www.MegaLab.it

[kuabba82]

Ecco il log di kaspersky.
Non preoccuparti delle cartelle di Norton...l'ho disinstallato da tempo ed è rimasta solo la quarantena.

Saturday, October 25, 2008
Operating System: Microsoft Windows XP Professional Service Pack 1 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Saturday, October 25, 2008 16:08:22
Records in database: 1345978
Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes
Scan area My Computer
A:\
C:\
D:\
E:\
F:\
Scan statistics
Files scanned 109408
Threat name 13
Infected objects 21
Suspicious objects 0
Duration of the scan 02:17:50

File name Threat name Threats count
C:\Program Files\mIRC\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.616 1
C:\Programmi\Norton AntiVirus 2004\Quarantine\04434648 Infected: Trojan-Downloader.Win32.Dyfuca.aa 1
C:\Programmi\Norton AntiVirus 2004\Quarantine\17D818F3.gif Infected: EICAR-Test-File 1
C:\Programmi\Norton AntiVirus 2004\Quarantine\1D533AD0 Infected: not-a-virus:Porn-Dialer.Win32.CDUpdater.d 1
C:\Programmi\Norton AntiVirus 2004\Quarantine\1D5764CC Infected: Trojan-Downloader.Win32.Dyfuca.v 1
C:\Programmi\Norton AntiVirus 2004\Quarantine\1EAB4369 Infected: not-a-virus:Porn-Dialer.Win32.CDUpdater.d 1
C:\Programmi\Norton AntiVirus 2004\Quarantine\328E3612 Infected: Email-Worm.Win32.Mimail.m 1
C:\Programmi\Norton AntiVirus 2004\Quarantine\34133A66 Infected: Email-Worm.Win32.Mimail.m 1
C:\Programmi\Norton AntiVirus 2004\Quarantine\396E6DFD Infected: Trojan-Downloader.Win32.Dyfuca.aa 1
C:\Programmi\Norton AntiVirus 2004\Quarantine\3B49348C Infected: Email-Worm.Win32.Mydoom.a 1
C:\Programmi\Norton AntiVirus 2004\Quarantine\3E1112E6 Infected: Trojan-Downloader.Win32.Dyfuca.aa 1
C:\Programmi\Norton AntiVirus 2004\Quarantine\487F7FFA Infected: Trojan-Downloader.Win32.IstBar.bx 1
C:\Programmi\Norton AntiVirus 2004\Quarantine\4999195E Infected: Email-Worm.Win32.Mydoom.a 1
C:\Programmi\Norton AntiVirus 2004\Quarantine\49C7652C Infected: Email-Worm.Win32.Mydoom.a 1
C:\Programmi\Norton AntiVirus 2004\Quarantine\51DB70F1 Infected: Trojan-Downloader.Win32.Dyfuca.aa 1
C:\Programmi\Norton AntiVirus 2004\Quarantine\55FE25C8 Infected: Email-Worm.Win32.Sober.c 1
C:\WINDOWS\Downloaded Program Files\060A005.exe Infected: not-a-virus:Porn-Dialer.Win32.Agent.h 1
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\altavista.dll Infected: not-a-virus:AdWare.Win32.BrowserVillage.c 1
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\altavista.dll Infected: not-a-virus:AdWare.Win32.BrowserVillage.c 1
C:\WINDOWS\svchost.dll Infected: Trojan-Clicker.Win32.Small.yo 1
C:\WINDOWS\system32\SHAgentNew.dll Infected: not-a-virus:AdWare.Win32.Sahat.a 1
The selected area was scanned.

Inoltre ho visto che l'autoplay con i cd. dvd e periferiche usb non funziona più...sai dirmi come ripristinarlo?

Altra cosa che posso aggiungere...ho provato una scansione con prevx csi che dura solo 2 minuti...l'unica minaccia che mi ha trovato è stato lo zip di Avenger che mi hai linkato tu...poi nient'altro.

