Di nuovo virus windows recovery.

[giulfest]

Ciao, innanzitutto grazie per la competenza e pazienza.
Anche io ho preso il virus windows recovery, ho fatto tutto quello che hai scritto in un post precdente e di seguito ti posto il link al log prodotto da tdss killer:

http://wikisend.com/download/353770...7.53.05_log.txt

e sotto ti riporto il link al log prodotto dopo aver eseguito combofix.exe

http://wikisend.com/download/469564/log.txt

Adesso il computer, dopo aver eseguito combofix, sembra funzionare bene, si vedono le icone sul desktop e alla voce "programmi" sul menu di avvio compaiono i programmi mentre prima risultava vuoto........l'unico dubbio è che nel pannello di controllo alla voce "strumenti di amministrazione" mi risulta vuoto......

[amvinfe]

http://download.bleepingcomputer.com/grinler/unhide.exe

una volta scaricato disconnettiti da internet, disattiva la protezione in tempo reale del tuo antivirus, esegui unhide.exe ed attendi pazientemente fino a quando non verrà aperta questa finestra

http://img535.imageshack.us/i/98206906.jpg/

riavvia il pc.

[giulfest]

Ho fatto tutto quello che mi hai scritto, però avviando unhide non mi è uscita la finestra di imageshack nemmeno dopo 20 minuti, ma una finestra con la scritta "your files should now be visible".
Dando la conferma con ok alla scritta ho quindi riavviato il pc ma alcune finestre (tipo appunto strumenti di amministrazione, utilità di sistema, alcuni programmi) continuano ad essere non visibili...........ho sbagliato qualcosa?

[amvinfe]

ciao

scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Vai su www.wikisend.com e carica il file con estensione .zip

Nella tua prossima risposta copia/incolla l'URL per poter scaricare il report.

Ricordati d'effettuare la scansione senza connessione attiva.

NB:
ricordati di disattivare l'antivirus prima di scaricare il programma e prima d'effettuare la scansione e di riattivarlo prima di riconnetterti ad internet.

[giulfest]

Ciao,
fatto tutto, il link a wikisend è:

http://wikisend.com/download/293760/..._23_report.zip

Grazie per l'aiuto..........

[amvinfe]

vai in C:\ apri il file ComboFix.txt copia ed incolla il suo contenuto, spero non siano stati eliminati file o chiavi del registro

[giulfest]

Ecco il contenuto di conbofix.txt:

