Disastro... virus???

**Davide_1993** · 21-01-11, 15:59:45

Ciao a tutti,
sono sicuro di aver preso un brutto virus

Stavo navigando tranquillamente quando all'improvviso mi si chiude il processo "explorer.exe" (non vedo più la barra delle applicazioni e le icone sul desktop). Allora ho provato a riavviare il processo dal task manager, ma si avviava per qualche secondo per poi richiudersi da solo. Allora ho riavviato. Tutto sembrava risolto quando... ho visto che il sistema era lentissimo, qualsiasi processo aprivo si rallentava tutto. Ho aperto il task manager (che ci ha messo una ventina di secondi ad aprirsi), e ho visto (quasi con terrore) che ogni volta che aprivo un processo questo portava la CPU al 20-30% rallentando tutto. Ho notato che ogni volta che apro una cartella si apre un processo "ssvagent.exe" (sempre al 20% di uso CPU) che rallenta tutto. Se termino il processo la finestra su cui avevo cliccato si apre immediatamente. La stessa cosa accade per il blocco note ("notepad.exe"), per Firefox, per Thunderbird, etc. (solo che questi ultimi processi non generano altri processi, ma ci mettono comunque una ventina di secondi ad aprirsi, per poi stabilizzarsi).

Devo dire che sto andando nel panico. Ho fatto di corsa una scansione con SpyBot Search & Destroy, che ha trovato varie cose pericolose, tra cui:
-RevealerKeylogger
-Statcounter
-WebTrends live
(gli ultimi due "Cookie traccianti")
Ho corretto tutto (erano tutte voci ovviamente pericolose), ma non sembra essersi risolto nulla.

Ho fatto anche una scansione con Hijack this, ecco il log:

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:20:38, on 21/01/2011
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\atieclxx.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Fraps\fraps.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\conhost.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\DCPFLICS\DCPFLICS.exe
C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
C:\Windows\system32\fsproflt.exe
C:\Program Files\IObit\IObit Security 360\IS360srv.exe
C:\Program Files\My Lockbox\mylbx.exe
C:\Program Files\Razer\Arctosa\razerhid.exe
C:\Program Files\Autodesk\3ds Max 2010\mentalray\satellite\raysat_3dsmax2010_32server.exe
C:\Windows\system32\PnkBstrA.exe
C:\Program Files\Macrium\Reflect\ReflectService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Razer\Lachesis\razerhid.exe
C:\Program Files\Razer\Lachesis\OSD.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Volumouse\volumouse.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Razer\Lachesis\razerofa.exe
C:\Windows\explorer.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Nero\Update\NASvc.exe
C:\Windows\System32\svchost.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Program Files\CCleaner\ccleaner.exe
C:\Windows\System32\taskmgr.exe
C:\Program Files\IObit\IObit Security 360\is360.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\IObit\IObit Security 360\is360tray.exe
C:\Windows\System32\svchost.exe
C:\Users\Davide\Davide\Davide Windows\Programmi\Setup\SpyBot 1.62\spybotsd162.exe
C:\Users\Davide\AppData\Local\Temp\is-F8A5M.tmp\spybotsd162.tmp
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [mylbx] C:\Program Files\My Lockbox\mylbx.exe /a
O4 - HKLM\..\Run: [Arctosa] "C:\Program Files\Razer\Arctosa\razerhid.exe"
O4 - HKLM\..\Run: [Lachesis] C:\Program Files\Razer\Lachesis\razerhid.exe
O4 - HKLM\..\Run: [NBAgent] "C:\Program Files\Nero\Nero 10\Nero BackItUp\NBAgent.exe" /WinStart
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TrayServer] C:\PROGRA~1\MAGIX\Video_deluxe_17_Premium_Download-Version\TrayServer.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [$Volumouse$] "C:\Program Files\Volumouse\volumouse.exe" /nodlg
O4 - HKCU\..\Run: [Thunderbird] "C:\Program Files\Mozilla Thunderbird\thunderbird" -turbo
O4 - HKCU\..\Run: [Windows Update] C:\Users\Davide\AppData\Roaming\Microsoft\Windows\Templates\Server.exe
O4 - HKCU\..\Run: [Linktree] C:\Users\Davide\AppData\Roaming\Msnet\treecsc.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Locate Spot on Map by GPS - C:\Program Files\Opanda\IExif 2.3\IExifMap.htm
O8 - Extra context menu item: View Exif/GPS/IPTC with IExif - C:\Program Files\Opanda\IExif 2.3\IExifCom.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service:  Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: DCPFLICS - Unknown owner - C:\Program Files\DCPFLICS\DCPFLICS.exe
O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FSPro Filter Service (fsproflt) - FSPro Labs - C:\Windows\system32\fsproflt.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: IS360service - IObit - C:\Program Files\IObit\IObit Security 360\IS360srv.exe
O23 - Service: mental ray 3.7 Satellite for Autodesk 3ds Max 2010 32-bit 32-bit (mi-raysat_3dsmax2010_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 2010\mentalray\satellite\raysat_3dsmax2010_32server.exe
O23 - Service: @C:\Program Files\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files\Nero\Update\NASvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - C:\Program Files\Macrium\Reflect\ReflectService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 10891 bytes