Inoltre aggiungo che per curiosità ho inviato su virustotal i files della cartella Qoobox che ha creato ieri Combofix e che mi ha portato questi piccoli problemini che ti ho spiegato...praticamente tutti risultano puliti con un bel 0/36. Solo quelli relativi a bi.dll e altri due simili non ho potuto inviarli...mi dava errore, ma tra l'altro è l'unico file che mi è stato riconosciuto ed eliminato da un altro programma che non fosse il mio antivirus.
Io non conosco combofix e non so cosa faccia a quei files oltre a spostarli e rinominarli, ma se pensi che quei files sarebbero dovuti essere ancora infetti, e invece non lo sono non potrebbero essere tutti falsi positivi?

Ultima annotazione...le notifiche del mio antivirus di stamattina sono state di una volta per il file C:\windows\system32\in3.dll e una per ss_msi1_setup.exe nella stessa cartella.
Inoltre è comparso un altro avviso che ieri avevo visto solo quando avviavo il semaforo con the avenger, relativo al file C:\windows\psexesvc.exe visto come Application/Psexec, del quale sul web ho trovato poche cose se non che potrebbe essere comunque un processo legittimo.

Detto tutto ciò cosa mi consigli?

[Amantide]

Ecco il log di kaspersky.
Non preoccuparti delle cartelle di Norton...l'ho disinstallato da tempo ed è rimasta solo la quarantena.

La cartella sarebbe comunque da eliminare.

Inoltre ho visto che l'autoplay con i cd. dvd e periferiche usb non funziona più...sai dirmi come ripristinarlo?

Dai un occhiata qui http://www.MegaLab.it/2899

Inoltre aggiungo che per curiosità ho inviato su virustotal i files della cartella Qoobox che ha creato ieri Combofix e che mi ha portato questi piccoli problemini che ti ho spiegato...praticamente tutti risultano puliti con un bel 0/36. Solo quelli relativi a bi.dll e altri due simili non ho potuto inviarli...mi dava errore, ma tra l'altro è l'unico file che mi è stato riconosciuto ed eliminato da un altro programma che non fosse il mio antivirus.

Certi file infetti vengono riconosciuti solo quando sono attivi, o perlomeno non zippati. Poi, se hai mandato la cartella intera su virustotal e non un file alla volta, allora è facile che questo ha avuto un po' di confusione, perché giustamente tutti questi malware rimossi non potevano avere stesso nome.

Io non conosco combofix e non so cosa faccia a quei files oltre a spostarli e rinominarli, ma se pensi che quei files sarebbero dovuti essere ancora infetti, e invece non lo sono non potrebbero essere tutti falsi positivi?

A dire la verità è la pima volta che vedo ComboFix a prendersi un abbaglio, è stato sempre efficiente strumento nella battaglia contro i molteplici tipi di malware

Ultima annotazione...le notifiche del mio antivirus di stamattina sono state di una volta per il file C:\windows\system32\in3.dll e una per ss_msi1_setup.exe nella stessa cartella.

Dobbiamo ancora rimuoverli con Avenger, visto che altra volta non ha funzionato.

Inoltre è comparso un altro avviso che ieri avevo visto solo quando avviavo il semaforo con the avenger, relativo al file C:\windows\psexesvc.exe visto come Application/Psexec, del quale sul web ho trovato poche cose se non che potrebbe essere comunque un processo legittimo.

A quanto pare è legittimo solo su sistemi operativi server, 2003 o 2000, sul XP invece apre le porte ai probabili backdoor.
Dai un occhiata qui e qui.

Detto tutto ciò cosa mi consigli?

