Olimpo Informatico

[viciccio]

Ciao a tutti! è la prima volta che scrivo in questo forum perchè ho un problema abbastanza serio con il computer e spero di riuscire a risolverlo grazie a l vostro aiuto...come sistema operativo ho windows XP e da tre giorni Internet Explorer sembra completamente impazzito, è impossibile connettersi e quando ci riesco le pagine si chiudono improvvisamente oppure restano completamente bianche (come incantate) e temo sia opera di qualche virus.
Ho già effettuato delle scansioni con hijackthis e gmer! posto qui di seguito i logs sperando possano essere utili per diagnosticare qualcosa GRAZIE DAVVERO A CHIUNQUE SI INTERESSERA' A QUESTO CASO

Il log di hijack è il seguente:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.19.37, on 19/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\CFusionMX\runtime\bin\jrunsvc.exe
C:\CFusionMX\db\slserver52\bin\swagent.exe
C:\CFusionMX\db\slserver52\bin\swstrtr.exe
C:\CFusionMX\runtime\bin\jrun.exe
C:\CFusionMX\db\slserver52\bin\swsoc.exe
C:\WINDOWS\system32\mgabg.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\DRIVERS\WtSrv.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: ColdFusion MX Application Server - Macromedia Inc. - C:\CFusionMX\runtime\bin\jrunsvc.exe
O23 - Service: ColdFusion MX ODBC Agent - Unknown owner - C:\CFusionMX\db\slserver52\bin\swagent.exe
O23 - Service: ColdFusion MX ODBC Server - Unknown owner - C:\CFusionMX\db\slserver52\bin\swstrtr.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe

--
End of file - 4322 bytes



Il logs di gmer:

[URL="http://www.freefilehosting.net/files/3c9df"]GMER13.txt[/URL]

[URL="http://www.freefilehosting.net/files/3c9dg"]GMER25.txt[/URL]

[Sante62]

Ciao viciccio e benvenuto...
C'è un rootkit che ovviamente non si vede dai log...
Scarica e fai le scansioni con questi tool:
Virit
Aggiornalo mediante l'icona della parabola posta nella barra in alto e fagli fare la scansione completa del PC.
Fai in modo che rimuova automaticamente i file infetti trovati.
Non dimenticare di disattivare momentaneamente il tuo antivirus.
Incolla poi quì il risultato;
Combofix
e posta il risultato come indicato;
Norman Malware Cleaner
disattiva il ripristino di sistema e avvia il PC in modalità provvisoria
Avvia Norman Malware Cleaner.
Viene generato un log sul desktop chiamandolo NFix_2008-01-gg_hh-mm-ss.log, alla fine della scansione postalo qui.
Alla fine di tutto posta anche un log di HJT aggiornato...

[viciccio]

Ciao Sante grazie per il benvenuto e soprattutto per il soccorso.
Passo subito ad elencarti i risultati sperando di aver eseguito tutto correttamente



VIRIT

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Programmi\File comuni\Microsoft Shared\Web Folders\dc6795.tmp Infetto da Trojan.Win32.Dialer.JS
* * * RIMOSSO * * *

Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 102608.
Files Totali: 102608.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.





COMBOFIX


ComboFix 08-02-17.2 - Gallo 2008-02-21 0.01.40.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.251 [GMT 1:00]
Eseguito da: C:\Documents and Settings\Gallo\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\autorun.inf
F:\MS32DLL.dll.vbs

.
((((((((((((((((((((((((( Files Creati Da 2008-01-20 al 2008-02-20 )))))))))))))))))))))))))))))))))))
.

