Pc infetto

[fiuggi]

Ho un pc con xp pro , ho varie applicazioni di pulizia file o diagnostici, come ccclenaer , ad ware, spybot, avir, e tanti altri , ma ho beccato kmq dei virus che mi rallentano il pc o mi chiudono alcune finestre di internet , inisialmente compariva nel task manager un file dscunkbm.log situato nella cartella system32 che era causa di questa chiusere di applicativi come antivirus o pagine internet , ora sembra non comparire , ma so rimasti questi virus:

facendo una scansione con prevxcsi mi dice:

Summary:
C:\WINDOWS\system32\csrss.exe - [G1] >> Hidden Process: 696 - Hidden Process: 700
C:\WINDOWS\com2.onv - [B] >> Adware.Linkoptimizer - Adware.Linkoptimizer - Adware.Linkoptimizer - Adware.Linkoptimizer
C:\WINDOWS\com5.yhk - [B] >> Adware.Linkoptimizer - Adware.Linkoptimizer - Adware.Linkoptimizer - Adware.Linkoptimizer
C:\WINDOWS\system32\con.mqy - [B] >> Adware.Linkoptimizer - Adware.Linkoptimizer - Adware.Linkoptimizer - Adware.Linkoptimizer
C:\WINDOWS\system32\lpt5.gex - [B] >> Adware.Linkoptimizer - Adware.Linkoptimizer - Adware.Linkoptimizer - Adware.Linkoptimizer
Note: Some of the above entries may be from previous scans or cleaned infections.


mentre con avg antirootkit:
c:\windows\com2
c:\windows\com5
c:\windows\nul
c:\winodws\nul
c:\windows\system32\com3
c:\windows\system32\con
c:\windows\system32\lpt1
c:\windows\system32\lpt5


Virit explorer lite 6.2:

C:\WINDOWS\com2.onv Infetto da Trojan.Win32.RootKit.O
C:\WINDOWS\com5.yhk Infetto da Trojan.Win32.RootKit.O
C:\WINDOWS\com5.yhk Infetto da Trojan.Win32.RootKit.O
C:\WINDOWS\fwipcole.out Infetto da Trojan.Win32.RootKit.O
C:\WINDOWS\nul.ckt Infetto da Trojan.Win32.RootKit.O
C:\WINDOWS\nul.jqh Infetto da Trojan.Win32.RootKit.O
C:\WINDOWS\system32\biost.rom Infetto da Trojan.Win32.RootKit.O
C:\WINDOWS\system32\com3.kmy Infetto da Trojan.Win32.RootKit.O
C:\WINDOWS\system32\con.mqy Infetto da Trojan.Win32.RootKit.O
C:\WINDOWS\system32\lpt1.jfy Infetto da Trojan.Win32.RootKit.O
C:\WINDOWS\system32\lpt5.gex Infetto da Trojan.Win32.RootKit.O
C:\WINDOWS\wmprfius.prx Infetto da Trojan.Win32.RootKit.O



vi posto anche hijak this

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.45.12, on 03/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\XoftSpySE\XoftSpy.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start

Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search

Page = http://www.libero.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start

Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet

Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini:

UserInit=c:\windows\system32\userinit.exe,"c:\wind ows\compaqm

onitor.exe",
O2 - BHO: Supporto di collegamento per Adobe PDF Reader -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\File

comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SetDefPrt]

C:\Programmi\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir

PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows

Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [VIRIT LITE MONITOR]

C:\VEXPLITE\MONLITE.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE]

C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE]

C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE]

C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE]

C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PrevxCSI.lnk = ?
O4 - Startup: ~Disabled
O8 - Extra context menu item: E&sporta in Microsoft Excel -

res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programmi\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programmi\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra button: (no name) -

