www.MegaLab.it

[AndrewSpeed]

se sposto in quarantena avrò conseguenze? poi posto il log perché avira non mi permette di esportare il log se prima non confermo l'azione di spostare in quarantena

[AndrewSpeed]

Intanto da ubuntu o dalla provvisoria elimina subito questo file
O4 - HKLM\..\Run: [yQKkaLTtCFMmvy.exe] C:\Documents and Settings\All Users\Dati applicazioni\yQKkaLTtCFMmvy.exe
Poi riavvia il pc. E' lui che ti blocca il pc.

Bisognerebbe sapere cosa ti ha trovato avira prima di dirti di rimuovere senza problemi.

Ho rilevato il file eseguibile seguendo il percorso. Adesso sono in modalità provvisoria posso cancellarlo facendo Tasto Dx -> Elimina
o c'è qualche altra via

[crazy.cat]

Come faccio a dirtelo?
Potrebbero essere infetti tutti i file di sistema così al riavvio non ti partirebbe più niente.
Se ti mostra quali file sono infetti, se sono pochi scriviti i nomi e il percorso e posta quello, oppure prendi una foto e posta quella.
Al limite la scansione con avira la puoi anche rifare dopo.

Adesso sono in modalità provvisoria posso cancellarlo facendo Tasto Dx -> Elimina o c'è qualche altra via

Se riesci a cancellarlo in questo modo eliminalo pure.

[AndrewSpeed]

ecco cosa trovo nel percorso seguito oltre al file che hai detto di cancellare

[crazy.cat]

direi che puoi cancellare anche tutti i 5 file con i nomi strani.

[Uomo_Senza_Sonno]

Una volta che hai rimosso questi files, dai una lettura a quest'articolo e carica lo screenshot del settore 0 del disco fisico, ho il grosso sospetto che non ti sei liberato del tutto del rootkit di 3 giorni fa.

[AndrewSpeed]

queste sono le immagini dopo la scansione con avira

[Uomo_Senza_Sonno]

Di infezioni ne rileva parecchie, che risultati ha dato la scansione con il rescue disk kaspersky? A questo punto ripetila e dai una lettura all'articolo che ho postato prima.

[hashcat]

se copio soltanto le mie foto file di testo documenti musica e installazioni di programmi c'è bisogno di fare questo controllo?

Questa procedura specifica, no.
Una scansione completa della cartella e/o del computer é fortemente consigliata, poiché potresti copiare eseguibili infetti.

masterizzando direttamente su dvd in modalità provvisoria veicolo l'infezione?

No.

Per la scansione completa ti consiglio Emsisoft Emergency Kit e HitmanPro (entrambi in modalità normale).

Al termine delle scansioni, posta i relativi log.

P.S.: Per salvare il log di HitmanPro fai così:



EDIT:

Se decidi di utilizzare il Kaspersky Rescue Disk, aggiornalo prima (il pc deve essere connesso alla rete via LAN).

[AndrewSpeed]

ancora devo farla prima vorrei salvare i dati con ubuntu in modo da non avere sorprese dopo.
Fatto questo procedo a fare la scansione con kaspersky se riesco anche in serata posto il log

Comunque riguardo l'articolo è da ieri che leggo e rileggo e non ci ho capito niente di niente. Inoltre ho un po' paura di procedere da solo non vorrei combinare casini.
comunque quando dici che in caso di errore non è possibile tornare indietro che significa che l'HD diventa inutilizzabile o semplicemente che perdo tutti i dati che ho sul pc?
Scusate ma con queste cose è la prima volta che ho a che fare...

[AndrewSpeed]

Ecco il log di avira. Da notare che su 17 infezioni in quarantena ne sposta solo 16...

Avira AntiVir Personal
Data del file di report: sabato 14 luglio 2012 14:00

Ricerca di 3871679 virus e programmi indesiderati.

Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira AntiVir Personal - Free Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows XP
Versione di Windows : (Service Pack 2) [5.1.2600]
Modalità di avvio : Modalità provvisoria con avvio di rete
Nome utente : Administrator
Nome computer : SPA-96518729E7D

