virus mswinvks.exe

[bartolino]

Ogni volta che accendo il mio PC si aprono in successione tre finestre con su scritto: impossibile trovare il file C:\windows\system32\mswinvks.exe.
Ho fatto una scansione con hijack che allego in calce, come posso risolvere il problema? Grazie infinite a chi potrà aiutarmi

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14.11.32, on 15/06/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\Programmi\AVG\AVG9\avgchsvx.exe
C:\Programmi\AVG\AVG9\avgrsx.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\AVG\AVG9\avgcsrvx.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVG\AVG9\avgwdsvc.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Conceptronic\Common\RaRegistry.exe
C:\WINDOWS\System32\snmp.exe
C:\Programmi\AVG\AVG9\avgnsx.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Conceptronic\Common\WlanMon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\AVG\AVG9\avgupd.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\demo\Impostazioni locali\Temporary Internet Files\Content.IE5\SBST0KI8\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\mswinvks.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\mswinvks.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\mswinvks.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG9\avgssie.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.4.4525 .1752\swg.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleT oolbarNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Conceptronic Wireless Network Config Utility.lnk = C:\Programmi\Conceptronic\Common\WlanMon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6 097707281E79.dll/cmsidewiki.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.linkautomatici.com
O15 - Trusted Zone: www.master69.biz
O15 - Trusted Zone: www.xbeta69.com
O15 - Trusted Zone: www.yeak.net
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - http://www.meadroid.com/scriptx/ScriptX.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/Cl.../OCI/setup.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG\AVG9\avgwdsvc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Programmi\Conceptronic\Common\RaRegistry.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

--
End of file - 6629 bytes

[R16]

Salve.

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked

codice:

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\mswinvks.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\mswinvks.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mswinvks.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Conceptronic Wireless Network Config Utility.lnk = C:\Programmi\Conceptronic\Common\WlanMon.exe
O15 - Trusted Zone: www.linkautomatici.com
O15 - Trusted Zone: www.master69.biz
O15 - Trusted Zone: www.xbeta69.com
O15 - Trusted Zone: www.yeak.net
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - http://www.meadroid.com/scriptx/ScriptX.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/C...6/OCI/setup.exe

Dai una pulita (registro compreso)con CCleaner

Scarica sul Desktop questo:
http://www.mvps.org/winhelp2002/DelDomains.inf
Clicca sopra l'icona con il tasto DESTRO e scegli "Installa ".

Riavvia il pc .

Scarica ed installa MalwareBytes :
clicca qui per il download : http://www.malwarebytes.org/index.php
Prima di fare la scansione AGGIORNALO .
Esegui una scansione completa del sistema.
Elimina gli eventuali file infetti trovati
Posta il log.

[bartolino]

Grazie per la risposta,
ho fatto le operazioni da te dettate (per la verità non tutte!!) comunque al momento il problema sembra essere risolto.

Grazie per la tua cortesia ti allego il log

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4199

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

15/06/2010 22.59.10
mbam-log-2010-06-15 (22-59-10).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 191790
Tempo trascorso: 1 ore, 57 minuti, 52 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 2
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{00000000-0000-0000-0000-000020040000} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{db893839-10f0-4af9-92fa-b23528f530af} (Trojan.Dialer) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

[R16]

Salve.
Non vorrei sembrarti un "gufo" ma ho seri dubbi che il problema sia risolto, definitivamente.
Per sicurezza, dovresti fare questa scansione:

Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop (è importante )

Doppio click su combofix.exe (comparirà una videata.)

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO .

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui .

[bartolino]

ecco il log dopo la scansione di ComboFix.
Ancora grazie per l'aiuto

Visto che l'estensione del log non mi permette di inoltrarlo come allegato lo posto in calce

ComboFix 10-06-17.02 - demo 18/06/2010 10.59.18.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.247.92 [GMT 2:00]
Eseguito da: c:\documents and settings\demo\Desktop\ComboFix.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))) )
.

c:\windows\system32\asr3232.dll
c:\windows\system32\mswins.dll
c:\windows\system32\win.com

.
((((((((((((((((((((((((( Files Creati Da 2010-05-18 al 2010-06-18 )))))))))))))))))))))))))))))))))))
.

