Virus mi apre pagine internet

[luigi.84]

Ciao,
è da qualche giorno che un fastidioso virus continua ad aprirmi pagine internet (uso firefox), prontamente bloccate da Avast che mi segnala "url maligno bloccato". Ho provveduto ad effettuare una scansione completa con Avast stesso per poi rifarla all'avvio del sistema, ho dato una pulita con spybot mentre HijackThis non segnala nulla di anomalo. Cosa posso fare?
Il processo interessato cambia tra firefox.exe e svchost.exe

In allegato una segnalazione dell'avast

[menatwork]

scarica combofix sul desktop

alla richiesta se vuoi installare la recovery console clicca su NO

esegui ComboFix.exe

segui le instruzioni

finita la scansione portati in C:\ e allega nella tua prossima risposta, il contenuto del file di testo Combofix.txt

come usare correttamente combofix

[marcosx86]

Ripulisci interamente la memoria cache di firefox, cancella file temporanei e riprova.

[luigi.84]

Ecco il log (non mi fa allegare il txt)

codice:

ComboFix 11-06-13.01 - Luigi 13/06/2011  21.17.38.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.39.1040.18.2038.1495 [GMT 2:00]
Eseguito da: c:\documents and settings\Luigi\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Luigi\WINDOWS
c:\windows\IsUn0410.exe
.
.
(((((((((((((((((((((((((   Files Creati Da 2011-05-13 al 2011-06-13  )))))))))))))))))))))))))))))))))))
.
.
2030-08-29 13:22 . 2030-08-29 13:22	56832	------w-	c:\windows\system32\iyvu9_32.dll
2030-08-29 13:22 . 2030-08-29 13:22	143872	------w-	c:\windows\system32\iacenc.dll
2011-05-28 09:21 . 2011-05-28 09:21	--------	d-----r-	c:\documents and settings\NetworkService\Preferiti
2011-05-26 09:56 . 2011-05-26 09:56	--------	d-----w-	c:\documents and settings\Luigi\Dati applicazioni\Apple Computer
2011-05-25 20:04 . 2001-08-30 21:07	5632	----a-w-	c:\windows\system32\ptpusb.dll
2011-05-25 20:04 . 2008-04-13 17:45	15104	-c--a-w-	c:\windows\system32\dllcache\usbscan.sys
2011-05-25 20:04 . 2008-04-13 17:45	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
2011-05-25 20:04 . 2008-04-14 01:13	159232	----a-w-	c:\windows\system32\ptpusd.dll
2011-05-24 20:47 . 2011-05-24 20:47	--------	d-----w-	c:\programmi\Alcohol Soft
2011-05-24 20:44 . 2011-05-24 20:44	436792	----a-w-	c:\windows\system32\drivers\sptd.sys
2011-05-24 20:40 . 2011-05-24 20:40	--------	d-----w-	c:\documents and settings\Luigi\Dati applicazioni\DAEMON Tools Pro
2011-05-24 20:40 . 2011-05-24 20:40	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\DAEMON Tools Pro
2011-05-23 12:02 . 2011-05-23 12:02	--------	d-sh--w-	c:\documents and settings\NetworkService\IETldCache
2011-05-22 15:06 . 2011-05-22 15:06	--------	d-----w-	c:\programmi\Microsoft Games
2011-05-17 15:53 . 2011-05-17 15:53	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast5"="c:\programmi\Alwil Software\Avast5\avastUI.exe" [2011-01-13 3396624]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Wireless Utility.lnk - c:\programmi\EDIMAX\Common\RaUI.exe [2010-4-21 1601536]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\IDM Computer Solutions\\UltraEdit\\Uedit32.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programmi\\BitTorrent\\bittorrent.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\java.exe"=
"c:\\LeechFTP\\Leechftp.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"c:\\Programmi\\Graphisoft\\ArchiCAD 12\\ArchiCAD.exe"=
"c:\\Programmi\\Microsoft Games\\Age of Empires II\\empires2.EXE"=
"c:\\Programmi\\Microsoft Games\\Age of Empires II\\empires2.0.exe"=
"c:\\Programmi\\Microsoft Games\\Age of Empires II\\age2_x1\\age2_x1.exe"=
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24/05/2011 22.44.29 436792]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [19/05/2010 17.47.48 294608]
R2 {1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC};Power Control [2010/06/26 18:55];c:\programmi\CyberLink\PowerDVD10\NavFilter\000.fcl [13/03/2010 12.58.52 87536]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [19/05/2010 17.47.48 17744]
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [01/02/2010 18.55.46 135664]
S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [01/02/2010 18.55.46 135664]
.
Contenuto della cartella 'Scheduled Tasks'
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-02-01 16:55]
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-02-01 16:55]
.
2011-06-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-823518204-688789844-725345543-1003Core.job
- c:\documents and settings\Luigi\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2010-04-29 21:06]
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-823518204-688789844-725345543-1003UA.job
- c:\documents and settings\Luigi\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2010-04-29 21:06]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{88D10389-E30F-4BCC-B208-585D54C98F4F}: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Luigi\Dati applicazioni\Mozilla\Firefox\Profiles\kdhyhlqo.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programmi\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\programmi\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Flash and Video Download: {bee6eb20-01e0-ebd1-da83-080329fb9a3a} - %profile%\extensions\{bee6eb20-01e0-ebd1-da83-080329fb9a3a}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programmi\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: yahoo.homepage.dontask - true
.
.
------- Associazioni dei file -------
.
.scr=AutoCADScriptFile
.txt=UltraEdit.txt
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
WebBrowser-{7B13EC3E-999A-4B70-B9CB-2617B8323822} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-13 21:31
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ... 
.
scansione entrate autostart nascoste ... 
.
Scansione files nascosti ... 
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: MAXTOR_STM3802110A rev.3.AAJ -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 
.
device: opened successfully
user: MBR read successfully
error: Read  Una periferica collegata al sistema non è in funzione.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x89B0153B
user & kernel MBR OK 
copy of MBR has been found in sector 156280320 
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC}]
"ImagePath"="\??\c:\programmi\CyberLink\PowerDVD10\NavFilter\000.fcl"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(940)
c:\windows\system32\WININET.dll
.
- - - - - - - > 'lsass.exe'(1000)
c:\windows\system32\WININET.dll
.
Ora fine scansione: 2011-06-13  21:36:11
ComboFix-quarantined-files.txt  2011-06-13 19:36
.
Pre-Run: 3.971.231.744 byte disponibili
Post-Run: 4.772.179.968 byte disponibili
.
- - End Of File - - 502A9993AA2DAF5888D3168D711933E5

