Signori questo è quanto riporta antivir all'avvio!
Ho provato ad eliminare in file all'avvio con HJack ma nulla da fare!
Chi mi aiuta?

Virus or unwanted program 'Worm/Ntech.AA [WORM/Ntech.AA]'
detected in file 'C:\WINDOWS\Temp\startdrv.exe.
Action performed: Deny access


Grazie

Segui questa analisi preliminare http://www.hwupgrade.it/forum/showthread.php?t=1599737 ed allega i log secondo le Regole di Sezione, grazie.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.00.08, on 07/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Sony\VAIO Event Service\VESMgr.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Memturbo 4\MemTurbo.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Pidgin\pidgin.exe
C:\Programmi\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Documents and Settings\Davide\Desktop\ADSR.exe
C:\Programmi\HJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\RunOnce: [Tucan] "C:\Documents and Settings\Davide\Desktop\PAVARK.exe" \\?\C:\Documents and Settings\Davide\Pavark\RKCL_SEND\20071207-171320-{A7438774-C226-4A24-9283-8F7A11C968D0}_D.xml
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MemTurbo.lnk = C:\Programmi\Memturbo 4\MemTurbo.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{855B9CF4-83CD-406E-BC7A-B9A6A9E89471}: NameServer = 192.168.0.1,208.66.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA40A5B5-65E5-48AA-ABE8-2ECEE1FB0F7C}: NameServer = 192.168.1.1,208.67.222.222
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: OKI OPHC DCS Loader - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHCLDCS.EXE
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programmi\Sony\VAIO Event Service\VESMgr.exe

--
End of file - 4228 bytes


Questo è quello che HJthis riporta. Ho eseguito le operazioni che sono riportate nel post che mi è stato indicato!

ti ho chiesto di seguire la guida e alla fine postare un log di HJT

Guida alla disinfezione per Infetti

Beh leggendola ho scaricato i vari sw eseguiti e se non sbaglio c'è scritto di postare i vari log... :mc: :confused:

Beh leggendola ho scaricato i vari sw eseguiti e se non sbaglio c'è scritto di postare i vari log... :mc: :confused:

infatti dove sono gli altri log? anche perchè Panda dovrebbe aver rilevato questo rootkit ctl_w32.sys

:confused:
Speriamo bene! Ho zippato i log ricavati da HJ, a-squared Free, PAVARK, ADSR. Speriamo che io abbia imparato....:rolleyes: scusate
Di seguito il pacchetto zip con i logs
logs.zip - 0.01MB (http://www.zshare.net/download/54648279e78a75/)

Grazie

Disattiva Ripristino configurazione sistema (dovresti averlo già fatto)
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Rirpristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.
N.b.: durante la procedura di disinfezione non utilizzare software di messaggistica istantanea e file sharing

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/836aab53c0dfd8723b25ba68ecc6b540/download/

Avenger
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.
http://swandog46.geekstogo.com/avenger.zip

Script

Files to delete:
C:\WINDOWS\Temp\startdrv.exe
C:\WINDOWS\system32\drivers\ctl_w32.sys

registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|startdrv

Esegui HijackThis clicca su Do a system scan - metti il segna di spunta a sx delle voci sottoindicate - clicca su Fix checked

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU..RunOnce: [Tucan] "C:Documents and SettingsDavideDesktopPAVARK.exe" \?C:Documents and SettingsDavidePavarkRKCL_SEND20071207-171320-{A7438774-C226-4A24-9283-8F7A11 C968D0}_D.xml

Scansione con BITDEFENDER ONLINE da qui http://www.bitdefender.com/scan8/ie.html
salva ed allega il log

Prevx CSI Scanner
Scarica Prevx CSI Scanner è un tool che non necessita di installazione, eseguilo, metti il segno di spunta su I accept the terms an conditions clicca su Scan Now ed allega il log utilizzando la funzione Gestisci Allegati o hostali su http://www.zshare.com/ indicato il link nel post
Download: http://info.prevx.com/download.asp?grab=prevxcsi

I riferimenti trovati con la scansione fatta con a-squared possono essere eliminati

Riepilogo dei log da allegare in formato .txt senza bisogno di zipparli tanto li hosti su www.zshare.net
Avenger
BitDefender
Prevx CSI
Nuovo log di HijackThis

Innanzitutto ti ringrazio per la disponibilità! :sofico:
Ho eseguito alla lettera le operazioni che mi hai suggerito ed ho postato i log relativi alle varie scansioni:

Avenger Log (http://www.zshare.net/download/55128306a59bed/)

BitDefender Log (http://www.zshare.net/download/55128578087769/)

Prevex Log (http://www.zshare.net/download/5512878b7d5b8b/)

New HJThis Log (http://www.zshare.net/download/5512887b6613be/)

Ora rimango solo con un dubbio, mentre bit defender scansionava, Antivir mi ha segnalato il seguente virus senza che bitdefender lo individuasse:
http://img123.imageshack.us/img123/4267/virushu0.gif
Posso risolvere?

