aiuto problemi post-trojan!!

**elioeffe** · 31-01-2012, 12:49

ciao a tutti
ho un problemone: utilizzo spesso programmi portable tra cui illustrator cs5, ad un certo punto ha cominciato a crashare e non si avvia piu(binary file questo,che messo su altri pc funziona perfettamente)..avira ha trovato 4 problemi tra cui un troja tr/agent.a1 mentre malware bites ha trovato nulla...
le ultime scansioni anche online danno esito negativo,tutto pulito..pero' internet è lento,il browser crash(mozilla firefox 8) e illustrator non si avvia...altri portable nel pc continuano a funzionare regolarmente..il log di ijackthis da risultato ok..
che fare?
grazie mille

**elioeffe** · 31-01-2012, 12:50

-primo log infetto di Avira:

Avira AntiVir Personal
Data del file di report: sabato 28 gennaio 2012 19:27

Ricerca di 3323984 virus e programmi indesiderati.

Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira AntiVir Personal - Free Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows 7
Versione di Windows : (plain) [6.1.7600]
Modalità di avvio : Modalità provvisoria
Nome utente : User
Nome computer : USER-PC

Informazioni sulla versione:
BUILD.DAT : 10.2.0.100 35934 Bytes 03/11/2011 18:09:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 21/07/2011 11:24:39
AVSCAN.DLL : 10.0.5.0 55144 Bytes 21/07/2011 11:26:15
LUKE.DLL : 10.3.0.5 45416 Bytes 21/07/2011 11:25:43
LUKERES.DLL : 10.0.0.0 13160 Bytes 16/02/2010 09:15:20
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 21/07/2011 11:24:39
AVREG.DLL : 10.3.0.9 90472 Bytes 21/07/2011 11:24:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 06:56:40
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 10:01:07
VBASE003.VDF : 7.11.19.171 2048 Bytes 20/12/2011 10:01:07
VBASE004.VDF : 7.11.19.172 2048 Bytes 20/12/2011 10:01:07
VBASE005.VDF : 7.11.19.173 2048 Bytes 20/12/2011 10:01:07
VBASE006.VDF : 7.11.19.174 2048 Bytes 20/12/2011 10:01:07
VBASE007.VDF : 7.11.19.175 2048 Bytes 20/12/2011 10:01:07
VBASE008.VDF : 7.11.19.176 2048 Bytes 20/12/2011 10:01:07
VBASE009.VDF : 7.11.19.177 2048 Bytes 20/12/2011 10:01:07
VBASE010.VDF : 7.11.19.178 2048 Bytes 20/12/2011 10:01:07
VBASE011.VDF : 7.11.19.179 2048 Bytes 20/12/2011 10:01:07
VBASE012.VDF : 7.11.19.180 2048 Bytes 20/12/2011 10:01:07
VBASE013.VDF : 7.11.19.217 182784 Bytes 22/12/2011 10:01:07
VBASE014.VDF : 7.11.19.255 148480 Bytes 24/12/2011 09:53:24
VBASE015.VDF : 7.11.20.29 164352 Bytes 27/12/2011 15:10:44
VBASE016.VDF : 7.11.20.70 180224 Bytes 29/12/2011 16:02:48
VBASE017.VDF : 7.11.20.102 240640 Bytes 02/01/2012 07:58:47
VBASE018.VDF : 7.11.20.139 164864 Bytes 04/01/2012 22:06:01
VBASE019.VDF : 7.11.20.178 167424 Bytes 06/01/2012 22:06:04
VBASE020.VDF : 7.11.20.207 230400 Bytes 10/01/2012 09:15:25
VBASE021.VDF : 7.11.20.236 150528 Bytes 11/01/2012 09:15:26
VBASE022.VDF : 7.11.21.13 135168 Bytes 13/01/2012 12:10:28
VBASE023.VDF : 7.11.21.40 163840 Bytes 16/01/2012 12:10:29
VBASE024.VDF : 7.11.21.65 1001472 Bytes 17/01/2012 12:40:54
VBASE025.VDF : 7.11.21.98 487424 Bytes 19/01/2012 12:40:56
VBASE026.VDF : 7.11.21.156 1010688 Bytes 25/01/2012 11:13:55
VBASE027.VDF : 7.11.21.176 600576 Bytes 26/01/2012 11:14:12
VBASE028.VDF : 7.11.21.177 2048 Bytes 26/01/2012 11:14:12
VBASE029.VDF : 7.11.21.178 2048 Bytes 26/01/2012 11:14:12
VBASE030.VDF : 7.11.21.179 2048 Bytes 26/01/2012 11:14:12