[menatwork]

scarica MBR e salvalo nella directory C:\
Dopo vai su Start>> Esegui e digita mbr.exe -f (fai copia incolla)

Mbr.exe metterà qualche secondo a fare la scansione. Fatto ciò postami qui il contenuto del log creato che troverai in c:\mbr.log

[luigi.84]

ecco qua, grazie per l'aiuto:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: MAXTOR_STM3802110A rev.3.AAJ -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4

device: opened successfully
user: MBR read successfully
error: Read Una periferica collegata al sistema non è in funzione.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x89AFA53B
user & kernel MBR OK
copy of MBR has been found in sector 156280320

[menatwork]

scarica TDSSKiller e salvalo sul desktop
Estrai il contenuto sul desktop.Doppio click su
.exe per avviare l'applicazione e poi su start scan.
Se un file infetto viene trovato,l'azione di default sarà cure,clicca su continua.
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su continua.
Se ti viene chiesto di riavviare il pc completa il processo.Clicca su riavvia ora.
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Se un riavvio è richiesto il report si trova in C:\folder in questa forma "TDSSKiller.[Version]_[Date]_[Time]_log.txt"

[luigi.84]

ecco il log TDSlog

[menatwork]

elimina il log della scansione con mbr e rieseguila di nuovo con le stesse modalita' della precedente e posta il nuovo log

[luigi.84]

eccolo

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: MAXTOR_STM3802110A rev.3.AAJ -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 156280320