ComboFix 11-05-02.04 - Giulio 03/05/2011 19.03.22.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.1215.865 [GMT 2:00]
Eseguito da: c:\documents and settings\Giulio\Desktop\ciotola.scr.exe
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
.
c:\documents and settings\Giulio\Dati applicazioni\Adobe\plugs
c:\documents and settings\Giulio\Dati applicazioni\Adobe\shed
c:\documents and settings\Giulio\Impostazioni locali\Dati applicazioni\ebeczxus.dat
c:\documents and settings\Giulio\Impostazioni locali\Dati applicazioni\ebeczxus_nav.dat
c:\documents and settings\Giulio\Impostazioni locali\Dati applicazioni\ebeczxus_navps.dat
c:\documents and settings\Giulio\WINDOWS
c:\programmi\QUAD Utilities
c:\windows\system32\dbexpmysql.dll
c:\windows\system32\midas.dll
c:\windows\system32\Thumbs.db
.
.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SSHNAS
.
.
((((((((((((((((((((((((( Files Creati Da 2011-04-03 al 2011-05-03 )))))))))))))))))))))))))))))))))))
.
.
2011-05-03 13:49 . 2011-05-03 13:56 -------- dc----w- c:\programmi\winresq10
2011-05-03 12:16 . 2011-05-03 12:16 -------- dcs---w- c:\documents and settings\LocalService\UserData
2011-05-02 16:39 . 2011-05-02 16:39 -------- dcs---w- c:\documents and settings\NetworkService\UserData
2011-04-05 08:42 . 2011-04-05 08:42 -------- dc-h--w- c:\documents and settings\Giulio\Impostazioni locali\Dati applicazioni\?
2011-04-04 16:27 . 2011-04-04 16:38 -------- dc----w- c:\programmi\MailNavigator
2011-04-04 11:04 . 2011-04-04 16:34 -------- dc----w- c:\programmi\Convar
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-11-18 11:58 333192 -c--a-w- c:\programmi\AskBarDis\bar\bin\askBar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programmi\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]
.
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programmi\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]
.
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\G oogleToolbarNotifier.exe" [2009-04-25 39408]
"TomTomHOME.exe"="c:\programmi\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"nwiz"="nwiz.exe" [2005-10-10 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray. dll" [2005-10-10 86016]
"Cobian Backup 7"="c:\programmi\Cobian Backup 7\CobBU.exe" [2005-08-26 127488]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.6.0_0 3\bin\jusched.exe" [2007-09-24 132496]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-15 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationA gent]
2008-04-13 18:14 110592 -c--a-w- c:\windows\system32\bthprops.cpl
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nitro PDF Printer Monitor]
2009-01-16 11:52 209216 -c--a-w- c:\programmi\Nitro PDF\Professional\NitroPDFPrinterMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2005-09-22 08:42 90112 -c--a-r- c:\windows\SOUNDMAN.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2007-09-24 23:11 132496 -c--a-w- c:\programmi\Java\jre1.6.0_03\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2008-12-09 10:12 234856 -c--a-w- c:\programmi\TomTom HOME 2\HOMERunner.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Cobian Backup 7\\cobui.exe"=
"c:\\Programmi\\Cobian Backup 7\\CobBU.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programmi\\File comuni\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Microsoft ActiveSync\\wcescomm.exe"=
"c:\\Programmi\\Microsoft ActiveSync\\WCESMgr.exe"=
"c:\\Programmi\\Mozilla Firefox\\firefox.exe"=
"c:\\WINDOWS\\system32\\hasplms.exe"=
.
R1 eusk2par;EUTRON SmartKey Parallel Driver;c:\windows\system32\drivers\eusk2par.sys [18/01/2008 10.52.25 30656]
R1 oreans32;oreans32;c:\windows\system32\drivers\orea ns32.sys [29/09/2010 14.47.03 33824]
R2 eugss;EUTRON SmartKey GSS2 Driver;c:\windows\system32\drivers\eugssxp.sys [17/09/2008 19.11.47 66784]
R2 hasplms;Sentinel HASP License Manager;c:\windows\system32\hasplms.exe -run --> c:\windows\system32\hasplms.exe -run [?]
R2 TomTomHOMEService;TomTomHOMEService;c:\programmi\T omTom HOME 2\TomTomHOMEService.exe [13/11/2009 13.31.14 92008]
S3 A0380VID;USB2.0 PC Camera;c:\windows\system32\DRIVERS\A0380Vid.sys --> c:\windows\system32\DRIVERS\A0380Vid.sys [?]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbE xDisk.Sys [21/10/2010 16.04.37 36608]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [30/07/2008 10.13.08 138112]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [30/07/2008 10.13.09 8320]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\drivers\ss_bbus.sys [21/10/2010 16.15.49 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\drivers\ss_bmdfl.sys [21/10/2010 16.15.49 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\drivers\ss_bmdm.sys [21/10/2010 16.15.49 121856]
S3 w89c940;Winbond W89C940 PCI Ethernet Adapter Driver;c:\windows\system32\drivers\w940nd.sys [25/09/2006 18.45.24 16925]
.
Contenuto della cartella 'Scheduled Tasks'
.
2011-05-03 c:\windows\Tasks\Pulitura disco.job
