Se forse posti un log...

Sono riuscito ad avviare la modalità provvisoria e ho avviato Dr. Web (aggiornato qualche giorno fa), che sta ancora girando (scrivo da altro pc) e ha trovato finora varie infezioni di trojan.touch.205 e win32 induc (questo in una cartella recentemente scaricata di wise cleaner). Avevo cercato di attivare anche SpybotSD (che qualcuno giudica il migliore per i trojan), ma mancava l'aggiornamento delle firme; allora ho attivato l'immunizzazione (non so se ho fatto bene).
Vi posto il log, preso mentre dr.web stava girando:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.44.12, on 20/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Spyware Doctor\pctsAuxs.exe
C:\Programmi\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
F:\DR WEB\drweb-cureit.exe
C:\DOCUME~1\USER\IMPOST~1\Temp\RarSFX1\j222d4.exe
C:\DOCUME~1\USER\IMPOST~1\Temp\RarSFX1\384ek.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\rundll32.exe
E:\unzipped\Hijackthis ultimo\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\cfp.exe" -s
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Programmi\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programmi\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-602162358-492894223-1708537768-500\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Administrator')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Selezione intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\pctsSvc.exe

--
End of file - 5478 bytes

In modalita' provvisoria il log non risulta completo. Se non riesci a far partire win, ti consiglio questi antivirus su live cd.Usa un altro pc,scarica l'immagine iso,masterizza su un cd e fai partire il pc con il cd inserito. Segui la guida http://www.chicchedicala.it/2008/10/03/i-migliori-cd-live-per-eliminare-virus/
Io userei Kaspersky

Quanta confusione......
Quando non si sà con precisione, di cosa si tratta, bisogna evitare di dare indicazioni a caso.
Capisco, e apprezzo la buona volontà, di cercare di aiutare un amico in difficolta, ma cosi' si peggiorano le cose.
Fra l'altro, quando si danno suggerimenti diversi uno dall'altro, si mette in ulteriore difficoltà l'amico , per cui, non sà più neanche da che parte girarsi.
Dico questo, con la speranza che nessuno si offenda,mi dispiacerebbe.

@musatti :
Disistalla da "Installazione Applicazioni" (compreso il TEA TIMER) Spybot.
Disistalla completamente PC Tools Auxiliary Service e pure PC Tools Security Service
Disistalla completamente Spyware Doctor.

Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Nella schermata iniziale di CCleaner, clicca su Opzioni e poi Avanzate, togli il segno di spunta a: Cancella i file in Windows Temp solo se più vecchi di 48 ore. (poi esegui le pulizie)

Poi fai:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)

Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO


Poi:
Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema (consigliato)

Con la funzione "Cerca" trova e cancella i file in rosso:

C:\DOCUME~1\USER\IMPOST~1\Temp\RarSFX1\j222d4.exe
C:\DOCUME~1\USER\IMPOST~1\Temp\RarSFX1\384ek.exe

Riavvia il pc.

Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
Posta il log.

Vediamo se riesci a fare queste operazioni, e dirmi, cosa funziona, e cosa non funziona.

[quote=r16]Quanta confusione......
Quando non si sà con precisione, di cosa si tratta, bisogna evitare di dare indicazioni a caso.
Capisco, e apprezzo la buona volontà, di cercare di aiutare un amico in difficolta, ma cosi' si peggiorano le cose.
Fra l'altro, quando si danno suggerimenti diversi uno dall'altro, si mette in ulteriore difficoltà l'amico , per cui, non sà più neanche da che parte girarsi.
Dico questo, con la speranza che nessuno si offenda,mi dispiacerebbe.



Nessuna offesa,ricevuto Capo!!!!

Fai le operazioni,come te lo permette il pc.
L'importante è che tu le esegua.

@monsee :
Infatti , ho preso tutti, erroneamente.
Scusa.

Per bazzu e Eco:
Quanto detto, non significa, che non dovete MAI intervenire.
Ci mancherebbe altro.
Anzi, se succede che per vari motivi, avete delle soluzioni valide, queste, sono sempre bene accette.
E non mandatemi a quel paese......

