www.MegaLab.it

[ziomax]

Buongiorno a tutti!
Scusate se mi permetto di chiedervi un aiuto... mi sono appena iscritto al forum che consulto spesso da visitatore.

Il mio problema è che sono stato infettato, probabilmente da linkoptimizer (o una sua variate).
Dopo varie navigazioni nei siti sono riuscito ad eliminare parecchie cose ma il problema persiste.
Norton, Panda, AVG, Antivir Guard, Bitdefender... Spybot, Ad-Aware, a-squared, Superantispyware, Antispy di Yahoo... nulla riesce a togliere le schifezze che ancora ho sul computer... sono abbastanza profano sulle eliminazioni manuali e credo di aver fatto solo pasticci fino ad ora.

Lo stesso messaggio di aiuto lo avevo inserito nel forum di linkoptimizer (forse non andava inserito li...)

Allego i log di HijackThis e di GMER sperando in un vostro aiuto.

Grazie!

Logfile of HijackThis v1.99.1
Scan saved at 11.53.57, on 21/09/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\iolo\System Mechanic 6\SMSystemAnalyzer.exe
C:\Programmi\Siemens I-GATE\Client Manager\CMSIE.EXE
C:\PROGRA~1\Webshots\webshots.scr
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Libero Toolbar - {D3403F23-7D39-435F-A8CB-45016C29E48E} - C:\Programmi\Libero Toolbar\LiberoBand.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [SMSystemAnalyzer] "C:\Programmi\iolo\System Mechanic 6\SMSystemAnalyzer.exe"
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\Launcher.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: I-GATE 11M Client Manager.lnk = C:\Programmi\Siemens I-GATE\Client Manager\CMSIE.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINNT\system32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O15 - Trusted Zone: http://www.uesse.com
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.c ... urrent.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www3.ca.com/securityadvisor/pest ... stscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3077563194
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} - http://camserv1.beazley.com/activex/AxisCamControl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: qtask (qtask.exe) - Unknown owner - C:\WINNT\qtask.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe


GMER 1.0.11.11349 - http://www.gmer.net
Rootkit 2006-09-21 11:41:45
Windows 5.0.2195 Service Pack 4


---- System - GMER 1.0.11 ----

SSDT \SystemRoot\System32\vsdatant.sys ZwConnectPort
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateFile
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateKey
SSDT \SystemRoot\System32\vsdatant.sys ZwCreatePort
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcess
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateSection
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateWaitablePort
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteFile
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteKey
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteValueKey
SSDT \SystemRoot\System32\vsdatant.sys ZwDuplicateObject
SSDT \SystemRoot\System32\vsdatant.sys ZwLoadKey
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenFile
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenProcess
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenThread
SSDT \SystemRoot\System32\vsdatant.sys ZwReplaceKey
SSDT \SystemRoot\System32\vsdatant.sys ZwRequestWaitReplyPort
SSDT \SystemRoot\System32\vsdatant.sys ZwRestoreKey
SSDT \SystemRoot\System32\vsdatant.sys ZwSecureConnectPort
SSDT \SystemRoot\System32\vsdatant.sys ZwSetInformationFile
SSDT \SystemRoot\System32\vsdatant.sys ZwSetValueKey
SSDT \SystemRoot\System32\vsdatant.sys ZwTerminateProcess

---- Devices - GMER 1.0.11 ----

Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [EE1C285A] avgtdi.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [EE1C285A] avgtdi.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [EE1C285A] avgtdi.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [EE1C285A] avgtdi.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLOSE [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_DEVICE_CONTROL [BD9D82A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [EE1C285A] avgtdi.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLEANUP [BD9D82A0] vsdatant.sys

---- Processes - GMER 1.0.11 ----

Process SERVICES.EXE (*** hidden *** ) [260] 8124B720
Process WINLOGON.EXE (*** hidden *** ) [232] 81260740
Process CSRSS.EXE (*** hidden *** ) [212] 81368020
Process System (*** hidden *** ) [8] 817A97E0
Process stisvc.exe (*** hidden *** ) [732] 8117CAE0
Process avgamsvr.exe (*** hidden *** ) [556] 811B4D60
Process LSASS.EXE (*** hidden *** ) [272] 81249D60
Process vsmon.exe (*** hidden *** ) [856] 81134980
Process zlclient.exe (*** hidden *** ) [1444] 81E89600
Process avguard.exe (*** hidden *** ) [1332] 8113A960
Process spoolsv.exe (*** hidden *** ) [480] 811D3740
Process avgemc.exe (*** hidden *** ) [608] 811A05C0
Process SMSS.EXE (*** hidden *** ) [188] 813A6AE0
Process svchost.exe (*** hidden *** ) [452] 81203BA0
Process avgupsvc.exe (*** hidden *** ) [584] 811A56A0
Process mstask.exe (*** hidden *** ) [696] 81185940
Process svchost.exe (*** hidden *** ) [652] 8118C1A0
Process WinMgmt.exe (*** hidden *** ) [1012] 810FB760
Process svchost.exe (*** hidden *** ) [1024] 810F6B00
Process sched.exe (*** hidden *** ) [348] 810FC3A0