Intanto esegui questo script con Avenger (se ti dovesse restituire l'errore nello script, riscrivi a mano la prima riga Files to delete: compresi i 2 puntini finali):

Codice: Seleziona tutto

Files to delete:
C:\Windows\System32\Drivers\Pmvfkjle.exe
C:\windows\system32\in3.dll
C:\Windows\Downloaded program files\calciom.exe
C:\WINDOWS\system32\4E4B52C810.sys
C:\Programmi\File comuni\System\Cjafw.exe
C:\WINDOWS\Downloaded Program Files\060A005.exe
C:\WINDOWS\inf\biini.inf
C:\WINDOWS\LastGood\Downloaded Program Files\UniDist.inf
C:\WINDOWS\inf\Belt.inf
C:\WINDOWS\inf\satmat.inf
C:\WINDOWS\satmat.ini
C:\WINDOWS\inf\bi.inf
C:\WINDOWS\GatorPdpSetup.log
C:\WINDOWS\svchost.dll
C:\WINDOWS\system32\Lycos.dll
C:\Programmi\DivX\DivX Pro Codec\gain_trickler_3202.exe
C:\WINDOWS\system32\ss_msi1_setup.exe
c:\documents and settings\administrator\impostazioni locali\temp\pxr2.tmp
c:\windows\downloaded program files\unidist.ocx
C:\WINDOWS\system32\SHAgentNew.dll


Dopo aver rimossi questi file con l'aiuto di Avenger, fai anche la scansione con il tuo antivirus dalla modalità provvisoria.
E, fatto ciò, provvedi subito ad installare un firewall decente e Service Pack 2.

[kuabba82]

Dunque, andiamo per gradi.
1) La cartella di Norton mi basta eliminarla dal cestino?
2) Non ho capito cosa c'entra il link che mi hai dato con l'autoplay che non va. Qualsiasi cd o dvd o penna usb o hd esterno io colleghi al pc non parte in automatico, io avevo impostato che apparisse la finestra che mi chiede cosa fare...per aprirli devo sempre andare in risorse del computer.
3) Ho mandato un file alla volta, i file sono stati rinominati con estensione vir...credi sia per questo?
4) Relativamente a psexesvc.exe, sei sicurissima che in XP non debba esserci? perché nello script di avenger che mi hai postato non c'è come file da cancellare.
5) E' vero che non ho un sistema aggiornato, ma navigo con firefox 3, ho un router con firewall attivo e zone alarm come firewall software che non mi sembra faccia schifo...

Dunque...ho riprovato con the avenger, però appena inserito lo script, ho cliccato sul semaforo ed è subito apparso un avviso dell'antivirus relativo al file C:\Windows\System32\Drivers\Pmvfkjle.exe visto come Rootkit/Booto.C
Il pc si è riavviato, ma al riavvio si è aperto il prompt dei comandi e c'erno scritti alcuni errori che the avenger non riusciva a fare qualcosa (tra cui non riusciva a trovare un certo C:\reboot.exe...non ho potuto segnarmi tutto perché scomparsa troppo velocemente), e poi mi ha creato il file avenger.txt, ma sempre vuoto.
E infatti poco fa è riapparso l'avviso di un file che avrebbe dovuto eliminare...perché non funziona?

[Amantide]

1) La cartella di Norton mi basta eliminarla dal cestino?

Se il Norton è stato disinstallato allora puoi cancellare direttamente la cartella C:\Programmi\Norton AntiVirus 2004, tanto non serve piú a nulla.

2) Non ho capito cosa c'entra il link che mi hai dato con l'autoplay che non va. Qualsiasi cd o dvd o penna usb o hd esterno io colleghi al pc non parte in automatico, io avevo impostato che apparisse la finestra che mi chiede cosa fare...per aprirli devo sempre andare in risorse del computer.

Si, scusa. Avevo capito al contrario
Per caso hai installato qualche programma per la virtualizzazione ISO, Nero, Alcohol o WMware? Di solito loro disabilitano l'autorun per impedire i conflitti e malfunzionamenti.
Puoi guardare anche qui.

3) Ho mandato un file alla volta, i file sono stati rinominati con estensione vir...credi sia per questo?

Non saprei.
Comunque puoi provare a googlare e vedere cosa trovi a proposito di quei file.

