ciao a tutti! spero possiate aiutarmi... ieri credo di essermi beccato un virus. mentre navigavo avira mi segnala un infezione. faccio una scansione con malwarebytes, e viene effettivamente confermata. metto in quarantena. nel pomeriggio scansiono anche con superantispyware. anche qui un infezione nel registro. riavvio e mi compare un nuovo account: Account Help Assistant Desktop. controlloda start\esegui con control userpassword2 ed effettivamente ho questo nuovo account, così come una cartella HelpAssistant sotto documents and settings.

a livello di funzionamento non noto granchè. il pc non si blocca. forse solo un lieve rallentamento (e ogni tanto la finestra dove mi trovo diventa inattiva come se si attivasse qualche processo in background). ad ogni modo faccio una breve ricerca e sembra trattasi di un virus. è anche vero però che sul sito microsoft è scritto che questo account potrebbe esistere in caso di assistenza remota (chiaramente io non l'ho mai richiesta). su un forum ho letto che la cosa potrebbe essere dovuta semplicemente ad un aggiornamento di windows. questa cosa mi ha fatto pensare, perchè poco prima della segnalazione di avira ieri ero stato sul sito della rai e nel tentativo di guardare un video mi era apparso il messaggio dove si richiedeva l'aggiornamento di silverlight. io ho lasciato stare e sono uscito, ma non vorrei che qualche aggiornamento sia partito. tra l'altro sempre da ieri all'avvio non mi appare più la fastidiosa icona dello scudo che mi ricorda che gli aggiornamenti automatico sono disattivati.

ad ogni modo, seguendo la procedura per la rimozione di eventuali minacce, ho fatto una scansione con hijack (riuscita), ma non riesco ad avviare combofix (lo avvio dal desktop con tutte le applicazioni chiuse e il modem spento). mi appaiono delle finestre col suono tipico del crash di sistema dove con riferimento a dei file (iexplore.exe, hidec, n.pif) mi si dice "impossibile accedere alla periferica, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie". Dopo aver clickato per una ventina di volte OK appare un'altra finestra di windows "Impossibile aprire il file: nircmd.cfxxe". mi si chiede se cercare su internet o sfogliare l'applicazione. a quel punto faccio annulla (3 volte), e si chiude il programma.

cosa posso fare? avete idea cosa possa essere?

Sì che ce l'ho un'idea di cos'è....
Quello che non ho una minima idea, è il S.O che usi.
Per proseguire, ho bisogno di saperlo.

ecco il log di malwarebytes di ieri (scansione veloce, quella completa mi dura un'eternità)

http://www.freefilehosting.net/mbam-log-2010-12-0512-12-03

ed il log di hijack:

http://www.freefilehosting.net/hijackthis_61

tutto fatto, grazie. ecco il contenuto di mbr.log:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6Y080L0 rev.YAR41BW0 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

l'avevo già scaricato con chrome. per cancellarlo devo usare l'OTC, giusto? e riscaricarlo con explorer?

P.S. ho provato ora ad avviare l'explorer, e mi si chiude subito (non lo usavo più da mesi tra l'altro). se lo scarico con firefox va bene? oppure dovrei usare il notebook e copiarlo attraverso chiavetta...

ma porc@!#... niente, stesso esito. con chrome lo avevo già scaricato ieri. ora ho provato con firefox e niente. lo avvio (dopo aver spento il modem, chiudo il firewall e disattivato il guard di avira), ma alla fine della barra iniziale con scritto combofix mi spuntano delle finestre di crash (quelle con la x rossa per intenderci). intestazione 32788R22FWJFW/iexplore.exe oppure hidec.exe o n.pif, con scritto "impossibile accedere alla periferica, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie". ad ogni click di ok ne spunta un'altra. dopo una ventina di OK appare una finestra di windows "Impossibile aprire il file: nircmd.cfxxe". mi si chiede se cercare su internet o sfogliare l'applicazione. a quel punto faccio annulla (3 volte), e si chiude il programma.

nel togliere ieri combofix con OTC, non me lo rimuoveva se non rinominavo nuovamente da abc a combofix. ho fatto qualche errore? e comunque, in C: mi è rimasta una cartella, creata proprio da combofix chiamata 32788R22FWJFW.

ad ogni modo, adesso che faccio? rimuovo di nuovo con OTC come fatto ieri e riscarico con explorer dall'altro pc (explorer come scritto non mi funziona, si chiude da solo dopo qualche secondo)? oppure uso TDSSKiller?

a proposito, per la precisione: il mio SO è xp PROFESSIONAL (SP2). non so, magari è influente...

un'altra cosa: il combofix o il tdsskiller (non ricordo) mi hanno segnalato come virus, se non erro, il file autorun.inf in h: (cioè nel mio hard disk portatile western digital). è un file che avira mi ha sempre segnalato (non appena aprivo la finestra risorse del computer). l'ho sempre ignorato proprio perchè me l'ha fatto sin dall'inizio, pensando fosse qualche falso allarme. ora infatti non mi appare più il messaggio di avira quando apro risorse del computer... possibile fosse davvero pericoloso?

Elimina Combofix (compresa la cartella 32788R22FWJFW)

Installa il service pack3 di Windows XP :

http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&DisplayLang=it

Installa Internet Explorer 8

http://www.microsoft.com/downloads/details.aspx?FamilyID=341c2ad5-8c3d-4347-8c03-08cdecd8852b&displaylang=it

Poi:
Dai una pulita (registro compreso)con CCleaner http://www.aiutamici.com/software?ID=11223
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:(esclusivamente, su partizioni in NTFS):
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

Fai uno ScanDisk, e una deframmentazione del HD.
Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.

Posta un nuovo log di HiJackThis.

Se non scarichi l'SP3, il tuo pc sarà sempre ad alto rischio di infezioni.
I virus attaccano preferibilmente i bug, (falle o "buchi") che ha l'SP2.
Vedi tu.
Per eliminare Combofix, rinominalo in Combofix, e poi usa OTC.
Poi con la funzione "Cerca" di Windows, digita in ambedue i campi la parola Combofix ed elimina tutto quello che trova.

Non mi è arrivato nessun PM.