Problema Virus Serio: HELP!!

[Andrefal]

Ciao a tutti,
ho un problema su un windows server 2000 che mi rallenta un sacco la macchina e per esempio ci mette un sacco di tempo ad aprirmi le risorse del computer, le cartelle etc...

Ho già fatto girare Norton e stinger, ho eliminato qualche Trojan ma non è migliorata molto la situazione.

Ho quindi lanciato HijackThis e vi posto di seguito il log qualcuno mi può dare una mano??

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19.27.04, on 18/02/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Programmi\Symantec\pcAnywhere\awhost32.exe
C:\Programmi\NAV\defwatch.exe
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\cba\pds.exe
C:\WINNT\System32\llssrv.exe
C:\Programmi\NAV\rtvscan.exe
C:\oracle\ora92\bin\omtsreco.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis3a. exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\termsrv.exe
C:\Programmi\Pwrchute\ups.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programmi\UltraVNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\system32\ams_ii\hndlrsvc.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\ams_ii\iao.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SYSTEM32\DWRCST.exe
C:\PROGRA~1\NAV\vptray.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis3a. exe
C:\WINNT\system32\internat.exe
C:\Programmi\prjRobottino\prjRobottino.exe
C:\WINNT\system32\taskmgr.exe
C:\Documents and Settings\Administrator.DELTARAD\Desktop\HiJackThis _v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://srv-imago-medi/imagoweb
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = swall.ausl.fe.it:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 192.168.11.*;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NAV\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis3a .exe" /source=HKLM
O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Collegamento a prjRobottino.lnk = C:\Programmi\prjRobottino\prjRobottino.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://*.srv-imago-medi
O15 - Trusted IP range: http://192.168.11.44
O15 - Trusted IP range: http://192.168.11.183
O16 - DPF: {067BF2E4-70C5-41BE-AC2F-BF4A56CF0E80} (prjRTFbox.usrRTFbox) - http://srv-imago-medi/imagoweb/cab/N.../prjRTFbox.cab
O16 - DPF: {2E554493-1812-4A84-8AE0-1492F620F2E8} (Progetto1.canc) - http://srv-imago-medi/imagoweb/cab/canc.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1138642516015
O16 - DPF: {7AD029D9-ABD7-40D3-A0AC-BDDF3F309598} (prjKillHome.clsKillHome) - http://srv-imago-medi/imago_gr_wx/ca...rjKillHome.CAB
O16 - DPF: {D50F12DE-022F-407C-A73D-F043B8EADFBD} (prgApprof.Approf) - http://srv-imago-medi/imagoweb/Cab/p.../prgApprof.ocx
O16 - DPF: {DEA92B27-2828-4B96-B66A-20382D2A76C4} (PrinterComboBoxX Control) - http://srv-imago-medi/imagoweb/cab/P...xXControl1.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = deltarad.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{23AAF0EC-D081-433F-984A-C7EF15914BE0}: NameServer = 192.168.11.2,192.168.4.199,192.168.11.99
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = deltarad.it
O17 - HKLM\System\CS1\Services\Tcpip\..\{23AAF0EC-D081-433F-984A-C7EF15914BE0}: NameServer = 192.168.11.2,192.168.4.199,192.168.11.99
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = deltarad.it
O17 - HKLM\System\CS2\Services\Tcpip\..\{23AAF0EC-D081-433F-984A-C7EF15914BE0}: NameServer = 192.168.11.2,192.168.4.199,192.168.11.99
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\system32\browseui.dll
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programmi\Symantec\pcAnywhere\awhost32.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programmi\NAV\defwatch.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE
O23 - Service: Intel Alert Handler - Intel Corporation - C:\WINNT\system32\ams_ii\hndlrsvc.exe
O23 - Service: Intel Alert Originator - Intel Corporation - C:\WINNT\system32\ams_ii\iao.exe
O23 - Service: Intel File Transfer - Intel Corporation - C:\WINNT\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel Corporation - C:\WINNT\system32\cba\pds.exe
O23 - Service: Norton AntiVirus Server - Symantec Corporation - C:\Programmi\NAV\rtvscan.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: pdfFactory Dispatcher v3 - FinePrint Software, LLC - C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis3a. exe
O23 - Service: Helper smart card (SCardDrv) - Unknown owner - C:\WINNT\system32\scardsvr32.exe (file missing)
O23 - Service: UPS - APC PowerChute plus (UPS) - APC - C:\Programmi\Pwrchute\ups.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Programmi\UltraVNC\WinVNC.exe

--
End of file - 6930 bytes

Grazie

Ciao Ciao

[mac95]

Ciao con i sistemi Server è sempre difficile capire se si tratta di virus o meno e il fatto che il norton non trovi nulla...
sono molte nel log le stringhe con eseguibili in esecuzione ma sono sicuro che la maggior parte è relativa a programmi installati da te, tu ci lavori direttamente sul server o tramite remoto?
In quest'ultimo caso la connessione la fai tramite la lan o internet? Te lo chiedo visto che hai cmq installato pc anywhere. E' un server utilizzato solo da te o da altri utenti? Fornisce servizi web o applicativi?
Quando ci lavori l'hard disk è sempre in movimento? Dal task manager quali sono le applicazioni che "consumano" di più? Controlla sempre dal task manager le prestazioni ci sono sovraccarichi di cpu, rete o memoria?
Scusa le innumerevoli domande ma dal log almeno io non riesco a trovare una valida spiegazioni a tutti i rallentamenti

Ciao