trojan virus p3vwxx.exe

[leonardo B2B]

buongiorno a tutti, sono nuovo del forum e confido nel vostro prezioso aiuto!
premetto che ho una connessione internet 56K, quindi le scansioni on line penso di non poterle fare.
Avast 5 (antivirus) mi segnala in continuazione la presenza di p3vwxx.exe e anche cvasds0.dll. navigando ho visto che sono dei trojan virus. come li tolgo?
un loro efffetto e che non si può più abilitare la visualizzazione dei file e cartelle nascosti. inoltre anche se l'antivirus elimina p3vwxx.exe, questo file ricompare sempre.
grazie per l'aiuto!

[menatwork]

buongiorno a te

prova a fare una scansione con malwarebytes

Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.
Posta il rapporto .

[leonardo B2B]

ciao!
Prima di leggere la tua risposta avevo già installato e fatto una scansione con NOD32 che ha eliminato dei file rilevati come minacce. ora avast non trova più i trojan che ho segnalato prima. Serve ancora fare la scansione con malwarebytes?
Resta ancora di dover correggere le modifiche fatte dal trojan per riabilitare la visualizzazione delle certelle nascoste. Come faccio?
NOD 32 a fine scansione mi fa vedere lo scan log con tutti i file controllati, riporto quelli segnalati come non ok:

Scan log
Version of virus signature database: 4754 (20100108)
Date: 01/03/2010 Time: 13.25.37
Scanned disks, folders and files: Operating memory;A:\Boot sector;A:\;C:\Boot sector;C:\;D:\Boot sector;D:\;E:\Boot sector;E:\;F:\Boot sector;F:\;G:\Boot sector;G:\;H:\Boot sector;H:\


D:\Temp\cvasds0.dll - error opening [4]
Boot sector of disk A: - error opening [4]
A:\ - error opening [4]
C:\hiberfil.sys - error opening [4]
C:\pagefile.sys - error opening [4]
C:\WINDOWS\system32\drivers\aswSP.sys - probably a variant of Win32/Genetik trojan - cleaned by deleting (after the next restart) - quarantined [1,2]
E:\ - error opening [4]
F:\ - error opening [4]
G:\Programmi\Antivirus\Avast!\Setup\INF\aswSP.sys - probably a variant of Win32/Genetik trojan - cleaned by deleting (after the next restart) - quarantined [1,2]


Number of scanned objects: 192796
Number of threats found: 4
Number of cleaned objects: 4
Time of completion: 19.11.26 Total scanning time: 20749 sec (05:45:49)

Notes:
[1] Object has been deleted as it only contained the virus body.
[2] Object is in use (open or running). A system restart is required for the cleaning to complete.
[4] Object cannot be opened. It may be in use by another application or operating system.

[menatwork]

fai un controllo ulteriore con malwarebytes, meglio essere previdenti

[leonardo B2B]

ciao! riepilogando, ho eseguito le seguenti operazioni:
1- eliminazione file temporanei con ATF-cleaner
2- disattivazione ripristino configurazione di sistema
3- scansione con avast 5 ed eliminazione minacce rilevate (molti p3vwxx.exe)
4- scansione con NOD32 ed eliminazione minacce rilevate
5- scansione con malwarebytes



posto il log della scansione con malwarebytes:

Malwarebytes' Anti-Malware 1.44
Versione del database: 3815
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

03/03/2010 19.50.43
mbam-log-2010-03-03 (19-50-36).txt

Tipo di scansione: Scansione completa (A:\|C:\|D:\|E:\|F:\|G:\|)
Elementi scansionati: 168350
Tempo trascorso: 49 minute(s), 1 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 1
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\cdoosoft (Spyware.OnlineGames) -> No action taken.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

[leonardo B2B]

buongiorno, il log di malwarebytes postato mel messaggio precedente mi segnala dei valori di registro infetti. sono da eliminare? inoltre non posso più abilitare la visualizzazione delle cartelle nascoste, come procedo?

[menatwork]

prova a cancellare quella chiave riavviando malwarebytes e controlla se ora riesci a visualizzarli

puoi postare un log di hijackthis?

NOTA:

hai due antivirus installati?

[leonardo B2B]

ok rifaccio la scansione con malwarebytes ed elimino i file infetti.
Poi posto il log di hijackthis.
riguardo agli antivirus adesso ne ho due installati (NOD32 e Avast 5) ma ho messo NOD32 solo temporaneamete poi scade la trial.

[leonardo B2B]

Ho eliminato questo file trovato da malwarebytes:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\cdoosoft (Spyware.OnlineGames).

ho corretto il valore di:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

ora riesco ad abilitare la visualizzazione delle cartelle nascoste. non so se serve ancora ma posto il log di HiJackThis

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 20.50.54, on 07/03/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
G:\Programmi\Antivirus\Avast!\AvastSvc.exe
C:\WINDOWS\system32\atiptaxx.exe
G:\PROGRA~1\ANTIVI~1\Avast!\avastUI.exe
G:\Programmi\Antivirus\NOD32 ESET\NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
G:\Programmi\Stampante\Ewlett packard\Digital Imaging\bin\hpohmr08.exe
G:\Programmi\Stampante\Ewlett packard\Digital Imaging\bin\hpotdd01.exe
G:\Programmi\Stampante\Ewlett packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\spoolsv.exe
G:\Programmi\Antivirus\NOD32 ESET\NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
G:\Programmi\Antivirus\HiJackThis\TrendMicro\HiJac kThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programmi\Acrobat 6.0 Professional\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programmi\AskBarDis\bar\bin\askBar.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - G:\Programmi\Antivirus\AVG it 24-10-08\avgssie.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - G:\Programmi\Acrobat 6.0 Professional\Acrobat\AcroIEFavClient.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programmi\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programmi\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programmi\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - G:\Programmi\Acrobat 6.0 Professional\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "G:\Programmi\Ripping\cellulari\SonyEricsson\K 320 i\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [avast5] G:\PROGRA~1\ANTIVI~1\Avast!\avastUI.exe /nogui
O4 - HKLM\..\Run: [egui] "G:\Programmi\Antivirus\NOD32 ESET\NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DriverUpdaterPro] G:\Programmi\Stampante\iXi Tools\Driver Updater Pro\DriverUpdaterPro.exe -t
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = G:\Programmi\Acrobat 7.05\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = G:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://G:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - G:\Programmi\Antivirus\Avast!\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - G:\Programmi\Antivirus\Avast!\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - G:\Programmi\Antivirus\Avast!\AvastSvc.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - G:\Programmi\Antivirus\NOD32 ESET\NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - G:\Programmi\Antivirus\NOD32 ESET\NOD32 Antivirus\ekrn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5591 bytes

[menatwork]

se non vuoi creare conflitti elimina uno dei due antivirus, non e' necessario tenerne installati due, crei solo problemi al pc

chiudi tutte le applicazioni aperte - chiudi tutte le pagine del browser aperte - in Hijkackthis fixa queste voci cliccando su Fixchecked

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programmi\AskBarDis\bar\bin\askBar.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - G:\Programmi\Antivirus\AVG it 24-10-08\avgssie.dll (file missing

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programmi\AskBarDis\bar\bin\askBar.dll


da pannello di controllo disinstalla tutte le toolbar che sono nel pc


disattiva momentaneamente l'antivirus

scarica sul desktop combofix

(non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.