Salve,
espongo il mio problema.
Quando cerco di aprire l'installazione di Ccleaner, o la sua versione portable, o pagine web riguardanti tale programma, questi restano aperti per 0,5 secondi e poi si chiudono.
Mi capita lo stesso con Vir.it, software che ho trovato nei miei tentativi di risolvere il problema.
Cosa curiosa, mi capita anche che si chiuda immediatamente il browser quando apro il sito di HWupgrade.it, e nel forum clicco sulla sezione Networking e sicurezza; quindi sto scrivendo da un altro computer.
In giro per la rete ed in questo forum avevo trovato topic con problemi analoghi, solo che tutti avevan risolto eseguendo scansioni antivirus, e solitamente molte meno di quelle che ho fatto io.

Cosa ho fatto:
- Ho seguito i 10 punti delle regole di disinfezione, allego i vari log.
Con Prevx non sono riuscito a riparare il file, allego screen "prevx (http://img191.imageshack.us/img191/5130/prevx.jpg)" del file rilevato. (Non mi sembra dannoso dato che è parte di VNC ma correggetemi se sbaglio).
- Scansione con Eset Nod32 aggiornato --> nessun virus trovato.
- Scansione con Spybot Search & Destroy --> nessun malware rilevato.
Nel registro sotto la voce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options non ho trovato chiavi "sospette", allego comunque la lista in "image file execution (http://img51.imageshack.us/img51/6364/imagefileexecution.jpg)".
- Ho inoltre controllato con A-squared HijackFree le porte tcp/udp aperte, e con il solo firefox aperto risultavano una decina di porte come "established" tutte rispondenti a firefox o a eset smart security.

OS: Windows 2000 Server.


A-Squared Free (http://wikisend.com/download/293388/a2scan_091224-123904.txt)
ATF Cleaner (http://img38.imageshack.us/img38/1210/atfcleaner.jpg)
Hijackthis log (http://wikisend.com/download/956496/hijackthis.log.txt)
Note: in O4, il cmd.exe è un mio "custom" per l'esecuzione di un particolare back-up di un file all'avvio del pc; lcserver è anche questo "pulito".
GMer log (http://wikisend.com/download/236492/gmer log.log.txt)
Fsecure log (http://wikisend.com/download/964444/fsecure log.txt)
DrWeb (http://wikisend.com/download/566942/DrWeb.txt)
in DrWeb non ho apportato modifiche a prevx/realvnc poiché mi appaiono palesemente fake-report.
SysInspector (http://wikisend.com/download/488108/SysInspector-SERVER-091224-1210.xml)


Vi ringrazio in anticipo per il tempo dedicatomi.

**edit: ho aggiunto tutti i log della lista in formato txt tranne sysinspector in xml.**

Sarebbe opportuno seguire esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

Ho aggiunto tutti i log mancanti.

Mi permetto di riportare "in vita" il mio topic dato che non sono ancora riuscito a trovare una soluzione.
Sarebbe utile anche qualche altra piccola prova che potrei fare, resto comunque in attesa.

ciao purtroppo il tuo post ci era sfuggito ed ora i log non sono più raggiungibili

prova a caricare i log aggiornati di malwarebytes, hjt e prevx
poi a memoria avevi eliminato tutto con il resto delle scansioni?

Se non erro ricordo di aver rimosso tutte le minacce rilevate dai vari programmi, tranne alcuni "falsi positivi" come RealVnc, e quelli di Prevx.

Avevo i log salvati.

ri-linko tutti i log precedenti, con quelli di Hjt, Malwarebytes e Prevx aggiornati:
ATF Cleaner (http://www.poltero.it/atf%20cleaner.JPG)
Prevx (http://www.poltero.it/prevx%20new.JPG)
MalwareBytes (http://www.poltero.it/mbam-log-2010-01-07 (15-39-55).txt)
A squared (http://www.filefactory.com/file/a1748d9/n/a_squared.txt)
DrWeb (http://www.poltero.it/DrWeb.txt)
Fsecure (http://www.poltero.it/fsecure log.txt)
GMer (http://www.poltero.it/gmer log.log.txt)
Hijackthis (http://www.poltero.it/hijackthis.txt)
Sysinspector (http://www.poltero.it/SysInspector-SERVER-091224-1210.xml)


Per quanto riguarda l'immagine di Prevx, ho inserito nell'immagine anche la chiave nel registro com'è ora. Non avendo trovato in internet nessuna informazione riguardo al processo "incriminato" non ho fatto nulla.


P.S. Non sono riuscito ad utilizzare nuovamente i link che fornite nel topic delle regole, quindi mi sono arrangiato con un mio dominio privato, tranne per il log di A-squared che ho hostato su un altro sito gratuito.


** edit **
Dopo qualche ricerca il dumpinit.exe rilevato da Prevx sembra possa essere un probabile malware, data la sua posizione nel registro. Prima di procedere a una rimozione forzata di tale elemento o qualsiasi altra azione aspetto un vostro riscontro.

sei chiaramente infetto, ripeti le scansioni e carica nuovi log

Ho risolto eliminando il dumpinit.exe con un brute deleter e ripristinando la chiave di registro al suo stadio ordinario.

Ho risolto eliminando il dumpinit.exe con un brute deleter e ripristinando la chiave di registro al suo stadio ordinario.

Nessuno di noi ti potrà dare la conferma che tu abbia risolto in modo completo il tuo problema e quindi non possiamo dirti se hai veramente un pc pulito....
Se vuoi una conferma segui la guida che ti ha segnalato Chill-Out al post n. #2 (http://www.hwupgrade.it/forum/showpost.php?p=30192932&postcount=2) e allega tutti i log...

Segui le istruzioni perchè le scansioni vanno eseguite in modalità completa e non rapida....:rolleyes: inotlre devi caricare ogni singolo log, esclusivamente in formato .txt a parte SynInspector in .xml come ti è già stato ricordato!

Nessuno di noi ti potrà dare la conferma che tu abbia risolto in modo completo il tuo problema e quindi non possiamo dirti se hai veramente un pc pulito....


Vi ringrazio comunque per il tempo dedicatomi, purtroppo il computer in questione non è mio e non ho sempre accesso diretto (le ultime scansioni le ho fatte in remoto facendomi dare credenziali temporanee), ho fatto un favore ad un amico che lavora per un'azienda e ritengo le scansioni/pulizie effettuate sufficienti al livello di pulizia richiestomi.

Potete considerare il topic chiuso, grazie lo stesso per l'ulteriore proposta di aiuto.