Buongiorno.
Ho l'abitudine a fine di ogni navigazione internet di fare una pulizia con ccleaner.
Da un po di tempo come avvio la ricerca dei files da pulire avast mi avvisa della presenza di un trojan tra i files temporanei.

Questo è il log della scansione avast a seguito del rilevamento



Avira Free Antivirus
Data del file di report: domenica 18 agosto 2013 01:59


Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira Free Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Microsoft Windows XP
Versione di Windows : (Service Pack 3) [5.1.2600]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : NBASUS

Informazioni sulla versione:
BUILD.DAT : 13.0.0.3885 54851 Bytes 05/08/13 10:07:00
AVSCAN.EXE : 13.6.0.1722 634936 Bytes 16/08/13 13:58:52
AVSCANRC.DLL : 13.6.0.1550 60984 Bytes 16/08/13 13:58:52
LUKE.DLL : 13.6.0.1550 65080 Bytes 16/08/13 13:59:46
AVSCPLR.DLL : 13.6.0.1712 92216 Bytes 16/08/13 13:58:52
AVREG.DLL : 13.6.0.1550 247864 Bytes 16/08/13 13:58:50
avlode.dll : 13.6.2.1704 449592 Bytes 16/08/13 13:58:45
avlode.rdf : 13.0.1.22 26240 Bytes 16/08/13 14:01:04
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04/04/13 10:35:23
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30/04/13 10:35:29
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28/05/13 23:21:13
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21/06/13 14:12:33
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23/07/13 13:53:02
VBASE005.VDF : 7.11.91.177 2048 Bytes 23/07/13 13:53:02
VBASE006.VDF : 7.11.91.178 2048 Bytes 23/07/13 13:53:02
VBASE007.VDF : 7.11.91.179 2048 Bytes 23/07/13 13:53:02
VBASE008.VDF : 7.11.91.180 2048 Bytes 23/07/13 13:53:03
VBASE009.VDF : 7.11.91.181 2048 Bytes 23/07/13 13:53:03
VBASE010.VDF : 7.11.91.182 2048 Bytes 23/07/13 13:53:03
VBASE011.VDF : 7.11.91.183 2048 Bytes 23/07/13 13:53:04
VBASE012.VDF : 7.11.91.184 2048 Bytes 23/07/13 13:53:04
VBASE013.VDF : 7.11.92.32 156160 Bytes 24/07/13 13:53:04
VBASE014.VDF : 7.11.92.147 168960 Bytes 25/07/13 13:53:05
VBASE015.VDF : 7.11.93.93 419328 Bytes 28/07/13 13:53:07
VBASE016.VDF : 7.11.93.170 1403392 Bytes 29/07/13 13:53:12
VBASE017.VDF : 7.11.94.31 222208 Bytes 31/07/13 13:53:13
VBASE018.VDF : 7.11.94.141 273408 Bytes 03/08/13 13:53:14
VBASE019.VDF : 7.11.94.203 200192 Bytes 04/08/13 13:53:15
VBASE020.VDF : 7.11.95.8 1925632 Bytes 05/08/13 13:53:20
VBASE021.VDF : 7.11.95.81 203776 Bytes 06/08/13 13:53:21
VBASE022.VDF : 7.11.95.175 148480 Bytes 07/08/13 13:53:22
VBASE023.VDF : 7.11.95.248 1224192 Bytes 09/08/13 13:53:26
VBASE024.VDF : 7.11.96.43 861184 Bytes 10/08/13 13:53:31
VBASE025.VDF : 7.11.96.83 197632 Bytes 11/08/13 13:53:34
VBASE026.VDF : 7.11.96.151 285696 Bytes 13/08/13 13:53:36
VBASE027.VDF : 7.11.96.245 352256 Bytes 16/08/13 13:53:38
VBASE028.VDF : 7.11.96.246 2048 Bytes 16/08/13 13:53:39
VBASE029.VDF : 7.11.96.247 2048 Bytes 16/08/13 13:53:39
VBASE030.VDF : 7.11.96.248 2048 Bytes 16/08/13 13:53:39
VBASE031.VDF : 7.11.96.250 33280 Bytes 16/08/13 13:53:40
Motore : 8.2.12.106
AEVDF.DLL : 8.1.3.4 102774 Bytes 20/06/13 23:21:32
AESCRIPT.DLL : 8.1.4.142 512382 Bytes 16/08/13 13:53:57
AESCN.DLL : 8.1.10.4 131446 Bytes 12/05/13 10:35:45
AESBX.DLL : 8.2.16.22 1241464 Bytes 16/08/13 13:54:00
AERDL.DLL : 8.2.0.128 688504 Bytes 20/06/13 23:21:32
AEPACK.DLL : 8.3.2.24 749945 Bytes 20/06/13 23:21:31
AEOFFICE.DLL : 8.1.2.76 205181 Bytes 16/08/13 13:53:55
AEHEUR.DLL : 8.1.4.556 6115706 Bytes 16/08/13 13:53:55
AEHELP.DLL : 8.1.27.4 266617 Bytes 30/06/13 14:12:51
AEGEN.DLL : 8.1.7.12 442743 Bytes 16/08/13 13:53:41
AEEXP.DLL : 8.4.1.46 287095 Bytes 16/08/13 13:54:01
AEEMU.DLL : 8.1.3.2 393587 Bytes 15/07/12 10:06:43
AECORE.DLL : 8.1.31.6 201081 Bytes 30/06/13 14:12:49
AEBB.DLL : 8.1.1.4 53619 Bytes 25/11/12 15:45:52
AVWINLL.DLL : 13.6.0.1550 23608 Bytes 16/08/13 13:57:41
AVPREF.DLL : 13.6.0.1550 48184 Bytes 16/08/13 13:58:49
AVREP.DLL : 13.6.0.1550 175672 Bytes 16/08/13 13:58:50
AVARKT.DLL : 13.6.0.1626 258104 Bytes 16/08/13 13:58:20
AVEVTLOG.DLL : 13.6.0.1550 164920 Bytes 16/08/13 13:58:28
SQLITE3.DLL : 3.7.0.1 394824 Bytes 16/08/13 14:00:28
AVSMTP.DLL : 13.6.0.1550 60472 Bytes 16/08/13 13:58:56
NETNT.DLL : 13.6.0.1550 13368 Bytes 16/08/13 13:59:58
RCIMAGE.DLL : 13.4.0.360 4782880 Bytes 16/08/13 13:57:46
RCTEXT.DLL : 13.6.0.1624 67640 Bytes 16/08/13 13:57:46

