Olimpo Informatico

[lestobrante]

Salve a tutti ho un problema con il virus in Oggetto. Il PC monta WinVista SP1 e ho installato Avira e Comodo Firewall.
Il problema è un pochino particolare: hijackthis non segnala nessuna anomalia e nemmeno la scansione con avira visualizza la presenza del trojan. Il centro di sicurezza appare disabilitato e posso riattivarlo solo dai servizi degli strumenti di amministrazione del pannello di controllo. Effettuo le modifiche per il suo avvio automatico,chiudo i servizi , li riapro e compare sempre la dicitura disabilitato. Il file eseguibile del centro sicurezza è C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted. Se vado a ricercare tale file e ci clicco sopra compare la segnalazione ( la stessa cosa accade anche se clicco su C:\Windows\System32\svchost.exe) di avira del trojan in questione. Tale seganalazione è relativa al file C:\Windows\System32\ovfsthunkitcirxxqbvvfstocqoohsceqkjsvv.dll.
Nella cartella tuttavia non riesco avisualizzare il file (ho reso i file nascosti e di sistema visibili). Se provo a ripristinare il file dalla quarantena di Avira (per provare ad inviarlo a www.virustotal.com e http://virscan.org)
mi dice che tale file è già presente nella cartella e non riesce nemmeno a sovrascriverlo.
Durante la scansione di avira (che non rileva la presenza di problemi) compare varie volte:" Error detected in AntiVir Guard.
Error message: Action failed for file: C:\Windows\System32\ovfsthunkitcirxxqbvvfstocqoohs ceqkjsvv.dll
Error code: [0x00000005 - Accesso negato.]".
Vi sarei grato per l'aiuto.

[bdoriano]

Ciao lestobrante e benvenuto,

procedi con queste operazioni preliminari:

• Pulisci i files temporanei con CCleaner
  
• Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
  
• Segui le istruzioni di questo topic per usare MBAM.
  
• scarica e installa la versione Free di SuperAntispyware:
  la configuri come da immagini:
  
  
  
  
  esegui una scansione completa del sistema
  
• Fai questa scansione con SystemScan.
  
• Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  
  • Carica il log di MBAM su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SuperAntiSpyware su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SystemScan su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.

PS: se vuoi, puoi presentarti al Caffé dell'Olimpo.

[lestobrante]

per bdoriano: grazie mille per il benvenuto e per la tempestiva risposta...
Eseguirò quanto consigliato e poi ti farò sapere...
Grazie ancora

[lestobrante]

per bdoriano: di nuovo grazie dei consigli. Ho effettuato tutti i passaggi che hai suggerito in modalità provvisoria e sembra che il problema sia stato risolto. I vari software hanno rilevato la presenza del trojan e lo hanno eliminato. Al riavvio in modalità normale il centro sicurezza del pc riparte in modalià automatica e cliccare su C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted o C:\Windows\System32\svchost.exe non causa il riapparire della segnalazione di avira.
L'unica anomalia è che la scansione della cartella c:/windows/system32 con avira segnala: "Begin scan in 'C:\Windows\System32'
C:\Windows\System32\drivers\sptd.sys
[WARNING] The file could not be opened!"
Non so se questo possa costituire un problema o meno.
Allego i vari log per un tuo gentile riscontro.

log di MBAM

log di SuperAntiSpyware

log di SystemScan

Ciao e grazie ancora

[bdoriano]

sptd.sys è roba di Daemon Tools. Nulla di preoccupante, direi.

MBAM ha svolto il grosso del lavoro.
Segui le istruzioni di questo topic per postare il log di combofix.

[lestobrante]

per bdoriano: ecco qui di seguito il log di combofix:

ComboFix.txt

Spero che a questo punto la situazione sia tornata alla "normalità".
Mille grazie