4) Relativamente a psexesvc.exe, sei sicurissima che in XP non debba esserci? perché nello script di avenger che mi hai postato non c'è come file da cancellare.

é proprio per questo che non l'ho inserito nello script di Avenger, perché non sono sicura al 100 %
Leggendo nei link che ti ho postato, puoi decidere da solo cosa fare con quel file.

5) E' vero che non ho un sistema aggiornato, ma navigo con firefox 3, ho un router con firewall attivo e zone alarm come firewall software che non mi sembra faccia schifo...

Beh... quei patch di sicurezza della MS vengono rilasciati non per la bellezza ma per tappare i numerosi buci nel Windows. Se una falla è abbastanza grave, nessun antivirus, firewall e browser aggiornato ti salveranno da un eventuale attacco. Comunque, fai te

Dunque...ho riprovato con the avenger, però appena inserito lo script, ho cliccato sul semaforo ed è subito apparso un avviso dell'antivirus

Credo che il problema si cela proprio in questo.
é buona norma disabilitare l'antivirus prima di eseguire un altro programma antimalware.
Disabilitalo e riprova.

EDIT:

Ora, ricontrollando, ho visto che ricopiando lo script nel mio secondo messaggio, ho "perso" la prima riga, quella su quale ti facevo le raccomandazioni
Files to delete:

Ora l'ho corretto.

[kuabba82]

2) Sì ho Nero e Alchool però li ho da tanti anni, perché dovrebbero avermi disabilitato l'autoplay solo ora? Tra l'altro ho seguito il link che mi hai postato ma era tutto già come dice...

Per quanto riguarda the avenger, sì lo avevo notato e l'ho scritto a mano. Comunque adesso riprovo disattivando l'antivirus (scollegato da internet) però prima volevo chiederti se così facendo c'è il pericolo che quei files si attivino infettandomi definitivamente?

[Amantide]

Comunque adesso riprovo disattivando l'antivirus (scollegato da internet) però prima volevo chiederti se così facendo c'è il pericolo che quei files si attivino infettandomi definitivamente?

Sono già attivi ed il tuo pc è già infetto , Avenger non farà altro che rimuoverli.
Dopo aver rimossi questi file, esegui la scansione completa con il tuo antivirus dalla modalità provvisoria, come ti avevo detto anche prima.

[kuabba82]

Allora, ho fatto come mi hai detto tu e ha funzionato.
Questo è il log di avenger dopo la rimozione dei files:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nhvjswia

*******************

Script file located at: \??\C:\WINDOWS\fhdosqey.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Windows\System32\Drivers\Pmvfkjle.exe not found!
Deletion of file C:\Windows\System32\Drivers\Pmvfkjle.exe failed!

Could not process line:
C:\Windows\System32\Drivers\Pmvfkjle.exe
Status: 0xc0000034

File C:\windows\system32\in3.dll deleted successfully.
File C:\Windows\Downloaded program files\calciom.exe deleted successfully.
File C:\WINDOWS\system32\4E4B52C810.sys deleted successfully.


File C:\Programmi\File comuni\System\Cjafw.exe not found!
Deletion of file C:\Programmi\File comuni\System\Cjafw.exe failed!

Could not process line:
C:\Programmi\File comuni\System\Cjafw.exe
Status: 0xc0000034

File C:\WINDOWS\Downloaded Program Files\060A005.exe deleted successfully.
File C:\WINDOWS\inf\biini.inf deleted successfully.
File C:\WINDOWS\LastGood\Downloaded Program Files\UniDist.inf deleted successfully.
File C:\WINDOWS\inf\Belt.inf deleted successfully.
File C:\WINDOWS\inf\satmat.inf deleted successfully.
File C:\WINDOWS\satmat.ini deleted successfully.
File C:\WINDOWS\inf\bi.inf deleted successfully.
File C:\WINDOWS\svchost.dll deleted successfully.
File C:\WINDOWS\system32\Lycos.dll deleted successfully.
File C:\WINDOWS\system32\ss_msi1_setup.exe deleted successfully.
File c:\documents and settings\administrator\impostazioni locali\temp\pxr2.tmp deleted successfully.


