Problema virus redirect

[elioteliot123]

Chiedo aiuto ai più esperti sono nuovo del forum e inesperto di informatica (solo visione da utente).
Il problema: da circa una settimana navigando con IE7 e facendo ricerce con Google i risultati proposti mi vengono reindirizzati (a random non sempre gli stessi e non tutte le volte che li clicco) sul sito adwords.myonlinesecure.com (ovvio non cliccatelo) e da qui sparato su altri siti.. a questo punto entra in azione avast che blocca la connessione avvertendo di aver bloccato l'esecuzione (o lo scaricamento) di malware.

Il mio sistema operativo è WindowsXP sp3 con avast ultima versione.

Ho tentato come interventi la scansione all'avvio (antirookit prima avvio so) con avast.. la scansione con adaware di lavasoft e spybotSD: avast e adaware hanno trovato qualcosa ed eliminato (rispettivamente... js prontexi e w32 trojanDownloader.Agent) ma il problema sussiste

Ho anche scansionato con karspeski senza nulla trovare.

L'unica cosa che ho trovato mettendo su google il link a cui vengo indirizzato sono delle discussioni in lingua inglese su siti esteri

Aggiornando tutti gli antivisrus a ntimalware che ho ora succede che la pagina redirezionata non si apre più ma comunque ogni ricerca che faccio su Google è un terno all'otto.

Con Firefox il problema non si pone e la navigazione è esente da problemi

Vi posto quanto analizzato con HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.36.05, on 05/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\nvsvc32.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
C:\windows\system32\spoolsv.exe
C:\windows\system32\ANIWConnService.exe
C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
C:\windows\Explorer.EXE
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\windows\system32\svchost.exe
C:\Programmi\Microsoft Hardware\Keyboard\type32.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programmi\D-Link\DWL-G122_DWA-110\AirGCFG.exe
C:\Programmi\DivX\DivX Update\DivXUpdate.exe
C:\windows\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\windows\system32\wuauclt.exe
C:\windows\system32\msiexec.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispat...=%s&tbid=60342
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DownloadGuardBHO - {20C1A7F0-528E-444F-BAC5-5804A61CCA7F} - C:\Programmi\Lavasoft\Download Guard for Internet Explorer\DownloadGuardBHO.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IntelliType] "C:\Programmi\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless G DWL-G122_DWA-110] C:\Programmi\D-Link\DWL-G122_DWA-110\AirGCFG.exe
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programmi\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\ennio\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite....x/qtplugin.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/Driver...reqlab_nvd.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/res...scbase8942.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1259425842064
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O23 - Service: ANIWConn Service (ANIWConnService) - Unknown owner - C:\windows\system32\ANIWConnService.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7096 bytes


Se qualcuno può aiutarmi ma guidandomi passo passo in quanto ripeto sono digiuno di informatica... grazie

[menatwork]

ciao elioteliot123 e benvenuto nel forum

vediamo se il problema che hai e' legato a questo programma

C:\Programmi\ANI \ANIWZCS2 Service\WZCSLDR2.exe

scarica e installa malwarebytes

Aggiornalo : clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.
Posta il rapporto .

[elioteliot123]

Grazie per la risposta... ho fatto come proponevi (avevo poi già malwarebytes.. ho aggiornato e scansionato completo) ma non ha trovato nulla ecco il risultato:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4277

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

05/07/2010 17.05.58
mbam-log-2010-07-05 (17-05-58).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 336119
Tempo trascorso: 1 ore, 1 minuti, 26 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

Il file che dicevi lo ho cercato col cerca di windows e dovrebbe (dico dovrebbe) essere legato al modem wireless così mi pare alemeno di capire dalle propietà....
Internet explorer continua ad essere deviato dopo ricerche con google (i preferiti invece puntano sempre i siti giusti).. Firefox ancora immune (da cui mi collego ora)

[menatwork]

si in effetti le ricerche portano anche a quello che tu dici, io sono andato troppo a fondo ed ho trovato anche questo

scarica HostsXpert

Scompattalo.
Doppio click su HostsXpert - clicca su Make it readable - successivamente clicca su Restore MS Hosts File -
Conferma.
Esci dal programma

controlla se hai lo stesso problema sul reindirizzamento della pagina

disattiva momentaneamente il tuo antivirus


scarica combofix sul desktop (non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

non usare il pc durante la scansione, nemmeno il mouse!

