Mi è successo per la seconda volta questa cosa malgrado faccia attenzione
alla sicurezza in tutti i modi (ho Avira free e Comodo Firewall e faccio
regolarmente scansioni e aggiornamenti anche con altri scanner).
Con Firefox lancio una ricerca su Google, nella lista delle pagine trovate
faccio per cliccare su una ma non riesco ad ccedere e mi esce una scritta di
Firefox che dice: "Firefox sta impedendo l'installazione di
un'applicazione".
Clicco per uscire da Google o tornare indietro e Avira mi segnala il virus,
nella cartella c:/Domuments and settings/utente/temp, un file .jar.
Mi esce la schermata di cosa fare e clicco NEGA ACCESSO.
Ma sbaglio qui????Cosa avrei dovuto dire???
Ad ogni modo precipitosamente riavvio e ripristino un vecchio punto di
ripristino di sistema in cui il pc era tutto ok. Me lo accetta, pare tutto
ok e funzionante, ma ORRORE Avira non ha l'ombrellino aperto sul deske il
GUARD risulta arrestato. Impossibile riavviarlo! Sintomi classici insomma
d'inzio infezione.
Lancio la scansione con Avira e dice: "Nel corso del caricamento del modulo
(aecore.dll) si è verificato il seguente errore: i moduli forniti non
possono essere caricati".
Mi avvilisco: ma cosa ho sbagliato?
Me lo sapreste dire?Come ha fatto l'infezione a "rimanere" se ho
ripristinato il pc a uno stato precedente?Cosa avrei dovuto fare al posto di
quello che ho fatto?
Cosa faccio ora a parte le solite scansioni online che sono negative?
Da file HijackThis mi pare che Avira mi risulti attiva...non voglio
rinunciare ai vecchi punti di ripristino disattivandolo se no che li ho
fatti a fare se non per un momento come questo??Qualcosa mi sfugge?Grazie a
chi mi illuminerà!

(Spero di non commettere infrazione allegando qui il log!!)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.24.05, on 24/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Programmi\Motorola\SMSERIAL\sm56hlpr.exe
C:\Programmi\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\DAEMON Tools Lite\DTLite.exe
C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\PeerBlock\peerblock.exe
C:\Programmi\JGsoft\EditPadPro6\EditPadPro.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\DOCUME~1\TTy\IMPOST~1\Temp\fsonlinescanner.exe
c:\programmi\avira\antivir desktop\avcenter.exe
C:\DOCUME~1\TTy\IMPOST~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
C:\DOCUME~1\TTy\IMPOST~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\Documents and Settings\TTy\Desktop\SCORCIA\TERRE_MOTO\cureit.exe
C:\DOCUME~1\TTy\IMPOST~1\Temp\RarSFX0\zwc9dl.exe
C:\DOCUME~1\TTy\IMPOST~1\Temp\RarSFX0\zbhu8XP.exe
C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe
C:\DOCUME~1\TTy\IMPOST~1\Temp\HouseCall\housecall.bin
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.it/ig
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Collegamenti
R3 - URLSearchHook: UrlSearchHook Class -
{00000000-6E41-4FD3-8538-502F5495E5FC} -
C:\Programmi\Ask.com\GenericAskToolbar.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} -
C:\Programmi\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper -
{DBC80044-A445-435b-BC74-9C25C1C588A9} -
C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -
C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class -
{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON
Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} -
C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} -
C:\Programmi\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe"
/min
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six
Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [SMSERIAL] C:\Programmi\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programmi\Adobe\Adobe Version
Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java
Update\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File
comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\COMODO
Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RegClean] C:\Programmi\RegClean\RegClean.exe -boot
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools
Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite
7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PeerBlock] C:\Programmi\PeerBlock\peerblock.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'Default user')
O4 - Startup: EditPad Pro.lnk =
C:\Programmi\JGsoft\EditPadPro6\EditPadPro.exe
O4 - Startup: freepopsd.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network
Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programmi\Adobe\Adobe
Version Cue\service\VersionCue.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH -
C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH -
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO -
C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel
32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun
Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero
BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity
Solution\ServiceLayer.exe

--
End of file - 7789 bytes

Ciao.

Eccolo il primo errore.
Il riavvio, dà via libera ai driver del virus, per completare l'infezione.
Quando si ha il sospetto di avere preso un'infezione, non bisogna mai riavviare il pc.
Capisco, che è più facile dirlo, che farlo.


Secondo errore.
Il virus, potrebbe avere già infettato la cartella dei ripristini.
Era lì, in attesa che tu lo "resuscitassi".



Il virus, ha raggiunto il suo traguardo primario:
Non vuole che qualcuno gli rompa le palle, mentre stà facendo,i comodi suoi.

Proviamo a rimediare:

Scarica ed installa MalwareBytes: (nel tuo caso, avendolo già installato, limitati ad AGGIORNARLO, e fare la scansione)
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
Elimina tutto quello che trova.
Posta il log.

1) Ti dico la verità: non posso spiegarti il "meccanismo" del virus, in quanto, oltre a impiegarci mezza giornata, sarei costretto a usare termini tecnici, che alla fine, saresti più confuso di adesso.
Sappi, che i punti di ripristino, servono solo in determinati casi:
Ad esempio, se qualche file di Windows viene danneggiato,(non da un virus) oppure qualche chiave del registro, viene eliminata per sbaglio.
In presenza di un'infezione, fare un ripristino, è estremamente pericoloso.
Perchè appunto, ripristina anche i virus, che si sono insediati nei vari ripristini.

Quando finisce la scansione di Malwarebytes, (elimina quello che trova) fai una scansione con Combofix:

Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop.

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (comparirà una videata.)

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.