File c:\windows\downloaded program files\unidist.ocx not found!
Deletion of file c:\windows\downloaded program files\unidist.ocx failed!

Could not process line:
c:\windows\downloaded program files\unidist.ocx
Status: 0xc0000034

File C:\WINDOWS\system32\SHAgentNew.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Rimane solo lxaa.dll che hai e ho dimenticato di inserire, ma direi che ci siamo.
Per quanto riguarda la scansione, quando tu me lo hai detto stavo facendo un tentativo di scansione con Panda Active scan, e dato che il mio antivirus è proprio Panda, ma una vecchia versione sebbene le firme si aggiornano quotidianamente, e dato anche che ciò che mi ha trovato è praticamente quello che già sappiamo penso sia superfluo farne un'altra. Ti posto il log della scansione fatta PRIMA di eliminare quei files con the avenger.

;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-10-26 16:14:26
PROTECTIONS: 1
MALWARE: 83
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Panda Antivirus Platinum 7.0 7.07.02 No No
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00001888 adware/dyfuca Adware No 0 Yes No hkey_local_machine\software\microsoft\windows\currentversion\app management\arpcache\internet optimizer
00018331 adware/gator Adware No 0 Yes No hkey_local_machine\software\gatortest
00018331 adware/gator Adware No 0 Yes No hkey_classes_root\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c}
00018331 adware/gator Adware No 0 Yes No HKEY_LOCAL_MACHINE\software\classes\CLSID\{21FFB6C0-0DA1-11D5-A9D5-00500413153C}
00018331 adware/gator Adware No 0 Yes No hkey_local_machine\software\gator.com
00018331 adware/gator Adware No 0 Yes No c:\windows\gatorpdpsetup.log
00018331 adware/gator Adware No 0 Yes No c:\windows\gatoruninstaller.log
00018331 adware/gator Adware No 0 Yes No c:\windows\gatoruninstaller_cme.log
00018331 adware/gator Adware No 0 Yes No c:\windows\gatoruninstaller_cme_u.log
00020302 adware/ncase Adware No 0 Yes No hkey_current_user\software\microsoft\internet explorer\main\search page_bak
00020302 adware/ncase Adware No 0 Yes No hkey_current_user\software\microsoft\internet explorer\main\search bar_bak
00024343 adware/keenvalue Adware No 0 Yes No c:\windows\system32\drivers\etc\hosts.bho
00029258 application/altnet HackTools No 0 Yes No c:\windows\downloaded program files\adm4.inf
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\microsoft\windows\currentversion\app management\arpcache\altnetdm
00029459 spyware/betterinet Spyware No 1 Yes No c:\windows\inf\biini.inf
00029459 spyware/betterinet Spyware No 1 Yes No c:\windows\inf\satmat.inf
00032745 adware/sahagent Adware No 0 Yes No c:\windows\system32\shagentnew.dll
00039204 adware/cws Adware No 0 Yes No hkey_current_user\software\microsoft\internet explorer\main\start page_bak
00040467 adware/elitebar Adware No 1 Yes No hkey_classes_root\clsid\{be8d0059-d24d-4919-b76f-99f4a2203647}
00040467 adware/elitebar Adware No 1 Yes No HKEY_LOCAL_MACHINE\software\classes\CLSID\{be8d0059-d24d-4919-b76f-99f4a2203647}
00040467 adware/elitebar Adware No 1 Yes No HKEY_LOCAL_MACHINE\software\classes\CLSID\{0A1D22C3-37BE-470C-9C29-E3074EE0574B}
00040467 adware/elitebar Adware No 1 Yes No hkey_classes_root\clsid\{0a1d22c3-37be-470c-9c29-e3074ee0574b}
00040471 adware/downloadware Adware No 0 Yes No hkey_current_user\software\medialoads
00041904 adware/sidesearch Adware No 0 Yes No c:\documents and settings\administrator\dati applicazioni\lycos
00041904 adware/sidesearch Adware No 0 Yes No hkey_local_machine\software\lycos
00049432 Adware/Gator Adware No 0 Yes No C:\Programmi\DivX\DivX Pro Codec\gain_trickler_3202.exe
00064442 Adware/SideSearch Adware No 0 Yes No C:\WINDOWS\system32\Lycos.dll
00064455 Adware/SAHAgent Adware No 0 Yes No C:\WINDOWS\inf\bi.inf
00064582 Adware/SideSearch Adware No 0 Yes No C:\WINDOWS\system32\ss_msi1_setup.exe
00091942 adware/favoriteman Adware No 0 Yes No hkey_current_user\software\microsoft\windows\server
00091942 adware/favoriteman Adware No 0 Yes No hkey_current_user\software\microsoft\windows\counter