2008-02-20 20:36 . 2008-02-14 21:04 39,808 --a------ C:\WINDOWS\system32\drivers\VIRAGTLT.SYS
2008-02-20 20:35 . 2008-02-20 22:30 <DIR> d-------- C:\VEXPLITE
2008-02-19 18:00 . 2008-02-19 18:00 <DIR> d-------- C:\Programmi\Avira
2008-02-19 18:00 . 2008-02-19 18:00 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Avira
2008-02-19 17:55 . 2004-08-03 22:31 20,992 --a------ C:\WINDOWS\system32\drivers\RTL8139.sys
2008-02-19 17:55 . 2004-08-03 22:31 20,992 --a--c--- C:\WINDOWS\system32\dllcache\rtl8139.sys
2008-02-17 21:11 . 2008-02-17 21:11 268 --ah----- C:\sqmdata04.sqm
2008-02-17 21:11 . 2008-02-17 21:11 244 --ah----- C:\sqmnoopt04.sqm
2008-02-17 18:02 . 2008-02-19 21:31 250 --a------ C:\WINDOWS\gmer.ini
2008-02-17 16:57 . 2008-02-17 16:57 <DIR> d-------- C:\Programmi\Trend Micro
2008-02-17 15:49 . 2008-02-17 15:50 <DIR> d-------- C:\Programmi\Webteh
2008-02-17 15:47 . 2008-02-17 15:47 <DIR> d-------- C:\Programmi\Windows Live Favorites
2008-02-16 23:07 . 2007-12-18 10:51 179,584 --a------ C:\WINDOWS\system32\drivers\mrxdav.sys
2008-02-16 23:06 . 2007-12-04 19:40 550,912 --a------ C:\WINDOWS\system32\oleaut32.dll
2008-02-16 20:44 . 2008-02-16 20:44 268 --ah----- C:\sqmdata03.sqm
2008-02-16 20:44 . 2008-02-16 20:44 244 --ah----- C:\sqmnoopt03.sqm
2008-02-16 20:34 . 2008-02-16 20:34 268 --ah----- C:\sqmdata02.sqm
2008-02-16 20:34 . 2008-02-16 20:34 244 --ah----- C:\sqmnoopt02.sqm

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-18 22:32 --------- d-----w C:\Documents and Settings\Gallo\Dati applicazioni\uTorrent
2008-02-17 14:51 --------- d-----w C:\Programmi\CDex_150
2008-02-17 14:50 --------- d-----w C:\Programmi\Babylon(2)
2008-02-17 14:50 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Babylon
2008-02-17 14:49 --------- d-----w C:\Programmi\Webteh(2)
2008-02-17 14:49 --------- d-----w C:\Programmi\MediaCoder
2008-02-17 14:47 --------- d-----w C:\Programmi\Windows Live Toolbar
2008-02-17 13:41 --------- d-----w C:\Documents and Settings\Gallo\Dati applicazioni\Babylon
2008-02-13 08:19 --------- d-----w C:\Documents and Settings\Gallo\Dati applicazioni\AdobeUM
2007-12-07 01:06 662,016 ----a-w C:\WINDOWS\system32\wininet.dll
2007-08-18 17:56 2,293,712 ----a-w C:\Programmi\FLV PlayerFCSetup.exe
2007-08-18 17:53 3,655,608 ----a-w C:\Programmi\FLV PlayerRCATSetup.exe
2007-08-18 17:51 411,248 ----a-w C:\Programmi\FLV PlayerRCSetup.exe
2007-07-23 20:31 92,064 ----a-w C:\Documents and Settings\Gallo\mqdmmdm.sys
2007-07-23 20:31 9,232 ----a-w C:\Documents and Settings\Gallo\mqdmmdfl.sys
2007-07-23 20:31 79,328 ----a-w C:\Documents and Settings\Gallo\mqdmserd.sys
2007-07-23 20:31 66,656 ----a-w C:\Documents and Settings\Gallo\mqdmbus.sys
2007-07-23 20:31 6,208 ----a-w C:\Documents and Settings\Gallo\mqdmcmnt.sys
2007-07-23 20:31 5,936 ----a-w C:\Documents and Settings\Gallo\mqdmwhnt.sys
2007-07-23 20:31 4,048 ----a-w C:\Documents and Settings\Gallo\mqdmcr.sys
2007-07-23 20:31 25,600 ----a-w C:\Documents and Settings\Gallo\usbsermptxp.sys
2007-07-23 20:31 22,768 ----a-w C:\Documents and Settings\Gallo\usbsermpt.sys
2005-08-26 13:12 961 ----a-w C:\Programmi\uninstal.log
2005-08-15 09:17 1,112 ----a-w C:\Documents and Settings\Gallo\Dati applicazioni\ViewerApp.dat
2001-11-23 12:08 712,704 ----a-r C:\WINDOWS\inf\OTHER\audio3d.dll
2005-10-23 21:10 56 --sh--r C:\WINDOWS\system32\0A3923CD42.sys
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe" [2005-09-08 10:06 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2006-01-14 14:31 98304]
"MSConfig"="C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.exe" [2004-08-19 14:39 160256]
"avgnt"="C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-19 18:03 249896]
"VIRIT LITE MONITOR"="C:\VEXPLITE\MONLITE.EXE" [2008-02-14 20:39 245760]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 14:39 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma Loader.exe.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Adobe Gamma Loader.exe.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^FotoStation Easy AutoLaunch.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\FotoStation Easy AutoLaunch.lnk
backup=C:\WINDOWS\pss\FotoStation Easy AutoLaunch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^NkvMon.exe.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\NkvMon.exe.lnk
backup=C:\WINDOWS\pss\NkvMon.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
-ra------ 2002-01-28 17:16 1228800 C:\WINDOWS\mixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Reminder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-19 14:39 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Matrox Powerdesk]
--a------ 2001-09-21 17:35 622592 C:\WINDOWS\system32\PDesk\PDesk.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 17:24 1694208 C:\Programmi\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCLEUSBTip]
C:\Programmi\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
--------- 2003-11-10 15:06 406016 C:\WINDOWS\system32\PSDrvCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-01-14 14:31 98304 C:\Programmi\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2004-11-02 19:24 32768 C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WService]
--a------ 2002-09-07 11:23 28672 C:\WINDOWS\system32\WService.exe