Vi prego ditemi cosa fare, sono in preda al panico!
-------------
Vi elenco i processi che ho notato che hanno portato la CPU al 20%:
ssvagent.exe [Descrizione - c'è di mezzo qualcosa tipo Java]
rundll32.exe

noepad.exe
wscript.exe
firefox.exe
calc.exe

Quelli dopo lo spazio sono tutti processi che ho avviato io, ma che si aprono in modo lentissimo. I primi due può anche essere che li apra indirettamente, ma mi sembra strano che quando apro una cartella si avvi anche il processo "ssvagent.exe" che riguarda JAVA, e che terminandolo la cartella si apra all'improvviso...

Vi prego ditemi che non devo formattare... sarebbe un trauma!

[P.S.: Windows 7]

**Sticky©** · 21-01-11, 16:07:51

Scansioni con Avira e MalwareBytes Antimalware, entrambi aggiornati ed entrambi in Modalità Provvisoria.

**Davide_1993** · 21-01-11, 16:11:00

Ah, giusto, dimenticavo una cosa molto rilevante: al riavvio avira non si è più avviato, infatti non c'era più l'icona sulla tray-icon (e non c'è ancora adesso). Ho provato ad avviarlo manualmente ma se clicco sul pulsante della scansione sembra come essere "morto", non succede niente...

Provo in modalità provvisoria...

EDIT: in modalità provvisoria funziona perfettamente, molto probabilmente in modalità normale non funzionava perchè ci metteva molto tempo ad avviare il processo. In ogni caso non si è caricato nella tray-icon all'avvio, e non è per niente una cosa normale...

(a breve ti dirò se Malwarebytes e Avira hanno trovato qualcosa)

**Davide_1993** · 21-01-11, 16:56:55

Ma la scansione devo farla completa o no? Perchè facendola completa è mezz'ora che va avanti e sta ancora al 4%... così finirà domani...

Con una scansione rapida Malwarebytes ha trovato solo "Broken.OpenCommand" - Categoria: Registry Data - Elemento: HKE_CLASSES_ROOT\regfile\shell\open\command\(defau lt)

Avira sta ancora scansionando...

P.S.: Ho provato a riavviare per vedere se eliminando quello che aveva trovato Malwarebytes si sarebbe aggiustato tutto, invece c'è un problema incredibilmente più grave: all'avvio normale, la barra delle applicazioni appare per qualche secondo e scompare definitavamente insieme alle icone del desktop, senza la possibilità di fare nulla, nemmeno di aprire il task manager. Sono sempre più nel panico.

Ora provo a fare delle scansioni complete dalla modalità provvisoria (in cui non ci sono problemi).

Secondo te con un ripristino configurazine di sistema si potrebbe riparare?

**Davide_1993** · 21-01-11, 19:04:20

Ho fatto una scansione totale con malwarebytes, ma non ha trovato nulla. Al riavvio normale, la situazione è peggiorata ancora di più: dopo qualche secondo che è comparso il desktop, la barra delle applicazioni va in freeze (resta visibile ma non risponde al passaggio del mouse); in pochi attimi va in freeze anche l'intero desktop (non appena ci clicco col mouse). Il sistema operativo è completamente bloccato. Ctrl+Atl+Canc non risponde (non succede nulla). L'unica cosa che posso fare è muovere il mouse -.-".

Ho letto che con il comando sfc /SCANNOW si possono riparare i file di sistema... potrebbe funzionare? E' fattibile da modalità provvisoria?

In ogni caso sto pensando davvero al format, credo che ci metterei molto meno a reinstallare tutto compresi giochi e programmi, piuttosto che stare davanti a 2 PC contemporaneamente per cercare di risolvere questo casino.

E pensare che domani sarei andato a comprare un'hard disk esterno per metterci il backup dell'intero hard disk, proprio in vista di casi di emrgenza come questo... che fortuna!

(ma perchè la gente crea questi virus? Che ci guadagna a distruggere l'OS di un altro? Per me sono molto più sensati quei virus che ti prendono informazioni come password dai siti... ma perchè fare un virus del genere???)