- c:\windows\system32\cleanmgr.exe [2004-08-19 18:14]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.virgilio.it/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = hxxp://www.lavasoft.de/ad-aware/personal/106/upgrade.shtml
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {66786D89-8DB0-407A-9DFB-4513100313E8} = 213.205.36.70,213.205.32.70
FF - ProfilePath - c:\documents and settings\Giulio\Dati applicazioni\Mozilla\Firefox\Profiles\tw82877a.def ault\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.virgilio.it
FF - prefs.js: network.proxy.type - 4
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programmi\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0015-0000-0016-ABCDEFFEDCBA} - c:\programmi\Mozilla Firefox\extensions\{CAFEEFAC-0015-0000-0016-ABCDEFFEDCBA}
FF - Ext: Forecastfox Weather: {0538E3E3-7E9B-4d49-8831-A227C80A7AD3} - %profile%\extensions\{0538E3E3-7E9B-4d49-8831-A227C80A7AD3}
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
HKLM-Run-NPSStartup - (no file)
Notify-avgrsstarter - avgrsstx.dll
MSConfigStartUp-AVG8_TRAY - c:\progra~1\AVG\AVG8\avgtray.exe
MSConfigStartUp-ccApp - c:\programmi\File comuni\Symantec Shared\ccApp.exe
MSConfigStartUp-Norton Ghost 10 - c:\programmi\Norton Ghost\Agent\GhostTray.exe
MSConfigStartUp-PCSuiteTrayApplication - c:\programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
MSConfigStartUp-QUAD Scheduler - c:\programmi\QUAD Utilities\QUAD Registry Cleaner\QUAD Scheduler.exe
MSConfigStartUp-QUAD Windows service - c:\programmi\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner.exe
MSConfigStartUp-ssmoiea - c:\documents and settings\giulio\impostazioni locali\dati applicazioni\ssmoiea.exe
HKLM_ActiveSetup-Nitro PDF Professional - (no file)
AddRemove-01_Simmental - c:\programmi\SAMSUNG\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - c:\programmi\SAMSUNG\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - c:\programmi\SAMSUNG\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\programmi\SAMSUNG\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-05_Sloan - c:\programmi\SAMSUNG\USB Drivers\05_Sloan\Uninstall.exe
AddRemove-06_Spencer - c:\programmi\SAMSUNG\USB Drivers\06_Spencer\Uninstall.exe
AddRemove-07_Schorl - c:\programmi\SAMSUNG\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-08_EMPChipset - c:\programmi\SAMSUNG\USB Drivers\08_EMPChipset\Uninstall.exe
AddRemove-09_Hsp - c:\programmi\SAMSUNG\USB Drivers\09_Hsp\Uninstall.exe
AddRemove-11_HSP_Plus_Default - c:\programmi\SAMSUNG\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
AddRemove-12_Symbian_USB_Download_Driver - c:\programmi\SAMSUNG\USB Drivers\12_Symbian_USB_Download_Driver\Uninstall.e xe
AddRemove-15_Symbian_Samsung_PC_DLC_Driver - c:\programmi\SAMSUNG\USB Drivers\15_Symbian_Samsung_PC_DLC_Driver\Uninstall .exe
AddRemove-16_Shrewsbury - c:\programmi\SAMSUNG\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-17_EMP_Chipset2 - c:\programmi\SAMSUNG\USB Drivers\17_EMP_Chipset2\Uninstall.exe
AddRemove-18_Zinia_Serial_Driver - c:\programmi\SAMSUNG\USB Drivers\18_Zinia_Serial_Driver\Uninstall.exe
AddRemove-19_VIA_driver - c:\programmi\SAMSUNG\USB Drivers\19_VIA_driver\Uninstall.exe
AddRemove-20_NXP_Driver - c:\programmi\SAMSUNG\USB Drivers\20_NXP_Driver\Uninstall.exe
.
.
.
************************************************** ************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-03 19:10
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
************************************************** ************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'explorer.exe'(2148)
c:\progra~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DL L
c:\programmi\File comuni\Microsoft Shared\Web Components\10\1040\OWCI10.DLL
c:\progra~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DL L
c:\programmi\File comuni\Microsoft Shared\Web Components\11\1040\OWCI11.DLL
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\brss01a.exe
c:\windows\system32\hasplms.exe
c:\programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
c:\windows\system32\nvsvc32.exe
c:\programmi\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\programmi\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
c:\windows\system32\wscntfy.exe
c:\programmi\Cobian Backup 7\cobui.exe
.
************************************************** ************************
.
Ora fine scansione: 2011-05-03 19:17:28 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2011-05-03 17:17
.
Pre-Run: 6.363.189.248 byte disponibili
Post-Run: 6.287.822.848 byte disponibili
.
- - End Of File - - BBA7956C9948F15C42D49BB7CBC5DD67

Ciao e ancora grazie

[amvinfe]

portati in C:\ apri la cartella Qoobox estrai la cartella
c:\documents and settings\Giulio\WINDOWS
verifica al suo interno cosa contiene.

[giulfest]

La cartella è VUOTA......... ..

[marcosx86]

sicuro che sia vuota o magari sono tutti file nascosti?