Informazioni sulla versione:
BUILD.DAT : 10.2.0.113 35934 Bytes 30/01/2012 16:06:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 31/08/2011 13:36:46
AVSCAN.DLL : 10.0.5.0 55144 Bytes 31/08/2011 13:36:46
LUKE.DLL : 10.3.0.5 45416 Bytes 31/08/2011 13:36:47
LUKERES.DLL : 10.0.0.0 13160 Bytes 16/02/2010 08:15:20
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 31/08/2011 13:36:47
AVREG.DLL : 10.3.0.9 88833 Bytes 31/08/2011 13:36:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 14:17:51
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 16:24:20
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 08:25:01
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 08:03:35
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29/06/2012 10:00:08
VBASE006.VDF : 7.11.34.117 2048 Bytes 29/06/2012 10:00:11
VBASE007.VDF : 7.11.34.118 2048 Bytes 29/06/2012 10:00:11
VBASE008.VDF : 7.11.34.119 2048 Bytes 29/06/2012 10:00:11
VBASE009.VDF : 7.11.34.120 2048 Bytes 29/06/2012 10:00:12
VBASE010.VDF : 7.11.34.121 2048 Bytes 29/06/2012 10:00:12
VBASE011.VDF : 7.11.34.122 2048 Bytes 29/06/2012 10:00:13
VBASE012.VDF : 7.11.34.123 2048 Bytes 29/06/2012 10:00:13
VBASE013.VDF : 7.11.34.124 2048 Bytes 29/06/2012 10:00:13
VBASE014.VDF : 7.11.34.201 169472 Bytes 02/07/2012 15:53:01
VBASE015.VDF : 7.11.35.19 122368 Bytes 04/07/2012 15:53:01
VBASE016.VDF : 7.11.35.87 146944 Bytes 06/07/2012 15:53:02
VBASE017.VDF : 7.11.35.143 126464 Bytes 09/07/2012 19:52:50
VBASE018.VDF : 7.11.35.235 151552 Bytes 12/07/2012 11:56:59
VBASE019.VDF : 7.11.36.45 118784 Bytes 13/07/2012 11:56:59
VBASE020.VDF : 7.11.36.46 2048 Bytes 13/07/2012 11:56:59
VBASE021.VDF : 7.11.36.47 2048 Bytes 13/07/2012 11:57:00
VBASE022.VDF : 7.11.36.48 2048 Bytes 13/07/2012 11:57:00
VBASE023.VDF : 7.11.36.49 2048 Bytes 13/07/2012 11:57:00
VBASE024.VDF : 7.11.36.50 2048 Bytes 13/07/2012 11:57:00
VBASE025.VDF : 7.11.36.51 2048 Bytes 13/07/2012 11:57:01
VBASE026.VDF : 7.11.36.52 2048 Bytes 13/07/2012 11:57:01
VBASE027.VDF : 7.11.36.53 2048 Bytes 13/07/2012 11:57:01
VBASE028.VDF : 7.11.36.54 2048 Bytes 13/07/2012 11:57:01
VBASE029.VDF : 7.11.36.55 2048 Bytes 13/07/2012 11:57:01
VBASE030.VDF : 7.11.36.56 2048 Bytes 13/07/2012 11:57:01
VBASE031.VDF : 7.11.36.64 25600 Bytes 14/07/2012 11:57:02
Motore : 8.2.10.114
AEVDF.DLL : 8.1.2.10 102772 Bytes 11/07/2012 19:52:57
AESCRIPT.DLL : 8.1.4.32 455034 Bytes 08/07/2012 15:53:18
AESCN.DLL : 8.1.8.2 131444 Bytes 27/01/2012 11:02:31
AESBX.DLL : 8.2.5.12 606578 Bytes 15/06/2012 09:37:32
AERDL.DLL : 8.1.9.15 639348 Bytes 17/09/2011 10:40:46
AEPACK.DLL : 8.3.0.14 807287 Bytes 14/07/2012 11:57:16
AEOFFICE.DLL : 8.1.2.40 201082 Bytes 08/07/2012 15:53:18
AEHEUR.DLL : 8.1.4.72 5038455 Bytes 14/07/2012 11:57:14
AEHELP.DLL : 8.1.23.2 258422 Bytes 08/07/2012 15:53:08
AEGEN.DLL : 8.1.5.32 434548 Bytes 08/07/2012 15:53:07
AEEXP.DLL : 8.1.0.62 86389 Bytes 11/07/2012 19:52:57
AEEMU.DLL : 8.1.3.2 393587 Bytes 11/07/2012 19:52:54
AECORE.DLL : 8.1.27.2 201078 Bytes 11/07/2012 19:52:54
AEBB.DLL : 8.1.1.0 53618 Bytes 28/03/2011 14:17:20
AVWINLL.DLL : 10.0.0.0 19304 Bytes 28/03/2011 14:17:34
AVPREF.DLL : 10.0.3.2 44904 Bytes 31/08/2011 13:36:46
AVREP.DLL : 10.0.0.10 174120 Bytes 09/06/2011 18:48:21
AVARKT.DLL : 10.0.26.1 255336 Bytes 31/08/2011 13:36:45
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 31/08/2011 13:36:46
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 13:28:20
AVSMTP.DLL : 10.0.0.17 63848 Bytes 28/03/2011 14:17:34
NETNT.DLL : 10.0.0.0 11624 Bytes 28/03/2011 14:17:43
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 31/08/2011 13:36:44
RCTEXT.DLL : 10.0.64.0 99176 Bytes 31/08/2011 13:36:44