00091942 adware/favoriteman Adware No 0 Yes No hkey_current_user\software\microsoft\windows\object
00096718 adware/twain-tech Adware No 0 Yes No c:\windows\satmat.ini
00123696 Spyware/BetterInet Spyware No 1 Yes No C:\Qoobox\Quarantine\C\WINDOWS\_bi_.dll.zip.b02356[bi.dll.1]
00123696 Spyware/BetterInet Spyware No 1 Yes No C:\Qoobox\Quarantine\C\WINDOWS\bi.dll.vir
00132447 adware program Adware No 0 Yes No hkey_current_user\software\ssb3
00139059 Cookie/Traffic Marketplace TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@trafficmp[1].txt
00139353 Adware/Dyfuca Adware No 0 Yes No C:\WINDOWS\LastGood\Downloaded Program Files\UniDist.inf
00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@247realmedia[1].txt
00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@tribalfusion[2].txt
00145775 dialer.ags Dialers No 0 Yes No hkey_classes_root\accesmembre.loader
00145775 dialer.ags Dialers No 0 Yes No HKEY_CLASSES_ROOT\TypeLib\{A41C6220-6F42-4646-B119-FBE6F4D38E3C}
00145775 dialer.ags Dialers No 0 Yes No HKEY_CLASSES_ROOT\Interface\{C7EFC431-CB29-435F-8BCD-D24B77530649}
00145775 dialer.ags Dialers No 0 Yes No hkey_classes_root\accesmembre.loader.1
00146967 Cookie/PayCounter TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@paycounter[1].txt
00149002 Cookie/Peel TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@peel[2].txt
00149064 Cookie/Maxserving TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@maxserving[1].txt
00149116 Cookie/Ccbill TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@ccbill[2].txt
00159564 Cookie/WUpd TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@revenue[1].txt
00162900 Cookie/MediaTickets TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@kinghost[2].txt
00167430 Cookie/myaffiliateprogram TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@www.myaffiliateprogram[2].txt
00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@com[2].txt
00167647 Cookie/Yadro TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@yadro[1].txt
00167653 Cookie/Outster TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@outster[1].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@xiti[1].txt
00167724 Cookie/HotLog TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@hotlog[1].txt
00167744 Cookie/GoStats TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@gostats[1].txt
00167747 Cookie/Azjmp TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@azjmp[2].txt
00167749 Cookie/Toplist TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@toplist[1].txt
00167795 Cookie/Cd Freaks TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@club.cdfreaks[1].txt
00168048 Cookie/Overture TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@perf.overture[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@serving-sys[3].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@bs.serving-sys[1].txt
00168097 Cookie/BurstBeacon TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@www.burstbeacon[1].txt
00168101 Cookie/Falkag TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@as-us.falkag[1].txt
00168105 Cookie/Cd Freaks TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@cdfreaks[2].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@weborama[2].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@adtech[1].txt
00168110 Cookie/Server.iad.Liveperson TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@server.iad.liveperson[1].txt
00168114 Cookie/onestat.com TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@stat.onestat[1].txt
00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@fl01.ct2.comclick[1].txt
00170495 Cookie/PointRoll TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@ads.pointroll[1].txt
00170549 Cookie/FortuneCity TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@fortunecity[1].txt
00170550 Cookie/Humanclick TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@hc2.humanclick[1].txt
00170554 Cookie/Overture TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@overture[2].txt
00170556 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@realmedia[2].txt