{85d1f590-48f4-11d9-9669-0800200c9a66} -

C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online

Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} -

C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Ricerche -

{92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl

Class) -

http://downloadcenter.samsung.com/co...n/cab/DjVuCont

rolLite_EN.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75}

(CKAVWebScan Object) -

http://www.kaspersky.com/kos/eng/par...t/kavwebscan_u

nicode.cab
O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX

Control) -

http://www.trendsecure.com/framework...-US/activex/Tm

HcmsX.CAB
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers

Class) -

http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl

Class) -

http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows

Live Safety Center Base Module) -

http://cdn.scan.onecare.live.com/res...oad/scanner/wl

scbase370.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C}

(WUWebControl Class) -

http://www.update.microsoft.com/micr.../v6/V5Controls

/en/x86/client/wuweb_site.cab?1181059368109
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3}

(MUWebControl Class) -

http://www.update.microsoft.com/micr.../v6/V5Controls

/en/x86/client/muweb_site.cab?1181059219406
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl

Class) -

http://www.ca.com/us/securityadvisor...fo/webscan.cab
O16 - DPF: {A9FD89D6-C839-11D3-B0FE-0050044B8FE9}

(OBInstallRunner Control) -

http://www.opinionbar.com/download/r...InstallCabinet

.CAB
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games

- Installer) -

http://cdn2.zone.msn.com/binFramewor...o.cab56649.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure

Online Scanner 3.3) -

http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072}

(MessengerStatsClient Class) -

http://messenger.zone.msn.com/binary...tatsPAClient.c

ab56907.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver

Agent ActiveX Control) -

http://plugin.driveragent.com/files/driveragent.cab
O18 - Protocol: skype4com -

{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -

C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft

- C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira

GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service

(AntiVirService) - Avira GmbH - C:\Programmi\AntiVir

PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -

C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner -

C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Brother Popup Suspend service for Resource

manager (brmfrmps) - Brother Industries, Ltd. -

C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) -

brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) -

Macrovision Corporation - C:\Programmi\File

comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: OPTH - Unknown owner -

c:\windows\temp\OPTH.exe (file missing)
O23 - Service: Sygate Personal Firewall Pro (SmcService) -

Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft

Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

[Deifobe]

esegui queste tre scansioni:

symantec

prevx

sophos

cortesemente la prossima volta non spezzettare il log di hjt

[fiuggi]

Scusa per lo spezzettamento,
allora fancedo la scansione con symantec in mod. provvisoria
nel log non mi ha rilevato nessuna presenza di file infetti .

con sophos mi ha rilevato questi 2 file:
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Programmi\File comuni\System\FCG.exe:$EFS
Removable: Yes (but clean up not recommended for this file)

Area: Local hard drives
Description: Unknown hidden file
Location: C:\Programmi\File comuni\System\dmV.exe:$EFS
Removable: Yes (but clean up not recommended for this file)


mentre con prevx la scansione parte ,
Launching Scan
Removing rootkit file...
Gromozon rootkit component not detected - searching for other components
Scanning: C:\Programmi\File comuni
Scanning Windows Directory...

ma non si conclude mai ed ho provato piu' volta gia' , nel caso riusciro' a farla concludere postero' il risultato

infine una ulteriore domanda , tutti i file eseguibili scaricati con accesso administrator dopo averli usati conviene cancellarli\disinstallarli?

[antonpaco]

fiuggi, non e' che voglio scoraggiarti ne' voglio essere pessimista, tu hai beccato il link optmizer che e' uno dei peggiori virus in circolazione, e' un tipo di virus che in pratica tende ad ingrandirsi andando ad infettare piu' files. Se fai una ricerca on line scrivendo su un motore di ricerca LINK OPTIMIZER e' spiegato bene di cosa si tratta, per eliminarlo si fanno delle procedure manuali, molti utenti hanno preferito formattare, altri lo hanno eliminato.

[Deifobe]

Riesegui anche le scansioni che avevi già fatto e vedi se trovano altri file.
Se è tutto ok, allora resta da eliminare questa, mi pare di capire:
UserInit=c:\windows\system32\userinit.exe,"c:\wind ows\compaqmonitor.exe",
e fixare le voci da jht.

Come ti ha ben anticipato antonpaco, dovrai seguire una procedura manuale nel registro di configurazione...