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: C:\Programmi\Avira\AntiVir Desktop\sysscan.avp
Report......................................: standard
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:, D:,
Scansione dei programmi attivi..............: Attivo
Processo esteso di scansione................: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: avanzato
Categorie irregolari delle minacce..........: +SPR,

Avvio della scansione: sabato 14 luglio 2012 14:00

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
Non è stato possibile inizializzare il driver.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '59' modulo(i) scansionato(i)
Scansione processo 'avconfig.exe' - '44' modulo(i) scansionato(i)
Scansione processo 'ctfmon.exe' - '22' modulo(i) scansionato(i)
Scansione processo 'chrome.exe' - '38' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '117' modulo(i) scansionato(i)
Scansione processo 'chrome.exe' - '38' modulo(i) scansionato(i)
Scansione processo 'chrome.exe' - '38' modulo(i) scansionato(i)
Scansione processo 'chrome.exe' - '58' modulo(i) scansionato(i)
Scansione processo 'chrome.exe' - '38' modulo(i) scansionato(i)
Scansione processo 'chrome.exe' - '89' modulo(i) scansionato(i)
Scansione processo 'Explorer.EXE' - '119' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '29' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '29' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '99' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '30' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '37' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '49' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '48' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '26' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '57' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '11' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '2' modulo(i) scansionato(i)

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'D:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
C:\Documents and Settings\All Users\Dati applicazioni\yQKkaLTtCFMmvy.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Tibs.IT.190

Il registro è stato scansionato ( 444 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
C:\Documents and Settings\All Users\Dati applicazioni\dwQIy7fVZfPOqX.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/FakeSysdef.A.768
C:\Documents and Settings\All Users\Dati applicazioni\yQKkaLTtCFMmvy.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Tibs.IT.190
C:\Documents and Settings\AndrewSpeed\Documenti\Download\_MHz_Danea_Easyfatt_2011_Enterprise_v15.3_Build_6000_-SETUP.incl.PATCH_v1.1-.rar
[0] Tipo di archivio: RAR
MHz_Danea_Easyfatt_2011_Enterprise_vx.x_-PATCH_v1.1-.rar
[1] Tipo di archivio: RAR
MeGaHeRTZ.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma backdoor (pericoloso) BDS/Infexor.oc
C:\Documents and Settings\AndrewSpeed\Documenti\Programmi\Loquendo\Crack\Loquendo Crack.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Agent.99840.A
C:\Documents and Settings\AndrewSpeed\Documenti\Programmi\MHz_Danea_Easyfatt_2009_Enterprise_rev.14_-SETUP.incl.PATCH_v1.1-\MeGaHeRTZ.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma backdoor (pericoloso) BDS/Infexor.lm
C:\Documents and Settings\AndrewSpeed\Documenti\Programmi\RPLalbW\Rob.Papen.LinPlug.Albino.VSTi.v3.0.2.incl.KeyGen-BEAT\KeyGen.exe
[RILEVAMENTO] Contiene il modello di rilevamento del Dropper DR/Swizzor.xfb
C:\Documents and Settings\AndrewSpeed\Impostazioni locali\Dati applicazioni\Sun\Java\Deployment\cache\6.0\37\184e4225-4cbe4200
[0] Tipo di archivio: ZIP
dvmgrfpjbmb/msccenslyvfaspybdpbgrf.class
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/JAVA.Ivinest.Gen
C:\TDSSKiller_Quarantine\13.07.2012_16.41.20\mbr0000\mbr0000\tsk0000.dta
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/TDss.O
C:\TDSSKiller_Quarantine\13.07.2012_16.41.20\mbr0000\mbr0000\tsk0001.dta
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/TDss.O
C:\TDSSKiller_Quarantine\13.07.2012_16.41.20\mbr0000\tdlfs0000\tsk0003.dta
Object
[RILEVAMENTO] Si tratta del cavallo di Troia TR/ATRAPS.Gen2
C:\TDSSKiller_Quarantine\13.07.2012_16.41.20\mbr0000\tdlfs0000\tsk0004.dta
[RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/TDL4.LDR16.A.2
C:\TDSSKiller_Quarantine\13.07.2012_16.41.20\mbr0000\tdlfs0000\tsk0005.dta
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen
C:\TDSSKiller_Quarantine\13.07.2012_16.41.20\mbr0000\tdlfs0000\tsk0006.dta
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen
C:\TDSSKiller_Quarantine\13.07.2012_16.41.20\mbr0000\tdlfs0000\tsk0007.dta
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen
C:\TDSSKiller_Quarantine\13.07.2012_16.41.20\mbr0000\tdlfs0000\tsk0008.dta
[RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/TDss.xiu
C:\TDSSKiller_Quarantine\13.07.2012_16.41.20\mbr0000\tdlfs0000\tsk0009.dta
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen
Inizia con la scansione di 'D:\' <dati>

