Internet Connection Indistruttibile

[Aspide2]

Ciao a tutti, sono nuovo del forum ma ho un vecchio problema: il dialer internet connection.
Per evitare di aprire un nuovo topic sull'argomento ho provato tutte le soluzioni esposte nel forum, ma non avuto fortuna.
Ho eliminato e successivamente spostato i file bak come spiegato in qualche topic.
Posto il mio log di hijackthis, sperando che qualcuno riesca ad esorcizzare il mio pc.


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\yssefeh^

*******************

Script file located at: \??\C:\bmsiwckm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programmi\ESET\nod32kui.exe deleted successfully.
File C:\Programmi\Winamp\winampa.exe deleted successfully.
File C:\WINDOWS\system32\ctfmon.exe deleted successfully.
File C:\WINDOWS\twain_32\c5twain\ScanTo.exe deleted successfully.
File C:\Programmi\File comuni\Real\Update_OB\realsched.exe deleted successfully.
File C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe deleted successfully.
File C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe deleted successfully.
File move operation C:\Programmi\ESET\bak\nod32kui.exe|C:\Programmi\ES ET\nod32kui.exe completed successfully.
File move operation C:\Programmi\Winamp\bak\winampa.exe|C:\Programmi\W inamp\winampa.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\syst em32\ctfmon.exe completed successfully.
File move operation C:\WINDOWS\twain_32\c5twain\bak\ScanTo.exe|C:\WIND OWS\twain_32\c5twain\ScanTo.exe completed successfully.
File move operation C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe|C:\Program mi\File comuni\Real\Update_OB\realsched.exe completed successfully.
File move operation C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\bak\GoogleToolbarNotifier.exe|C:\Programmi\G oogle\GoogleToolbarNotifier\1.2.1128.5462\GoogleTo olbarNotifier.exe completed successfully.
File move operation C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe| C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe completed successfully.

Completed script processing.



Logfile of HijackThis v1.99.1
Scan saved at 13.51.58, on 20/01/08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programmi\Microsoft LifeCam\MSCamSvc.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\CTHELPER.EXE
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\twain_32\c5twain\ScanTo.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
F:\installer programmi e seriali\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe "
O4 - HKLM\..\Run: [ScanTo] C:\WINDOWS\twain_32\c5twain\ScanTo.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\bak\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .mp3: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpg: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/downloa...derActiveX.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15021/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A0E15BD-1901-48FC-96DF-613ABE9537AE}: NameServer = 85.37.17.4 85.38.28.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{2A0E15BD-1901-48FC-96DF-613ABE9537AE}: NameServer = 85.37.17.4 85.38.28.70
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

[ayrone66]

si è vero, ormai ci convivo, le ho provate tutte, ma niente, tanto mi dava solo problemi con explorer, ho installato mozilla e navigo tranquillamente. Ogni 4 - 5 giorni mi ricompare, cancello e via. non ho altri problemi col pc

[Aspide2]

beh la cosa non è tanto simpatica, internet connection tronca la connessione attuale, in questo modo se uso emule o scarico un file di grosse dimensioni da internet e magari esco di casa, ho il rischio che al mio ritorno non ho concluso niente per colpa di questo dannato virus.
Sarebbe bello conoscere come si becca, dato che è un problema comune a tantissime persone

[Anakonda]

hai provato a fare una scansione su

http://www.kaspersky.com/virusscanner?

[Aspide2]

già fatto, ma nulla è cambiato

[Deifobe]

per cominnciare, fixa:
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Il log di Find AWF esce pulito?

Scarica Registry Search Tool, eseguilo e cerca
userinit
explorer.exe
posta i risultati caricandoli su Sendmefile e postando i link.

Esegui una scansione in modalità provvisoria con SpyBot (scaricalo, fai l'installazione e poi aggiornamento)

[Aspide2]

ok adesso provo e ti faccio sapere. incrociamo le dita

[Aspide2]

Ho fixato le due voci come mi hai suggerito, i link dei risultati di registry verify tool sono:
http://www.sendmefile.com/00608329
http://www.sendmefile.com/00608330

Questo è il log di FindAWf

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C Š ICEBERG
Numero di serie del volume: 385D-E4E2

Directory di C:\PROGRA~1\ESET\BAK

0 File 0 byte
2 Directory 15.261.990.912 byte disponibili
Il volume nell'unit… C Š ICEBERG
Numero di serie del volume: 385D-E4E2

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 15.261.990.912 byte disponibili
Il volume nell'unit… C Š ICEBERG
Numero di serie del volume: 385D-E4E2

Directory di C:\PROGRA~1\MICROS~4\BAK

0 File 0 byte
2 Directory 15.261.990.912 byte disponibili
Il volume nell'unit… C Š ICEBERG
Numero di serie del volume: 385D-E4E2

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
3 Directory 15.261.990.912 byte disponibili
Il volume nell'unit… C Š ICEBERG
Numero di serie del volume: 385D-E4E2

Directory di C:\PROGRA~1\WINAMP\BAK

0 File 0 byte
2 Directory 15.261.990.912 byte disponibili
Il volume nell'unit… C Š ICEBERG
Numero di serie del volume: 385D-E4E2

Directory di C:\WINDOWS\SYSTEM32\BAK

0 File 0 byte
2 Directory 15.261.990.912 byte disponibili
Il volume nell'unit… C Š ICEBERG
Numero di serie del volume: 385D-E4E2

Directory di C:\PROGRA~1\ALICET~1\SMARTB~1\BAK

0 File 0 byte
2 Directory 15.261.990.912 byte disponibili
Il volume nell'unit… C Š ICEBERG
Numero di serie del volume: 385D-E4E2

Directory di C:\PROGRA~1\MSNMES~1\BAK\BAK

0 File 0 byte
2 Directory 15.261.990.912 byte disponibili
Il volume nell'unit… C Š ICEBERG
Numero di serie del volume: 385D-E4E2

Directory di C:\WINDOWS\TWAIN_32\C5TWAIN\BAK

0 File 0 byte
2 Directory 15.261.990.912 byte disponibili
Il volume nell'unit… C Š ICEBERG
Numero di serie del volume: 385D-E4E2

Directory di C:\PROGRA~1\ADOBE\ACROBA~1.0\READER\BAK

0 File 0 byte
2 Directory 15.261.990.912 byte disponibili
Il volume nell'unit… C Š ICEBERG
Numero di serie del volume: 385D-E4E2

Directory di C:\PROGRA~1\FILECO~1\REAL\UPDATE~1\BAK

0 File 0 byte
2 Directory 15.261.990.912 byte disponibili
Il volume nell'unit… C Š ICEBERG
Numero di serie del volume: 385D-E4E2

Directory di C:\PROGRA~1\JAVA\JRE16~3.0_0\BIN\BAK

0 File 0 byte
2 Directory 15.261.990.912 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report


Adesso installo SpyBot e seguo la tua procedura

[Deifobe]

le voci userinit ed explorer che cercavo sono ok..
vediamo spybot cosa fa

[Aspide2]

Spybot mi ha rilevato 7 infezioni e le ho "curate"..... speriamo che il problema sia risolto una volta e per sempre, cmq grazie tante!!!!