Problema con virus risolto parzialmente

[JinJon]

Ragazzi, son disperato, ho un problema un po' articolato che non riesco a risolvere. Ho windows xp sp3 e stavo vedendo qualche video su Youtube, quando mi appare un banner di una pubblicità di un antivirus in mezzo al monitor. Siccome so che questi sono dei virus, ho cliccato sulla X per chiudere il banner. Dopo pochi secondi riappare e così per diverse volte. L'ultima volta che vado a cliccarlo, non premo la X per chiuderlo e invece clicco direttamente il banner. Inizia un'installazione non voluta e che non riesco a fermare. Il nome di questo presunto "Antivirus" non me lo ricordo, ma ha il simbolo di Windows Firewall (Lo scudo coi 4 colori) molto simile al simbolo di Windows Firewall. L'installazione non riuscivo a fermarla e nel mentre un'altra finestra (Simile a quella del firewall di windows) mi chiedeva di sbloccare tale programma e l'unica opzione disponibile era solamente quella di sbloccare tale programma. Mentre accadeva ciò, l'installazione di prima era completata e mi fece un messaggio di errore, una di quelle finestrelle tipiche di windowsd in cui c'è un pallino rosso con una x bianca dentro che mi diceva in inglese che il mio vero antivirus (AVG 8.5) dava problemi e premendo ok avrei dato il via alla disistallazione del mio antivirus e come opzione c'era solo ok. Io invece premo la X per chiudere questo errore ma la disistallazione parte comunque. Appena vedo che la disistallazione parte, spengo il pc con il pulsante RESET per evitare che mi disistallasse l'antivirus. Il pc riavvia e dopo la schermata quella nera in cui si vede il simbolo di windows (La bandiera coi 4 colori) e sotto la barra di caricamento, mi appare una schermata blu (Tipica di quando si riavvia il pc in modo brusco con la scansione automatica) e mi dice un qualcosa riguardo la partizione RAW che io non ho. (Perché ho 1 hard disk ripartito in 2 ma sono entrambe formattazioni NTFS) e ora questo lo fa sempre. Finito di caricare, vado in internet per vedere se era solo un virus che cambiava la mia homepage e si blocca. Riavvio e fa la stessa schermatina blu di prima. Questa volta disistallo il programma (che aveva messo un'icona a foma di scudo, come quello di windows firewall nella barra accanto all'orologio che se premevo apriva un menù simile al menù del firewall di windows ma palesemente diverso) e provo a far partire la scansione con AVG, ma quando lo apro mi dice che non ci sono componenti attivi e non mi permette di far partire nessun tipo di scansione. Aprendo Task Manager c'è una voce che nella sezione "Processi" che non ho mai visto e che penso sia il virus. Ho usato Hijackthis e ho tolto i film "scomodi" togliendo in questo modo (credo) il virus perché difatti il simbolo dello sudo apparso accanto l'orologio non c'è più, nè tantomeno c'è quel processo sospetto che era presente nel Task Manager. Il problema però non è risolto perché AVG non funziona anche se l'ho aggiornato alla versione 9.0 non permettendomi quindi di fare scansioni e la schermata blu che fa dopo il caricamento continua a farla. Cercando su internet ho trovato il vostro forum e ho tentato di seguire la vostra procedura indicata(http://forum.html.it/forum/showthrea...hreadid=811189), ma il problema si crea per il punto 1. (L'antivirus non funziona, quindi niente scansioni), per il punto 2. (Perché spybot me lo installa ma non parte e Malwarebytes' Anti-Malware non me lo installa proprio). Per il punto 3. sono riusito a fare la scansione con Symantec Security Check e dice che la scansione vulnerabilità di rete, scansione vulnerabilità di Windows e scansione Trojan Horse attivi vanne tutte e 3 bene e che sono sicure, ma rimane sempre il problema del non funzionamento dell'antivirus e di quella scheramata blu che mi fa durante il caricamento: cosa diavolo faccio?

In altre situazioni, avrei formattato e via, ma questa settimana ho riiniziato a lavorare e visto che lavoro da casa col pc dover fare un backup di tutti i progetti, formattare, riistallare i programmi e rimettere tutti i file che ho salvato mi richiederebbe troppo tempo e non posso perderne, ora come ora. Per ora posso continuare a lavorare, ma non so se questo "virus" (se c'è ancora) possa crearmi problemi come rubare password, codici seriali di (costosi) programmi di progettazione e codici di carte di credito.

Grazie anticipatamente!

[JinJon]

Nessuno è in grado di darmi una mano?

[darksoullight88]

ciao leggi il post in rileivo sulla guida alla rimozione dei virus...