Avvio della disinfezione:
C:\TDSSKiller_Quarantine\13.07.2012_16.41.20\mbr0000\tdlfs0000\tsk0009.dta
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '544a0ada.qua'!
C:\TDSSKiller_Quarantine\13.07.2012_16.41.20\mbr0000\tdlfs0000\tsk0008.dta
[RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/TDss.xiu
[NOTA] Il file è stato spostato in quarantena con il nome '4cdd257d.qua'!
C:\TDSSKiller_Quarantine\13.07.2012_16.41.20\mbr0000\tdlfs0000\tsk0007.dta
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '1e827f95.qua'!
C:\TDSSKiller_Quarantine\13.07.2012_16.41.20\mbr0000\tdlfs0000\tsk0006.dta
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '78b53057.qua'!
C:\TDSSKiller_Quarantine\13.07.2012_16.41.20\mbr0000\tdlfs0000\tsk0005.dta
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '3d311d69.qua'!
C:\TDSSKiller_Quarantine\13.07.2012_16.41.20\mbr0000\tdlfs0000\tsk0004.dta
[RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/TDL4.LDR16.A.2
[NOTA] Il file è stato spostato in quarantena con il nome '422a2f08.qua'!
C:\TDSSKiller_Quarantine\13.07.2012_16.41.20\mbr0000\tdlfs0000\tsk0003.dta
[RILEVAMENTO] Si tratta del cavallo di Troia TR/ATRAPS.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '0e920342.qua'!
C:\TDSSKiller_Quarantine\13.07.2012_16.41.20\mbr0000\mbr0000\tsk0001.dta
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/TDss.O
[NOTA] Il file è stato spostato in quarantena con il nome '728a4312.qua'!
C:\TDSSKiller_Quarantine\13.07.2012_16.41.20\mbr0000\mbr0000\tsk0000.dta
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/TDss.O
[NOTA] Il file è stato spostato in quarantena con il nome '5fd06c5f.qua'!
C:\Documents and Settings\AndrewSpeed\Impostazioni locali\Dati applicazioni\Sun\Java\Deployment\cache\6.0\37\184e4225-4cbe4200
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/JAVA.Ivinest.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '46e1579a.qua'!
C:\Documents and Settings\AndrewSpeed\Documenti\Programmi\RPLalbW\Rob.Papen.LinPlug.Albino.VSTi.v3.0.2.incl.KeyGen-BEAT\KeyGen.exe
[RILEVAMENTO] Contiene il modello di rilevamento del Dropper DR/Swizzor.xfb
[NOTA] Il file è stato spostato in quarantena con il nome '2af27b87.qua'!
C:\Documents and Settings\AndrewSpeed\Documenti\Programmi\MHz_Danea_Easyfatt_2009_Enterprise_rev.14_-SETUP.incl.PATCH_v1.1-\MeGaHeRTZ.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma backdoor (pericoloso) BDS/Infexor.lm
[NOTA] Il file è stato spostato in quarantena con il nome '5b79426d.qua'!
C:\Documents and Settings\AndrewSpeed\Documenti\Programmi\Loquendo\Crack\Loquendo Crack.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Agent.99840.A
[NOTA] Il file è stato spostato in quarantena con il nome '555972a0.qua'!
C:\Documents and Settings\AndrewSpeed\Documenti\Download\_MHz_Danea_Easyfatt_2011_Enterprise_v15.3_Build_6000_-SETUP.incl.PATCH_v1.1-.rar
[RILEVAMENTO] Contiene il modello di rilevamento del programma backdoor (pericoloso) BDS/Infexor.oc
[NOTA] Il file è stato spostato in quarantena con il nome '104b0b80.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\dwQIy7fVZfPOqX.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/FakeSysdef.A.768
[NOTA] Il file è stato spostato in quarantena con il nome '195b0f50.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\yQKkaLTtCFMmvy.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Tibs.IT.190
[NOTA] La voce di registro <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yQKkaLTtCFMmvy.exe> è stata riparata correttamente.
[NOTA] Il file è stato spostato in quarantena con il nome '41041658.qua'!


