Computer paralizzato da un virus

[Nicocasitta]

Salve a tutti
Sto cercando di aiutare un amico che ha subito dei danni all OS dopo aver beccato un worm.

In poche parole riassumo quanto successo.
Un paio di settimane fà notai che aveva installato un programmino che faceva comparire delle pubblicità durante la navigazione su internet tramite delle finestre pop-up. Il programmino in questione è "offerbox".
Notata l'inutilità di questo e il fastidio che recava durante la navigazione ho provedduto alla sua rimozione tramite ccleaner. ....e qui cominciano i guai....
Il computer durante il normale utilizzo non segnalava alcun tipo di problema ma appena lasciato acceso senza essere usato per più di mezz'ora ha rilevato un worm. L'antivirus in uso era Antivir e contemporaneamente microsoft security essentials.
Tramite questi ho provato a rimuovere il problema credendo fosse una stupidaggine e invece non è stato minimamente possibile distruggerlo. Ho provato a far fare una scansione online con fsecure ma non riusciva a caricare, quindi ho scaricato malwarebytes e ho fatto una scansione con questo ottenedo scarsi risultati.
Dopo un giorno sano di prove e scansioni ho pensato di sostituire tutti questi programmi con kaspersky.
Purtroppo, kaspersky richiede oltre alla rimozione dell'antivirus in uso anche la rimozione di eventuale anti-spyware e firewall. In uso vi erano spybot e zone alarm.
Rimosso zone alarm e riavviato il PC è successo il patatrak, ovvero il virus ancora presente ha intaccato l' OS e non permette l'installazione di alcuni programmi di sicurezza (kasp incluso) non permette l'aggiornamento di queli presenti e non permette la disinstallazione di altri ancora. In più non riesce più a connettersi ad internet, anche se stranamente funziona skype!

Qualcuno riesce a darmi suggerimenti per risolvere questo problema senza formattare?

Dopo tutta questa "sintesi" vi allego anche i log estratti dalle ultime scansioni.

[Nicocasitta]

1) Hijackthis

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18.47.16, on 23/11/10
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Uniblue\RegistryBooster\rbmonitor.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\LightScribe\LightScribeControlPanel.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gooofullsearch.com/bar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://gooofullsearch.com/bar
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://roonic.com/results.html?q=%s&...ID:10&ie=UTF-8
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCoo0.dll
R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Programmi\Registry Booster 2010 4.7.7.19\tbhelper.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: (no name) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\3.1.807. 1746\swg.dll
O2 - BHO: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCoo0.dll
O2 - BHO: TBSB07458 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Programmi\Registry Booster 2010 4.7.7.19\tbcore3.dll
O3 - Toolbar: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCoo0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Free software Gooofull toolbar - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\Programmi\Registry Booster 2010 4.7.7.19\tbcore3.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSSE] "c:\Programmi\Microsoft Security Essentials\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programmi\File comuni\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "c:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe " -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "c:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe " -t (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Free software Gooofull toolbar - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\Programmi\Registry Booster 2010 4.7.7.19\tbcore3.dll
O9 - Extra 'Tools' menuitem: Free software Gooofull toolbar - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\Programmi\Registry Booster 2010 4.7.7.19\tbcore3.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://photo1.walgreens.com/WalgreensActivia.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/de...e/HPDEXAXO.cab
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\shared\hpqwmi.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programmi\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 11156 bytes

[Nicocasitta]

2) Antivir



Avira AntiVir Personal
Data del file di report: lunedì 22 novembre 2010 23:16

Ricerca di 3070854 virus e programmi indesiderati.

Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira AntiVir Personal - FREE Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows XP
Versione di Windows : (Service Pack 3) [5.1.2600]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : CICCIO