tutorial combofix

[elioteliot123]

Allora ho scaricato ed eseguito HostsXpert ripristinando il file host... ho aperto IE7 e il problema pareva risolto e il redirettaggio sparito... ma facendo aggiorna la pagina il problema si è ripresentato... idem caricando il file host di spybot (pure protetto a dir suo) stessa cosa

Ora tento col combofix ma non so se sono all'altezza.. sto leggendo il tutorial... non ho capito se combofix fa tutto da solo o devo solo postare il report di quello che fa tipo HijackThis.. no ora ho letto bene devo solo postare ok

Come spesso accade in queste situazioni sto andando al manicomio...

[menatwork]

elioteliot123 fai con la massima calma, nessuno ci corre dietro

[elioteliot123]

Caro menatwork ho fatto come mi indicavi.. combofix ha captato attività rookit e chiesto di riavviare cosa che ho fatto... ecco il report di cui non capisco nulla.. non mi abbandonare.. lo metto su due post perchè mi dice il sistema che è troppo lungo e come allegato non è possibile metterlo (per la cronaca come prima IE7 pareva ripulito ma aggiornando la pagina di nuovo il redirect malevolo):

ComboFix 10-07-04.04 - ennio 05/07/2010 19.46.15.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2047.1652 [GMT 2:00]
Eseguito da: c:\documents and settings\ennio\Desktop\ComboFix.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2010-06-05 al 2010-07-05 )))))))))))))))))))))))))))))))))))
.

2010-07-05 00:06 . 2010-07-05 00:06 -------- d-----w- c:\documents and settings\ennio\Impostazioni locali\Dati applicazioni\Sunbelt Software
2010-07-05 00:04 . 2010-07-05 00:04 -------- dc-h--w- c:\documents and settings\All Users\Dati applicazioni\{CCE9E666-4D7C-4946-A98B-CFDE0A0C1706}
2010-07-05 00:04 . 2010-01-15 07:42 2828488 -c--a-w- c:\documents and settings\All Users\Dati applicazioni\{CCE9E666-4D7C-4946-A98B-CFDE0A0C1706}\Download Guard for Internet Explorer.exe
2010-07-04 13:42 . 2010-07-04 12:48 15880 ----a-w- c:\windows\system32\lsdelete.exe
2010-07-04 12:48 . 2010-07-04 12:44 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-07-04 12:48 . 2010-07-04 12:48 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-07-04 12:33 . 2010-07-04 12:33 -------- dc-h--w- c:\documents and settings\All Users\Dati applicazioni\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
2010-07-04 12:33 . 2010-02-04 15:53 2954656 -c--a-w- c:\documents and settings\All Users\Dati applicazioni\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}\Ad-AwareInstaller.exe
2010-07-04 12:32 . 2010-07-05 00:04 -------- d-----w- c:\programmi\Lavasoft
2010-07-04 12:32 . 2010-07-04 12:48 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Lavasoft
2010-07-04 00:52 . 2010-06-28 20:57 38848 ----a-w- c:\windows\avastSS.scr