---- Files - GMER 1.0.11 ----

ADS C:\Corel\Draw70\color\cmyk.bmp:Q30lsldxJoudresxAaaqpcawXc
ADS C:\Corel\Draw70\color\cmyk.bmp:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Corel\Draw70\color\colrtron.bmp:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Corel\Draw70\color\gretag.bmp:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Corel\Draw70\color\moncalib.bmp:Q30lsldxJoudresxAaaqpcawXc
ADS C:\Corel\Draw70\color\moncalib.bmp:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Corel\Draw70\color\monitor.bmp:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Corel\Draw70\color\montemp.bmp:Q30lsldxJoudresxAaaqpcawXc
ADS C:\Corel\Draw70\color\montemp.bmp:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Corel\Draw70\color\printer.bmp:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Corel\Draw70\color\rgb.bmp:Q30lsldxJoudresxAaaqpcawXc
ADS ...
ADS D:\ANIA\ANIA.ICO:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS D:\Musica e DivX\Folder Settings\Background.gif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS D:\Musica e DivX\Folder Settings\Background.jpg:Q30lsldxJoudresxAaaqpcawXc
ADS D:\Musica e DivX\Folder Settings\Background.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS D:\Musica e DivX\Folder Settings\mincold.gif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS D:\Musica e DivX\Folder Settings\minhot.gif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS D:\Musica e DivX\Folder Settings\pluscold.gif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS D:\Musica e DivX\Folder Settings\plushot.gif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS D:\Musica e DivX\Folder Settings\wvleft.bmp:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS D:\Musica e DivX\Folder Settings\wvline.gif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS D:\Musica e DivX\Musica Vecchia\$Ligabue Discografia Completa fino al 2003\Ligabue - 1993 - Sopravvissuti e Sopravviventi\AlbumArtSmall.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS ...

---- EOF - GMER 1.0.11 ----

[crazy.cat]

Non sembra esserci il link optimizer.
Che problemi ti sono rimasti?
I log sembrano puliti.

[ziomax]

Grazie del sollecito interessamento!

All'inizio dell'infezione mi ero accorto della cartella services contenente diversi file .exe; non riconoscendo la cartella come mia, l'ho spostata sulla scrivania. In seguito AVG mi segnalava dei trojan all'interno della cartella e ho provveduto a spostare i file nel cestino ma un file nominato AXA.exe, criptato e di sola lettura non lo elimina, nemmeno in modalità provvisoria dicendo che è in esecuzione. le scansioni con AVG o Antivir risultano negative, però, ogni tanto, AVG mi apre una finestra e trova un trojan horse e lo chiama generic2.asq . non è possibile ne eliminarlo ne metterlo in quarantena. (e lo collega al file axa.exe)
Gmer, poi, al termine della scansione, mi apre una finestra di attenzione che recita:
gmer has found system modification caused by rootrit activity.

P.S. i due log sono stati prodotti in modalità normale.


Grazie mille!!

[ziofil]

Ma scusa una cosa!!!!Stai usando due antivirus insieme???Vedo che hai Antivir e AVG....O l'uno o l'altro....Due antivirus non possono convivere insieme nel sistema operativo in tempo reale!!!!!Fanno conflitto!!!

[crazy.cat]

Nel topic in rilievo è segnalato un tools della prevx, hai provato a far passare quello?

Per il file AXA.exe prova ad usare unlocker, io sono riuscito ad eliminare un file indistruttibile proprio con quello.

I file non lasciarli nel cestino ma cancellali pure tutti.

[ziomax]

si, ho provato prevx ma non è servito... ora provo a scaricare il prog che hai detto poi ti faccio sapere, grazie!

[ziomax]

mi era stato detto da un amico di tenerli tutti e due gli antivirus... quale mi consigli di togliere? o addirittura passare ad avast? ciao

[crazy.cat]

Avg sicuramente da eliminare.
Antivir più leggero ma in inglese.
avast un attimo più pesante (ma non troppo) ed in italiano

sono due ottimi antivirus, provali uno alla volta e poi scegli.

sul pc comunque va installato un solo antivirus alla volta.

[ziomax]

Ho scaricato unlocker e ho provato ad eliminare il file ma si apre una finestra con scritto "si è verificato un errore perché non si dispone dei privilegi di debug" ???

[crazy.cat]

Guarda la soluzione proposta da amantide in fondo al post
http://www.MegaLab.it/forum/viewtopic.p ... 356#198356
ha il tuo stesso problema con Unlocker

[ziomax]

grazie. ho fatto come spiegato nel topic.
Per ora non ho concluso niente, comunque ho disinstallato AVG e stà girando Antivir. quando finirà proverò con un riavvio.