Comunque cosa mi consigli di fare? Le scansioni non danno risultati...

blue_tech · 21-01-11, 19:30:50

ma la scansione completa con antivir l'hai finita?

EDIT:

fai girare questo

**Davide_1993** · 21-01-11, 20:07:21

Ho eseguito ComboFix, ma non ha risolto... al riavvio il sistema si blocca irrimediabilmente in meno di 20 secondi (non arriva neanche a caricare la sidebar).

Comunque ecco il log:

Codice:

ComboFix 11-01-20.04 - Davide 21/01/2011  20:35:37.1.4 - x86 NETWORK
Microsoft Windows 7 Ultimate   6.1.7600.0.1252.39.1040.18.3575.2805 [GMT 1:00]
Eseguito da: c:\users\Davide\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Creato nuovo punto di ripristino
.

(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\302639201.dll
c:\windows\system32\asd
c:\windows\system32\asd\AccurateShutdown.exe
c:\windows\system32\asd\adkt.dll
c:\windows\system32\asd\date.cfg
c:\windows\system32\asd\desktop.ini
c:\windows\system32\asd\doit.exe
c:\windows\system32\asd\help.chm
c:\windows\system32\asd\images\but0.gif
c:\windows\system32\asd\images\but1.gif
c:\windows\system32\asd\images\but2.gif
c:\windows\system32\asd\images\but3.gif
c:\windows\system32\asd\images\ch0.gif
c:\windows\system32\asd\images\ch1.gif
c:\windows\system32\asd\images\ch2.gif
c:\windows\system32\asd\images\ch3.gif
c:\windows\system32\asd\images\ch4.gif
c:\windows\system32\asd\images\ch5.gif
c:\windows\system32\asd\images\ch6.gif
c:\windows\system32\asd\images\ch7.gif
c:\windows\system32\asd\images\i30.gif
c:\windows\system32\asd\images\i31.gif
c:\windows\system32\asd\images\i310.gif
c:\windows\system32\asd\images\i311.gif
c:\windows\system32\asd\images\i32.gif
c:\windows\system32\asd\images\i33.gif
c:\windows\system32\asd\images\i34.gif
c:\windows\system32\asd\images\i35.gif
c:\windows\system32\asd\images\i36.gif
c:\windows\system32\asd\images\i37.gif
c:\windows\system32\asd\images\i38.gif
c:\windows\system32\asd\images\i39.gif
c:\windows\system32\asd\images\iclose0.gif
c:\windows\system32\asd\images\iclose1.gif
c:\windows\system32\asd\images\opt0.gif
c:\windows\system32\asd\images\opt1.gif
c:\windows\system32\asd\images\opt2.gif
c:\windows\system32\asd\images\opt3.gif
c:\windows\system32\asd\images\opt4.gif
c:\windows\system32\asd\images\opt5.gif
c:\windows\system32\asd\images\opt6.gif
c:\windows\system32\asd\images\opt7.gif
c:\windows\system32\asd\images\tbk.gif
c:\windows\system32\asd\images\tit.gif
c:\windows\system32\asd\images\title.gif
c:\windows\system32\asd\loadqm.exe
c:\windows\system32\asd\mylng.cfg
c:\windows\system32\asd\newsdsave.dll
c:\windows\system32\asd\poki.sys
c:\windows\system32\asd\rule.cfg
c:\windows\system32\asd\unins00.dat
c:\windows\system32\asd\unins00.exe
c:\windows\system32\asd\unins000.exe
c:\windows\system32\asd\w1.wav
c:\windows\system32\asd\YFSysKeys.ocx
c:\windows\system32\k_KBD0.dll
c:\windows\system32\k_KBD2.dll
c:\windows\system32\KBD2.dll
c:\windows\system32\sysogg.dll

.
(((((((((((((((((((((((((   Files Creati Da 2010-12-21 al 2011-01-21  )))))))))))))))))))))))))))))))))))
.