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2010-07-05 16:20 . 2010-05-31 07:28 -------- d-----w- c:\programmi\Microsoft Silverlight
2010-07-05 00:02 . 2009-05-01 08:28 13992 ----a-w- c:\documents and settings\ennio\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2010-07-04 22:53 . 2010-03-24 23:15 -------- d-----w- c:\programmi\SUPERAntiSpyware
2010-07-04 10:28 . 2009-05-02 13:44 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2010-07-04 10:23 . 2009-05-02 13:44 -------- d-----w- c:\programmi\Spybot - Search & Destroy
2010-07-03 22:55 . 2009-05-01 08:05 -------- d-----w- c:\programmi\File comuni\Wise Installation Wizard
2010-06-28 20:57 . 2010-02-16 23:48 165032 ----a-w- c:\windows\system32\aswBoot.exe
2010-06-28 20:37 . 2010-02-16 23:48 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-06-28 20:37 . 2010-02-16 23:48 165456 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-06-28 20:33 . 2010-02-16 23:48 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-06-28 20:32 . 2010-02-16 23:48 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-06-28 20:32 . 2010-02-16 23:48 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-06-28 20:32 . 2010-02-16 23:48 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-06-28 20:32 . 2010-02-16 23:48 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-06-28 09:40 . 2009-11-20 18:03 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-06-23 07:42 . 2010-05-12 13:38 -------- d-----w- c:\programmi\Debugging Tools for Windows (x86)
2010-06-07 19:06 . 2009-12-13 14:31 -------- d-----w- c:\documents and settings\ennio\Dati applicazioni\uTorrent
2010-05-31 07:34 . 2001-09-01 14:00 91682 ----a-w- c:\windows\system32\perfc010.dat
2010-05-31 07:34 . 2001-09-01 14:00 510676 ----a-w- c:\windows\system32\perfh010.dat
2010-05-30 20:41 . 2010-05-30 20:41 -------- d-----w- c:\programmi\Microsoft CAPICOM 2.1.0.2
2010-05-29 13:55 . 2010-05-12 18:42 -------- d-----w- c:\documents and settings\ennio\Dati applicazioni\Download Manager
2010-05-16 08:10 . 2010-05-16 08:10 -------- d-----w- c:\programmi\ANI
2010-05-16 08:10 . 2009-05-01 08:24 -------- d--h--w- c:\programmi\InstallShield Installation Information
2010-05-16 08:09 . 2010-05-16 08:09 -------- d-----w- c:\programmi\D-Link
2010-05-12 13:40 . 2010-05-12 13:40 -------- d-----w- c:\programmi\WhoCrashed
2010-05-12 13:04 . 2010-05-12 13:04 -------- d-----w- c:\programmi\NirSoft
2010-04-29 13:39 . 2009-11-20 18:03 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2009-11-20 18:03 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.

------- Sigcheck -------

[-] 2008-10-22 . E248A8391D7388A0A3679D1FB33E003D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

[-] 2008-10-22 . E092AEB03D40F40854D4C3D90C9AFECC . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"Google Update"="c:\documents and settings\ennio\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" [2009-12-21 135664]
"SpybotSD TeaTimer"="c:\programmi\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"IntelliType"="c:\programmi\Microsoft Hardware\Keyboard\type32.exe" [2002-03-22 94208]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI. exe" [2010-06-28 2837864]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-11 13666408]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2009-07-19 413696]
"ANIWZCS2Service"="c:\programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2009-08-21 98304]
"D-Link D-Link Wireless G DWL-G122_DWA-110"="c:\programmi\D-Link\DWL-G122_DWA-110\AirGCFG.exe" [2009-09-18 1708032]
"DivXUpdate"="c:\programmi\DivX\DivX Update\DivXUpdate.exe" [2010-06-03 1144104]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\RunOnce]
"_nltide_2"="shell32" [X]
"_nltide_3"="advpack.dll" [2010-03-11 124928]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Microsoft Office.lnk - c:\programmi\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^WinZip Quick Pick.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\WinZip Quick Pick.lnk
backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2008-11-17 08:08 17676288 ----a-w- c:\windows\RTHDCPL.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"3984:TCP"= 3984:TCP:Services
"6468:TCP"= 6468:TCP:Services
"1718:TCP"= 1718:TCP:Services
"1936:TCP"= 1936:TCP:Services