2010-06-16 17:18 . 2006-12-30 18:27 4569 ------w- c:\windows\system32\secupd.dat
2010-06-15 15:12 . 2010-06-15 15:12 -------- d-----w- c:\documents and settings\demo\Dati applicazioni\Malwarebytes
2010-06-15 15:11 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-15 15:11 . 2010-06-15 15:11 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-06-15 15:11 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-06-15 15:11 . 2010-06-15 15:11 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-06-15 15:01 . 2010-06-15 15:01 -------- d-sh--w- c:\documents and settings\demo\IECompatCache
2010-06-15 15:00 . 2010-06-15 15:00 -------- d-sh--w- c:\documents and settings\demo\PrivacIE
2010-06-15 14:55 . 2010-06-15 14:55 -------- d-sh--w- c:\documents and settings\demo\IETldCache
2010-06-15 14:44 . 2010-05-06 10:32 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2010-06-15 14:44 . 2010-05-06 10:32 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2010-06-15 14:44 . 2010-05-06 10:32 599040 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2010-06-15 14:44 . 2010-05-06 10:32 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2010-06-15 14:44 . 2010-05-06 10:32 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2010-06-15 14:44 . 2010-05-06 10:32 11076096 -c----w- c:\windows\system32\dllcache\ieframe.dll
2010-06-15 14:44 . 2010-05-06 10:32 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2010-06-15 14:44 . 2010-06-16 17:37 -------- d-----w- c:\windows\ie8updates
2010-06-15 14:40 . 2010-04-16 11:43 41984 -c----w- c:\windows\system32\dllcache\iecompat.dll
2010-06-15 14:35 . 2010-06-15 14:40 -------- dc-h--w- c:\windows\ie8
2010-06-15 14:35 . 2010-06-15 14:38 -------- d-----w- c:\windows\system32\it-IT
2010-06-15 13:42 . 2010-06-15 13:42 -------- d-----w- c:\programmi\Trend Micro
2010-06-14 20:32 . 2010-06-14 20:32 29512 ----a-w- c:\documents and settings\All Users\Dati applicazioni\avg9\update\backup\avgmfx86.sys
2010-06-14 20:32 . 2010-06-14 20:32 242896 ----a-w- c:\documents and settings\All Users\Dati applicazioni\avg9\update\backup\avgtdix.sys
2010-06-14 19:40 . 2010-06-14 19:40 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-06-14 19:40 . 2010-06-14 20:32 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-06-14 19:39 . 2010-06-14 19:39 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-06-14 19:39 . 2010-06-14 20:32 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-06-14 19:39 . 2010-06-16 16:28 -------- d-----w- c:\windows\system32\drivers\Avg
2010-06-14 18:07 . 2010-06-14 18:07 -------- d-----w- C:\$AVG
2010-06-14 17:59 . 2010-06-14 17:59 -------- d-----w- c:\programmi\CCleaner
2010-06-14 17:07 . 2010-06-14 17:07 -------- d-----w- c:\programmi\AVG
2010-06-14 17:07 . 2010-06-14 19:39 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\avg9
2010-06-14 16:01 . 2010-06-14 16:01 -------- d-----w- c:\documents and settings\demo\Dati applicazioni\InstallShield

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2010-06-18 07:48 . 2004-09-03 08:37 -------- d-----w- c:\programmi\File comuni\Symantec Shared
2010-06-17 05:22 . 2004-09-03 19:18 -------- d-----w- c:\documents and settings\demo\Dati applicazioni\Canon
2010-06-14 18:06 . 2009-11-19 19:20 72 --sh--r- c:\windows\system32\mswins.sys
2010-06-14 16:11 . 2001-08-31 11:00 49284 ----a-w- c:\windows\system32\perfc010.dat
2010-06-14 16:11 . 2001-08-31 11:00 349116 ----a-w- c:\windows\system32\perfh010.dat
2010-06-14 16:03 . 2010-06-14 16:03 -------- d-----w- c:\programmi\Conceptronic
2010-06-14 16:03 . 2010-06-14 16:03 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Conceptronic Driver
2010-06-14 16:03 . 2004-09-03 19:05 -------- d--h--w- c:\programmi\InstallShield Installation Information
2010-05-11 10:18 . 2009-03-16 10:56 -------- d-----w- c:\documents and settings\demo\Dati applicazioni\MSN6
2010-05-09 07:43 . 2006-09-05 19:02 -------- d-----w- c:\programmi\ESET
2010-05-06 10:32 . 2004-08-23 19:35 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:24 . 2002-09-09 11:45 1850880 ----a-w- c:\windows\system32\win32k.sys
2010-04-20 05:46 . 2001-08-31 11:00 285696 ----a-w- c:\windows\system32\atmfd.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\G oogleToolbarNotifier.exe" [2007-08-31 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2006-04-04 71304]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-14 2065248]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Conceptronic Wireless Network Config Utility.lnk - c:\programmi\Conceptronic\Common\WlanMon.exe [2010-6-14 1556480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-06-14 19:40 12464 ----a-w- c:\windows\system32\avgrsstx.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^BlueSoleil.lnk]
backup=c:\windows\pss\BlueSoleil.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2007-04-27 07:41 282624 -c--a-w- c:\programmi\QuickTime\qttask.exe