Informazioni sulla versione:
BUILD.DAT : 10.0.0.48 31820 Bytes 01/09/10 15:00:00
AVSCAN.EXE : 10.0.3.1 434344 Bytes 01/09/10 13:22:02
AVSCAN.DLL : 10.0.3.0 54120 Bytes 01/09/10 13:50:16
LUKE.DLL : 10.0.2.3 104296 Bytes 01/09/10 13:22:12
LUKERES.DLL : 10.0.0.0 13160 Bytes 16/02/10 09:15:20
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/09 09:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/09 19:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/10 17:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/10 16:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/10 11:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/10 13:22:15
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/10 13:22:16
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/10 13:22:19
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13/09/10 23:25:10
VBASE009.VDF : 7.10.13.80 2265600 Bytes 02/11/10 23:25:19
VBASE010.VDF : 7.10.13.81 2048 Bytes 02/11/10 23:25:20
VBASE011.VDF : 7.10.13.82 2048 Bytes 02/11/10 23:25:20
VBASE012.VDF : 7.10.13.83 2048 Bytes 02/11/10 23:25:20
VBASE013.VDF : 7.10.13.116 147968 Bytes 04/11/10 23:25:21
VBASE014.VDF : 7.10.13.147 146944 Bytes 07/11/10 23:25:22
VBASE015.VDF : 7.10.13.180 123904 Bytes 09/11/10 23:25:22
VBASE016.VDF : 7.10.13.211 122368 Bytes 11/11/10 23:25:23
VBASE017.VDF : 7.10.13.243 147456 Bytes 15/11/10 23:25:24
VBASE018.VDF : 7.10.14.15 142848 Bytes 17/11/10 23:25:24
VBASE019.VDF : 7.10.14.41 134144 Bytes 19/11/10 23:25:25
VBASE020.VDF : 7.10.14.42 2048 Bytes 19/11/10 23:25:25
VBASE021.VDF : 7.10.14.43 2048 Bytes 19/11/10 23:25:26
VBASE022.VDF : 7.10.14.44 2048 Bytes 19/11/10 23:25:26
VBASE023.VDF : 7.10.14.45 2048 Bytes 19/11/10 23:25:26
VBASE024.VDF : 7.10.14.46 2048 Bytes 19/11/10 23:25:26
VBASE025.VDF : 7.10.14.47 2048 Bytes 19/11/10 23:25:26
VBASE026.VDF : 7.10.14.48 2048 Bytes 19/11/10 23:25:26
VBASE027.VDF : 7.10.14.49 2048 Bytes 19/11/10 23:25:27
VBASE028.VDF : 7.10.14.50 2048 Bytes 19/11/10 23:25:27
VBASE029.VDF : 7.10.14.51 2048 Bytes 19/11/10 23:25:27
VBASE030.VDF : 7.10.14.52 2048 Bytes 19/11/10 23:25:27
VBASE031.VDF : 7.10.14.55 23040 Bytes 19/11/10 23:25:28
Motore : 8.2.4.98
AEVDF.DLL : 8.1.2.1 106868 Bytes 01/09/10 13:21:59
AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 20/11/10 23:25:44
AESCN.DLL : 8.1.6.1 127347 Bytes 01/09/10 13:21:58
AESBX.DLL : 8.1.3.1 254324 Bytes 01/09/10 13:21:58
AERDL.DLL : 8.1.9.2 635252 Bytes 20/11/10 23:25:42
AEPACK.DLL : 8.2.3.11 471416 Bytes 20/11/10 23:25:40
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 01/09/10 13:21:57
AEHEUR.DLL : 8.1.2.41 3043703 Bytes 20/11/10 23:25:38
AEHELP.DLL : 8.1.14.0 246134 Bytes 20/11/10 23:25:32
AEGEN.DLL : 8.1.3.24 401781 Bytes 20/11/10 23:25:31
AEEMU.DLL : 8.1.2.0 393588 Bytes 01/09/10 13:21:52
AECORE.DLL : 8.1.17.0 196982 Bytes 20/11/10 23:25:30
AEBB.DLL : 8.1.1.0 53618 Bytes 01/09/10 13:21:51
AVWINLL.DLL : 10.0.0.0 19304 Bytes 01/09/10 13:22:03
AVPREF.DLL : 10.0.0.0 44904 Bytes 01/09/10 13:22:02
AVREP.DLL : 10.0.0.8 62209 Bytes 17/06/10 14:28:11
AVREG.DLL : 10.0.3.2 53096 Bytes 01/09/10 13:22:02
AVSCPLR.DLL : 10.0.3.1 83816 Bytes 01/09/10 13:22:02
AVARKT.DLL : 10.0.0.14 227176 Bytes 01/09/10 13:22:00
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 01/09/10 13:22:01
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/10 14:28:20
AVSMTP.DLL : 10.0.0.17 63848 Bytes 01/09/10 13:22:02
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/10 14:28:20
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 12/02/10 13:11:56
RCTEXT.DLL : 10.0.58.0 98664 Bytes 01/09/10 13:22:22

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: avguard_async_scan
File di configurazione......................: C:\Documents and Settings\All Users\Dati applicazioni\Avira\AntiVir Desktop\TEMP\AVGUARD_0b36b7a4\guard_slideup.avp
Report......................................: basso
Azione primaria.............................: interattivo
Azione secondaria...........................: quarantena
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Non attivo
Scansione dei programmi attivi..............: Attivo
Scansiona la registrazione..................: Non attivo
Cerca Rootkits..............................: Non attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: elevato