R0 VIRAGTLT;VIRAGTLT;C:\WINDOWS\system32\drivers\VIRAGTLT.SYS [2008-02-14 21:04]
R2 ColdFusion MX ODBC Agent;ColdFusion MX ODBC Agent;C:\CFusionMX\db\slserver52\bin\swagent.exe "ColdFusion MX ODBC Agent" []
R2 viritsvclite;Virit eXplorer Lite;C:\VEXPLITE\viritsvc.exe [2007-10-10 12:12]
R3 G550DH;G550DH;C:\WINDOWS\system32\DRIVERS\g550dhm.sys [2001-09-28 19:13]
S3 sonypvs1;Sony Digital Imaging Video2;C:\WINDOWS\system32\DRIVERS\sonypvs1.sys [2002-10-15 21:41]
S3 UtilNT;UtilNT;C:\WINDOWS\system32\drivers\UtilNT.sys [2000-04-18 00:32]

*Newly Created Service* - VIRAGTLT
.
Contenuto della cartella 'Scheduled Tasks'
"2008-02-20 19:49:00 C:\WINDOWS\Tasks\Verifica aggiornamenti per Windows Live Toolbar.job"
- C:\Programmi\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-21 00:07:13
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-02-21 0.08.10
ComboFix-quarantined-files.txt 2008-02-20 23:07:37
ComboFix2.txt 2008-02-19 20:00:09
ComboFix3.txt 2008-02-18 12:58:11
ComboFix4.txt 2008-02-17 20:05:48
.
2008-02-19 13:34:11 --- E O F ---




NORMAN MALWARE CLEAR

Norman Malware Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/02/13 17:04:03

Norman Scanner Engine Version: 5.91.10
Nvcbin.def Version: 5.90.00, Date: 2008/02/13 17:04:03, Variants: 1304976

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600(Safe mode) Service Pack 2
Logged on user: X-B48249A42CD84\Gallo


Scan started: 21/02/2008 00:26:35


Scanning running processes and process memory...

Number of processes/threads found: 653
Number of processes/threads scanned: 653
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 5m 3s


Scanning file system...

Scanning: C:\*.*

C:\Program Files\C-Media\WIN_ME\Setup.exe (Infected with W32/Malware.BJPY)
Deleted file

C:\QooBox\Quarantine\F\autorun.inf.vir (Infected with VBS/Solow.C)
Deleted file

C:\QooBox\Quarantine\F\MS32DLL.dll.vbs.vir (Infected with VBS/Solow.B)
Deleted file

Scanning: c:\System Volume Information\*.*


Running post-scan cleanup routine:

Number of files found: 160966
Number of archives unpacked: 350
Number of files scanned: 160946
Number of files not scanned: 20
Number of files skipped due to exclude list: 0
Number of infected files found: 3




Number of infected files repaired/deleted: 3
Number of infections removed: 3
Total scanning time: 1h 34m 44s





HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.59.31, on 21/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\CFusionMX\runtime\bin\jrunsvc.exe
C:\CFusionMX\db\slserver52\bin\swagent.exe
C:\CFusionMX\runtime\bin\jrun.exe
C:\CFusionMX\db\slserver52\bin\swstrtr.exe
C:\CFusionMX\db\slserver52\bin\swsoc.exe
C:\WINDOWS\system32\mgabg.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\DRIVERS\WtSrv.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: ColdFusion MX Application Server - Macromedia Inc. - C:\CFusionMX\runtime\bin\jrunsvc.exe
O23 - Service: ColdFusion MX ODBC Agent - Unknown owner - C:\CFusionMX\db\slserver52\bin\swagent.exe
O23 - Service: ColdFusion MX ODBC Server - Unknown owner - C:\CFusionMX\db\slserver52\bin\swstrtr.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe

--
End of file - 4455 bytes




Ne uscirò mai?!?