Fine della scansione: sabato 14 luglio 2012 19:35
Tempo impiegato: 4:30:17 Ora(e)

La scansione è stata completamente eseguita.

14027 Directory scansionate
795750 I file sono stati scansionati
17 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
16 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
795733 File non infetti
11759 Archivi scansionati
0 Avvisi
16 Note

[hashcat]

quando dici che in caso di errore non è possibile tornare indietro che significa che l'HD diventa inutilizzabile o semplicemente che perdo tutti i dati che ho sul pc?
Scusate ma con queste cose è la prima volta che ho a che fare...

Intende che quando si opera con i settori del disco, le operazioni sugli stessi non sono reversibili, e potrebbero impedire il corretto avvio del sistema, comunque i dati contenuti nell'HD non sono in alcun modo colpiti.

[AndrewSpeed]

quindi una formattazione risolve il problema?

[hashcat]

quindi una formattazione risolve il problema?

Si e no: in caso di infezioni di rootkit / bootkit la formattazione non rimuove il codice nocivo se memorizzato in aree esterne alla Partizione (quindi non direttamente scrivibili).

[Uomo_Senza_Sonno]

Inoltre siamo qui apposta per aiutarti passo passo, quindi non esitare a chiedere.
Premesso questo, ti dico subito che anche formattando, non risolverai. L'antivirus vede le infezioni ma non riuscirà mai a rimuoverle perché sono all'esterno del filesystem, dove non può agire. Con quel sistema procediamo a cancellare manualmente quei settori che sono stati scritti dai rootkit, in maniera del tutto sicura.

Ad ogni modo, quello che devi fare è postare uno screenshot del settore 0 del disco fisico (fai uno screen con la finestra del programma a tutto schermo, ed utilizza una risoluzione minima di 1024x768). Non rischi assolutamente nulla

[AndrewSpeed]

Allego il log della scansione fatta con Malwarebytes dopo la scansione fatta con avira

Malwarebytes Anti-Malware (Trial) 1.62.0.1300
www.malwarebytes.org

Database version: v2012.07.12.07

Windows XP Service Pack 2 x86 NTFS (Safe Mode/Networking)
Internet Explorer 6.0.2900.2180
Administrator :: SPA-96518729E7D [administrator]

Protection: Disabled

14/07/2012 19.40.44
mbam-log-2012-07-14 (20-49-14).txt

Scan type: Full scan (C:\|D:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 437481
Time elapsed: 58 minute(s), 45 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 4
C:\Documents and Settings\Administrator\Documenti\Downloads\SoftonicDownloader_per_kaspersky-tdsskiller.exe (PUP.ToolbarDownloader) -> No action taken.
C:\Documents and Settings\AndrewSpeed\Documenti\Programmi\RPLalbW\Rob.Papen.LinPlug.Albino.VSTi.v3.0.2.incl.KeyGen-BEAT\Albino3Installer302.exe (Trojan.Dropper) -> No action taken.
D:\System Volume Information\_restore{00CC7EE6-09E0-4742-AB1A-7357452482E9}\RP393\A0061866.EXE (Dont.Steal.Our.Software) -> No action taken.
C:\Documents and Settings\AndrewSpeed\Desktop\Data_Recovery.lnk (Rogue.FakeHDD) -> No action taken.

(end)

[AndrewSpeed]

vorrei un'altra delucidazione prima di procedere.
MI conviene prima salvare tutti i file che mi interessano con Ubuntu e poi fare una scansione con Kaspersky rescue disk o fare il contrario...? cioè prima la scansione con il rescue disk?

[Uomo_Senza_Sonno]

Prima fai una scansione, di modo che elimini qualsiasi elemento infetto (tranquillo, non eliminerà nessuno dei tuoi dati personali), poi, visto che si tratta di una procedura comunque delicata, effetui un backup dei dati importanti sotto ubuntu live.

[AndrewSpeed]

ok allora farò così. Hai controllato il log malwarebytes? posso eliminare tutto?

[hashcat]

ok allora farò così. Hai controllato il log malwarebytes? posso eliminare tutto?

Si.

Posta il log di HitmanPro.