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: AVGuardAsyncScan
File di configurazione......................: C:\Documents and Settings\All Users\Dati applicazioni\Avira\AntiVir Desktop\TEMP\AVGUARD_521001d6\guard_slideup.avp
Report......................................: standard
Azione primaria.............................: ripara
Azione secondaria...........................: quarantena
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Non attivo
Scansione dei programmi attivi..............: Attivo
Scansiona la registrazione..................: Non attivo
Cerca Rootkits..............................: Non attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: completo

Avvio della scansione: domenica 18 agosto 2013 01:59

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '89' modulo(i) scansionato(i)
Scansione processo 'avscan.exe' - '95' modulo(i) scansionato(i)
Scansione processo 'ATKOSD.exe' - '14' modulo(i) scansionato(i)
Scansione processo 'HControl.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'CCleaner.exe' - '71' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '66' modulo(i) scansionato(i)
Scansione processo 'wmiapsrv.exe' - '47' modulo(i) scansionato(i)
Scansione processo 'avshadow.exe' - '21' modulo(i) scansionato(i)
Scansione processo 'TUProgSt.exe' - '19' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '44' modulo(i) scansionato(i)
Scansione processo 'nvsvc32.exe' - '33' modulo(i) scansionato(i)
Scansione processo 'jqs.exe' - '83' modulo(i) scansionato(i)
Scansione processo 'HWDeviceService.exe' - '29' modulo(i) scansionato(i)
Scansione processo 'ouc.exe' - '25' modulo(i) scansionato(i)
Scansione processo 'mDNSResponder.exe' - '34' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '72' modulo(i) scansionato(i)
Scansione processo 'regsvr32.exe' - '48' modulo(i) scansionato(i)
Modulo OK -> <C:\WINDOWS\system32\regsvr32.exe>
[NOTA] Processo 'regsvr32.exe' concluso
Modulo infetto -> <C:\WINDOWS\TEMP\5431.tmp>
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.ZPACK.Gen8
[NOTA] Il file è stato spostato in quarantena con il nome '5721ac93.qua'!
Scansione processo 'cmd.exe' - '26' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '42' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '57' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '40' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '35' modulo(i) scansionato(i)
Scansione processo 'Explorer.EXE' - '130' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '32' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '166' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '42' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '57' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '53' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '43' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '73' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '14' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '2' modulo(i) scansionato(i)

Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\WINDOWS\temp\5431.tmp'
Il percorso C:\WINDOWS\temp\5431.tmp non può essere trovato!
Errore di sistema [2]: Impossibile trovare il file specificato.


Fine della scansione: domenica 18 agosto 2013 02:01
Tempo impiegato: 02:08 Minuto(i)

La scansione è stata completamente eseguita.

0 Directory scansionate
4079 I file sono stati scansionati
1 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
1 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
4078 File non infetti
21 Archivi scansionati
0 Avvisi
2 Note



...e questo è il log di HijackThis

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 2.25.10, on 18/08/13
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Documents and Settings\All Users\Dati applicazioni\Chiavetta Internet\OnlineUpdate\ouc.exe
C:\Documents and Settings\All Users\Dati applicazioni\DatacardService\HWDeviceService.exe
C:\Programmi\Java\jre7\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre7\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [HW_OPENEYE_OUC_Chiavetta Internet] "C:\Programmi\Chiavetta Internet\UpdateDog\ouc.exe"
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{19B354A7-6BBC-40DF-A59A-CC1CD081C6B1}: NameServer = 212.216.0.100,151.99.125.2
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Chiavetta Internet. OUC (Chiavetta Internet. RunOuc) - Unknown owner - C:\Programmi\Chiavetta Internet\UpdateDog\ouc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HWDeviceService.exe - Unknown owner - C:\Documents and Settings\All Users\Dati applicazioni\DatacardService\HWDeviceService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programmi\Java\jre7\bin\jqs.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programmi\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Programmi\Skype\Updater\Updater.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 6489 bytes


Potete dare una occhiata per capire qual'è il problema?

Grazie mille

Ciao.
Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema (consigliato)

Segui questo percorso:
C:\WINDOWS\TEMP\5431.tmp
Elimina il file in rosso.

Svuota il cestino.

Poi:
Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.

Per postare il log:

Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

Extras.Txt

Ciao.
Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:



Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.

Rifai una scansione con Avira e vedi se rileva ancora infezioni.

Non dovrebbe cambiare niente.
In caso contrario me ne accorgerò dal log che posterai. (quello delle eliminazioni e cioè RUN-FIX)

Ho aperto ccleaner ....cliccato su analizza....e avast mi ha segnalato di nuovo il solito files nella cartella temp ...(punto e a capo?)



volevo dire avira

tutto fatto!
posto il report
TDSSKiller.2.8.16.0_18.08.2013_16.29.17_log.txt


ho fatto la solita prova: apro ccleaner , analizzo e ....avira continua a segnalare il solito file! (mannaggia!)


...ero infetto da Backdoor.Win32.Sinowal.d ??
Lo sono ancora?
Io ho seguito il tuo procedimento in modalità normale....sarà il caso di ripetere in modalità provvisoria disattivando il ripristino di configurazione di sistema?

I link non funzionano.
Prova questo:
http://www.bleepingcomputer.com/download/aswmbr/
Clicca download Now, e segui le istruzioni che ho postato sopra.

No.
Non fare niente di più di quello che ti indico.
Lo esegui in modalità normale, e NON disattivi il Ripristino.
Hai il CD di ripristino?

Prima di fasciarci la testa, aspettiamo che si rompa.
In ogni caso salva i tuoi dati importanti da qualche parte.
Se le successive indicazioni non funzioneranno dovremo usare la Console di ripristino che si trova nel CD. (spero che non sia un "Recovery" ma un cd d'installazione originale di Windows che è cosa diversa dal Recovery.)