[JinJon]

C'ho già provato prima di scrivere nel forum; infatti nella spiegazione dico che non riesco ad eseguire il punto 1. perché il mio antivirus è stato messo fuori (Anche aggiornandolo è stato disabilitat), Nè il punto 2 perché Spybot non riesce a funzionare mentre Malwarebytes neanche si riesce ad istallare (molto probabilmente a causa del virus).

[darksoullight88]

bhe se ti sei fermato al 2 non lo hai letto tutto....
prova ad andare al punto 4

[JinJon]

Ma scusa, hai letto il primo messaggio che ho scritto? Avevo scritto così: "[...]il problema si crea per il punto 1. (L'antivirus non funziona, quindi niente scansioni), per il punto 2. (Perché spybot me lo installa ma non parte e Malwarebytes' Anti-Malware non me lo installa proprio). Per il punto 3. sono riusito a fare la scansione con Symantec Security Check e dice che la scansione vulnerabilità di rete, scansione vulnerabilità di Windows e scansione Trojan Horse attivi vanne tutte e 3 bene e che sono sicure[...]".

[darksoullight88]

GUIDA RIMOZIONE MALWARE
[4] HijackThis
Solo se i precedenti tre punti non hanno prodotto risultati siete autorizzati ad aprire una discussione sul forum dove indicherete:

a) problema riscontrato
b) operazioni già effettuate per tentare di risolvere il problema
c) il Log prodotto dal programma HijackThis (vedi sotto)

Per ottenere il Log del punto d) scaricate Hijackthis (HJT), eseguite alla lettera le istruzioni che seguono.

Istruzioni rapide per l'uso (è importante leggerle!):


* Chiudete tutte le finestre e i programmi attivi (browser compreso). In caso contrario rischiate che l'eliminazione delle voci dannose non abbia effetto.
* Disconnettetevi da internet/LAN.
* Lanciate HJT, premete il pulsante "Do a system scan and save a log file", copiate il contenuto della finestra e inseritelo nella vostra discussione. Quando pubblicate un log sul forum inseritelo nella sua interezza (compresa l'intestazione contenente le informazioni di sistema e la sezione sui processi in esecuzione)


Attenzione! A cosa serve HijackThis?
A differenza di quello che accade per i programmi indicati al punto [2] i risultati riportati dalla scansione di Hijackthis non sono necessariamente relativi ad elementi dannosi. Al contrario, Hijackthis riporta una serie di voci di registro che potenzialmente possono essere causa di infezione. La determinazione della pericolosità della voce deve essere fatta dall'utente. Questo è il motivo per cui si suggerisce di riportare il Log sul forum dove persone esperte possono dare consigli su cosa vada eliminato e cosa no. Eliminare le voci sbagliate può voler dire compromettere pesantemente il proprio sistema.

[JinJon]

Giusto, scusami, pensavo di aver già postato il log di nel primo messaggio. Comunque non penso ci sia nulla da "cancellare" visto che lo feci anche io, però magari il vostro occhio esperto nota qualcosa che a me è sfuggito.



Logfile of HijackThis v1.99.1
Scan saved at 16.07.22, on 06/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\AVG\AVG9\avgchsvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programmi\Java\jre6\bin\jucheck.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} (System Requirements Lab Class) - http://srtest-cdn.systemrequirements...qlabdetect.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1247412052640
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/Driver...aSmartScan.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/...Uploader55.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{88336FA4-4168-4739-977E-A7CFFDE11A69}: NameServer = 91.80.36.136,91.80.37.101
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG9\avgpp.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG\AVG9\avgwdsvc.exe
O23 - Service: Servizio di Google Update (gupdate1ca098e7ec267da) (gupdate1ca098e7ec267da) - Unknown owner - C:\Programmi\Google\Update\GoogleUpdate.exe" /svc (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programmi\Java\jre6\bin\jqs.exe" -service -config "C:\Programmi\Java\jre6\lib\deploy\jqs\jqs.con f (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

[darksoullight88]

ciao, fixa queste voci

codice:

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O23 - Service: Servizio di Google Update (gupdate1ca098e7ec267da) (gupdate1ca098e7ec267da) - Unknown owner - C:\Programmi\Google\Update\GoogleUpdate.exe" /svc (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programmi\Java\jre6\bin\jqs.exe" -service -config "C:\Programmi\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

vedi se la situazione migliora...
non sono virus sono solo dei residui di vecchie istallazioni

[JinJon]

Li ho rimossi, ma non è cambiato nulla. Mi sa che mi è rimasto da formattare e basta...