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [04/07/2010 14.48.18 64288]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboo t.sys [28/11/2009 16.50.34 28552]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [17/02/2010 1.48.29 165456]
R2 ANIWConnService;ANIWConn Service;c:\windows\system32\ANIWConnService.exe [16/05/2010 10.10.46 151552]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswF sBlk.sys [17/02/2010 1.48.30 17744]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programmi\Lavasoft\Ad-Aware\AAWService.exe [04/02/2010 17.52.57 1352832]
S3 DFE528TX;D-Link DFE-528TX PCI Adapter;c:\windows\system32\drivers\DLKRTL.SYS [15/05/2010 18.24.24 45568]
S3 Diag69xp;Diag69xp;c:\windows\system32\Drivers\Diag 69xp.sys --> c:\windows\system32\Drivers\Diag69xp.sys [?]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\6.tmp --> c:\windows\system32\6.tmp [?]
S3 NDISKIO;NDISKIO;\??\c:\docume~1\ennio\IMPOST~1\Tem p\00000d99.nmc\nse\bin\ndiskio.sys --> c:\docume~1\ennio\IMPOST~1\Temp\00000d99.nmc\nse\b in\ndiskio.sys [?]
S3 nsak;nsak;\??\c:\docume~1\ennio\IMPOST~1\Temp\0000 0e6d.nmc\nse\bin\nsak.sys --> c:\docume~1\ennio\IMPOST~1\Temp\00000e6d.nmc\nse\b in\nsak.sys [?]
S3 SIVDRIVER;SIV Kernel Driver;c:\windows\system32\drivers\SIVX32.sys [23/05/2009 22.58.53 49656]
S3 ute4mtyx;AVZ Kernel Driver;\??\c:\windows\system32\Drivers\ute4mtyx.sy s --> c:\windows\system32\Drivers\ute4mtyx.sys [?]
.
Contenuto della cartella 'Scheduled Tasks'

2010-07-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-299502267-57989841-1801674531-1004Core.job
- c:\documents and settings\ennio\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2009-12-21 18:17]

2010-07-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-299502267-57989841-1801674531-1004UA.job
- c:\documents and settings\ennio\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2009-12-21 18:17]

[elioteliot123]

------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
FF - ProfilePath - c:\documents and settings\ennio\Dati applicazioni\Mozilla\Firefox\Profiles\j2ay0jdm.def ault\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
FF - plugin: c:\documents and settings\ennio\Impostazioni locali\Dati applicazioni\Google\Update\1.2.183.29\npGoogleOneC lick8.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programmi\DivX\DivX Plus Web Player\npdivx32.dll

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_every where__temporarily_available_pref", true);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_bro ken", false);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - (no file)



************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-05 19:52
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

************************************************** ************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x88E2978A]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb80ecf28
\Driver\ACPI -> ACPI.sys @ 0xb7f7fcb8
\Driver\atapi -> ntkrnlpa.exe @ 0x80586e11
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek PCIe GBE Family Controller -> SendCompleteHandler -> 0x88e8f8a0
PacketIndicateHandler -> NDIS.sys @ 0xb7e2aa21
SendHandler -> NDIS.sys @ 0xb7e0887b
copy of MBR has been found in sector 0x03A380D80
malicious code @ sector 0x03A380D83 !
PE file found in sector at 0x03A380D99 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

************************************************** ************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\M EMSWEEP2]
"ImagePath"="\??\c:\windows\system32\6.tmp"
.
Ora fine scansione: 2010-07-05 19:53:48
ComboFix-quarantined-files.txt 2010-07-05 17:53

Pre-Run: 463.281.389.568 byte disponibili
Post-Run: 463.506.239.488 byte disponibili

- - End Of File - - D77F832DF876B17D3D93F51D6A62282B

[menatwork]

britta storia hai l'MBR infetto...

scarica MBR:EXE in C:\

vai in provvisoria

Dopo vai su Start>> Esegui e digita mbr.exe -f (fai copia incolla) devi stare attento, dopo exe c'e' -f ecco perche' ti ho cnsigliato il copia incolla

Mbr.exe metterà qualche secondo a fare la scansione. Fatto ciò postami qui il contenuto del log creato che troverai in c:\mbr.log

[elioteliot123]

men spero tu ci sia ancora... ho seguito passo passo le tue indicazioni avviando in modalità provvisoria ed eseguendo mbr.exe... si apre una finestrella dos per pochi secondi poi si è richiusa ma non c'è su c nessun mbr.log pure visualizzando i file nascosti.. ho rifatto il tutto ma non trovo il log.... e ora che faccio?

aggiorno ho cercato il log con la solita funzione cerca e lo ho trovato da una altra parte ecco cosa dice:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x03A380D80
malicious code @ sector 0x03A380D83 !
PE file found in sector at 0x03A380D99 !