Avvio della scansione: lunedì 22 novembre 2010 23:16

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'vsmon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avscan.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'rbmonitor.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'alg.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'msmsgs.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'ctfmon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'qttask.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'zlclient.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'atiptaxx.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'SynTPEnh.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'SynTPLpr.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'HPZipm12.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'raysat_3dsmax9_32server.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avshadow.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'LSSrvc.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'btwdins.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'AdskScSrv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'brss01a.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'brsvc01a.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'Explorer.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'Ati2evxx.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'Ati2evxx.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '1' modulo(i) scansionato(i)

[Nicocasitta]

Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP981\A0198361.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP981\A0198361.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP981\A0198362.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP981\A0198362.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP981\A0198391.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP981\A0198391.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP983\A0198610.dll'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP983\A0198610.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP983\A0198777.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP983\A0198777.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP985\A0198878.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP985\A0198878.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP986\A0199417.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP986\A0199417.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP988\A0199904.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP988\A0199904.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP988\A0200394.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP988\A0200394.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP990\A0201067.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP990\A0201067.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP990\A0201553.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP990\A0201553.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP992\A0202532.dll'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP992\A0202532.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP992\A0202710.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP992\A0202710.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP992\A0202652.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP992\A0202652.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP992\A0203190.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP992\A0203190.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP993\A0204816.dll'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP993\A0204816.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP993\A0204994.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP993\A0204994.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP993\A0204936.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP993\A0204936.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP993\A0205474.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP993\A0205474.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP994\A0207107.dll'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP994\A0207107.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP994\A0207226.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP994\A0207226.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP994\A0207284.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP994\A0207284.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP994\A0207764.exe'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP994\A0207764.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
Inizia con la scansione di 'C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP994\A0210597.dll'
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP994\A0210597.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
Inizia con la scansione di 'C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\LocalCopy\{2802FAF1-A038-4977-BC25-533C1C4C7D1A}-lkwqsh.exe'
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\LocalCopy\{2802FAF1-A038-4977-BC25-533C1C4C7D1A}-lkwqsh.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
Inizia con la scansione di 'C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\LocalCopy\{665139D5-985C-4C4A-9EA6-86A8D7844E62}-izcipica.exe'
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\LocalCopy\{665139D5-985C-4C4A-9EA6-86A8D7844E62}-izcipica.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
Inizia con la scansione di 'C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\LocalCopy\{A1841580-EA4B-4982-911A-7F46F890165E}-izcipica.exe'
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\LocalCopy\{A1841580-EA4B-4982-911A-7F46F890165E}-izcipica.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3

[Nicocasitta]

Avvio della disinfezione:
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\LocalCopy\{A1841580-EA4B-4982-911A-7F46F890165E}-izcipica.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
[NOTA] Il file è stato spostato in quarantena con il nome '4e3e480e.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\LocalCopy\{665139D5-985C-4C4A-9EA6-86A8D7844E62}-izcipica.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
[NOTA] Il file è stato spostato in quarantena con il nome '569267be.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\LocalCopy\{2802FAF1-A038-4977-BC25-533C1C4C7D1A}-lkwqsh.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '04cf3d52.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP994\A0210597.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '62c67292.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP994\A0207764.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
[NOTA] Il file è stato spostato in quarantena con il nome '27425fac.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP994\A0207284.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
[NOTA] Il file è stato spostato in quarantena con il nome '58596dcd.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP994\A0207226.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '14e14187.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP994\A0207107.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '68f901d6.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP993\A0205474.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
[NOTA] Il file è stato spostato in quarantena con il nome '45a32e9b.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP993\A0204936.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '5ccb1501.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP993\A0204994.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
[NOTA] Il file è stato spostato in quarantena con il nome '30973931.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP993\A0204816.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '412e00a4.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP992\A0203190.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
[NOTA] Il file è stato spostato in quarantena con il nome '4f343063.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP992\A0202652.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '0a1d4921.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP992\A0202710.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
[NOTA] Il file è stato spostato in quarantena con il nome '03164d8a.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP992\A0202532.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '5b5754e3.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP990\A0201553.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
[NOTA] Il file è stato spostato in quarantena con il nome '77a32d2f.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP990\A0201067.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
[NOTA] Il file è stato spostato in quarantena con il nome '495d4df5.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP988\A0200394.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
[NOTA] Il file è stato spostato in quarantena con il nome '2a536686.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP988\A0199904.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
[NOTA] Il file è stato spostato in quarantena con il nome '0c9c269b.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP986\A0199417.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
[NOTA] Il file è stato spostato in quarantena con il nome '3e085d3e.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP985\A0198878.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
[NOTA] Il file è stato spostato in quarantena con il nome '344d7640.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP983\A0198777.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '0b1e1205.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP983\A0198610.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '75321e22.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP981\A0198391.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '204a1ae9.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP981\A0198362.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '2ddc6bc1.qua'!
C:\System Volume Information\_restore{D4E80F56-15B0-4089-8ED9-E94FBA4C9ACA}\RP981\A0198361.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen3
[NOTA] Il file è stato spostato in quarantena con il nome '31817fc8.qua'!