Pe R16: nessun problema, assolutamente. In effetti, abbiamo fatto un po' di confusione deviando dal problema principale.
Hai fatto benissimo a "mollare un fischio" per mettere un po' d'ordine.
Ciao.

Malwarebytes' Anti-Malware 1.40
Versione del database: 2672
Windows 5.1.2600 Service Pack 2

22/08/2009 21.39.49
mbam-log-2009-08-22 (21-39-49).txt

Tipo di scansione: Scansione completa (C:\|E:\|F:\|)
Elementi scansionati: 164984
Tempo trascorso: 3 hour(s), 15 minute(s), 37 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 3
Valori di registro infetti: 0
Elementi dato del registro infetti: 2
Cartelle infette: 3
File infetti: 9

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3ba4271e-5c1e-48e2-b432-d8bf420dd31d} (Rogue.DeusCleaner) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ErrorKiller (Rogue.ErrorKiller) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ErrorKiller (Rogue.ErrorKiller) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Cartelle infette:
C:\Documents and Settings\USER\Dati applicazioni\ErrorKiller (Rogue.ErrorKiller) -> Quarantined and deleted successfully.
C:\Documents and Settings\USER\Dati applicazioni\ErrorKiller\Log (Rogue.ErrorKiller) -> Quarantined and deleted successfully.
C:\Documents and Settings\USER\Dati applicazioni\ErrorKiller\Registry Backups (Rogue.ErrorKiller) -> Quarantined and deleted successfully.

File infetti:
C:\Documents and Settings\USER\Dati applicazioni\ErrorKiller\Errors.stg (Rogue.ErrorKiller) -> Quarantined and deleted successfully.
C:\Documents and Settings\USER\Dati applicazioni\ErrorKiller\Results.stg (Rogue.ErrorKiller) -> Quarantined and deleted successfully.
C:\Documents and Settings\USER\Dati applicazioni\ErrorKiller\Log\2007 Jul 09 - 05_27_34 PM.log (Rogue.ErrorKiller) -> Quarantined and deleted successfully.
C:\Documents and Settings\USER\Dati applicazioni\ErrorKiller\Log\2007 Jul 09 - 05_27_41 PM.log (Rogue.ErrorKiller) -> Quarantined and deleted successfully.
C:\Documents and Settings\USER\Dati applicazioni\ErrorKiller\Log\2007 Jul 09 - 06_49_11 PM.log (Rogue.ErrorKiller) -> Quarantined and deleted successfully.
C:\Documents and Settings\USER\Dati applicazioni\ErrorKiller\Log\2007 Jul 09 - 06_49_16 PM.log (Rogue.ErrorKiller) -> Quarantined and deleted successfully.
C:\Documents and Settings\USER\Dati applicazioni\ErrorKiller\Log\2009 Aug 18 - 09_52_43 PM.log (Rogue.ErrorKiller) -> Quarantined and deleted successfully.
C:\Documents and Settings\USER\Dati applicazioni\ErrorKiller\Registry Backups\2007-07-09_17-37-52.reg (Rogue.ErrorKiller) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\ErrorKiller Scheduled Scan.job (Rogue.ErrorKiller) -> Quarantined and deleted successfully.


r16 come vedi ho fatto come mi hai consigliato e ti ringrazio. Ora il pc va un po' meglio; ma ora devo fare qualcos'altro? questo proghramma lo tengo fisso (non ho ancora visto le altre funzionalità); la scansione l'ho fatta il modalità normale, solo il disco E aveva il ripristino bloccato; con la scansione di dr.web avevo messo in quarantena altri 13 virus, non so se alcuni di questi sono gli stessi. Mentre girava questo programma Avast si è svegliato e ha trovato 2 virus. Mi consigli di tenerlo o di mettere qualcos'altro? come firewall ho comodo, che però disturba un poco per i comtinui messaggi e perché non sembra riconoscere le applicazioni che avvio io...grazie per i consigli, ti sono obbligato

Sì, sono d'accordo, ma vorrei prodotti gratuiti e, se possibile, non troppo grossi perché ho poca RAM.