Olimpo Informatico

[levatore]

Ciao e buon primo maggio a tutti. Dopo una recente formattazione Prevx ha immediatamente rilevato un Malware Component in ( c:\windows\system32\nv4_disp.dll ),
identico per nome e percorso a quello gia' presente nella vecchia installazione dove purtroppo non riuscii ad eliminarlo (motivo per cui ho reinstallato xp_home)!! Ho il sospetto di essermi reinfettato con memorie usb esterne di cui faccio uso (in alcune salvo dati, con il modem usb 3 mi collego ad internet). Ho scansionato il pc con vari software dei quali riporto esito:

_Norman Malware Cleaner (in modalita' provvisoria mi segnala: unable to load nsak.sys.Error(0x00000001)
_Bagle_Restore_1.6 (Applicazione non correttamente inizializzata)
_Gmer (scansione effettuata)
_removaltool-win32-en (non ha rilevato nulla)
_scansione online con Bit Defender (non ha rilevato nulla)
_prevx free(ha rilevato un Malware Component "nv4_disp.dll in c:\windows\system32\")

Gmer a fine scansione ha rilevato anomalie nella scheda "Registro" (risultano di colore rosso 6 stringhe dentro la cartella Windows). Il percorso delle chiavi alterate e' il seguente: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\(qui ci sono i 6 valori di colore rosso).
Da start/esegui/regedit sono risalito sino alla cartella Windows nel tentativo di rimuovere le chiavi, ma al click sulla cartella appare una finestra che avvisa "Impossibile aprire windows.Errore durante l' apertura della chiava".
Quindi da regedit non ho accesso, e da Gmer(click sulle voci in rosso con tasto dx) non mi sembra sia possibile cancellarle.

HijackThis hijackthis.log
e Gmer log_gmer.txt

Dimenticavo:
_xp home
_service pack 3
_avira free
_superantispyware
_prevx free

Grazie a chi vorra' dare uno sguardo !!!

[R16]

Ciao.
Io non vedo infezioni nel log di Gmer.
E il file che menzioni, (nv4_disp.dll ) mi risulta che appartenga alla scheda grafica.

Comunque prova eseguire queste operazioni:
1)Segui le istruzioni di questo topic per usare MBAM:
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.
Elimina i file infetti trovati.

2)Segui le istruzioni di questo topic per usare Combofix:
http://forum.zeusnews.com/viewtopic.php?t=45224

Esegui le scansioni cronologicamente (prima Mbam, poi Combofix) e posta i log.

[levatore]

Ciao R1, e grazie per l' attenzione.

ecco il log mbam
mbam-log-2010-05-01 (19-09-30).txt

e combofix log_combofix.txt

Come mai pero' non mi e' possibile entrare nella cartella Windows da regedit, secondo te?

Grazie, a dopo

[R16]

Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe e poi clicca Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

[levatore]

Ecco il nuovo log ComboFix.txt

Adesso riesco ad aprire la cartella windows da regedit e le voci al suo interno non sono piu' di colore rosso!!

Quel malware che rileva prevx, invece, potrebbe essere causato da un settaggio del livello di protezione eccessivo per cui lo vede come falso positivo?

[R16]

[levatore]

Scusa l' ora ma lo scan disk ha impiegato un' eternita'. ho eseguito tutti i passaggi e creato un nuovo punto di ripristino. Finalmente il led di prevx e' di colore verde!!!!! L' ultimo link che hai postato(per il ripristino della configurazione di sistema) punta ad una pagina del caffe' dell' olimpo, e mi e' venuto da sorridere perche' proprio stasera mentre ero in attesa di ricevere tue istruzioni, per combinazione un giretto da quelle parti l' avevo gia' fatto.

Un immenso grazie R1
Ciao 'notte (strano, le emoticons non funzionano)

[R16]

[levatore]

Ma figurati, sei sempre cosi' gentile. Grazie ancoradi tutto