2011-01-21 19:40 . 2011-01-21 19:40    --------    d-----w-    c:\users\Davide\AppData\Local\temp
2011-01-21 19:40 . 2011-01-21 19:40    --------    d-----w-    c:\users\Default\AppData\Local\temp
2011-01-21 16:08 . 2011-01-21 16:08    --------    d-----w-    c:\users\Davide\AppData\Roaming\Malwarebytes
2011-01-21 16:06 . 2010-12-20 17:09    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-21 16:06 . 2011-01-21 16:06    --------    d-----w-    c:\programdata\Malwarebytes
2011-01-21 16:06 . 2011-01-21 17:23    --------    d-----w-    c:\program files\Malwarebytes' Anti-Malware
2011-01-21 16:06 . 2010-12-20 17:08    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2011-01-21 15:35 . 2011-01-21 17:00    --------    d-----w-    c:\programdata\REPORTS
2011-01-21 15:35 . 2011-01-21 17:00    --------    d-----w-    c:\programdata\INFECTED
2011-01-21 15:35 . 2011-01-21 16:48    --------    d-----w-    c:\programdata\LOGFILES
2011-01-21 15:20 . 2011-01-21 17:23    --------    d-----w-    c:\program files\Spybot - Search & Destroy
2011-01-21 15:20 . 2011-01-21 17:23    --------    d-----w-    c:\programdata\Spybot - Search & Destroy
2011-01-21 15:05 . 2011-01-21 17:23    --------    d-----w-    c:\users\Davide\AppData\Roaming\Msnet
2011-01-18 10:46 . 2011-01-18 10:46    --------    d-----w-    c:\users\Davide\AppData\Local\PackageAware
2011-01-18 09:55 . 2011-01-21 17:23    --------    d-----w-    c:\programdata\IObit
2011-01-17 21:24 . 2011-01-21 17:24    --------    d-----w-    c:\program files\avisplit
2011-01-17 09:37 . 2011-01-17 09:37    --------    d-----w-    c:\users\Davide\AppData\Roaming\bKhRbhdpG
2011-01-17 09:36 . 2011-01-17 09:39    --------    d-----w-    c:\program files\ConvertGenius
2011-01-17 08:46 . 2011-01-21 17:23    --------    d-----w-    c:\users\Davide\AppData\Roaming\WinAVI
2011-01-17 08:46 . 2011-01-17 08:46    --------    d-----w-    c:\users\Davide\AppData\Local\WinAVI
2011-01-17 08:46 . 2011-01-21 17:23    --------    d-----w-    c:\program files\Video Converter
2011-01-17 08:41 . 2011-01-17 08:41    --------    d-----w-    c:\users\Davide\AppData\Local\IsolatedStorage
2011-01-17 08:41 . 2011-01-18 08:22    --------    d-----w-    c:\program files\Swf2Avi
2011-01-16 22:10 . 2011-01-16 22:10    --------    d-----w-    c:\users\Davide\AppData\Local\Xara
2011-01-16 22:08 . 2011-01-16 22:08    --------    d-----w-    c:\program files\Common Files\MAGIX Services
2011-01-16 18:42 . 2011-01-16 18:42    --------    d-----w-    c:\program files\PC Magazine Utilities
2011-01-16 18:24 . 2011-01-16 18:24    --------    d-----w-    c:\users\Davide\AppData\Local\Microsoft_Corporation
2011-01-12 22:24 . 2011-01-12 22:24    --------    d-----w-    c:\users\Davide\AppData\Roaming\Thinstall
2011-01-12 22:24 . 2011-01-12 22:24    --------    d-----w-    c:\users\Davide\AppData\Local\Thinstall
2011-01-12 21:15 . 2011-01-12 21:17    --------    d-----w-    c:\program files\Exif Pilot Pro Demo
2011-01-12 15:59 . 2011-01-12 15:59    --------    d-----w-    c:\programdata\FileCure
2011-01-12 11:29 . 2011-01-12 11:29    --------    d-----w-    c:\users\Davide\AppData\Local\Apps
2011-01-11 22:39 . 2011-01-11 22:41    --------    d-----w-    c:\program files\GPicSync
2011-01-11 19:18 . 2011-01-21 17:23    --------    d-----w-    c:\programdata\Yahoo! Companion
2011-01-10 22:45 . 2002-06-13 12:50    376832    ----a-w-    c:\windows\system32\actskin4.ocx
2011-01-10 22:45 . 2011-01-10 22:45    --------    d-----w-    c:\program files\Ogg Converter
2011-01-09 20:03 . 2011-01-09 20:07    --------    d-----w-    c:\users\Davide\AppData\Roaming\U3
2011-01-07 09:45 . 2011-01-07 09:45    --------    d-----w-    c:\users\Davide\AppData\Local\ElevatedDiagnostics
2011-01-06 15:39 . 2011-01-06 15:39    --------    d-----w-    c:\users\Davide\AppData\Roaming\Auslogics
2011-01-06 15:18 . 2011-01-06 15:18    --------    d-----w-    c:\users\Davide\AppData\Roaming\Avira
2011-01-06 13:58 . 2011-01-06 15:47    --------    d-----w-    c:\program files\Yahoo!
2011-01-06 13:58 . 2011-01-06 15:47    --------    d-----w-    c:\program files\CCleaner
2011-01-06 10:27 . 2011-01-12 22:24    --------    d-----w-    c:\program files\Exifer
2011-01-06 10:22 . 2011-01-12 21:17    --------    d-----w-    c:\users\Davide\AppData\Roaming\Two Pilots
2011-01-06 10:22 . 2011-01-11 22:48    --------    d-----w-    c:\program files\Exif Pilot
2011-01-05 22:51 . 2011-01-06 15:47    --------    d-----w-    c:\program files\PhotoME
2011-01-05 22:50 . 2011-01-08 15:01    --------    d-----w-    c:\program files\Opanda
2011-01-05 12:24 . 2011-01-06 15:47    --------    d-----w-    c:\program files\CrystalDiskInfo
2011-01-05 09:21 . 2011-01-06 15:47    --------    d-----w-    c:\program files\File Type Manager
2011-01-05 09:21 . 2011-01-05 09:21    249856    ------w-    c:\windows\Setup1.exe
2011-01-05 09:21 . 2011-01-05 09:21    73216    ----a-w-    c:\windows\ST6UNST.EXE
2011-01-04 22:34 . 2001-03-12 16:07    260096    ----a-w-    c:\windows\system32\richtx32.ocx
2011-01-04 22:34 . 2011-01-05 22:51    --------    d-----w-    c:\programdata\PhotoME
2011-01-03 18:50 . 2011-01-06 15:47    --------    d-----w-    c:\program files\iTunes
2011-01-03 18:50 . 2011-01-03 18:50    --------    d-----w-    c:\program files\iPod
2010-12-28 22:38 . 2010-12-28 22:38    --------    d-----w-    c:\users\Davide\AppData\Roaming\AVCWare
2010-12-28 22:36 . 2010-12-28 22:36    --------    d-----w-    c:\program files\AVCWare
2010-12-28 22:04 . 2011-01-16 19:39    --------    d-----w-    c:\users\Davide\AppData\Local\Nero
2010-12-28 18:41 . 2010-12-28 18:43    --------    d-----w-    c:\programdata\regid.1986-12.com.adobe
2010-12-28 18:30 . 2011-01-06 15:47    --------    d-----w-    c:\program files\Adobe Media Player
2010-12-28 18:28 . 2010-12-28 18:28    --------    d-----w-    c:\program files\Common Files\Adobe AIR
2010-12-28 18:24 . 2010-12-28 18:24    --------    d-----w-    c:\programdata\Adobe Systems

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-21 13:13 . 2010-03-17 23:09    61960    ----a-w-    c:\windows\system32\drivers\avgntflt.sys
2010-12-21 13:13 . 2010-03-17 23:09    135096    ----a-w-    c:\windows\system32\drivers\avipbb.sys
2010-11-29 16:38 . 2010-11-29 16:38    94208    ----a-w-    c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38    69632    ----a-w-    c:\windows\system32\QuickTime.qts
2010-11-09 15:06 . 2010-03-19 22:07    215152    ----a-w-    c:\windows\system32\PnkBstrB.xtr
2010-11-09 15:01 . 2010-03-19 14:28    137200    ----a-w-    c:\windows\system32\drivers\PnkBstrK.sys
2010-11-09 15:01 . 2010-03-19 14:28    215152    ----a-w-    c:\windows\system32\PnkBstrB.exe
.

(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Thunderbird"="c:\program files\Mozilla Thunderbird\thunderbird -turbo" [X]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2010-03-18 323392]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
"$Volumouse$"="c:\program files\Volumouse\volumouse.exe" [2009-08-05 33280]
"Linktree"="c:\users\Davide\AppData\Roaming\Msnet\treecsc.exe" [2011-01-21 280576]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-09-01 281768]
"mylbx"="c:\program files\My Lockbox\mylbx.exe" [2009-08-20 1075888]
"Arctosa"="c:\program files\Razer\Arctosa\razerhid.exe" [2009-08-19 232960]
"Lachesis"="c:\program files\Razer\Lachesis\razerhid.exe" [2009-11-10 248320]
"NBAgent"="c:\program files\Nero\Nero 10\Nero BackItUp\NBAgent.exe" [2010-04-02 1234216]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-08-03 98304]
"ATICustomerCare"="c:\program files\ATI\ATICustomerCare\ATICustomerCare.exe" [2010-03-04 311296]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5ServiceManager"="c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160]
"TrayServer"="c:\progra~1\MAGIX\Video_deluxe_17_Premium_Download-Version\TrayServer.exe" [2008-08-07 90112]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-12-20 443728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-12-20 443728]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnableLinkedConnections"= 1 (0x1)

R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-04-27 697328]
R2 acedrv10;acedrv10;c:\windows\system32\drivers\acedrv10.sys [2007-07-24 328824]
R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-08-04 176128]
R2 cpuz133;cpuz133;c:\windows\system32\drivers\cpuz133_x32.sys [2010-05-11 20072]
R2 cpuz134;cpuz134;c:\windows\system32\drivers\cpuz134_x32.sys [2010-07-09 20328]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [2009-08-27 1253376]
R2 fsproflt;FSPro Filter Service;c:\windows\system32\fsproflt.exe [2009-05-03 73392]
R2 IS360service;IS360service;c:\program files\IObit\IObit Security 360\IS360srv.exe [2010-06-11 312152]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2010-12-20 363344]
R2 mi-raysat_3dsmax2010_32;mental ray 3.7 Satellite for Autodesk 3ds Max 2010 32-bit 32-bit;c:\program files\Autodesk\3ds Max 2010\mentalray\satellite\raysat_3dsmax2010_32server.exe [2009-03-12 86016]
R2 NAUpdate;Nero Update;c:\program files\Nero\Update\NASvc.exe [2010-03-25 490280]
R2 ReflectService;Macrium Reflect Image Mounting Service;c:\program files\Macrium\Reflect\ReflectService.exe [2009-11-12 220128]
R3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-08-04 6096384]
R3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-08-04 214016]
R3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW73.sys [2010-07-15 101904]
R3 cpuz130;cpuz130;c:\users\Davide\AppData\Local\Temp\cpuz130\cpuz_x32.sys [x]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2008-08-07 3276800]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2010-12-20 20952]
R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R3 UPnPService;UPnPService;c:\program files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 544768]
S0 FSProFilter;FSPro File Filter;c:\windows\System32\Drivers\FSPFltd.sys [2008-06-05 43792]
S0 pssnap;Paramount Software Snapshot Filter;c:\windows\system32\DRIVERS\pssnap.sys [2008-05-20 15328]
S2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-11 201848]
S3 ArcFltr;Arctosa Keyboard;c:\windows\system32\Drivers\Arctosa.sys [2009-08-19 16000]
S3 LachesisFltr;Lachesis Mouse Driver;c:\windows\system32\drivers\Lachesis.sys [2009-09-28 12032]
S3 RTL8167;Driver Realtek 8167 NT;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation    REG_MULTI_SZ       SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc SensrSvc
.
.
------- Scansione supplementare -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Locate Spot on Map by GPS - c:\program files\Opanda\IExif 2.3\IExifMap.htm
IE: View Exif/GPS/IPTC with IExif - c:\program files\Opanda\IExif 2.3\IExifCom.htm
FF - ProfilePath - c:\users\Davide\AppData\Roaming\Mozilla\Firefox\Profiles\lxeo54m2.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (en)
FF - prefs.js: browser.startup.homepage - www.google.it | www.facebook.it
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Tab Mix Plus: {dc572301-7619-498c-a57d-39143191b318} - %profile%\extensions\{dc572301-7619-498c-a57d-39143191b318}
FF - Ext: Easy Youtube Video Downloader: {c0c9a2c7-2e5c-4447-bc53-97718bc91e1b} - %profile%\extensions\{c0c9a2c7-2e5c-4447-bc53-97718bc91e1b}
FF - Ext: <?xmlversion=1.0?><RDF xmlns=http://www.w3.org/1999/02/22-rdf-syntax-ns# xmlns:em=http://www.mozilla.org/2004/em-rdf#><Description about=urn:mozilla:install-manifest><em:id>{a3442e61-57b7-4a7f-b0c8-e1e20a2278a9}: {a3442e61-57b7-4a7f-b0c8-e1e20a2278a9} - %profile%\extensions\{a3442e61-57b7-4a7f-b0c8-e1e20a2278a9}
FF - Ext: Toggle Private Browsing: [email protected] - %profile%\extensions\[email protected]
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Personas: [email protected] - %profile%\extensions\[email protected]
FF - Ext: Download Statusbar: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389} - %profile%\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
FF - Ext: Locationbar²: [email protected] - %profile%\extensions\[email protected]
FF - Ext: Tab Wheel Scroll: tabscroll@mthamil - %profile%\extensions\tabscroll@mthamil
FF - Ext: Speed Dial: {64161300-e22b-11db-8314-0800200c9a66} - %profile%\extensions\{64161300-e22b-11db-8314-0800200c9a66}
FF - Ext: FireGestures: [email protected] - %profile%\extensions\[email protected]
FF - Ext: Scroll Search Engines: [email protected] - %profile%\extensions\[email protected]
FF - Ext: PhotoJacker: Photo Album Downloader for Facebook (fka FacePAD): [email protected] - %profile%\extensions\[email protected]
FF - Ext: Facebook Chat History Manager: [email protected] - %profile%\extensions\[email protected]
FF - Ext: Site Launcher: {20291fcc-1471-46c8-8213-5911f5ce6d67} - %profile%\extensions\{20291fcc-1471-46c8-8213-5911f5ce6d67}
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKLM-RunOnce-<NO NAME> - (no file)
AddRemove-Accurate Shutdown_is1 - c:\windows\system32\asd\unins000.exe


.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-3285024216-181935409-538795150-1000\Software\SecuROM\License information*]
"datasecu"=hex:56,86,1d,68,4a,40,7e,97,d9,27,db,00,18,59,9a,3f,0d,31,b6,4d,83,
   4b,47,5d,84,f6,e9,91,3c,a2,63,57,c5,62,38,e9,c4,8b,02,9a,56,0c,cb,c0,72,0b,\
"rkeysecu"=hex:a2,28,f6,59,fa,28,22,98,3a,b7,c2,0a,2a,51,f9,98

[HKEY_LOCAL_MACHINE\software\Microsoft\Environment*]
"Licence"="0108804-1F5A-6507-CB3C-E8BB"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Ora fine scansione: 2011-01-21  20:41:50
ComboFix-quarantined-files.txt  2011-01-21 19:41

Pre-Run: 37.394.911.232 byte disponibili
Post-Run: 37.292.785.664 byte disponibili

- - End Of File - - BB120FA699C02A10B42AD18397FA09C0

La scansione completa con Avira non l'ho finita, dovrei lasciarlo acceso tutta la notte per quanto è lento. Comunque ormai sembra certo che i file di sistema siano danneggiati. Proverò in ogni caso a completare la scansione di Avira prima di passare a rimedi più drastici.

Secondo voi una riparazione del sistema operativo tramite il disco d'installazione potrebbe risolvere? E per quanto riguarda il comando che avevo citato sopra? (sfc /SCANNOW)

Il mio PC è nelle vostre mani...

**Davide_1993** · 21-01-11, 21:00:54

Sono riuscito ad avviare il PC in modo stabile, seguendo le istruzioni del primo utente che ha risposto a questo post.

Ho disattivato tutti i servizi dovrò riuscire a trovare quello che creava il problema. Oppure è possibile che il problema era uno di quei file .dll presenti nella cartella C:\Windows\prefatch (che ho messo nel cestino)? A che servono tutte quelle dll?

Ho provato a riattivare solo i programmi all'avvio, e il problema si è ripresentato nella forma più "lieve" (sistema lenta all'avvio di nuovi processi, comparsa dello strano processo "ssvagent.exe" all'apertura di una qualsiasi cartella; l'unico modo per aprirla e terminare il processo).
Ho provato a ridisattivare tutti i programmi, attivando solo i servizi, ma il problema si ripresenta nella stessa forma. Davvero troppo strano...

**Davide_1993** · 21-01-11, 21:36:30

Ho notato qualcosa di strano: c'è un processo in msconfig.exe che si "riattiva" da solo all'avvio. Mentre prima dell'avvio avevo disabilitato tutti i processi all'avvio, quando ho riavviato ho trovato questo processo con la spunta, come se si fosse riattivato in qualche modo.
Anche il nome è molto sospetto.
Si tratta del processo "Linktree", e viene avviato dall'eseguibile "treecsc.exe" situato in "C:\Users\Davide\AppData\Roaming\Msnet" (di 274 KB). Quando ho riavviato sono andato nella stessa cartella e il file si era riformato, ma adesso occupa 0 KB.

Che ne pensate? A me non sembra per niente un processo della Microsoft... che sia lui la causa di tutto?

(in ogni caso disattivando tutti i processi all'avvio + tutti i servizi - esclusi quelli Microsoft - sono riuscito ad avviare il PC di nuovo in modo stabile).

**Davide_1993** · 21-01-11, 21:55:52

Eh già, pare proprio che abbia risolto... dopo aver cancellato quel file e dopo aver bloccato il provesso "Linktree" all'avvio del PC, non ho più quello strano processo "ssvagent.exe" che mi rallenta tutto, il PC si avvia velocemente come prima, sembra tutto tornato alla normalità.

Potete confermarmi che era quel file la causa??

P.S.: però ora c'è un altro problema...

anche se il servizio di Avira è stato caricato, non riesco ad attivare la protezione Antivirus... sulla tray icon la voce del menu contestuale "Attiva AntiVir Guard" è offuscata e non posso cliccarci... bah

EDIT: Ok, reinstallato Avira, tutto funzionante. Sembra essere tornato tutto a posto. Sto tornando a respirare...

Devo ammettere che non ci speravo per niente, già mi aspettavo un altro pomeriggio buttato a formattare e a reinstallre tutti i programmi.