00170559 Cookie/Com.com TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@uol.com[1].txt
00171633 Cookie/Cgi-bin TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@cgi-bin[14].txt
00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@questionmarket[2].txt
00172449 Cookie/MetriWeb TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@metriweb[1].txt
00173905 Cookie/Xmts TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@xmts[2].txt
00175950 Cookie/cs.sexcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@cs.sexcounter[2].txt
00180246 Cookie/XXXCounter TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@xxxcounter[1].txt
00187950 Cookie/bravenetA TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@bravenet[2].txt
00191644 Cookie/adultfriendfinder TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@adultfriendfinder[2].txt
00194327 Cookie/Go TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@go[2].txt
00199984 Cookie/Searchportal TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@searchportal.information[1].txt
00207338 Cookie/Target TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@target[1].txt
00214914 Dialer.DKM Dialers No 0 Yes No C:\WINDOWS\Downloaded Program Files\calciom.exe
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@atwola[2].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@smartadserver[2].txt
00286732 Cookie/Cgi-bin TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@cgi-bin[11].txt
00286734 Cookie/Adserver TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@adserver.filefront[2].txt
00286736 Cookie/Cgi-bin TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@cgi-bin[18].txt
00286738 Cookie/Cgi-bin TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@cgi-bin[26].txt
00293517 Cookie/AdDynamix TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@ads.addynamix[2].txt
00325387 Dialer.IGW Dialers No 0 Yes No C:\WINDOWS\system32\lxaa.dll
01185375 Application/Psexec.A HackTools No 0 Yes No C:\WINDOWS\PSEXESVC.EXE
01240303 Adware/SideSearch Adware No 0 Yes No C:\WINDOWS\iLycos\ss_webdevaz_setup.exe
01895149 Malicious Packer SecRisk No 0 Yes No C:\Media\DivX incompleti\Programmi di sicurezza\ETRemoverV120(tool per rimuovere EliteBar).zip[ETRemoverV120.exe]
02905134 Adware/KeenValue Adware No 0 Yes No C:\WINDOWS\system32\in3.dll
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\WINDOWS\Downloaded Program Files\CONFLICT.1\altavista.dll
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\WINDOWS\Downloaded Program Files\CONFLICT.2\altavista.dll
03261441 Spyware/Virtumonde Spyware No 1 Yes No C:\WINDOWS\svchost.dll
;===================================================================================================================================================================================
SUSPECTS
Sent Location DaXs5b
;===================================================================================================================================================================================
No C:\Programmi\Star Downloader\SDIEInt.dll DaXs5b
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description DaXs5b
;===================================================================================================================================================================================
133387 MEDIUM MS06-065 DaXs5b
133386 MEDIUM MS06-064 DaXs5b
133385 MEDIUM MS06-063 DaXs5b
133379 HIGH MS06-057 DaXs5b
131654 HIGH MS06-055 DaXs5b
129977 MEDIUM MS06-053 DaXs5b
129976 MEDIUM MS06-052 DaXs5b
126093 HIGH MS06-051 DaXs5b
126092 MEDIUM MS06-050 DaXs5b
126087 HIGH MS06-046 DaXs5b
126086 MEDIUM MS06-045 DaXs5b
126083 HIGH MS06-042 DaXs5b
126082 HIGH MS06-041 DaXs5b
123421 HIGH MS06-036 DaXs5b
123420 HIGH MS06-035 DaXs5b
120825 MEDIUM MS06-032 DaXs5b
120823 MEDIUM MS06-030 DaXs5b
120818 HIGH MS06-025 DaXs5b
120815 HIGH MS06-022 DaXs5b
120814 HIGH MS06-021 DaXs5b
114666 HIGH MS06-015 DaXs5b
;===================================================================================================================================================================================

