Problema con malware che si spaccia per antivirus

[Il Totem]

Ieri il computer di un mio amico è stato infettato da un particolare malware che impedisce l'esecuzione di qualsiasi programma, chiudendo il processo immeditamente adducendo la scusa che si tratti di un file infetto. Ho letto in giro che questo particolare malware è diffuso da una ditta di antivirus ed induce gli utenti a scaricare il suo software, che può eliminare la minaccia, ma a pagamento: una volta installato, si dice, inonderebbe il computer di falsi allarmi e spam per continuare a far utilizzare il prodotto.
Ho anche letto le possibili soluzioni: pulire il registro con ccleaner, usare Malwarebytes' anti-malware, e altre varie cose. Tuttavia, proprio a causa del suddetto malware, è impossibile lanciare qualsiasi programma, inclusi antivirus e antimalware. Ho provato ad avviare il task manager per vedere se ci fossero processi strani, ma è stato chiuso. Ho provato ad eseguire taskkill dal prompt, ma è stato chiuso. Ho provato a scrivere un file *.bat per eliminare alcuni processi che avevo letto in giro, ma non riuscivo nemmeno ad aprire il notepad. Ho quindi riavviato in modalità provvisoria, fatto alcune scansioni con diversi software (avg, malwarebytes' e ccleaner), ma nessuna ha individuato alcunché. Non essendo aggiornati, ho provato a connettermi a internet per scaricare gli aggiornamenti, ma in modalità provvisoria non sono disponibili le reti. Riavviato ancora in modalità provvisoria con rete, ma il servizione RAS non può essere avviato in modalità provvisoria, quindi non posso nemmeno usare rasdial per connettermi e perciò non riesco a ottenere nessun aggiornamento. Avevo pensato di fare un boot da usb di linux ed usare wine per far correre quei programmi mentre sono connesso, ma è abbastanza lungo, e poi ho avuto brutti trascorsi con wine, a causa di una libreria che non riesce a trovare.

Log di HijackThis:

codice:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13.56.23, on 24/04/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programmi\SISS\Prerequisiti\Amsdm\bin\iss_acd.exe
C:\Programmi\SISS\Prerequisiti\Amsdm\bin\yarrowd.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.enigmasoftware.com/downlo...pyhunterS4.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: SysGilloDeskTOP - {A1C4FBA5-E7F7-47cc-A8FE-29D1DC95C855} - C:\WINDOWS\system32\SysGilloClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TPSODDCtl] TPSODDCtl.exe
O4 - HKLM\..\Run: [ThpSrv] thpsrv /logon
O4 - HKLM\..\Run: [SmoothView] C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [TouchED] C:\Programmi\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [TOSDCR] TOSDCR.EXE
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AeXAgentLogon] "C:\Programmi\Altiris\Altiris Agent\AeXAgentActivate.exe" /logon
O4 - HKLM\..\Run: [Domino] C:\Programmi\Fimed\Domino\Domino.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [ihgxxymk] C:\Documents and Settings\STUDIO MEDICO\Impostazioni locali\Dati applicazioni\qnildpngp\yhpnmpwtssd.exe
O4 - HKLM\..\Run: [asam] C:\WINDOWS\asam.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ACCESSOSISS.lnk = ?
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Selezione intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E463AA1-5F43-4FFE-BEE0-E0EDDBABDE07}: NameServer = 212.29.152.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Altiris Agent (AeXNSClient) - Altiris, Inc. - C:\Programmi\Altiris\Altiris Agent\AeXNSAgent.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Domino - Unknown owner - C:\WINDOWS\system32\Srvany.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MySql - Unknown owner - C:\Programmi\SISS\PREREQUISITI\MYSQL\bin\mysqld-nt.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Smart Card Base Component Helper (SetScardSvrService) - Unknown owner - C:\WINDOWS\system32\SetScardSvrService.exe
O23 - Service: TOSHIBA HDD Protection (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe

--
End of file - 7362 bytes

Qualcuno mi può aiutare?

[Conetti]

Ciao, avvia il Pc in Modalità Provvisoria con Rete: successivamente apri HiJackThis, clicca sul pulsante "Do a System Scan Only" e metti, al termine della scansione, la spunta alle seguenti voci:

O4 - HKLM\..\Run: [ihgxxymk] C:\Documents and Settings\STUDIO MEDICO\Impostazioni locali\Dati applicazioni\qnildpngp\yhpnmpwtssd.exe
O4 - HKLM\..\Run: [asam] C:\WINDOWS\asam.exe

Clicca sul pulsante "Fix Checked": il Pc si riavvierà.
Al termine del processo di riavvio, entra in Modalità Normale ed esegui una scansione mediante l'antivirus e mediante Spybot Search & Destroy, eliminando eventuali voci rilevate.
Esegui una pulizia del computer mediante CCleaner ed installa tutti gli aggiornamenti disponibili da Windows Update (i più importanti sono il SP3 e Internet Explorer 8).
Riavvia nuovamente il Pc e fammi sapere come va

[Il Totem]

Grazie della risposta tempestiva.
Ho eliminato quelle due voci, scelto "Fix Checked", ma il pc non si è riavviato. Ho riavviato manualmente e sono entrato in modalità normale. Tuttavia, c'è ancora lo stesso problema, ossia non riesco ad eseguire nulla, men che meno un qualsiasi antivirus. Continuano ad apparire popup dal titolo "Windows Security Scan". Ti posto cosa c'è scritto su un popup che appare in basso a destra, nel caso tu lo abbia già visto:

codice:

Antivirus software alert
Your computer is being attacked by an internet virus. It could be a password-stealing attack, a trojan - dropper or similar.
Details:
Attacked from: [un ip random] port: [una porta random]
Attacked port: [una porta random]
Threat: Win32/Nuqel.E

[Conetti]

Esegui una scansione con HiJackThis in Modalità Normale e posta il log ottenuto.
Ciò che compare sul pop-up è un falso virus: riesci a rintracciare il nome del rogue (falso antivirus)?

[Il Totem]

Non posso eseguire alcun programma in modalità normale: tutti gli eseguibili venno bloccati o chiusi all'istante. Quindi non posso eseguire hijackthis, a meno che non mi dai un modo per eludere il codice del malware (cambiare estensione con altri formati eseguibili, o creare file bat non funziona).
Il nome del rogue è Spyware Protect 2009:
http://www.ehow.com/how_5015275_rid-...ert-virus.html
Ho fatto qualche ricerca con google, ma non trovo nessuno dei file menzionati (sysav.exe, sysantivirus2009, o nel registro le cartelle data protector eccetera...), quindi non posso eliminarli...
Preferirei tenere il ripristino di sistema come ultima risorsa.

[Conetti]

Ok, allora eseguiamo tutte le operazioni in Modalità Provvisoria con Rete.
Avvia il Pc in Modalità Provvisoria con Rete, esegui una nuova scansione con HiJackThis e posta il log ottenuto.
Da questa modalità riesci ad avviare gli eseguibili o gli antivirus?

[Il Totem]

Grazie per l'interessamento, ma sono riuscito a risolvere.
Poiché quel computer non era particolarmente veloce, sono riuscito a chiudere i due processi che mi avevi indicato prima che iniziassero a spammare, così ho potuto avviare tutti i programmi necessari in modalità normale. Ho fatto tre scansioni, cone malwarebytes, avg e spybot, e sono riuscito ad eliminare il malware.

[Conetti]

Bene
Se hai problemi, non esitare a contattarci