WIN32/VIRUT - Impossibile disattivare ripristino sistema

[Malaparata]

Ho Windows XP home edition e come si può intuire dal titolo mi sono beccato il fastidiosissimo virus win32/virut che mi sta attaccando tutti gli exe. Ho letto i forum italiani ed esteri, ho già scaricato con difficoltà tutti gli antivirus possibili tra cui DR Web, Kasperski, Hijackthis, Sysclean ad altri, posso attivare la modalità provvisoria regolarmente ma il problema è che il virus mi ha tolto diverse opzioni dal pannello di controllo. Tra queste è impossibile attivare il windows update o disattivare il ripristino configurazione di sistema e ho letto che prima di fare la pulizia in modalità provvisoria bisogna disattivare questa opzione. Nel mio PC ci son centinaia di migliaia di file e ogni scan dura ore, tra l'altro kasperski ho letto che è anche più lento del solito, per cui non vorrei fare un fine settimana intero di tentativi di pulizia in modalità provvisoria, poi riavvio il sistema e mi ritorna in automatico tutto come prima perchè il ripristino è in funzione. C'è qualcosa che posso/devo fare in questo caso o è una partita persa in partenza?

Vorrei provare ad evitare la formattazione perchè ho un sacco di file pesanti (montaggio video) che non riesco a spostare in un disco esterno e per spostarli via email o server online ci vogliono 2 mesi.
Ogni suggerimento da parte di persone esperte per effettuare almeno un tentativo con gli antivirus è gradito. Se può servire posso postare il log di Hijackthis. Grazie

[darksoullight88]

posta il log di hijackthis.

[Malaparata]

Hijackthis non mi apre il log, mi salva solo il file e io non lo posso leggere perchè a quanto pare i programmi notepad e word mi sono spariti dal computer o comunque non funzionano più. Ho inserito il log in un analizzatore online ma mi segnala "solo" che non ho un firewall attivato e dal pannello di controllo non posso accedere ai settings. Mi dice che è sparito anche il file rundll.exe e il monitor non appare più come prima (colori settati al minimo e non modificabili).
Male che va proverò a usare i vari removal senza disattivare il ripristino configurazione di sistema. Altre informazioni utili non riesco a trovarne, a parte la formattazione

[Malaparata]

Logfile of HijackThis v1.99.1
Dovrebbe trattarsi dell'ultima versione.
Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Dovrebbe trattarsi dell'ultima versione.
C:\WINDOWS\System32\smss.exe
Davvero sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\SYSTEM32\winlogon.exe
Davvero sicuro
Systemprozess - Windows Login Routine
C:\WINDOWS\system32\services.exe
Sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\lsass.exe
Davvero sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\svchost.exe
Sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\System32\svchost.exe
Davvero sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\spoolsv.exe
Sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
Davvero sicuro Sicuro (4.43 / 5.00)
C:\WINDOWS\system32\AvidSDMService.exe
Davvero sicuro Processo sconosciuto.
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\Programmi\Bonjour\mDNSResponder.exe
Neutral
Part of Apple iTunes 5
C:\WINDOWS\system32\cisvc.exe
Sicuro
Microsoft Index Service Helper
C:\Programmi\Java\jre6\bin\jqs.exe
Sicuro Sicuro (4.15 / 5.00)
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
Davvero sicuro
Machine Debug Manager. Used by developers.
C:\WINDOWS\System32\snmp.exe
Sicuro

C:\WINDOWS\System32\svchost.exe
Davvero sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\PROGRA~1\AVG\AVG8\avgemc.exe
Davvero sicuro
Abbastanza sospetto! Secondo il nostro archivio, questo programma gira normalmente in c:\programme\grisoft\.*\!. Controllare questa installazione e sottoponila a controllo antivirus se ritieni. Questa voce è stata classificata dai nostri visitatori come sicura.
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
Davvero sicuro Sicuro (4.71 / 5.00)
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
Sicuro Processo sconosciuto.
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\Programmi\AVG\AVG8\avgcsrvx.exe
Davvero sicuro Sicuro (4.3 / 5.00)
C:\WINDOWS\Explorer.EXE
Davvero sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\Programmi\Java\jre6\bin\jusched.exe
Sicuro
Java Runtime
C:\PROGRA~1\AVG\AVG8\avgtray.exe
Davvero sicuro Sicuro (4.71 / 5.00)
C:\Programmi\DNA\btdna.exe
Sicuro Processo sconosciuto.
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\SYSTEM32\taskmgr.exe