(in ogni caso potete confermarmi che era quel file a causare tutto?)

blue_tech · 22-01-11, 12:01:45

beh confermare non possiamo... ma se hai appurato che il sistema ora va come dovrebbe direi che era quello sicuramente... sarebbe stato interessante inviare quel file qui per vedere di cosa si trattava ma se l'hai già eliminato pazienza... al massimo fai una scansione completa con antivir e vediamo se non trova più nulla...

prima della scansione però verifica di averlo configurato bene: vai nella configurazione -> mod esperto -> sia in sistema di scansione che in guard fai in modo che controlli tutti i files e non solo alcuni tipi predefiniti, in "generale" attiva tutte le categorie a rischio e in sistema di scansione, in impostazioni aggiuntive metti tutte le spunte tranne "ignora files offline".

infine in azione per i rilevamenti, metti automatico -> copia in quarantena e come prima azione elimina.

fatto ciò aggiornalo e fai partire la scansione completa

**Davide_1993** · 22-01-11, 12:51:33

Originariamente Scritto da blue_tech

...sarebbe stato interessante inviare quel file qui per vedere di cosa si trattava ma se l'hai già eliminato pazienza...

No no, l'ho conservato

Ora provo ad inviarlo sul sito...

**Davide_1993** · 22-01-11, 12:53:46

Ecco cosa mi dice:http://www.virustotal.com/file-scan/...734-1295699997

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: MD5:524c55233a16a82cc77b1b50975306e6 Date first seen:2011-01-21 17:50:38 (UTC) Date last seen:2011-01-21 17:50:38 (UTC) Detection ratio:2/41

Ecco il risultato dell'analisi di vari antivirus:
http://www.virustotal.com/file-scan/...734-1295699997

3 antivirus l'hanno rilevato, tra cui Prevx l'ha rilevato come "High Risk Fraudulent Security Program".

blue_tech · 22-01-11, 13:54:50

3 soli antivirus non è una percentuale molto alta quindi o è un falso positivo oppure si tratta di qualcosa di nuovo... cmq il sito dove te l'ho fatto inviare, inoltra il campione a ciascuna delle case antivirus utilizzate ergo se è un vero virus a breve dovrebbero rilevarlo anche gli altri (se non tutti almeno i principali più affidabili)

**Davide_1993** · 22-01-11, 14:15:50

Comunque ho notato un'altra cosa ancora più sospetta: da msconfig, mentre tutti i processi all'avvio si trovavano in C:\Programmi, "Linktree" si trovava in C:\Users\Davide\Appdata\Roaming\Msnet... era l'unico con quella destinazione. E non a caso appena l'ho cancellato (o appena disattivavo tutti i servizi), il sistema tornava stabile. Ormai sono sicurissimo che è lui la causa di tutto (potrei fare una prova rimettendo il file dov'era per vedere se torna tutto instabile, ma non ci tengo a rischiare di nuovo xD).

blue_tech · 22-01-11, 16:11:42

no no lascia stare va là...

**ILSAGGIO** · 22-01-11, 17:10:07

Originariamente Scritto da blue_tech

3 soli antivirus non è una percentuale molto alta quindi o è un falso positivo oppure si tratta di qualcosa di nuovo... cmq il sito dove te l'ho fatto inviare, inoltra il campione a ciascuna delle case antivirus utilizzate ergo se è un vero virus a breve dovrebbero rilevarlo anche gli altri (se non tutti almeno i principali più affidabili)

Però io tendo a fidarmi di Prevx

Ci sono un paio di rootkit che è il solo antivirus in grado di rilevare... oltre a Combofix naturalmente, il che però porterebbe acqua al mulino del falso positivo...

Diciamo che visto il comportamento del PC, azzarderei qualche virussaccio nuovo

blue_tech · 23-01-11, 15:27:18

infatti io riproverei ad analizzare il campione su quel sito tra un paio di gg per vedere se qualcun'altro lo rileva come tale

TGM

Discussione: Disastro... virus???

Strumenti Discussione

Disastro... virus???

Riferimento: Disastro... virus???

Riferimento: Disastro... virus???

Riferimento: Disastro... virus???

Riferimento: Disastro... virus???

Riferimento: Disastro... virus???

Riferimento: Disastro... virus???

Progressi!

Riferimento: Disastro... virus???

Riferimento: Disastro... virus???

Riferimento: Disastro... virus???

Riferimento: Disastro... virus???

Riferimento: Disastro... virus???

Riferimento: Disastro... virus???

Riferimento: Disastro... virus???

Riferimento: Disastro... virus???

Riferimento: Disastro... virus???

Riferimento: Disastro... virus???

Permessi di Scrittura