla protezione. Si consiglia di isolarle immediatamente.
18/01/2008 17.07.52 File C:\u.bat: è ancora infetto, rimandato.
18/01/2008 17.14.46 File C:\Documents and Settings\Nico\Impostazioni locali\Temp\lb2t87v.dll: rilevato Trojan program Trojan-PSW.Win32.OnLineGames.oob.
18/01/2008 17.14.46 File C:\Documents and Settings\Nico\Impostazioni locali\Temp\lb2t87v.dll: è ancora infetto, rimandato.
18/01/2008 17.49.22 File C:\TUTTIFILE\programs\RockXP v 4.0\RockXP (solpsw).rar/RockXP4.exe: è protetto da password.
18/01/2008 17.51.11 File C:\TUTTIFILE\Università\Materiale pro-didattica\Librerie AutoCad\3D\TecnoCad.zip/TecnoCad/TecnoCad14/source/SOURCE.ZIP/TECNO.LS_: è protetto da password.
18/01/2008 18.03.31 File C:\WINDOWS\system32\amvo0.dll: rilevato Trojan program Trojan-PSW.Win32.OnLineGames.oob.
18/01/2008 18.03.31 File C:\WINDOWS\system32\amvo0.dll: è ancora infetto, rimandato.
18/01/2008 18.03.31 File C:\WINDOWS\system32\amvo1.dll: rilevato Trojan program Trojan-PSW.Win32.OnLineGames.oob.
18/01/2008 18.03.31 File C:\WINDOWS\system32\amvo1.dll: è ancora infetto, rimandato.
18/01/2008 18.06.11 File c:\u.bat: rilevato virus Worm.Win32.AutoRun.bnq.
18/01/2008 18.06.25 File c:\u.bat: eliminato.
18/01/2008 18.06.25 File c:\documents and settings\nico\impostazioni locali\temp\lb2t87v.dll: rilevato Trojan program Trojan-PSW.Win32.OnLineGames.oob.
18/01/2008 18.06.31 File c:\documents and settings\nico\impostazioni locali\temp\lb2t87v.dll: eliminato.
18/01/2008 18.06.31 File c:\windows\system32\amvo0.dll: rilevato Trojan program Trojan-PSW.Win32.OnLineGames.oob.
18/01/2008 18.06.33 File c:\windows\system32\amvo0.dll: eliminato.
18/01/2008 18.06.33 File c:\windows\system32\amvo1.dll: rilevato Trojan program Trojan-PSW.Win32.OnLineGames.oob.
18/01/2008 18.06.35 File c:\windows\system32\amvo1.dll: eliminato.
18/01/2008 18.10.41 Il processo (PID 316) ha tentato per accedere al processo Kaspersky Anti-Virus (PID 948), ma l’azione è stata bloccata dal componente Self-Defense. All’utente non è richiesta alcuna azione.


Rapporto
--------
Componente Stato Avvia Fine Dimensioni
---------- ----- ----- ---- ----------
Difesa Proattiva completato 18/01/2008 16.53.27 18/01/2008 17.00.11 0 byte
File Anti-Virus completato 18/01/2008 16.53.27 18/01/2008 17.00.12 0 byte
Mail Anti-Virus completato 18/01/2008 16.53.27 18/01/2008 17.00.11 0 byte
Aggiornamento Impossibile trovare la sorgente aggiornamenti 18/01/2008 16.53.30 18/01/2008 16.53.43 0 byte
Web Anti-Virus completato 18/01/2008 16.53.28 18/01/2008 17.00.11 0 byte
Aggiornamento Impossibile trovare la sorgente aggiornamenti 18/01/2008 16.53.51 18/01/2008 16.53.56 0 byte
Aggiornamento completato 18/01/2008 16.54.15 18/01/2008 16.58.46 0 byte
Esamina oggetti di avvio completato 18/01/2008 16.55.35 18/01/2008 16.56.44 0 byte
Disinfetta minacce attive completato 18/01/2008 16.59.32 18/01/2008 16.59.59 748,2 KB
Difesa Proattiva in esecuzione 18/01/2008 17.01.38 0 byte
File Anti-Virus in esecuzione 18/01/2008 17.01.38 421,1 KB
Mail Anti-Virus in esecuzione 18/01/2008 17.01.38 0 byte
Web Anti-Virus in esecuzione 18/01/2008 17.01.39 20,2 KB
Esamina oggetti di avvio completato 18/01/2008 17.03.46 18/01/2008 17.04.06 312,8 KB
Scansione completato 18/01/2008 17.06.36 18/01/2008 18.06.35 63,1 MB
Aggiornamento completato 18/01/2008 18.18.57 18/01/2008 18.19.52 17,2 KB


Quarantena
----------
Stato Oggetto Dimensioni Aggiunto
----- ------- ---------- --------


Backup
------
Stato Oggetto Dimensioni
----- ------- ----------
Infetto: Trojan program Trojan-PSW.Win32.OnLineGames.oob C:\autorun.inf 604 byte
Infetto: virus Worm.Win32.AutoRun.bnq c:\u.bat 101,5 KB
Infetto: Trojan program Trojan-PSW.Win32.OnLineGames.oob c:\documents and settings\nico\impostazioni locali\temp\lb2t87v.dll 31,4 KB
Infetto: Trojan program Trojan-PSW.Win32.OnLineGames.oob c:\windows\system32\amvo0.dll 53,5 KB
Infetto: Trojan program Trojan-PSW.Win32.OnLineGames.oob C:\m1t8ta.com 103 KB
Infetto: Trojan program Trojan-PSW.Win32.OnLineGames.oob c:\windows\system32\amvo1.dll 53,5 KB
Infetto: Trojan program Trojan-PSW.Win32.OnLineGames.oob C:\WINDOWS\system32\amvo.exe 103 KB


Un complimento ai laboratori kaspersky per gli urli che avvisano di troyan localizzati. Molto appropriati!!!