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run-]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" /background
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"swg"=c:\programmi\Google\GoogleToolbarNotifier\Go ogleToolbarNotifier.exe
"Microsoft©"=c:\programmi\internet explorer\iexplore.exe
"updateMgr"="c:\programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run-]
"InCD"=c:\programmi\Ahead\InCD\InCD.exe
"HPDJ Taskbar Utility"=c:\windows\system32\spool\drivers\w32x86\ 3\hpztsb10.exe
"NeroFilterCheck"=c:\windows\system32\NeroCheck.ex e
"Omnipage"=c:\programmi\ScanSoft\OmniPageSE\opware 32.exe
"bwprnmon.exe"=c:\bitware\NT\bwprnmon.exe
"UserFaultCheck"=%systemroot%\system32\dumprep 0 -u
"HP Component Manager"="c:\programmi\HP\hpcoretech\hpcmpmgr.exe"
"HP Software Update"="c:\programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
"Symantec NetDriver Monitor"=c:\progra~1\SYMNET~1\SNDMon.exe /Consumer
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" -atboottime
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"Microsoft©"=c:\programmi\internet explorer\iexplore.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\ScanSoft\\OmniPageSE\\EregIta\\NAV Browser.exe"=
"c:\\Programmi\\Macromedia\\Dreamweaver MX\\Dreamweaver.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programmi\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programmi\\AVG\\AVG9\\avgupd.exe"=
"c:\\Programmi\\AVG\\AVG9\\avgnsx.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [14/06/2010 21.39.59 216200]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [14/06/2010 21.40.32 242896]
R2 avg9wd;AVG Free WatchDog;c:\programmi\AVG\AVG9\avgwdsvc.exe [14/06/2010 21.39.05 308064]
R2 Scutum50;Scutum50 NDIS Protocol Driver;c:\windows\system32\drivers\Scutum50.sys [14/06/2010 18.03.37 19072]
R3 trid3d;trid3d;c:\windows\system32\drivers\trid3dm. sys [03/09/2004 11.01.54 222336]
.
Contenuto della cartella 'Scheduled Tasks'

2010-06-18 c:\windows\Tasks\User_Feed_Synchronization-{D31F0CFC-A659-4923-9030-518C9CB1F96C}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]

2010-06-18 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2010-05-10 20:18]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6 097707281E79.dll/cmsidewiki.html
DPF: DirectAnimation Java Classes
DPF: Microsoft XML Parser for Java
.

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-18 11:31
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

************************************************** ************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63 A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macrome d\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63 A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63 A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUt il10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63 A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F 2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F 2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F 2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Ora fine scansione: 2010-06-18 11:50:39
ComboFix-quarantined-files.txt 2010-06-18 09:50

Pre-Run: 1.405.026.304 byte disponibili
Post-Run: 1.453.387.776 byte disponibili

- - End Of File - - FAA6BC162DE4ACFED1275ECFB1999405

[R16]

Salve.

Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

codice:

KillAll::
File::
c:\windows\system32\mswins.sys
RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix

N.B:
Hai 2 antivirus. (AVG e Norton)
Disistallane 1 , in quanto 2 antivirus, creano solo problemi.

[bartolino]

Ho creato il file CFScript.txt e l'ho trascinato sul''icona di ComboFix. Appena parte mi dice che lo faccio a mio rischio perchè è attivo AVG. Ho AVG 9 free su cui ho messo la spunta "ignora stato del componente" all'antivirus, anti spywarw etc ma comboFix mi dice che AVG è sempre attivo e che se procedo rischio!!! Ke faccio?

Mi è stato detto di disattivare il realtime di AVG, ma qualìè la procedura per farlo?

- Ho disistallato Norton
- Non riesco a istallare pack3 forse perchè ho un vecchio PC con Windows non originale infatti ogni volta che lo accendo mi compare una videata di notifica Windows Genuine Advantage che scompare cliccando su "annulla".

grazie

[R16]

Salve.

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Questo è quello che ho scritto, nelle indicazioni che ti ho dato.
Poi, se non le leggi, è un'altro discorso.
Com' è un'altro "paio di maniche", se non ti fidi delle mie indicazioni.
Scrivo questo, perchè, chiedere conferma ad altri forum se le mie indicazioni sono valide, non è un bel sintomo di fiducia, nei miei confronti.
Per cui, in mancanza di questo requisito, per me fondamentale, lascio la discussione ad altri, che magari ti fidi di più.

[bartolino]

Naturalmente non c'è alcuna mancanza di fiducia altimenti non mi sarei iscritto ad alcun forum. Non essendo pratico di questi sistemi di comunicazione mi sono iscritto a 2 forum non sapendo se alla mia domanda ci sarebbe stata una risposta (ho pensato: chissà quanti ci scrivono, figurati se qualcuno pensa al mio piccolo problema!!!); ho invece appreso con soddisfazione e piacere che questi mezzi di discussione sono molto utili e raccolgono persone realmente competenti.
A volte prima di tirare giudizi sarebbe bene verificare e accertarsi della buona fede di colui che (non essendo molto pratico) chiede......

[bartolino]

A dimostrazione della mia buona fede mi permetto di allegare il logo di ComboFix; rinnovandoti il fatto che la mia iscrizione a 2 blog non è stata fatta per sfiducia nei tuoi confronti ma per ..... (vedi messaggio precedente).

Naturalmente visto che in 2 mi avete aiutato, a entrambi ho postato il log; non mi sembrava corretto dimenticare chi con tanta professionalità e competenza e soprattutto gratuitamente ha speso il suo tempo per una persona sconosciuta


ComboFix 10-06-28.01 - demo 29/06/2010 10.15.57.3.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.247.98 [GMT 2:00]
Eseguito da: c:\documents and settings\demo\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\demo\Desktop\CFScript.txt
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
* Creato nuovo punto di ripristino

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!

FILE ::
"c:\windows\system32\mswins.sys"
.

((((((((((((((((((((((((( Files Creati Da 2010-05-28 al 2010-06-29 )))))))))))))))))))))))))))))))))))
.

2010-06-15 15:12 . 2010-06-15 15:12 -------- d-----w- c:\documents and settings\demo\Dati applicazioni\Malwarebytes
2010-06-15 15:11 . 2010-06-15 15:11 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-06-14 17:07 . 2010-06-14 19:39 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\avg9
2010-06-14 16:03 . 2010-06-14 16:03 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Conceptronic Driver
2010-06-14 16:01 . 2010-06-14 16:01 -------- d-----w- c:\documents and settings\demo\Dati applicazioni\InstallShield

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2010-06-24 19:53 . 2010-06-14 17:59 -------- d-----w- c:\programmi\CCleaner
2010-06-24 08:33 . 2004-09-03 08:36 -------- d-----w- c:\programmi\Symantec
2010-06-17 05:22 . 2004-09-03 19:18 -------- d-----w- c:\documents and settings\demo\Dati applicazioni\Canon
2010-06-15 15:11 . 2010-06-15 15:11 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-06-15 13:42 . 2010-06-15 13:42 -------- d-----w- c:\programmi\Trend Micro
2010-06-14 20:32 . 2010-06-14 20:32 29512 ----a-w- c:\documents and settings\All Users\Dati applicazioni\avg9\update\backup\avgmfx86.sys
2010-06-14 20:32 . 2010-06-14 20:32 242896 ----a-w- c:\documents and settings\All Users\Dati applicazioni\avg9\update\backup\avgtdix.sys
2010-06-14 20:32 . 2010-06-14 19:40 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-06-14 20:32 . 2010-06-14 19:39 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-06-14 19:40 . 2010-06-14 19:40 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-06-14 19:39 . 2010-06-14 19:39 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-06-14 17:07 . 2010-06-14 17:07 -------- d-----w- c:\programmi\AVG
2010-06-14 16:11 . 2001-08-31 11:00 49284 ----a-w- c:\windows\system32\perfc010.dat
2010-06-14 16:11 . 2001-08-31 11:00 349116 ----a-w- c:\windows\system32\perfh010.dat
2010-06-14 16:03 . 2010-06-14 16:03 -------- d-----w- c:\programmi\Conceptronic
2010-06-14 16:03 . 2004-09-03 19:05 -------- d--h--w- c:\programmi\InstallShield Installation Information
2010-05-11 10:18 . 2009-03-16 10:56 -------- d-----w- c:\documents and settings\demo\Dati applicazioni\MSN6
2010-05-09 07:43 . 2006-09-05 19:02 -------- d-----w- c:\programmi\ESET
2010-05-06 10:32 . 2004-08-23 19:35 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:24 . 2002-09-09 11:45 1850880 ----a-w- c:\windows\system32\win32k.sys
2010-04-29 13:39 . 2010-06-15 15:11 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-06-15 15:11 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-20 05:46 . 2001-08-31 11:00 285696 ----a-w- c:\windows\system32\atmfd.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\G oogleToolbarNotifier.exe" [2007-08-31 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-14 2065248]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Conceptronic Wireless Network Config Utility.lnk - c:\programmi\Conceptronic\Common\WlanMon.exe [2010-6-14 1556480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-06-14 19:40 12464 ----a-w- c:\windows\system32\avgrsstx.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^BlueSoleil.lnk]
backup=c:\windows\pss\BlueSoleil.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2007-04-27 07:41 282624 -c--a-w- c:\programmi\QuickTime\qttask.exe

