Grazie r16, apparte una nuova scansione con avira dopo non devo fare altro?
Poi avevo fatto una copia di sistema con "eaesus todo backup" che molto probabilmente conterrà questi virus.
Se faccio una scansione della copia fatta con todo sull'hd estrno è possibile accertare se il virus è presente? Se si cosa dovrei fare?

Ps:
Ops: scusa quando l'ho letto non era ancora comparsa la seconda parte del mes, rimane valido comunque il dubbio sulla copia di sistema

Scrivo da un altro pc, allora:
Ho fatto tutto quello che mi hai detto, alla fine Combofix ha rilevato che avevo un'attività rootckit e di riavviare il pc, l'ho fatto.
Al riavvio è partita nuovamente in automatico la scansione di combofix e dato che su desktop non era presente nulla tranne la finestra del programma che lavorava non ho potuto disattivare avira (che si avvia in automatico all'accensione del pc),
Mentre combofix stava lavorando è comparsa una finestra con la rilevazione di un virus ed io ho cliccato su nega accesso.
mi sta eliminando la cartella document &settings windows speriamo bene
Che faccio?

Si Si, fatto tutto disattivato il ripristino ed al riavvio l'ho riattivato, chiuso tutti i programmi compreso l'antivirus e fatto partire combofix che si è comportato come descritto sopra compreso la rilevazione di avira al secondo riavvio dopo la prima scansione di combo. Ecco il log:



ComboFix 11-05-27.02 - meco62 29/05/2011 11.48.11.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2039.1613 [GMT 2:00]
Eseguito da: c:\documents and settings\meco62\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {00000002-0002-0000-6C25-9E7C08000A00}
* Resident AV is active
.
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\meco62\Dati applicazioni\inst.exe
c:\documents and settings\meco62\Dati applicazioni\OfferBox
c:\documents and settings\meco62\Dati applicazioni\OfferBox\config.dat
c:\documents and settings\meco62\Dati applicazioni\OfferBox\config.xml
c:\documents and settings\meco62\WINDOWS
c:\programmi\OfferBox
c:\programmi\OfferBox\offerboxffx@offerbox.com\components\OfferBoxXpCom.dll
c:\windows\XSxS
.
.
((((((((((((((((((((((((( Files Creati Da 2011-04-28 al 2011-05-29 )))))))))))))))))))))))))))))))))))
.
.
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-06 14:20 . 2011-04-06 14:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2011-04-06 14:20 . 2011-04-06 14:20 75040 ----a-w- c:\windows\system32\jdns_sd.dll
2011-04-06 14:20 . 2011-04-06 14:20 197920 ----a-w- c:\windows\system32\dnssdX.dll
2011-04-06 14:20 . 2011-04-06 14:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2011-03-25 13:54 . 2011-03-25 13:54 117752 ----a-w- c:\windows\system32\drivers\AnyDVD.sys
2011-03-15 13:46 . 2011-03-15 13:46 97648 ----a-w- c:\windows\system32\ElbyCDIO.dll
2011-03-07 05:33 . 2010-08-07 20:46 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2006-03-02 12:00 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2006-03-02 12:00 1857920 ----a-w- c:\windows\system32\win32k.sys
2011-05-01 12:41 . 2011-03-22 13:42 142296 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AnyDVD"="c:\programmi\SlySoft\AnyDVD\AnyDVDtray.exe" [2011-05-04 4980344]
"RocketDock"="c:\programmi\RocketDock\RocketDock.exe" [2007-09-02 495616]
"Rainlendar2"="c:\programmi\Rainlendar2\Rainlendar2.exe" [2011-01-06 2342400]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2003-10-02 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2003-10-02 118784]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"UnlockerAssistant"="c:\programmi\Unlocker\UnlockerAssistant.exe" [2010-07-04 17408]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2010-10-29 249064]
"EaseUs Watch"="c:\programmi\EASEUS\Todo Backup\bin\EuWatch.exe" [2011-04-22 69000]
"EaseUs Tray"="c:\programmi\EASEUS\Todo Backup\bin\TrayNotify.exe" [2011-04-25 733576]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
APC UPS Status.lnk - c:\programmi\APC\APC PowerChute Personal Edition\Display.exe [2010-8-10 221247]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS5ServiceManager
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SwitchBoard
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
2010-03-06 01:44 500208 ----a-w- c:\programmi\File comuni\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
2009-07-27 02:10 1983816 ----a-w- c:\programmi\Canon\MyPrinter\BJMYPRT.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu]
2009-03-18 01:40 767312 ----a-w- c:\programmi\Canon\SolutionMenu\CNSLMAIN.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CLMLServer]
2010-08-20 07:57 107816 ----a-w- c:\programmi\CyberLink\Power2Go\CLMLSvc.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
2009-01-29 22:20 57344 ----a-w- c:\programmi\SlySoft\CloneCD\CloneCDTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-04-14 09:32 421160 ----a-w- c:\programmi\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-13 17:14 1695232 ------w- c:\programmi\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
2010-12-21 10:53 1483264 ----a-w- c:\programmi\Nokia\Nokia PC Suite 7\PCSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PnPUI Registrator]
2004-11-22 21:04 163840 ----a-r- c:\programmi\Common Files\Sitecom Shared\PnP Universal Installer\PnPUIReg.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power2GoExpress]
2010-10-27 09:15 2639144 ----a-w- c:\programmi\CyberLink\Power2Go\Power2GoExpress.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38 421888 ----a-w- c:\programmi\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TritaFile]
2010-02-07 16:18 1525248 ----a-w- c:\programmi\TritaFile\TritaFile.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateP2GoShortCut]
2009-05-19 20:16 222504 ----a-w- c:\programmi\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2011-05-18 21:13 399736 ----a-w- c:\programmi\uTorrent\uTorrent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
2006-04-29 13:21 94208 ----a-w- c:\programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\Pando Networks\\Pando\\Pando.exe"=
"c:\\Programmi\\BitComet\\BitComet.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"58333:TCP"= 58333:TCP:Pando
"58333:UDP"= 58333:UDP:Pando
"22271:TCP"= 22271:TCP:BitComet 22271 TCP
"22271:UDP"= 22271:UDP:BitComet 22271 UDP
"11975:TCP"= 11975:TCP:BitComet 11975 TCP
"11975:UDP"= 11975:UDP:BitComet 11975 UDP
"12421:TCP"= 12421:TCP:BitComet 12421 TCP
"12421:UDP"= 12421:UDP:BitComet 12421 UDP
.
R0 EUBAKUP;EUBAKUP;c:\windows\system32\drivers\eubakup.sys [20/05/2011 15.11.02 30600]
R0 EUBKMON;EUBKMON;c:\windows\system32\drivers\EUBKMON.sys [20/05/2011 15.11.02 35720]
R0 EUFS;EUFS;c:\windows\system32\drivers\eufs.sys [20/05/2011 15.11.03 20744]
R1 EUDSKACS;EUDSKACS;c:\windows\system32\drivers\eudskacs.sys [20/05/2011 15.11.03 14216]
R3 EUDISK;EASEUS Disk Enumerator;c:\windows\system32\drivers\eudisk.sys [20/05/2011 15.11.03 187528]
S2 EASEUS Agent;EASEUS Agent;c:\programmi\EASEUS\Todo Backup\bin\Agent.exe [20/05/2011 15.10.13 56200]
S3 UIYVQU;UIYVQU;c:\programmi\CPUID\PC Wizard 2010\Data\pcwizntl.exe -s --> c:\programmi\CPUID\PC Wizard 2010\Data\pcwizntl.exe -s [?]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [29/09/2010 16.45.37 11520]
.
Contenuto della cartella 'Scheduled Tasks'
.
2011-05-29 c:\windows\Tasks\AdobeAAMUpdater-1.0-COMPUTER-B-meco62.job
- c:\programmi\File comuni\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2010-03-06 01:44]
.
2011-05-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
2011-05-29 c:\windows\Tasks\GlaryInitialize.job
- c:\programmi\Glary Utilities\initialize.exe [2011-04-10 15:24]
.
2011-05-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-515967899-1659004503-682003330-1003Core.job
- c:\documents and settings\meco62\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2010-11-21 19:50]
.
2011-05-29 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-515967899-1659004503-682003330-1003UA.job
- c:\documents and settings\meco62\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2010-11-21 19:50]
.
2011-05-29 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 14:07]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.poony.info/
mStart Page = hxxp://www.poony.info/
uInternet Settings,ProxyOverride = *.local
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Scarica con Mipony - file://c:\programmi\MiPony\Browser\IEContext.htm
IE: Scarica tutto usando BitComet - c:\programmi\BitComet\BitComet.exe/AddAllLink.htm
IE: Scarica usando &BitComet - c:\programmi\BitComet\BitComet.exe/AddLink.htm
TCP: DhcpNameServer = 192.168.1.254
FF - ProfilePath - c:\documents and settings\meco62\Dati applicazioni\Mozilla\Firefox\Profiles\qwrmdw1t.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (it)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/ig
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=it&q=
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
SafeBoot-WudfPf
SafeBoot-WudfRd
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-29 11:57
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
EaseUs Tray = "c:\programmi\EASEUS\Todo Backup\bin\TrayNotify.exe"?????????????????????????????????????????????????????
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
Ora fine scansione: 2011-05-29 12:00:35
ComboFix-quarantined-files.txt 2011-05-29 10:00
.
Pre-Run: 48.019.226.624 byte disponibili
Post-Run: 48.122.327.040 byte disponibili
.
- - End Of File - - 7358F54FED619FD0C322E3EAECFE2D5B

Si per ora sembra funzionare bene anche se pure prima non aveva segni di rallentamenti o altro. Per ora le uniche cose che ho notato sono state:
- all'avvio di firefox mi ha chiesto se volevo impostarlo come browser predefinito anche se lo era già
- in D: dove ho tutti i dati avevo una cartella demnominata "computer" con l'icona composta da una cartella + un monitor, ora invece viene visualizzata solo la normale cartella di windows.

Per ora non noto altro di strano in seguito vedrò, ok faccio di nuovo le scansioni.
Grazie 1000

Dal log cosa hai dedotto?

Ps: scua di nuovo, ma ho visto solo adesso le altre indicazioni nel mes prima non c'erano

No.
Quest'ultima versione di AVG, và in conflitto con Combofix, anche se lo disabiliti.
Se vuoi fare la scansione con Combofix, devi disistallare AVG.


Niente.
Se non sei sicuro che l'immagine sia pulita, non ti resta che crearne un'altra.

CD di boot?
Se intendi quello che serve per lanciare l'immagine da boot, dovrai rifare anche quello.

Rifai tutto da capo (compreso il CD da boot)
E' più sicuro, e poi, non è che per fare un cd da boot perdi molto tempo.
Fai le cose per bene, e dormi sonni più tranquilli.
Ciao!