Un virus ha bloccato microsoft security essentials (che risulta ancora attivo nonostante io lo abbia eliminato manualmente con un tool). Non è consentito l'accesso a siti per la scansione antivirus online e, in parte, non è consentita l'installazione di antivirus (avg, panda, etc.). Poco fa però sono riuscito a installare Avira che ha trovato un virus (se vuoi posto nuovamente il log). L'accesso a msn, come pure a Ie sono interdetti. Io comunque uso firefox e con quello non ho problemi. L'apertura di word è rallentata e problematica. Se clicco su Mostra desktop il sistema si rallenta e si riprende solo dopo un po'. La modalità provvisoria è disponibile e scarico gli aggiornamenti del pc senza problemi (ho xp sp3 aggiornatissimo, peraltro 5 minuti fa ho installato un nuovo update). Ho usato combo, spybot, adaware, vari removal tool (tra cui anche quelli per bagle) senza grossi risultati. Ho disabilitato il ripristino del sistema. Questi grosso modo i problemi.

ecco il log di Hjt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:52:48, on 21/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Mozilla Firefox 3.6 Beta 1\firefox.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
c:\programmi\avira\antivir desktop\avcenter.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Programmi\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "c:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "c:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1245967695309
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199054680423
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1257463031838
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett Packard Company - C:\Programmi\HPQ\SHARED\HPQWMI.exe

--
End of file - 4544 bytes

Ciao, dopo ore di scansione ecco il risultato di dr.web:

>C:\Documents and Settings\Pier Luigi\Desktop\ComboFix.exe - archivio contenente oggetti infetti - spostato
>C:\Programmi\Microsoft Office\OFFICE11\1040\JSCRIPT5.CHM/htm/jstextwriteln.htm infetto da una versione modificata di VBS.Generic.94
C:\Programmi\Microsoft Office\OFFICE11\1040\JSCRIPT5.CHM - archivio contenente oggetti infetti - spostato
C:\Programmi\FindyKill\Tools\Process.exe è un programma hacktool Tool.Prockill
C:\Qoobox\Quarantine\C\WINDOWS\system32\Process.exe.vir è un programma hacktool Tool.Prockill
C:\System Volume Information\_restore{6CDC3352-F5D9-4687-BE2A-DF260E07A34F}\RP1\A0000010.exe è un programma hacktool Tool.ProcessKill.7
C:\System Volume Information\_restore{6CDC3352-F5D9-4687-BE2A-DF260E07A34F}\RP1\A0000012.exe è un programma hacktool Tool.Prockill
Statistiche delle Scansioni

---

Oggetti controllati: 278650
Trovati oggetti Infetti: 0
Trovato Oggetti modificati: 1
Trovato oggetti Sospetti: 5
Trovato Adware: 0
Trovato Dialer: 0
Trovato Joke: 0
Trovato Riskware: 0
Trovato Hacktool: 5
Oggetti curati: 0
Oggetti cancellati: 0
Oggetti rinominati: 0
Oggetti spostati: 3
Oggetti ignorati: 0
Velocità di scansione: 50 Kb/s
Durata scansione: 19:15:45

---

>C:\System Volume Information\_restore{6CDC3352-F5D9-4687-BE2A-DF260E07A34F}\RP3\A0000318.exe - archivio contenente oggetti infetti - spostato

Ciao.
Non preoccuparti per questi file: (sono di Combofix, che DoctorWeb rileva come virus)

Esegui queste operazioni:
Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Disinstalla combofix in questo modo:
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di Combofix e (qoobox)
Poi, con la funzione "Cerca" di Windows, digita nei due campi: Combofix ed elimina tutto quello che trova.

Disistalla FindyKill.

In pratica, disistalla TUTTI (compreso dr.web) i software che hai installato ultimamente. (NON Avira).

Fai una pulizia con CCleaner (registro compreso).

Scarica VIRIT :
http://www.tgsoft.it/italy/download.htm lo aggiorni (cliccando sulla parabola in alto) e fai la scansione in Modalità Provvisoria (è molto importante).
Posta anche il log. (lo trovi sull'icona in alto, con raffigurato un block notes ,con una penna)
Fai anche una scansione in Modalità normale.

Non conosco questo software.

Per vedere (non elimina nulla) lo stato generale del tuo pc, mi serve questa scansione:

SYSTEM SCAN

scaricalo sul desktop
http://www.suspectfile.com/systemscan
Aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now"
Finita la scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

NB:
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così.
SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.

Quali?
Al limite falle saltare.

P.S:
Ciao.
Ho notato che utilizzi Firefox in versione Beta.
Non è consigliato di installare software in versione Beta, in quanto, sono in "prova" (Beta, appunto)
Tra l'altro la tua versione, è già obsoleta : Firefox 3.6 Beta 1
E' uscita la versione: Firefox 3.6 Beta 3
Io proverei a disistallarlo, e aspetta a installare l'ultima versione Beta.
Non vorrei che fosse Firefox il problema.

Ciao, sì uso firefox beta, aggiornato alla 3; non lo userò però quello non mi dà problemi, il problema è invece su ie8 che non uso mai!. non sono riuscito a fare la scansione dei file bak. Posto qui o sul link che mi avevi indicato?

Ho postato i risultati ma non mi si è aperto il forum...


Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

Ciao,
ho capito dov'è l'infezione. cartella documents and settings/pier luigi/dati applicazioni/microsoft. Me la segnala nascosta e vuota, in realtà ci sono vari file che mi ha rivelato un programmino. Come li elimino?

questi file sono indicati come rootkit ma anche se con il programma pscanner++ clicco fix, non riesce a eliminarli

- C:\Documents and Settings\Pier Luigi\Dati applicazioni\Microsoft\.. successfully marked to be deleted on next reboot.
- C:\Documents and Settings\Pier Luigi\Dati applicazioni\Microsoft\AddIns.exe not found.
- C:\Documents and Settings\Pier Luigi\Dati applicazioni\Microsoft\Address Book.exe not found.
- C:\Documents and Settings\Pier Luigi\Dati applicazioni\Microsoft\Clip Organizer.exe not found.
- C:\Documents and Settings\Pier Luigi\Dati applicazioni\Microsoft\CLR Security Config.exe not found.
- C:\Documents and Settings\Pier Luigi\Dati applicazioni\Microsoft\Credentials.exe not found.
- C:\Documents and Settings\Pier Luigi\Dati applicazioni\Microsoft\CryptnetUrlCache.exe not found.
- C:\Documents and Settings\Pier Luigi\Dati applicazioni\Microsoft\Crypto.exe not found.
- C:\Documents and Settings\Pier Luigi\Dati applicazioni\Microsoft\Excel.exe not found.
- C:\Documents and Settings\Pier Luigi\Dati applicazioni\Microsoft\HTML Help.exe not found.
- C:\Documents and Settings\Pier Luigi\Dati applicazioni\Microsoft\IdentityCRL.exe not found.
- C:\Documents and Settings\Pier Luigi\Dati applicazioni\Microsoft\InfoPath.exe not found.