ciao a tutti
è da circa 2 settimane, che il mio portatile con vista basic, è affetto dal trojan vundo.gen.
premetto che prima avevo come antivirus AVG 8.5, ma poi sono passato ad avira(installando anche comodo firewall), che, alla prima scansione, mi ha trovato alcuni trojan. tutti rimossi.
poi è apparso il messaggio di allerta di trojan Dropper.gen che risiedeva nel file 'C:\Windows\System32\tdlwsp.dll'

poi, forse in seguito a qualche scansione, al posto di dropper è apparso Vundo.gen, sempre nel file 'C:\Windows\System32\tdlwsp.dll'

dal nulla appare anche questa segnalazione Nel file 'C:\Windows\System32\tdlcmd.dll' è stato rilevato un virus o programma indesiderato 'TR/Crypt.ZPACK.Gen'

faccio scansioni, anche con malwarebytes e ATF cleaner, e crypt.ZPACk.gen scompare..... ma al suo posto sempre nel file 'C:\Windows\System32\tdlcmd.dll' appare di nuovo Vundo.gen

sono disperato

inoltre in concomitanza a vundo è apparso un odioso errore ripetuto a rundll32 "processo host di windows(rundll32) ha smesso di funzionare ed è stato chiuso"

ho notato anche che l'avvio del SO è rallentato di un bel pò.


intanto vi posto il log di hijakthis

grazie anticipatamente per l'aiuto

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.36.27, on 28/11/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\ItSecMng.exe
C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
C:\Program Files\ScanSoft\OmniPageSE4\OpWareSE4.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Cisco Systems\Clean Access Agent\CCAAgent.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [fsc-reg] c:\fsc-reg\fscreg.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Clean Access Agent.lnk = C:\Program Files\Cisco Systems\Clean Access Agent\CCAAgentLauncher.exe
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O15 - Trusted Zone: *.line6.net
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\programmi\Nero 8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Fujitsu Diagnostic Testhandler (TestHandler) - Fujitsu Technology Solutions - C:\Program Files\Fujitsu\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 7966 bytes

ho disabilitato UAC e fatto la scansione con malwarebytes aggiornato ma non ha trovato nulla. ecco il log

Malwarebytes' Anti-Malware 1.41
Versione del database: 3255
Windows 6.0.6002 Service Pack 2

29/11/2009 14.59.44
mbam-log-2009-11-29 (14-59-44).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 244829
Tempo trascorso: 1 hour(s), 6 minute(s), 40 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)


ora provo con combofix... se va

Prova in modalità provvisoria.

Probabilmente, si dovrà procedere con un CD-live.
Comunque prima, prova questa scansione :
Scarica sul desktop DoctorWeb: (in fondo pagina trovi il Download)
http://www.drweb-antivirus.it/index.php?option=com_content&task=view&id=3&Itemid=0
Clicca su Avvia.
Farà una scansione preliminare.
Quando sarà finita, seleziona Scansione completa e clicca sul triangolino verde.
Se trova infezioni, usa il tasto "Sposta".
Non postare il log (sarà lunghissimo) posta solo gli eventuali file infetti che trova.
Il log lo trovi in:
C:\Documents and Settings\nomeutente\DoctorWeb\CureIt.log

ecco i risultati dell'infinita scansione completa

C:\Users\Federico\AppData\Local\Temp\Av-test.txt infettato da EICAR Test File (NOT a Virus!) - incurabile - spostato
>c:\program files\comodo\comodo internet security\scanners\unarch.cav\??? - intestazione archivio invalida - archivio corrotto
C:\ComboFix\FIND3M.bat probabile infezione da BATCH.Virus
C:\ComboFix\List-C.bat probabile infezione da BATCH.Virus
processi in memoria: C:\windows\system32\wuaudt.exe:308 backdoor.tdss.565 eradicato
C:\combofix FIND3M.bat probabile BATCH Virus
C:\combofix Liat-C.bat probabile BATCH virus
>C:\Documents and Settings\Federico\AppData\Local\Dati applicazioni\Microsoft\Windows Sidebar\Gadgets\MiniRadio.gadget\externezenders.html/Script.0 infetto da una versione modificata di VBS.Generic.45
C:\Documents and Settings\Federico\AppData\Local\Dati applicazioni\Microsoft\Windows Sidebar\Gadgets\MiniRadio.gadget\externezenders.html - archivio contenente oggetti infetti - spostato
>>C:\Documents and Settings\Federico\Desktop\ComboFix.exe/32788R22FWJFW\FIND3M.bat probabile infezione da BATCH.Virus
>>C:\Documents and Settings\Federico\Desktop\ComboFix.exe/32788R22FWJFW\List-C.bat probabile infezione da BATCH.Virus
C:\Documents and Settings\Federico\DoctorWeb\Quarantine\Av-test.txt infettato da EICAR Test File (NOT a Virus!) - incurabile - spostato
>C:\Documents and Settings\Federico\DoctorWeb\Quarantine\externezenders.html/Script.0 infetto da una versione modificata di VBS.Generic.45
C:\Documents and Settings\Federico\DoctorWeb\Quarantine\externezenders.html - archivio contenente oggetti infetti - spostato




Statistiche delle Scansioni

---

Oggetti controllati: 974008
Trovati oggetti Infetti: 1
Trovato Oggetti modificati: 2
Trovato oggetti Sospetti: 6
Trovato Adware: 0
Trovato Dialer: 0
Trovato Joke: 0
Trovato Riskware: 0
Trovato Hacktool: 0
Oggetti curati: 0
Oggetti cancellati: 0
Oggetti rinominati: 0
Oggetti spostati: 3
Oggetti ignorati: 0

ti ringrazio ancora r16.
ma per formattazione intendi quella con i cd di ripristino?
una volta finita la scansione c'è qualcosa da fare?

ho deciso che formatto. già la scansione normale è durata + di 12 ore, non vorrei giocarmici il portatile...
almeno così faccio una pulizia definitiva.

l'unica cosa di cui voglio essere sicuro è: nel copiare i file nell'HD esterno non rischio di infettarlo vero?
grazie ancora per tutto

ma i file li devo passare sull'HD prima di formattare sennò li perdo... quindi come faccio?

si documenti ecc.