Dovrebbero essere tutti file di backup e restore è il ripristino, mi sembra strano che contengano trojan però ??

ciao

come ti ha anticipato cbbusto ( che saluto ) questi file sono file di bk e/o restore
quando si è colpiti da un cosidetto virus , noi lo abbattiamo con un antivirus che lo blocca e lo rinomina
( ad esempio lo rende incapace di fare danni e/o muoversi e combinare casini )
in effetti un antivirus , non cancella , ma rinomina

per andare nel meno tecnico ...ma funzionale ( cioè che tu possa sopravvivere al computer )
è consigliabile ogni qualvolta che combatti e vinci un malware

bisognerebbe farsi un punto di ripristino .... e con elimina ,
eliminare tutti i punti di ripristino precedenti che oramai sono infettati

io adesso non so se hai eliminato dei punti di ripristino o fatto altro e sono rimasti rimasugli
quindi

creerei un nuovo punto di ripristino
e poi con la funzione elimina .... cancellerei tutti i precedenti

e poi rifarei la mia scansione antivirus in modalità provvisoria per verificare se tutto è a posto

ciao


ps .... per favore posta un hijacktis

---

Ecco il log, grazie anticipate

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 22.38.36, on 17/09/2015
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)


Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Logitech\Logitech WebCam Software\LWS.exe
C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\File comuni\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Enigma Software Group\SpyHunter\SH4Service.exe
C:\Programmi\Enigma Software Group\SpyHunter\SpyHunter4.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\pierino\Impostazioni locali\Temporary Internet Files\Content.IE5\9QA0MYLU\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programmi\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpyHunter Security Suite] "C:\Programmi\Enigma Software Group\SpyHunter\SpyHunter4.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON SX100 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE /FU "C:\WINDOWS\TEMP\E_S152.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programmi\File comuni\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programmi\Malwarebytes Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: SpyHunter 4 Service - Enigma Software Group USA, LLC. - C:\Programmi\Enigma Software Group\SpyHunter\SH4Service.exe

--
End of file - 6618 bytes

Scusami maopapof non volevo fare cose non volute, ora faccio il punto di ripristino e cancello tutti gli altri e vedo se a questo punto riesco a fare la scansione in modalità provvisoria. ti ringrazio ancora dell'aiuto.

maopapof scrivo da altro pc, ho eliminato tutti i punti di ripristino, dopo averne creato uno, ho provato a eseguire chkdisk ma mi dice che verrà eseguito al prox avviamento. Spento il pc e rifatto il chk ma mi dice :volume in uso da altro processo. Programmare il controllo al riavvio successivo

ore 0,38 la scansione standard non ha riscontrato nessuna anomalia

Buongiorno cbbusto, grazie anche a te per l'interessamento ,ma mi incuriosisce il fatto che leggendo quello che si dice del ransomware rsa2048 sembra che dei cybercriminali siano riusciti a impadronirsi dei file del mio pc e che a medio termine non saranno più leggibili da me salvo eseguire un pagamento in bitcoin per ottenere la chiave di sblocco.Mi sembra una grande str......ta però ho dei dubbi e quindi in ultima analisi opterò per il ripristino del sistema. Grazie e vi terrò informati sulla situazione se dovessi avere ancora problemi.

Pazienza se il buono a nulla di mao non ci capisce una mazza del problema dell'utente dispensando indicazioni a casaccio....... ma tu....
Possibile che non si capisca che l'utente è stato colpito da un ransom (CryptoLocker) che cripta i dati con una chiave RSA2048 ?
https://it.wikipedia.org/wiki/RSA
Ma basta leggere il testo in inglese che ha postato per capirlo.
E per quanto riguarda i Bitcoin:
https://it.wikipedia.org/wiki/Bitcoin
Oltre a essere una moneta "reale" è usata ampiamente dagli hacker proprio perchè garantisce l’anonimato.

Ciao cbbusto

Non sono file di backup.
Sono file di testo (txt) che indicano all'utente l'indirizzo del server su cui pagare il riscatto.(HTML)


Io vorrei una conferma dall'utente visto che detti file si trovano su numerose cartelle che quasi sicuramente contengono dati.


Frase che dovresti dire a chi le fà fare le scansioni inutili........ fra l'altro con una boria e un'arroganza di chi ne sà un pozzo di informatica...


In via amichevole caro cbbusto un conto è capire il problema e un'altro è risolverlo.
Quindi prendermi certe responsabilità sapendo che non ho le conoscenze giuste non lo trovo onesto nei confronti di chi è già in difficolta per conto suo.
Queste cose le lascio a chi ha la faccia tosta di scrivere cose senza nemmeno sapere di cosa si tratta e senza perlomeno informarsi in rete.
E sempre in via amichevole se le mie "critiche" ti hanno turbato chiedo venia.
Un saluto anche da parte mia.