[Sante62]

C'è il rootkit che non riesco a identificare...
fai la scansione con Systemscan e posta il log generato come
indicato quì

[viciccio]

Ecco [URL="http://www.freefilehosting.net/files/3cd4h"]report71.txt[/URL]

[Sante62]

A quanto ho capito si trova nel boot di sistema quindi perfettamente nascosto;

Se non sbaglio possiedi Virit;
altrimenti scaricalo da quì
Aggiornalo mediante l'icona della parabola posta nella barra in alto e fagli fare la scansione completa del PC però dalla modalità provvisoria questa volta;
Fai in modo che rimuova automaticamente i file infetti trovati.
Non dimenticare di disattivare momentaneamente il tuo antivirus.
Incolla poi quì il risultato. So che è capace di analizzare anche il boot quindi vediamo che cosa trova....

[viciccio]

Praticamente niente

[SCANSIONE DEL REGISTRO]
OK

[A:]
BOOT SECTOR: OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

[D:]


[C:]
BOOT SECTOR: OK



Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 103102.
Files Totali: 103102.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.


Comunque non riesco ad aggirnarlo con l'icona della parabola anche perchè ormai mi è impossibile collegarmi a internet... quando vado in "Opzioni Internet" mi spunta un messaggio del tipo si è verificata un'eccezione durante l'esecuzione di "C:\WINDOWS\system32\shell32.dll,Controll_RunDLL"C:\WINDOWS\system32\inetcpl.cpl",Opzioni Internet"

[Sante62]

Posta un log di Hijackthis....

[viciccio]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.55.04, on 23/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\CFusionMX\runtime\bin\jrunsvc.exe
C:\CFusionMX\db\slserver52\bin\swagent.exe
C:\CFusionMX\runtime\bin\jrun.exe
C:\CFusionMX\db\slserver52\bin\swstrtr.exe
C:\CFusionMX\db\slserver52\bin\swsoc.exe
C:\WINDOWS\system32\mgabg.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\DRIVERS\WtSrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: ColdFusion MX Application Server - Macromedia Inc. - C:\CFusionMX\runtime\bin\jrunsvc.exe
O23 - Service: ColdFusion MX ODBC Agent - Unknown owner - C:\CFusionMX\db\slserver52\bin\swagent.exe
O23 - Service: ColdFusion MX ODBC Server - Unknown owner - C:\CFusionMX\db\slserver52\bin\swstrtr.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe

--
End of file - 4496 bytes

[Sante62]

Il log sembra sempre pulito....
Scarica AVG Anti Rootkit

E semplice da utilizzare, dopo aver installato il file di setup è sufficiente cliccare sul pulsante Search for rootkits e attendere che venga completata la scansione. Posta il relativo risultato...

[viciccio]

Congratulations! There were no istalled rootkits found on your computer.

Forse più che un tool serve un esorcista

[viciccio]

Sono riuscito miracolosamente a connettermi e ad aggiornare Virit, faccio una nuova scansione... magari e la volta buona che concludo qualcosa! incrociate le dita, le gambe, gli alluci e qualsiasi cosa vi capiti a tiro per me

[viciccio]

Niente da fare anche aggiornando Virit il risultato non cambia

[Orange]

ciao

Per caso ti è arrivato qualche aggiornamento Windows prima che IE ha cominciato a fare le "bizze"?

[viciccio]

Ciao! guarda ricordo che nei primi giorni del disastro mi compariva all'accensione un messaggio che diceva qualcosa tipo "sono arrivati importanti aggiornamenti per la protezione di windows bla-bla-bla"... però controllando in istallazione applicazioni l'ultimo aggiornamento risale ai primi giorni di gennaio! purtroppo dopo una settimana di declino psicologico comincio ad avere qualche problemino di memoria ma credo di essere stato io a rimuovere l'aggiornamento di febbraio temendo fosse la causa dei casini con IE

[Orange]

Aspetta, ferma tutto....
Stavo dando un'occhiata al tuo log di SystemScan per cercare di capire qualcosa e guarda cosa ho visto:

[viciccio]

OHMIODDDDIOOOO!!!!

SI E' AGGIUSTATO!!! o almeno sembra! non mi dà più errore quando visito le proprietà internet, riesco a connettermi perfettamente e il computer non è più lento come prima mi sento mancare! GRAZIE, GRAZIE, GRAZIE, GRAZIE!!!

e ora cosa devo fare!?! non è che tra 5 minuti torna tutto come prima?!? devo fare qualche altra scansione per essere sicuro?!? cosa? cosa? cosa? sono troppo felicissimo!

[bdoriano]

Giusto per sicurezza, collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato.