Ciao a tutti, ho purtroppo problemi con nuovi virus che Avira AntiVir ha trovato su un altro computer in mio possesso. Quello che mi preoccupa di più è WillPolo.vbs sul quale in Internet non sono riuscito a trovare supporto in Italiano. Spero che possiate aiutarmi voi. Tramite l'antivirus ho eliminato il file dal computer ma quando clicco sulle partizioni del disco C: e D: mi esce un avviso che dice: Impossibile trovare il file di script "C:\WillPolo.vbs" e non mi fa aprire la cartella.

Grazie anticipatamente per l'aiuto


Pubblico di seguito il report di Avira AntiVir.

Avira AntiVir Personal
Data del file di report: martedì 26 maggio 2009 16:44

Ricerca di 1421773 virus e programmi indesiderati.

Concesso in licenza a : Avira AntiVir Personal - FREE Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows XP
Versione di Windows : (Service Pack 2) [5.1.2600]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : FRA

Informazioni sulla versione:
BUILD.DAT : 9.0.0.12 17960 Bytes 22/04/2009 12:24:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:21:31
AVSCAN.DLL : 9.0.3.0 47873 Bytes 03/03/2009 10:14:29
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:56
LUKERES.DLL : 9.0.2.0 12545 Bytes 03/03/2009 10:15:14
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 19:33:26
ANTIVIR2.VDF : 7.1.4.0 2336768 Bytes 20/05/2009 19:40:30
ANTIVIR3.VDF : 7.1.4.13 131584 Bytes 25/05/2009 19:40:31
Motore : 8.2.0.168
AEVDF.DLL : 8.1.1.1 106868 Bytes 25/05/2009 19:40:33
AESCRIPT.DLL : 8.1.2.0 389497 Bytes 25/05/2009 19:40:33
AESCN.DLL : 8.1.2.3 127347 Bytes 25/05/2009 19:40:33
AERDL.DLL : 8.1.1.3 438645 Bytes 29/10/2008 17:24:41
AEPACK.DLL : 8.1.3.16 397686 Bytes 25/05/2009 19:40:33
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26/02/2009 19:01:56
AEHEUR.DLL : 8.1.0.129 1761655 Bytes 25/05/2009 19:40:32
AEHELP.DLL : 8.1.2.2 119158 Bytes 26/02/2009 19:01:56
AEGEN.DLL : 8.1.1.44 348532 Bytes 25/05/2009 19:40:31
AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 25/05/2009 19:40:31
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:48:02
AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:40:03
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:25:10
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:45
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:37:12
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:21:38
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:41:28
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 11/02/2009 15:08:20
RCTEXT.DLL : 9.0.37.1 87809 Bytes 22/04/2009 10:24:43

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: c:\programmi\avira\antivir desktop\sysscan.avp
Report......................................: basso
Azione primaria.............................: elimina
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:, D:,
Scansione dei programmi attivi..............: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: medio
Categorie irregolari delle minacce..........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Avvio della scansione: martedì 26 maggio 2009 16:44

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
Sono stati esaminati '83696' oggetti, sono stati rilevati '0' oggetti nascosti.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'jucheck.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avscan.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'alg.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wscntfy.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'skypePM.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'fxssvc.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'vsmon.exe' - '0' modulo(i) scansionato(i)
Scansione processo 'AluSchedulerSvc.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wdfmgr.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'SMAgent.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'nvsvc32.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'inetinfo.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'cisvc.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'acrotray.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'BrMfcMon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'Skype.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'CopernicDesktopSearch.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'msnmsgr.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'BrccMCtl.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'EM_EXEC.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'BrMfcWnd.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'pptd40nt.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'apdproxy.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'zlclient.exe' - '0' modulo(i) scansionato(i)
Scansione processo 'vsnpstd.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'CnxDslTb.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'CloneCDTray.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'jusched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'realsched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'htpatch.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'explorer.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '1' modulo(i) scansionato(i)
47 processi scansionati con '47' Moduli

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 1
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'D:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 69 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
C:\pagefile.sys
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\Documents and Settings\Francesco\Documenti\In Condivisione\software\Adobe.Photoshop.7.Originale.ITA.rar
[0] Tipo di archivio: RAR
--> Plug-in Photoshop Completi\Adobe_Photoshop_Ultimate_Plug-In_Collection.zip
[1] Tipo di archivio: ZIP
--> Volume1/AxionFlareFX/Installer.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.CFI.Gen
--> Volume1/AxionG&S/Installer.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.CFI.Gen
[AVVISO] Questo file è una mailbox. Per evitare danni alle email questo file non verrà riparato o eliminato.
C:\Documents and Settings\Francesco\Documenti\Varie\codex\emukeys\Flash_EmuKey_202.rar
[0] Tipo di archivio: RAR
--> Flash EmuKey.CAB
[1] Tipo di archivio: CAB (Microsoft)
--> msvbvm60.dll
[AVVISO] Nessun file ulteriore può essere estratto da questo archivio. L'archivio verrà chiuso
[AVVISO] Nessun file ulteriore può essere estratto da questo archivio. L'archivio verrà chiuso
C:\Documents and Settings\Francesco\Documenti\Varie\codex\Programmi zippati\FunMagic140_NO_LIMITS.zip
[0] Tipo di archivio: ZIP
--> FunMagic140_NO_LIMITS.exe
--> FunMagic140_NO_LIMITS.exe
[1] Tipo di archivio: ACE SFX (self extracting)
--> Imports\0_Imports.cnf
[AVVISO] Memoria insufficiente! Il virus o il programma indesiderato non è stato eliminato!
--> Dlportio.dll
[AVVISO] Nessun file ulteriore può essere estratto da questo archivio. L'archivio verrà chiuso
[AVVISO] Nessun file ulteriore può essere estratto da questo archivio. L'archivio verrà chiuso
C:\Documents and Settings\Francesco\Documenti\Varie\emulatore\mame\m32-055.r00
[0] Tipo di archivio: RAR
--> m32-055\mame32.exe.manifest
[AVVISO] Nessun file ulteriore può essere estratto da questo archivio. L'archivio verrà chiuso
[AVVISO] Nessun file ulteriore può essere estratto da questo archivio. L'archivio verrà chiuso
C:\System Volume Information\_restore{DC9DA3FF-CF82-4F96-B746-7360847BF2E9}\RP868\A0178454.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Proxy.Horst.AV
[NOTA] È stato creato un backup con nome '4a4d0ee5.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
C:\System Volume Information\_restore{DC9DA3FF-CF82-4F96-B746-7360847BF2E9}\RP868\A0178455.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Proxy.Horst.AV
[NOTA] È stato creato un backup con nome '492c4c96.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
C:\System Volume Information\_restore{DC9DA3FF-CF82-4F96-B746-7360847BF2E9}\RP868\A0178456.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen
[NOTA] È stato creato un backup con nome '4a4d0ee7.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
C:\System Volume Information\_restore{DC9DA3FF-CF82-4F96-B746-7360847BF2E9}\RP868\A0178457.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen
[NOTA] È stato creato un backup con nome '492c4c98.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
C:\System Volume Information\_restore{DC9DA3FF-CF82-4F96-B746-7360847BF2E9}\RP868\A0178458.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen
[NOTA] È stato creato un backup con nome '4a4d0ee9.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
C:\System Volume Information\_restore{DC9DA3FF-CF82-4F96-B746-7360847BF2E9}\RP868\A0178459.exe
[RILEVAMENTO] Contiene il modello di rilevamento dell'applicazione APPL/Tool.TPE.CC
[NOTA] È stato creato un backup con nome '492c4c9a.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
Inizia con la scansione di 'D:\'


Fine della scansione: martedì 26 maggio 2009 18:02
Tempo impiegato: 1:18:08 Ora(e)

La scansione è stata completamente eseguita.

9068 Directory scansionate
382721 I file sono stati scansionati
8 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
6 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
6 File spostati in quarantena
0 File rinominati
1 Impossibile scansionare i file
382712 File non infetti
7142 Archivi scansionati
9 Avvisi
7 Note
83696 Oggetti scansionati durante la scansione dei rootkit
0 Sono stati rilevati oggetti nascosti

Ciao si tratta di un worm penso che MALWAREBYTES sia in grado di eliminarlo.

Ecco il log di Combofix:

ComboFix 09-05-25.A2 - Francesco 26/05/2009 19.55.56.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.512.266 [GMT 2:00]
Eseguito da: c:\documents and settings\Francesco\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {00000002-0002-0000-3C24-9E7C08000A00}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\documents and settings\Francesco\Menu Avvio\Programmi\Videos.url
c:\documents and settings\Francesco\Preferiti\Videos.url
c:\windows\a3kebook.ini
c:\windows\akebook.ini
c:\windows\ANS2000.INI
c:\windows\system\oeminfo.ini
c:\windows\system32\Cache
D:\Autorun.inf

.
((((((((((((((((((((((((( Files Creati Da 2009-04-26 al 2009-05-26 )))))))))))))))))))))))))))))))))))
.

2009-05-25 19:34 . 2009-03-30 08:33 96104 ----a-w c:\windows\system32\drivers\avipbb.sys
2009-05-25 19:34 . 2009-03-24 14:08 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-05-25 19:34 . 2009-02-13 10:29 22360 ----a-w c:\windows\system32\drivers\avgntmgr.sys
2009-05-25 19:34 . 2009-02-13 10:17 45416 ----a-w c:\windows\system32\drivers\avgntdd.sys
2009-05-25 19:33 . 2009-05-25 19:33 -------- d-----w c:\programmi\Avira
2009-05-25 19:33 . 2009-05-25 19:33 -------- d-----w c:\documents and settings\All Users\Dati applicazioni\Avira

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-26 17:52 . 2008-01-07 10:58 -------- d-----w c:\documents and settings\Francesco\Dati applicazioni\Skype
2009-05-26 14:36 . 2008-01-07 11:01 -------- d-----w c:\documents and settings\Francesco\Dati applicazioni\skypePM
2009-05-25 21:41 . 2004-03-01 18:48 -------- d-----w c:\programmi\Downloader 1.8
2009-05-25 21:41 . 2004-06-02 08:01 -------- d-----w c:\programmi\ClonyXXL
2009-05-25 19:12 . 2004-02-26 19:32 -------- d-----w c:\programmi\File comuni\Symantec Shared
2009-05-25 19:12 . 2004-02-26 19:32 -------- d-----w c:\programmi\Symantec
2009-05-25 19:09 . 2004-02-26 19:32 -------- d-----w c:\programmi\Norton AntiVirus
2009-05-25 19:04 . 2004-02-26 19:32 -------- d-----w c:\documents and settings\All Users\Dati applicazioni\Symantec
2009-05-04 16:02 . 2001-08-31 10:00 68462 ----a-w c:\windows\system32\perfc010.dat
2009-05-04 16:02 . 2001-08-31 10:00 402026 ----a-w c:\windows\system32\perfh010.dat
2009-03-06 14:44 . 2002-09-09 11:51 285696 ----a-w c:\windows\system32\pdh.dll
2007-06-06 09:41 . 2004-11-12 19:11 61038 ----a-w c:\programmi\mozilla firefox\components\jar50.dll
2007-06-06 09:41 . 2004-11-12 19:11 49256 ----a-w c:\programmi\mozilla firefox\components\jsd3250.dll
2007-06-06 09:41 . 2004-11-12 19:11 166000 ----a-w c:\programmi\mozilla firefox\components\xpinstal.dll
2008-04-25 11:42 . 2008-04-25 11:25 48 --sh--w c:\windows\S36D56E48.tmp
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programmi\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"Copernic Desktop Search"="c:\programmi\Copernic Desktop Search\CopernicDesktopSearch.exe" [2006-05-31 5252392]
"Skype"="c:\programmi\Skype\Phone\Skype.exe" [2007-12-12 21686568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-09-24 5033984]
"HTpatch"="c:\windows\htpatch.exe" [2002-10-30 28672]
"TkBellExe"="c:\programmi\File comuni\Real\Update_OB\realsched.exe" [2004-02-24 151597]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"CloneCDElbyCDFL"="c:\programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2001-12-06 45056]
"CloneCDTray"="c:\programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe" [2002-04-15 57344]
"CnxDslTaskBar"="c:\programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe" [2003-05-12 454656]
"snpstd"="c:\windows\vsnpstd.exe" [2003-12-31 40960]
"Zone Labs Client"="c:\programmi\Zone Labs\ZoneAlarm\zlclient.exe" [2006-07-09 968696]
"Adobe Photo Downloader"="c:\programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-06 57344]
"SSBkgdUpdate"="c:\programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programmi\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]
"IndexSearch"="c:\programmi\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]
"PPort11reminder"="c:\programmi\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]
"BrMfcWnd"="c:\programmi\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]
"ControlCenter3"="c:\programmi\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2003-09-24 741376]
"Logitech Utility"="Logi_MwX.Exe" - c:\windows\LOGI_MWX.EXE [2003-12-17 19968]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Acrobat Assistant.lnk - c:\programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-5-15 217193]
Adobe Gamma Loader.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2004-3-17 110592]
Avvio veloce di Adobe Reader.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
Microsoft Office.lnk - c:\programmi\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMMyPictures"= 01000000