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run-]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" /background
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"swg"=c:\programmi\Google\GoogleToolbarNotifier\Go ogleToolbarNotifier.exe
"Microsoft©"=c:\programmi\internet explorer\iexplore.exe
"updateMgr"="c:\programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run-]
"InCD"=c:\programmi\Ahead\InCD\InCD.exe
"HPDJ Taskbar Utility"=c:\windows\system32\spool\drivers\w32x86\ 3\hpztsb10.exe
"NeroFilterCheck"=c:\windows\system32\NeroCheck.ex e
"Omnipage"=c:\programmi\ScanSoft\OmniPageSE\opware 32.exe
"bwprnmon.exe"=c:\bitware\NT\bwprnmon.exe
"UserFaultCheck"=%systemroot%\system32\dumprep 0 -u
"HP Component Manager"="c:\programmi\HP\hpcoretech\hpcmpmgr.exe"
"HP Software Update"="c:\programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
"Symantec NetDriver Monitor"=c:\progra~1\SYMNET~1\SNDMon.exe /Consumer
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" -atboottime
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"Microsoft©"=c:\programmi\internet explorer\iexplore.exe

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\ScanSoft\\OmniPageSE\\EregIta\\NAV Browser.exe"=
"c:\\Programmi\\Macromedia\\Dreamweaver MX\\Dreamweaver.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programmi\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programmi\\AVG\\AVG9\\avgupd.exe"=
"c:\\Programmi\\AVG\\AVG9\\avgnsx.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [14/06/2010 21.39.59 216200]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [14/06/2010 21.40.32 242896]
R2 avg9wd;AVG Free WatchDog;c:\programmi\AVG\AVG9\avgwdsvc.exe [14/06/2010 21.39.05 308064]
R2 Scutum50;Scutum50 NDIS Protocol Driver;c:\windows\system32\drivers\Scutum50.sys [14/06/2010 18.03.37 19072]
R3 trid3d;trid3d;c:\windows\system32\drivers\trid3dm. sys [03/09/2004 11.01.54 222336]
.
Contenuto della cartella 'Scheduled Tasks'

2010-06-29 c:\windows\Tasks\User_Feed_Synchronization-{D31F0CFC-A659-4923-9030-518C9CB1F96C}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]

2010-06-29 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2010-05-10 20:18]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6 097707281E79.dll/cmsidewiki.html
DPF: DirectAnimation Java Classes
DPF: Microsoft XML Parser for Java
.

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-29 18:45
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

************************************************** ************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(564)
c:\windows\system32\WININET.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\Ahead\InCD\InCDsrv.exe
c:\programmi\AVG\AVG9\avgchsvx.exe
c:\programmi\AVG\AVG9\avgrsx.exe
c:\programmi\AVG\AVG9\avgcsrvx.exe
c:\programmi\IVT Corporation\BlueSoleil\BTNtService.exe
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programmi\Conceptronic\Common\RaRegistry.exe
c:\windows\System32\snmp.exe
c:\programmi\AVG\AVG9\avgnsx.exe
c:\windows\system32\wscntfy.exe
.
************************************************** ************************
.
Ora fine scansione: 2010-06-29 19:02:28 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2010-06-29 17:02

Pre-Run: 2.870.292.480 byte disponibili
Post-Run: 2.868.506.624 byte disponibili

- - End Of File - - 51CAABE795DC84D88618CB9601EE03A8