VBASE031.VDF : 7.11.21.199 142848 Bytes 27/01/2012 11:23:21
Motore : 8.2.8.44
AEVDF.DLL : 8.1.2.2 106868 Bytes 22/11/2011 07:31:40
AESCRIPT.DLL : 8.1.4.2 434553 Bytes 27/01/2012 11:16:24
AESCN.DLL : 8.1.8.2 131444 Bytes 27/01/2012 11:16:08
AESBX.DLL : 8.2.4.5 434549 Bytes 07/12/2011 06:08:47
AERDL.DLL : 8.1.9.15 639348 Bytes 22/11/2011 07:31:39
AEPACK.DLL : 8.2.16.2 799095 Bytes 27/01/2012 11:16:03
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30/12/2011 16:07:28
AEHEUR.DLL : 8.1.3.23 4333943 Bytes 27/01/2012 11:15:37
AEHELP.DLL : 8.1.19.0 254327 Bytes 22/01/2012 12:41:00
AEGEN.DLL : 8.1.5.18 409973 Bytes 27/01/2012 11:14:23
AEEMU.DLL : 8.1.3.0 393589 Bytes 21/04/2011 06:55:57
AECORE.DLL : 8.1.25.3 201079 Bytes 27/01/2012 11:14:20
AEBB.DLL : 8.1.1.0 53618 Bytes 21/04/2011 06:55:57
AVWINLL.DLL : 10.0.0.0 19304 Bytes 21/04/2011 06:56:18
AVPREF.DLL : 10.0.3.2 44904 Bytes 21/07/2011 11:24:28
AVREP.DLL : 10.0.0.10 174120 Bytes 21/07/2011 11:24:31
AVARKT.DLL : 10.0.26.1 255336 Bytes 21/07/2011 11:24:06
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 21/07/2011 11:24:23
SQLITE3.DLL : 3.6.19.0 355688 Bytes 21/07/2011 14:12:33
AVSMTP.DLL : 10.0.0.17 63848 Bytes 21/04/2011 06:56:17
NETNT.DLL : 10.0.0.0 11624 Bytes 21/04/2011 06:56:31
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 21/07/2011 11:26:21
RCTEXT.DLL : 10.0.64.0 99176 Bytes 21/07/2011 11:26:21

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Report......................................: standard
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:, D:,
Scansione dei programmi attivi..............: Attivo
Processo esteso di scansione................: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: avanzato

Avvio della scansione: sabato 28 gennaio 2012 19:27

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
Non è stato possibile inizializzare il driver.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '65' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '72' modulo(i) scansionato(i)
Scansione processo 'ctfmon.exe' - '21' modulo(i) scansionato(i)
Scansione processo 'Explorer.EXE' - '132' modulo(i) scansionato(i)
Scansione processo 'TabTip.exe' - '35' modulo(i) scansionato(i)
Scansione processo 'WISPTIS.EXE' - '45' modulo(i) scansionato(i)
Scansione processo 'WISPTIS.EXE' - '39' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '39' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '22' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '36' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '26' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '30' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '30' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '23' modulo(i) scansionato(i)
Scansione processo 'lsm.exe' - '16' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '67' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '31' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '16' modulo(i) scansionato(i)
Scansione processo 'wininit.exe' - '21' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '16' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '2' modulo(i) scansionato(i)

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 1
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'D:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 529 file ).

Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
C:\Users\User\AppData\LocalLow\Sun\Java\Deployment \cache\6.0\28\55d3b31c-21088d3f
[0] Tipo di archivio: ZIP
--> json/Parser.class
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/2010-0840.BH
--> json/ThreadParser.class
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/CVE-2010-0840.GH
--> json/XML.class
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/CVE-2010-0840.FL
C:\Users\User\AppData\Roaming\Remote\udkynj.dll
[RILEVAMENTO] Si tratta del cavallo di tr**a TR/Agent.ASPY.1
C:\Windows\SoftwareDistribution\Download\ce5287396 485f886a3051ac552cbdb2f08681033
[0] Tipo di archivio: Portable Executable Resource
--> object
[1] Tipo di archivio: CAB (Microsoft)
--> WriterProdLang.7z
[2] Tipo di archivio: 7-Zip
--> WriterProdLang.cab
[3] Tipo di archivio: CAB (Microsoft)
--> writerprodlang.msi
[AVVISO] Impossibile leggere il file!
--> object
[1] Tipo di archivio: CAB (Microsoft)
--> LanguageSelector64.7z
[2] Tipo di archivio: 7-Zip
--> LanguageSelector64.cab
[3] Tipo di archivio: CAB (Microsoft)
--> LanguageSelector64.msi
[AVVISO] Impossibile leggere il file!
Inizia con la scansione di 'D:\'

Avvio della disinfezione:
C:\Users\User\AppData\Roaming\Remote\udkynj.dll
[RILEVAMENTO] Si tratta del cavallo di tr**a TR/Agent.ASPY.1
[NOTA] Il file è stato spostato in quarantena con il nome '4be0f848.qua'!
C:\Users\User\AppData\LocalLow\Sun\Java\Deployment \cache\6.0\28\55d3b31c-21088d3f
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/CVE-2010-0840.FL
[NOTA] Il file è stato spostato in quarantena con il nome '5370d7d8.qua'!

Fine della scansione: sabato 28 gennaio 2012 21:12
Tempo impiegato: 1:20:11 Ora(e)

La scansione è stata completamente eseguita.

25943 Directory scansionate
691114 I file sono stati scansionati
4 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
2 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
691110 File non infetti
3627 Archivi scansionati
2 Avvisi
2 Note

**elioeffe** · 31-01-2012, 12:51

e questa è l'ultima scansione tra quelle infette di avira

Avira AntiVir Personal
Data del file di report: sabato 28 gennaio 2012 23:37

Ricerca di 3323984 virus e programmi indesiderati.

Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira AntiVir Personal - Free Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows 7
Versione di Windows : (plain) [6.1.7600]
Modalità di avvio : Modalità provvisoria
Nome utente : User
Nome computer : USER-PC