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"MIDI1"= SYNCOR11.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\GlobalSCAPE\\CuteFTP\\cutftp32.exe"=
"c:\\Programmi\\mirc6.03-ITA\\mirc.exe"=
"c:\\Programmi\\Soulseek\\slsk.exe"=
"c:\\Programmi\\WinMX\\WinMX.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programmi\\ViaVoice\\Bin\\engine.exe"=
"c:\\Programmi\\Microsoft Office\\Office10\\WINWORD.EXE"=
"c:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programmi\\MSN Messenger\\livecall.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 DLPortIO;DriverLINX Port I/O Driver;c:\windows\system32\drivers\DLPortIO.SYS [04/03/2004 15.11.38 3584]
R2 Utilità di pianificazione di LiveUpdate automatico;Utilità di pianificazione di LiveUpdate automatico;c:\programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe [26/09/2006 22.37.49 100032]
R3 uscsc108;uscsc108;c:\windows\system32\drivers\uscsc108.sys [09/03/2003 19.41.38 102336]
S3 CnxEtP;Conexant AccessRunner USB ADSL WAN Adapter Filter Driver;c:\windows\system32\drivers\CnxEtP.sys [06/07/2004 12.40.53 60288]
S3 CnxEtU;Conexant AccessRunner USB ADSL Interface Device Driver;c:\windows\system32\drivers\CnxEtU.sys [06/07/2004 12.40.53 643200]
S3 CnxTgN;Conexant AccessRunner USB ADSL WAN Adapter Driver;c:\windows\system32\drivers\CnxTgN.sys [06/07/2004 12.40.53 108547]
S3 MTK;Media Technology Kernel Driver;c:\windows\system32\Drivers\mtk.sys --> c:\windows\system32\Drivers\mtk.sys [?]
.
Contenuto della cartella 'Scheduled Tasks'

2009-05-26 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-26 20:18]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKLM-Run-WillPolo - c:\windows\WillPolo.vbs
SafeBoot-procexp90.Sys


.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uInternet Settings,ProxyOverride = localhost
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &Point&&Go - c:\programmi\File comuni\Expert System\PGPlatform\PGPlatform.htm
IE: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm87541IT
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Salva oggetto con Net Transport - c:\programmi\Xi\NetTransport 2\NTAddLink.html
IE: Salva tutti gli oggetti con Net Transport - c:\programmi\Xi\NetTransport 2\NTAddList.html
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {10F76067-C352-473B-94C9-5EE691429C48} - hxxp://agentsetup.paginebianche.virgilio.it/PBCab/VBRunTimeInstaller.CAB
DPF: {FA6B2C55-F067-4895-A0D0-536168798883} - hxxp://agentsetup.paginebianche.virgilio.it/PBCab/install.cab
FF - ProfilePath - c:\documents and settings\Francesco\Dati applicazioni\Mozilla\Firefox\Profiles\ws4ccozf.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.it
FF - component: c:\programmi\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\programmi\Mozilla Firefox\extensions\talkback@mozilla.org\components\qfaservices.dll

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel", 1); // 0=low, 1=medium, 2=high, 3=custom
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.enablePad", false); // Allow client to do proxy autodiscovery
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom", "chrome://branding/content/searchconfig.properties");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("signon.prefillForms", true);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-26 19:58
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\??????[????`??[???[`??[???????????????[???[???[???[$??????[???????????????[???????????[???w????(????3?w???w?????3?w ??w???[:???????d???r??[1??[???[d??????[?-?[????z??w8h?[\2?[?1?[htinst.INI?[?u?[????d????????F?

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2009-05-26 20.02.07
ComboFix-quarantined-files.txt 2009-05-26 18:00

Pre-Run: 2.205.827.072 byte disponibili
Post-Run: 2.251.812.864 byte disponibili

165 --- E O F --- 2009-04-26 13:05

Ecco il log di HJT:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.20.41, on 27/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\htpatch.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\WINDOWS\vsnpstd.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Brother\ControlCenter3\brccMCtl.exe
C:\Programmi\Copernic Desktop Search\CopernicDesktopSearch.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Brother\Brmfcmon\BrMfcmon.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programmi\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programmi\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Copernic Desktop Search - {C5F7A735-70F1-477F-8C36-6FF3C736017B} - C:\Programmi\Copernic Desktop Search\CopernicDesktopSearchIntegration977.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programmi\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Dati applicazioni\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programmi\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Programmi\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Point&&Go - C:\Programmi\File comuni\Expert System\PGPlatform\PGPlatform.htm
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm87541IT
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Salva oggetto con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Salva tutti gli oggetti con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {10F76067-C352-473B-94C9-5EE691429C48} (VBRunTimeInstaller.Bait) - http://agentsetup.paginebianche.virgilio.it/PBCab/VBRunTimeInstaller.CAB
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://agentsetup.paginebianche.virgilio.it/PBCab/msxml4.cab
O16 - DPF: {FA6B2C55-F067-4895-A0D0-536168798883} - http://agentsetup.paginebianche.virgilio.it/PBCab/install.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Cdrfracipr - Conexant - C:\WINDOWS\System32\drivers\HSF_FALL.sys
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9621 bytes