(Unlocker adesso non solo non mi elimina il file ma non esce nessuna finestra).

[ziomax]

Antivir mi ha rilevato un virus nella cartella C/Document amd Setting\Dati applicazioni\sun\java\deployment\cache\javapi\v1.0\jar\eRT.jar-55eGf576-356fbc8a.zip che ha messo in quarantena.

Il file axa.exe (che si trova in una cartella creata da me sulla scrivania)
e che AVG riconosceva come virus generic2.asq, non viene eliminato ne da unlocker ne da delete doctor (che comunque funzionano, fatto diverse prove con altri file) che avvisano che il file è operativo.
Unlocker chiede se si vuole eliminare il file al successivo riavvio ma me lo ritrovo sempre nella cartella.

Devo inviarvi qualche log o l'elenco di task manager?

Grazie.

[ziomax]

Mamma mia quanti errori di battitura!!!!!!!

[ziomax]

P.S. ho provato ad eliminarlo anche in modalità provvisoria... niente da fare!

[ziofil]

Quello che hai messo in quarantena che hai trovato nella cartella di Java,non é un virus....Leggi qui........ http://www.MegaLab.it/2467

[crazy.cat]

Unlocker chiede se si vuole eliminare il file al successivo riavvio ma me lo ritrovo sempre nella cartella.

Unlocker quando fai tasto destro del mouse sul nome del file, ti dice che è bloccato da qualche processo?

Se il file ritorna fuori vuole dire che c'è un altro virus che lo ricrea all'avvio e che non vediamo nel log.

www.kaspersky.com e fai una scansione online, posta poi il log che ne risulta.

[ziomax]

Unlocker mi apre la finestrella con scritto "non sono stati trovati handle che bloccano l'oggetto selezionato ecc..." scelgo elimina, poi ok e mi appare il mess che dice che non può eliminarlo e chiede se si buole eliminare al successivo riavvio... cosa che non fa.

Un amico mi aveva suggerito di usare il tritatutto di Spybot con il file axa.exe.
Spybot da ok ma nella cartella è comparso un file (sempre crittografato e di sola lettura) della stessa dimensione del file precedente che ha chiamato wpilspzq.uX
Stà girando l'antivirue on line che mi hai suggerito, qualche cosa trova. poi posto il log.
Grazie!

[ziomax]

Posto il log

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Monday, September 25, 2006 6:12:21 PM
Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 25/09/2006
Kaspersky Anti-Virus database records: 213176
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 74576
Number of viruses found: 1
Number of infected objects: 1 / 0
Number of suspicious objects: 0
Duration of the scan process: 02:12:53

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\Default User\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Default User\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Default User\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\massimo\.housecall6.6\Quarantine\kfaa.dll.bac_a01896 Infected: Trojan-Spy.Win32.Agent.ov skipped
C:\Documents and Settings\massimo\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\massimo\Dati applicazioni\Microsoft\Internet Explorer\UserData\index.dat Object is locked skipped
C:\Documents and Settings\massimo\Dati applicazioni\Microsoft\Modelli\Normal.dot Object is locked skipped
C:\Documents and Settings\massimo\Dati applicazioni\Microsoft\Word\Esecuzione automatica\TbRun97.dot Object is locked skipped
C:\Documents and Settings\massimo\Dati applicazioni\Sun\Java\Deployment\log\plugin150_06.trace Object is locked skipped
C:\Documents and Settings\massimo\Desktop\Attenzione\Services\wpiuspzq.uX Object is locked skipped
C:\Documents and Settings\massimo\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\massimo\Impostazioni locali\Cronologia\History.IE5\MSHist012006092520060926\index.dat Object is locked skipped
C:\Documents and Settings\massimo\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\massimo\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\massimo\Impostazioni locali\Temp\hsperfdata_massimo\1520 Object is locked skipped
C:\Documents and Settings\massimo\Impostazioni locali\Temp\~DF58F8.tmp Object is locked skipped
C:\Documents and Settings\massimo\Impostazioni locali\Temp\~DFD9B9.tmp Object is locked skipped
C:\Documents and Settings\massimo\Impostazioni locali\Temp\~DFDAD5.tmp Object is locked skipped
C:\Documents and Settings\massimo\Impostazioni locali\Temp\~WRS0005.tmp Object is locked skipped
C:\Documents and Settings\massimo\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\massimo\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\massimo\ntuser.dat.LOG Object is locked skipped
C:\WINNT\CSC\00000001 Object is locked skipped
C:\WINNT\Debug\ipsecpa.log Object is locked skipped
C:\WINNT\Debug\oakley.log Object is locked skipped
C:\WINNT\Debug\PASSWD.LOG Object is locked skipped
C:\WINNT\Internet Logs\fwdbglog.txt Object is locked skipped
C:\WINNT\Internet Logs\fwpktlog.txt Object is locked skipped
C:\WINNT\Internet Logs\IAMDB.RDB Object is locked skipped
C:\WINNT\Internet Logs\MASSIMO-10.ldb Object is locked skipped
C:\WINNT\Internet Logs\tvDebug.log Object is locked skipped
C:\WINNT\SchedLgU.Txt Object is locked skipped
C:\WINNT\SoftwareDistribution\EventCache\{A0C0083F-2B92-41A5-9B43-A1398EC61C52}.bin Object is locked skipped
C:\WINNT\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINNT\Sti_Trace.log Object is locked skipped
C:\WINNT\system32\config\AppEvent.Evt Object is locked skipped
C:\WINNT\system32\config\default Object is locked skipped
C:\WINNT\system32\config\default.LOG Object is locked skipped
C:\WINNT\system32\config\SAM Object is locked skipped
C:\WINNT\system32\config\SAM.LOG Object is locked skipped
C:\WINNT\system32\config\SecEvent.Evt Object is locked skipped
C:\WINNT\system32\config\SECURITY Object is locked skipped
C:\WINNT\system32\config\SECURITY.LOG Object is locked skipped
C:\WINNT\system32\config\software Object is locked skipped
C:\WINNT\system32\config\software.LOG Object is locked skipped
C:\WINNT\system32\config\SysEvent.Evt Object is locked skipped
C:\WINNT\system32\config\system Object is locked skipped
C:\WINNT\system32\config\SYSTEM.ALT Object is locked skipped
C:\WINNT\Temp\ZLT05c42.TMP Object is locked skipped
C:\WINNT\Temp\ZLT05c59.TMP Object is locked skipped
C:\WINNT\WindowsUpdate.log Object is locked skipped

