Minaccia sconosciuta

[Licis]

Ciao a Tutti

Da un po' di tempo subodoravo la presenza di un qualche virus nel mio computer perchè non potevo entrare in modalità provvisoria.
Oggi l'antivirus AVG ha cominciato a fare le bizze (non si avvia correttamente).
Per le mie scarse conoscenze non vedo niente di particolarmente strano nel task manager.
Potete aiutarmi?
Che posso fare per avviare in mod provvisoria(o in DOS)?
Posto ora il log di Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 21.34.07, on 23/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
g:\PROGRA~2\Grisoft\AVG7\avgamsvr.exe
g:\PROGRA~2\Grisoft\AVG7\avgupsvc.exe
g:\PROGRA~2\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
G:\PROGRAMMI\VIRIT\viritsvc.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Pierns\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O1 - Hosts: 212.150.54.250 dv-networks.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] g:\PROGRA~2\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] G:\PROGRAMMI\VIRIT\MONLITE.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "D:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programmi\eMule\emule.exe -AutoStart
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{03F87691-6B33-471B-B157-E31C9B9A7368}: NameServer = 85.255.116.115 85.255.112.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{2942B5A7-28FF-45A2-AFB4-03F54D7B1F81}: NameServer = 208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - g:\PROGRA~2\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - g:\PROGRA~2\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - g:\PROGRA~2\Grisoft\AVG7\avgemc.exe
O23 - Service: M-Audio CMIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Program Files\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Programmi\SiSoftware\SiSoftware Sandra Pro Home 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programmi\SiSoftware\SiSoftware Sandra Pro Home 2007\RpcSandraSrv.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - G:\PROGRAMMI\VIRIT\viritsvc.exe

[softn]

segui questi passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

[Licis]

Grazie softn

Ho seguito le tue istruzioni anche se non sono stato in grado di completare il secondo passaggio perchè non riesco più ad accedere al sito freehostingfiles (non so bene perchè)

quindi per ora ti posso mandare solo i link del gmer fatto per l'autostart:

direct link: http://www.freefilehosting.net/download/NDAyNzc=

forum link: Gmer3.txt

cercherò di mandarti quelli per il rootkit il prima possibile

a presto

[Or@nge]

ciao, Licis

con freefilehosting in effetti c'è stato qualche problema oggi pomeriggio, ma ora è tornato a funzionare.

Prova a fare questi passaggi:
disattiva il ripristino e avvia in modalità provvisoria
avvia HijackThis, seleziona Do a system scan only, metti la spunta alle voci indicate e premi Fix checked:

O1 - Hosts: 212.150.54.250 dv-networks.com
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{03F87691-6B33-471B-B157-E31C9B9A7368}: NameServer = 85.255.116.115 85.255.112.129


Scarica HostXpert
avvialo, seleziona Restore Microsoft's Original Hosts File
clicca su Make Host Read Only
e chiudilo


l'ultima cosa e poi ti lascio lavorare :
scarica ComboFix
Avvialo, digita 1+Invio e segui le indicazioni a video.

Durante la scansione NON usare il PC, altrimenti c'è il rischio di blocco.

Alla fine il tool rilascerà il log (altrimenti lo trovi in C:\ComboFix.txt)
posta qui il risultato insieme ad un log aggiornato di HJT.

[Licis]

sono riuscito a postare il rootkit di gmer

direct link: http://www.freefilehosting.net/download/NDA0MDY=

forum link: rootkit14.txt

Nel frattempo il mio computer comincia ad impazzire.mi da continuamente un errore di explorer e mi compare un nuovo processo dwwin.

Un altro problema è che nn vuole andare in modalità provvisoria

qui la situazione è sempre peggio

Grazie cmq dei consigli

[Licis]

Ok ragazzi, la situazione è degenerata al massimo.
Ho tentato di riavviare in modalità provvisoria cambiando le impostazioni su msconfig.
Da li in poi non sono più riuscito ad avviare il computer(vi scrivo da un altro PC).
Preso dalla disperazione ho tentato di reinstallare windows xp (tanto l'ho istallato su una partizione dedicata al sist operativo).

I passaggi che ho eseguito sono questi:
Da BIOS ho impostato come ordine di boot il drive cd per primo(subito dopo il floppy) e ho avviato quindi il CD di istallazione di windows dopo riavvio del computer.
a questo punto ho scelto la partizione dove istallarlo (C: dove esisteva in precedenza) e l'ho formattata (non velocemente) con il sistema NTFS.
ho eseguito la procedura di istallazione ma quando il computer viene riavviato per il completamento dell'istallazione non riesce ancora ad avviarsi e il sistema si blocca con un messaggio del genere:

"STOP: c000021a (errore irreversibile del sistema)
processo di sistema session manager initialization terminato in modo inatteso con stato di 0xc0000263 (0x00000000 0x00000000)
il sistema è stato chiuso"

Adesso io che dovrei fare??????

Aiutatemi vi prego sono inguagliatissimo..

Grazie. ciao

[Deifobe]

Magari qualcuno con piu' esperienza trovera' una soluzione migliore.
Eventualmente, potresti provare a creare un'installazione parallela a quella esistente. Installa nuovamente windows senza toccare quello vecchio e nominalo in modo diverso.
In mancanza di altri suggerimenti, vedi se te lo fa fare e se la completa.

edit: leggi qui e qui (collegato)