Fine della scansione: lunedì 22 novembre 2010 23:19
Tempo impiegato: 00:04 Minuto(i)

La scansione è stata completamente eseguita.

0 Directory scansionate
67 I file sono stati scansionati
27 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
27 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
40 File non infetti
0 Archivi scansionati
0 Avvisi
27 Note


I risultati di scansione vengono trasmessi a Guard.


3) Malwarebytes

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21/11/10 5.49.39
mbam-log-2010-11-21 (05-49-39).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 211507
Tempo trascorso: 2 ore, 54 minuti, 43 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 3
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 10
File infetti: 1

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.WebMedia) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
C:\Documents and Settings\All Users\Application Data\System Doctor Free (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\System Doctor Free\Data (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\Francesco\Dati applicazioni\SystemDoctor Free (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\Francesco\Dati applicazioni\SystemDoctor Free\Logs (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\SystemDoctor Free (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Programmi\SystemDoctor Free (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Programmi\WebMediaPlayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programmi\WebMediaPlayer\resources (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programmi\WebMediaPlayer\skins (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programmi\WebMediaPlayer\updates (Adware.EGDAccess) -> Quarantined and deleted successfully.

File infetti:
C:\Programmi\WebMediaPlayer\sqlite3.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.



Spero di trovare qualche anima buona che si passi il tempo a darmi retta.
so che nn è semplice...

Vi ringrazio anticipatamente per l'attenzione e attendo suggerimenti

[Nicocasitta]

nessun suggerimento??

[Nicocasitta]

è così difficoltoso?

[SkinBonno]

Scarica CCleaner , eseguilo, ripulisci i file temporanei e i cookies e ripara i problemi del registro. In fase di installazione togli la spunta alla casella della yahoo toolbar, non installarla.

Scarica Atf Cleaner, esegui una pulizia completa (spunta select all ((se non vuoi perdere le password di internet e\o mozilla lascia solo quella casella libera)). Eseguilo 2 volte.

Scarica Combofix usando Internet Explorer e salvalo sul desktop. Quando lo salvi, rinominalo in abc.exe. Disconnettiti da internet, disattiva l'antivirus. Avvia Combofix (abc.exe) e attendi la fine della scansione.
Non eseguire nessuna operazione mentre Combofix analizza il pc, non muovere nemmeno il mouse, potresti bloccare la scansione.
Finita la scansione il pc si dovrebbe riavviare e in C: dovresti avere un rapporto Combofix.txt. Carica questo rapporto su Wikisend e riporta sul forum il link che otterrai.

N.B. Nel caso non riesci a fare partire combofix, da start-->esegui copia e incolla questa riga di comando comprese le virgolette e dai invio:

"%userprofile%\desktop\abc.exe" /killall

La scansione dovrebbe partire in automatico.

[Nicocasitta]

Ciao skin e grazie per la risposta.
come già scritto sul pc è già installato ccleaner e con quello ho già eseguito sia la pulizia dei temporanei che quella del registro.

Ho distrattamente omesso il tentativo fatto con combofix che ho provato a far funzionare ma mi sono bloccato quando richiedeva lo spegnimento di antivir e di security essential. Purtoppo antivir era stato disabilitato ma lo riconosceva come attivo mentre per MSE non ho l'idea di come si debba disabilitare.

Atf cleaner mi manca, l'ho appena scaricato e appena possibile provo se và.

Come già detto, ho problemi anche ad installare disinstallare e aggiornare programmi sia online che offline...

[SkinBonno]

Dopo il passaggio cn Atf,
Vai su QUESTA pagina, scarica il primo Rkill e avvialo.
N.B. Nel caso si aprisse una finestra in cui ti dice che Rkill è infetto IGNORALA, non chiuderla e lasciala li. E’ un trucco del virus per proteggersi. Fai ripartire Rkill e lascia che termini la scansione. Se si apre di nuovo, lascia anche quella li, e così via finché non riesci a completare la scansione.
Nel caso il primo Rkill non partisse, scarica il secondo e riprova, e così via finchè non riesci a farne partire uno.

NON RIAVVIARE IL PC.

Scarica Kaspersky virus removal tool.
Avvialo, seleziona la partizione da scansionare, avvia la scansione.
A fine scansione, se verranno rilevate infezioni premi Neutralize All.
Si apriranno dei pop-up, seleziona Apply to all e clicca su Quarantine.
Per salvare il report, clicca su reports, salvalo sul desktop e caricalo come al solito su wikisend.