Informazioni sulla versione:
BUILD.DAT : 10.2.0.100 35934 Bytes 03/11/2011 18:09:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 21/07/2011 11:24:39
AVSCAN.DLL : 10.0.5.0 55144 Bytes 21/07/2011 11:26:15
LUKE.DLL : 10.3.0.5 45416 Bytes 21/07/2011 11:25:43
LUKERES.DLL : 10.0.0.0 13160 Bytes 16/02/2010 09:15:20
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 21/07/2011 11:24:39
AVREG.DLL : 10.3.0.9 90472 Bytes 21/07/2011 11:24:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 06:56:40
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 10:01:07
VBASE003.VDF : 7.11.19.171 2048 Bytes 20/12/2011 10:01:07
VBASE004.VDF : 7.11.19.172 2048 Bytes 20/12/2011 10:01:07
VBASE005.VDF : 7.11.19.173 2048 Bytes 20/12/2011 10:01:07
VBASE006.VDF : 7.11.19.174 2048 Bytes 20/12/2011 10:01:07
VBASE007.VDF : 7.11.19.175 2048 Bytes 20/12/2011 10:01:07
VBASE008.VDF : 7.11.19.176 2048 Bytes 20/12/2011 10:01:07
VBASE009.VDF : 7.11.19.177 2048 Bytes 20/12/2011 10:01:07
VBASE010.VDF : 7.11.19.178 2048 Bytes 20/12/2011 10:01:07
VBASE011.VDF : 7.11.19.179 2048 Bytes 20/12/2011 10:01:07
VBASE012.VDF : 7.11.19.180 2048 Bytes 20/12/2011 10:01:07
VBASE013.VDF : 7.11.19.217 182784 Bytes 22/12/2011 10:01:07
VBASE014.VDF : 7.11.19.255 148480 Bytes 24/12/2011 09:53:24
VBASE015.VDF : 7.11.20.29 164352 Bytes 27/12/2011 15:10:44
VBASE016.VDF : 7.11.20.70 180224 Bytes 29/12/2011 16:02:48
VBASE017.VDF : 7.11.20.102 240640 Bytes 02/01/2012 07:58:47
VBASE018.VDF : 7.11.20.139 164864 Bytes 04/01/2012 22:06:01
VBASE019.VDF : 7.11.20.178 167424 Bytes 06/01/2012 22:06:04
VBASE020.VDF : 7.11.20.207 230400 Bytes 10/01/2012 09:15:25
VBASE021.VDF : 7.11.20.236 150528 Bytes 11/01/2012 09:15:26
VBASE022.VDF : 7.11.21.13 135168 Bytes 13/01/2012 12:10:28
VBASE023.VDF : 7.11.21.40 163840 Bytes 16/01/2012 12:10:29
VBASE024.VDF : 7.11.21.65 1001472 Bytes 17/01/2012 12:40:54
VBASE025.VDF : 7.11.21.98 487424 Bytes 19/01/2012 12:40:56
VBASE026.VDF : 7.11.21.156 1010688 Bytes 25/01/2012 11:13:55
VBASE027.VDF : 7.11.21.176 600576 Bytes 26/01/2012 11:14:12
VBASE028.VDF : 7.11.21.177 2048 Bytes 26/01/2012 11:14:12
VBASE029.VDF : 7.11.21.178 2048 Bytes 26/01/2012 11:14:12
VBASE030.VDF : 7.11.21.179 2048 Bytes 26/01/2012 11:14:12
VBASE031.VDF : 7.11.21.199 142848 Bytes 27/01/2012 11:23:21
Motore : 8.2.8.44
AEVDF.DLL : 8.1.2.2 106868 Bytes 22/11/2011 07:31:40
AESCRIPT.DLL : 8.1.4.2 434553 Bytes 27/01/2012 11:16:24
AESCN.DLL : 8.1.8.2 131444 Bytes 27/01/2012 11:16:08
AESBX.DLL : 8.2.4.5 434549 Bytes 07/12/2011 06:08:47
AERDL.DLL : 8.1.9.15 639348 Bytes 22/11/2011 07:31:39
AEPACK.DLL : 8.2.16.2 799095 Bytes 27/01/2012 11:16:03
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30/12/2011 16:07:28
AEHEUR.DLL : 8.1.3.23 4333943 Bytes 27/01/2012 11:15:37
AEHELP.DLL : 8.1.19.0 254327 Bytes 22/01/2012 12:41:00
AEGEN.DLL : 8.1.5.18 409973 Bytes 27/01/2012 11:14:23
AEEMU.DLL : 8.1.3.0 393589 Bytes 21/04/2011 06:55:57
AECORE.DLL : 8.1.25.3 201079 Bytes 27/01/2012 11:14:20
AEBB.DLL : 8.1.1.0 53618 Bytes 21/04/2011 06:55:57
AVWINLL.DLL : 10.0.0.0 19304 Bytes 21/04/2011 06:56:18
AVPREF.DLL : 10.0.3.2 44904 Bytes 21/07/2011 11:24:28
AVREP.DLL : 10.0.0.10 174120 Bytes 21/07/2011 11:24:31
AVARKT.DLL : 10.0.26.1 255336 Bytes 21/07/2011 11:24:06
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 21/07/2011 11:24:23
SQLITE3.DLL : 3.6.19.0 355688 Bytes 21/07/2011 14:12:33
AVSMTP.DLL : 10.0.0.17 63848 Bytes 21/04/2011 06:56:17
NETNT.DLL : 10.0.0.0 11624 Bytes 21/04/2011 06:56:31
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 21/07/2011 11:26:21
RCTEXT.DLL : 10.0.64.0 99176 Bytes 21/07/2011 11:26:21