Fammi sapere

[fiuggi]

oddio che brutte notizie, la formattazione ,
eppure ho avir, seagate firewall , windows defender, avg, spybot , cc clenear, controllo spesso con hijackthis, ho vari pulitori di registro.(reeseeker...) e mi sono preso sto maledetto virus....

vabbè proviamo a rianimarlo manualmente...
comunque facendo lo scan con symantec:
Symantec Trojan.Linkoptimizer Removal Tool 1.0.8

Trojan.Linkoptimizer has not been found on your computer

mentre scansione con virit explorer lite.
C:\WINDOWS\com2.onv Infetto da Trojan.Win32.RootKit.O
C:\WINDOWS\com5.yhk Infetto da Trojan.Win32.RootKit.O
C:\WINDOWS\nul.ckt Infetto da Trojan.Win32.RootKit.O
C:\WINDOWS\nul.jqh Infetto da Trojan.Win32.RootKit.O
C:\WINDOWS\system32\com3.kmy Infetto da Trojan.Win32.RootKit.O
C:\WINDOWS\system32\con.mqy Infetto da Trojan.Win32.RootKit.O
C:\WINDOWS\system32\lpt1.jfy Infetto da Trojan.Win32.RootKit.O
C:\WINDOWS\system32\lpt5.gex Infetto da Trojan.Win32.RootKit.O

Chiavi Registro infette: 0.
Files Infetti: 8.
Files Sospetti: 0.
Files Analizzati: 15856.
Files Totali: 15856.

il log. di hijackthis aggiornato è questo:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.21.00, on 06/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator.UTENTE\Documenti\HiJackThis .exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.libero.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\wind ows\compaqmonitor.exe",
O4 - HKLM\..\Run: [SetDefPrt] C:\Programmi\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/co...rolLite_EN.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) - http://www.trendsecure.com/framework...ex/TmHcmsX.CAB
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/res...lscbase370.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/micr...?1181059368109
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1181059219406
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor...fo/webscan.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {A9FD89D6-C839-11D3-B0FE-0050044B8FE9} (OBInstallRunner Control) - http://www.opinionbar.com/download/r...allCabinet.CAB
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramewor...o.cab56649.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://plugin.driveragent.com/files/driveragent.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: OPTH - Unknown owner - c:\windows\temp\OPTH.exe (file missing)
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

--
End of file - 6507 bytes


Questi sonoi i miei danni, e grazie per la pazienza e l eventuale aiuto

[fiuggi]

non so se puo' essere utile ma ho notato che nei servizi (services.msc) c'è
uno che si chiama logxoz ,descrizione(assicura la sincronizzazione data e ora su tutti i client e i server della rete. Se il servizio viene interrotto, la sincronizzazione data e ora non sarà disponibile. Se questo servizio è disattivato, non potrà essere avviato alcun servizio che dipende direttamente da esso.)

il suo eseguibile ha questo percorso "C:\Programmi\File comuni\System\IHHo.exe", è l unico servizio che nella colonna connessione non è descritto come servizio locale ma con una serie di lettere sensa senso e cioè .\lOsmvlIsIyhDrmvCn, l'avevo gia' disabilitato a suo tempo e cancellato l account che mi aveva creato , pero' credo che bisognerebbe eliminare questo ihho.exe anche perchè mi era stato visualizzato come virus credo con bitdefender. Aspetto ulteriori consigli.

[Deifobe]

facciamo così, scarica SystemScan

Disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => spunta tutte le opzioni => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi in C:\Suspectfile su Freefilehosting e posta il link ottenuto.

[fiuggi]

ho seguito pedisseguamente la procedura e ti posto il report,
qui il per il report ottenuto,
grazie

[Deifobe]

[Winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"

ed effettivamente non c'è altro nemmeno in hjt. Quindi è ok.

Finisco di controllare uil rapporto di systemscan e ti faccio sapere.

Nel frattempo, cortesemente, puoi postare il rapporto di virit? Da quello che hai postato risulta che l'infezione c'è ancora..