Mi consigli di fare qualcos'altro?

[Amantide]

Il Panda ti ha rimosso i file rilevati? A volte l'antivirus non riesce a rimuovere tutti i file infetti rilevati nella modalità normale proprio perché sono attivi, perciò ti avevo consigliato di eseguire la scansione in modalità provvisoria.
Se dici che Panda ha anche rimosso tutti quei malware, allora ci siamo

[kuabba82]

Non è che li ha rimossi, per quello mi servirebbe un account a pagamento. Però non c'è molto più di quei files che ho tolto, e anche se ci sono delle chiavi di registro credo che tenerle non possa dare problemi se i file e servizi a cui si riferiscono non ci sono più, no? Poi eventualmente altri files se mi danno problemi li posso sempre togliere con avenger, so usarlo un po'.

Di quei files mi sono rimasti solo lxaa.dll, con l'avviso che mi è comparso, così come questo PSEXESVC.exe che anche tu non sai se eliminarlo o meno. Eventualmente lo eliminassi con avenger poi posso ripristinarlo in caso abbia qualche problema?

Inoltre ho anche cercato in internet ma per l'autorun non capisco come fare, qualsiasi soluzione provi non va...ma parlo anche della finestra che dovrebbe apparire quanco collego una chiave usb, quella che mi fa scegliere cosa fare...non appare più. Mentre per l'audio offuscato e basso sembra essersi risolto dopo la rimozione di quei files, anche se il problema si era presentato solo dopo aver usato combofix ieri.

[Amantide]

Con aiuto di Avenger elimina solo lxaa.dll, per quanto riguarda le chiavi infetti, ti consiglio di reinstallare Malwarebytes e rieseguire la scansione ma questa volta con l'antivirus disabilitato.
Magari prima di permetterli di rimuovere le voci rilevate, fammi vedere il suo log di scansione.

Autorun invece... ce l'ho anche io Alcohol installato e proprio durante la sua installazione che ho dovuto dare il consenso di disabilitare autorun. Non mi ha mai creato i problemi di non averlo, però potrei guardare nelle sue impostazioni e vedere se si può fare qualcosa

Anche l'antivirus penso che dovresti cambiare, ti ha fatto passare di tutto.
Il sistema operativo non aggiornato abbinato ad un antivirus non aggiornato... è come tenere una bomba ad orologeria

[kuabba82]

Sì lo so, ma non posso aggiornare il sistema...ho i miei motivi. Per l'antivirus, beh ci sto pensando...

Comunque un'ultima cosa, con avenger volevo cancellare quei due files, lxaa.dll e psexesvc.exe, quindi ho messo lo script Files to delete: e sotto i percorsi dei due files.
Al riavvio, però non ha tolto nulla...ma stavolta se aprivo i percorsi dove si trovavano i files l'antivirus non mi segnalava nulla, e il file lxaa.dll l'ho potuto eliminare senza problemi mandandolo nel cestino. L'altro l'ho potuto scansionare su virustotal e 5 antivirus su 36 mi dicevano che era infetto. Per adesso mi sono quindi limitato a rinominarlo con estendione vir e a zipparlo nella cartella dove avenger ha fatto il backup precedente. Poi farò passare qualche giorno, il tempo di vedere se il pc è tornato stabile e cancellerò la cartella avenger e qoobox.

Per l'autorun, diciamo che non è una cosa primaria, era comodo poter scegliere ogni volta cosa fare o aprire un cd direttamente con l'autorun...se si trova una soluzione bene, se no fa niente.

Grazie comunque per tutto il tuo aiuto.