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Report......................................: standard
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:, D:,
Scansione dei programmi attivi..............: Attivo
Processo esteso di scansione................: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: avanzato

Avvio della scansione: sabato 28 gennaio 2012 23:37

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
Non è stato possibile inizializzare il driver.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '65' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '72' modulo(i) scansionato(i)
Scansione processo 'helppane.exe' - '62' modulo(i) scansionato(i)
Scansione processo 'ctfmon.exe' - '21' modulo(i) scansionato(i)
Scansione processo 'Explorer.EXE' - '125' modulo(i) scansionato(i)
Scansione processo 'TabTip.exe' - '35' modulo(i) scansionato(i)
Scansione processo 'WISPTIS.EXE' - '45' modulo(i) scansionato(i)
Scansione processo 'WISPTIS.EXE' - '39' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '25' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '20' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '36' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '26' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '30' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '30' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '23' modulo(i) scansionato(i)
Scansione processo 'lsm.exe' - '16' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '67' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '31' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '16' modulo(i) scansionato(i)
Scansione processo 'wininit.exe' - '21' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '16' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '2' modulo(i) scansionato(i)

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 1
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'D:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 529 file ).

Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
C:\Windows\SoftwareDistribution\Download\ce5287396 485f886a3051ac552cbdb2f08681033
[0] Tipo di archivio: Portable Executable Resource
--> object
[1] Tipo di archivio: CAB (Microsoft)
--> WriterProdLang.7z
[2] Tipo di archivio: 7-Zip
--> WriterProdLang.cab
[3] Tipo di archivio: CAB (Microsoft)
--> writerprodlang.msi
[AVVISO] Impossibile leggere il file!
--> object
[1] Tipo di archivio: CAB (Microsoft)
--> LanguageSelector64.7z
[2] Tipo di archivio: 7-Zip
--> LanguageSelector64.cab
[3] Tipo di archivio: CAB (Microsoft)
--> LanguageSelector64.msi
[AVVISO] Impossibile leggere il file!
Inizia con la scansione di 'D:\'
D:\$RECYCLE.BIN\S-1-5-21-2290924594-2866865857-3034614200-1000\$R8X30CN\Virtual\STUBEXE\8.0.1135\@PROGRAMFIL ES@\Adobe\Adobe Illustrator CS5.1\Support Files\Contents\Windows\Illustrator.exe
[RILEVAMENTO] Si tratta del cavallo di tr**a TR/Gendal.A.9409

Avvio della disinfezione:
D:\$RECYCLE.BIN\S-1-5-21-2290924594-2866865857-3034614200-1000\$R8X30CN\Virtual\STUBEXE\8.0.1135\@PROGRAMFIL ES@\Adobe\Adobe Illustrator CS5.1\Support Files\Contents\Windows\Illustrator.exe
[RILEVAMENTO] Si tratta del cavallo di tr**a TR/Gendal.A.9409
[NOTA] Il file è stato spostato in quarantena con il nome '4b4c2bdf.qua'!

Fine della scansione: domenica 29 gennaio 2012 00:56
Tempo impiegato: 1:18:52 Ora(e)

La scansione è stata completamente eseguita.

28083 Directory scansionate
693366 I file sono stati scansionati
1 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
1 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
693365 File non infetti
3637 Archivi scansionati
2 Avvisi
1 Note

**R16** · 31-01-2012, 19:04

Ciao.
Vai in "Programmi e funzionalità", e rimuovi TUTTE le versioni Java che trovi.

Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop . (è obligatorio )

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (se usi Vista: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO .

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali .

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
Postalo qui.

Per postare il log:
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia "
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

**SkinBonno** · 31-01-2012, 23:45

Ciao R16, intervengo solo per dirti di un errorino nelle istruzioni di Combofix che non hai notato dato che l'ho visto in diversi messaggi, nella parte "salvalo sul desktop (è obligatorio)", manca una b

**elioeffe** · 01-02-2012, 17:20

ciao e grazie per la risposta

premetto che ho un:
notebook hp pavillion, processore intel core duo 3.00 Ghz, 2 gb di ram installata, windows 7 a 32 bit aggiornato, e uso quasi solamente portable che non mi hanno mai causato problemi...a parte illutrator(in questione,che crasha e continua a crashare all avvio)

ho fatto una scansione con combofix ma il primo log non l ho salvato...ne ho affato una seconda e qui ti allego il secondo log:

log.txt

al termine ho riavviato e cliccando su mozilla firefox ma è uscito un avviso riguardo a file non esistente,ho riavviato,cliccato sull icona di mozilla(installato in c ) ma nulla....si è avviato dopo 4 click...
illustrator portable continua crashare anche dopo averlo riscaricato e fatto avviare(su altri pc funziona tranquillamente)

**elioeffe** · 01-02-2012, 17:36

dimenticavo, forse importantissimo, ma i crash avvengono dopo aver installato colin mcrae rally,col quale si è installato un driver "starforce ptottector" che all avvio di windows mi dice che è stato bloccato per incompatibilita'...ho provato con le guide online a disinstallarlo ma nelle elenco dei driver(anche nascosti) non risulta presente nel pc...ma cmq ad ogni avvio di windows l avviso che si presenta dice che il driver installato è stato bloccato per incompatibilita'........

**R16** · 01-02-2012, 22:36

Originariamente inviato da SkinBonno
Ciao R16, intervengo solo per dirti di un errorino nelle istruzioni di Combofix che non hai notato dato che l'ho visto in diversi messaggi, nella parte "salvalo sul desktop (è obligatorio)", manca una b

Hai ragione SkinBonno, sono proprio un somaro....

@elioeffe

Ci sono dei rimasugli di McAfee:
Scaricare il tool
http://download.mcafee.com/products/...tches/MCPR.exe
Eseguire il tool di rimozione che disistallerà i rimasugli.
Riavviare il computer

Poi:

Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

codice:

KillAll::

DirLook::
c:\users\User\.swt
C:\AITEMP

Driver::
McComponentHostService
ISWKL
IswSvc

Folder::
c:\users\User\AppData\Roaming\WinPatrol
c:\program files\Sophos

RegLock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

SecCenter::
{E6380B7E-D4B2-19F1-083E-56486607704B}

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix

N.B :
Se viene visualizzato il seguente errore: Operazione non valida tentata su una chiave di registro che è stato contrassegnato per l'eliminazione ,
sarà necessario riavviare il computer che di norma risolve questo problema.

**elioeffe** · 02-02-2012, 14:33

ciao, grazie ancora
questo è il log della scansione con lo lo script che dicevi

combofix.txt

pero' ne ho fatta una precedente a questa,sempre con lo script trascinato sull'icona, ma al termine mi ha dato un messaggio d errore riguardo il file log che non poteva essere salvato...

**R16** · 02-02-2012, 20:09

Ciao.
Dovresti seguire il percorso di questa chiave: (regedit)
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ MSConfig \ startupfolder
Arrivato alla cartella startupfolder cliccaci sopra 1 volta.
Sulla destra dovresti trovare delle voci che riguardano McAfee
Clicca con il tasto destro sopra le sue iconcine, e scegli Elimina.
Conferma, l'eliminazione.

Poi, puoi disistallare il tool di Kaspersky che hai sul desktot, non ti serve più.
Riscontri gli stessi problemi?

Discussione: aiuto problemi post-trojan!!

Strumenti discussione

Ricerca discussione

Visualizza

aiuto problemi post-trojan!!

Permessi di invio