Se Avira non riesce a cancellarlo con il comando Delete - inserisci questo script in Avenger

Script:

Files to delete:
C:\MqwgKG.exe

al termine rifai pulizia con Ccleaner - installa un firewall software tipo Comodo Firewall Free e fammi sapere se hai ancora problemi, dopodichè ripristiniamo il system restore.

C:\Documents and Settings\Davide\Desktop\ADSR.exe
Loaded from: FILE
PX5: 6528E2C9003728EF18B0099A16B85900B0B1EFD5
MD5: 618def256c64ff0ae6fa5cb7eb36f286
Determination: SUSPICIOUS

Segnalato ad Eraser che, PrevX CSI rileva come sospetto Eset ADS Releaver.

Segnalato ad Eraser che, PrevX CSI rileva come sospetto Eset ADS Releaver.

infatti è anche in questo log :D

infatti è anche in questo log :D
E' in quel log che lo ho trovato socio ;)

Per la cronaca: Eraser mi ha comunicato che il problema segnalato è stato risolto.

Forse tutto ok, di seguito il log di Antivir:




AntiVir PersonalEdition Classic
Report file date: martedì 11 dicembre 2007 10:27

Scanning for 965647 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: SYSTEM
Computer name: VAIO

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 10/09/2007 22:43:50
AVSCAN.DLL : 7.0.6.0 49192 Bytes 10/09/2007 22:43:50
LUKE.DLL : 7.0.5.3 147496 Bytes 10/09/2007 22:43:52
LUKERES.DLL : 7.0.6.1 10280 Bytes 10/09/2007 22:43:52
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 23:25:53
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 07:07:31
ANTIVIR2.VDF : 7.0.1.30 1575424 Bytes 30/11/2007 13:31:13
ANTIVIR3.VDF : 7.0.1.67 138752 Bytes 10/12/2007 17:46:39
AVEWIN32.DLL : 7.6.0.40 3064320 Bytes 08/12/2007 20:11:06
AVWINLL.DLL : 1.0.0.7 14376 Bytes 21/04/2007 19:00:22
AVPREF.DLL : 7.0.2.2 25640 Bytes 10/09/2007 22:43:50
AVREP.DLL : 7.0.0.1 155688 Bytes 21/04/2007 19:00:26
AVPACK32.DLL : 7.3.0.15 360488 Bytes 05/08/2007 18:34:18
AVREG.DLL : 7.0.1.6 30760 Bytes 10/09/2007 22:43:50
AVARKT.DLL : 1.0.0.20 278568 Bytes 10/09/2007 22:43:47
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 10/09/2007 22:43:50
NETNT.DLL : 7.0.0.0 7720 Bytes 21/04/2007 19:00:24
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 10/09/2007 22:43:41
RCTEXT.DLL : 7.0.62.0 86056 Bytes 10/09/2007 22:43:41
SQLITE3.DLL : 3.3.17.1 339968 Bytes 10/09/2007 22:43:53

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\programmi\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: martedì 11 dicembre 2007 10:27

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'YzToolBar.exe' - '1' Module(s) have been scanned
Scan process 'ObjectDock.exe' - '1' Module(s) have been scanned
Scan process 'MemTurbo.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'igfxsrvc.exe' - '1' Module(s) have been scanned
Scan process 'igfxext.exe' - '1' Module(s) have been scanned
Scan process 'VESMgr.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'RegSrvc.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'a2service.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'S24EvMon.exe' - '1' Module(s) have been scanned
Scan process 'EvtEng.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
32 processes with 32 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '18' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\avenger\backup.zip
[0] Archive type: ZIP
--> avenger/MqwgKG.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[INFO] The file was moved to '47c1592b.qua'!
Begin scan in 'D:\' <VAIO>


End of the scan: martedì 11 dicembre 2007 10:57
Used time: 29:49 min

The scan has been done completely.

6961 Scanning directories
201943 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
1 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
201942 Files not concerned
1143 Archives were scanned
1 Warnings
1 Notes





Credo comunque il file sostetto sia il backup di avenger che ho eliminato
Grazie a tutti per la collaborazione!

a me sembra di no

ripristina il system restore e crea un punto di ripristino, ciao.