Scan process completed.


N.B. Antivir NON apre il file:



AntiVir PersonalEdition Classic
Report file date: lunedì 25 settembre 2006 18:14

Scanning for 507762 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-WURGE-0001
Platform: Windows 2000
Windows version: (Service Pack 4) [5.0.2195]
Username: massimo
Computer name: MASSIMO-10

Version information:
AVSCAN.EXE : 7.0.0.47 200744 14/09/2006 13:12:04
AVSCAN.DLL : 7.0.0.45 41000 14/09/2006 13:12:04
LUKE.DLL : 7.0.0.47 118824 14/09/2006 13:12:05
LUKERES.DLL : 7.0.0.47 9256 14/09/2006 13:12:05
ANTIVIR0.VDF : 6.35.0.1 7371264 31/05/2006 10:21:48
ANTIVIR1.VDF : 6.36.0.9 1424384 06/09/2006 13:12:06
ANTIVIR2.VDF : 6.36.0.55 202240 21/09/2006 07:32:15
ANTIVIR3.VDF : 6.36.0.60 8704 22/09/2006 07:32:15
AVEWIN32.DLL : 7.2.0.16 1835520 14/09/2006 13:12:07
AVPREF.DLL : 7.0.0.2 23592 14/09/2006 13:12:04
AVREP.DLL : 6.36.0.5 806952 14/09/2006 13:12:06
AVRPBASE.DLL : 7.0.0.0 2162728 30/03/2006 08:43:31
AVPACK32.DLL : 7.2.0.0 368680 14/09/2006 13:12:07
AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36
NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:49
NETNW.DLL : 7.0.0.0 9768 14/09/2006 13:12:05
RCIMAGE.DLL : 7.0.0.74 1642536 14/09/2006 13:11:44
RCTEXT.DLL : 7.0.0.107 77864 14/09/2006 13:11:44

Configuration settings for the scan:
Jobname.......................: ShlExt
Configuration file............: C:\DOCUME~1\massimo\IMPOST~1\Temp\208ddee2.avp
Boot sectors..................: C
Scan memory...................: 1
Process scan..................: 0
Scan all files................: 1
Scan archives.................: 1
Recursion depth...............: 20
Smart extensions..............: 1
Macro heuristic...............: 1
File heuristic................: 0
Primary action................: 1
Secondary action..............: 0

Start of the scan: lunedì 25 settembre 2006 18:14


Start scanning boot sectors:

Boot sector 'C:\'
[NOTE] No virus was found!

Starting the file scan:

C:\Documents and Settings\massimo\Desktop\Attenzione\Services\wpiuspzq.uX
[WARNING] The file could not be opened!


End of the scan: lunedì 25 settembre 2006 18:14
Used time: 00:06 min

The scan has been done completely.

0 Scanning directories
1 Files were scanned
0 viruses and/or unwanted programs were found
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
0 Archives were scanned
1 Warnings
0 Notes

Grazie!