Task Manager von Windows.
C:\Programmi\Internet Explorer\iexplore.exe
Sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\Programmi\Internet Explorer\iexplore.exe
Sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\Programmi\Internet Explorer\iexplore.exe
Sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\Hijackthis 1.99.1\HijackThis.exe
Ricorda che Hijackthis deve essere avviato da una cartella a lui dedicata. Solo così Hijackthis creerà copie di backup prima di apportare modifiche! Tool, mit dem sie dieses Logfile erzeugt haben. Das Programm sollte so angelegt sein ! C:\Programme\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
Davvero sicuro Sicuro (3.81 / 5.00)
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
Questo oggetto è sicuro.
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
Davvero sicuro Sicuro (4.11 / 5.00)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
Davvero sicuro LinkScannerIE.dll - LinkScanner, http://linkscanner.explabs.com/linkscann er/default.asp
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
Sicuro WindowsLiveLogin.dll - Microsoft Windows_Live, http://ideas.live.com/
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
Sicuro (3.81 / 5.00)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
Neutral jp2ssv.dll - Sun_Java, http://java.sun.com/javase/downloads/ind ex.jsp browser plugin
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
Neutral jqs_plugin.dll - Java Quick Starter, https://jdk6.dev.java.net/testQS.html
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
Davvero sicuro Sicuro (3.81 / 5.00)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
Sicuro Java von Sun
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
Davvero sicuro Applicazione sconosciuta. Questa voce è stata classificata dai nostri visitatori come sicura.
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
Davvero sicuro Non pericoloso, ma superfluo. Speeds up the time it takes to load the Adobe Reader application. Your choice
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"
Sicuro Applicazione sconosciuta. Questa voce è stata classificata dai nostri visitatori come sicura.
O4 - Startup: is-TEF3D.lnk = C:\Antivirus\Kasperski\Virus Removal Tool1\is-TEF3D\startup.exe
Sicuro (4.36 / 5.00)
O4 - Startup: is-TRGPE.lnk = C:\Documents and Settings\Yanez\Desktop\Virus Removal Tool\is-TRGPE\startup.exe
Sicuro (4.36 / 5.00)
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Sicuro Da cancellare se non è stato fatto intenzionalmente. Questa voce è stata classificata dai nostri visitatori come sicura.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Neutral Da cancellare se non è stato fatto intenzionalmente. Cancellate quest'oggetto se non avete attivato l'opzione 'Impedisci modifiche alla home page del browser' ('Lock homepage from changes') presente in alcuni software anti-spyware.
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\WINDOWS\System32\shdocvw.dll
L'elemento Messenger è stato identificato come sicuro.
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\WINDOWS\System32\shdocvw.dll
L'elemento Yahoo! Messenger è stato identificato come sicuro.
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programmi\AIM\aim.exe (file missing)

Gli elementi non necessari (disattivati) dovrebbero essere eliminati. L'elemento AIM è stato identificato come sicuro.
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
Davvero sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
Davvero sicuro L'elemento Windows Messenger è stato identificato come sicuro.
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll
Neutral Questo elemento dovrebbe essere sicuro. Purtroppo quest'oggetto non può essere eliminato! Il modo migliore per risolvere il problema consiste nell'uso dell'utility LSPFix di Cexx.org.
O11 - Options group: [INTERNATIONAL] International
Sicuro
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...ent/wuweb_site .cab?1253910435953
Questo oggetto è sicuro.
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...lient/muweb_si te.cab?1248659836953
Questo oggetto è sicuro.
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A1A743C-8BF4-43FB-A4A1-E257152B18E3}: NameServer = 193.70.152.15 193.70.152.25
L'indirizzo IP od il Dominio '193.70.152.15 193.70.152.25' è stato identificato come sicuro.
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
Sicuro Sicuro (4.4 / 5.00)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~3\MESSEN~1\MSGRAP~1.DLL
Questo oggetto è sicuro.
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~3\MESSEN~1\MSGRAP~1.DLL
Questo oggetto è sicuro.
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
Davvero sicuro Gli elementi non necessari (disattivati) dovrebbero essere eliminati. Questa voce è stata classificata dai nostri visitatori come sicura.
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
Questo servizio (avgemc.exe) e' stato identificato come non pericoloso.
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
Davvero sicuro Servizio sconosciuto. (avgwdsvc.exe) Questa voce è stata classificata dai nostri visitatori come sicura.
O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - C:\WINDOWS\system32\AvidSDMService.exe
Sicuro Servizio sconosciuto. (AvidSDMService.exe) Questa voce è stata classificata dai nostri visitatori come sicura.
O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe
Sicuro Servizio sconosciuto. (AvidStartup.exe) Questa voce è stata classificata dai nostri visitatori come sicura.
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
Davvero sicuro Questo servizio (mDNSResponder.exe) e' stato identificato come non pericoloso.
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programmi\Java\jre6\bin\jqs.exe" -service -config "C:\Programmi\Java\jre6\lib\deploy\jqs\jqs.con f (file missing)
Sicuro (4.07 / 5.00)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Sicuro Questo servizio (nvsvc32.exe) e' stato identificato come non pericoloso. Questa voce è stata classificata dai nostri visitatori come sicura.
O23 - Service: Servizio di condivisione in rete Windows Media Player (WMPNetworkSvc) - Unknown owner - C:\Programmi\Windows Media Player\WMPNetwk.exe (file missing)
Neutral Questo servizio (WMPNetwk.exe) e' stato identificato come non pericoloso.

[darksoullight88]

hai provato la scansione online di karsperxky?

[Malaparata]

Kasperski mi ha confermato che ho preso il virus win32/virut e mi ha pulito "con successo" più di 500 file. Peccato che ho riavviato e è tornato tutto come prima. Proverò con altri antivirus incrociati prima di svuotare e formattare.
Ma se il problema è il ripristino configurazione di sistema come alcuni forum dicono, non c'è un altro modo per bloccarlo a parte il pannello di controllo?