Trojan Horse che ricompaiono e problemi con directory

[HannibalLecterMD]

Ciao a tutti, il mio problema è piuttosto grave, ma quel che è peggio: è anche molto complicato da spiegare...
Allora, circa 5 mesi fa il caro AVG ha pensato bene di darmi un falso positivo, ovvero che mi ha segnalato un virus PERICOLOSISSIMO (stando a quello che diceva -_-) all'interno del mio PC. Io, come una deficente, gli ho dato retta ho fatto il fatale errore di cliccare su REMOVE e mi ha rovinato il registro di sistema, in pratica ho dovuto formattare, per poi scoprire che quel virus non è mai esistito....
A quando pare sono stata idiota doppiamente perchè dopo il format ho reinstallato AVG...
Non mi ha più dato simili problemi....
Un mese fa però successe un fatto insolito: AVG mi segnalò un Trojan horse...
Non gli diedi retta, pensando che fosse un altro 'falso positivo', però questo avviso era sempre più assillante, feci qualche ricerca e a quanto pareva era davvero un virus...
Cliccai su "HEAL" questa volta... andai a controllare nella cartella segnalata ma l'ipotetico virus riappariva da solo...! Così decisi di eliminarlo con il solito metodo: tasto destro, elimina. Ma con mia grande sorpresa il file si ricreava poco dopo!
AVG ha cominciato ad assillarmi con 5 avvisi, uno dopo l'altro di altri virus simili.... Tentai prima di fare HEAL e poi ancora di eliminarli personalmente, niente da fare...
I nomi di questi file .exe sono:

mstinit.exe (c:\WINDOWS\system32\drivers)
mstsc.exe (c:\WINDOWS\system)
ieudinit.exe (c:\documents and settings\Hannibal Lecter\Dati Applicazioni\Microsoft)
cisvc.exe (c:\documents and settings\Hannibal Lecter\Dati Applicazioni)

Pensai che fosse AVG a dare i numeri, e così l'ho disattivato, ma al riavvio del PC mi arriva un carinissimo avviso ove mi avvisava (e questo avviso mi arriva tutt'ora anche dopo il ripristino di sistema) ove mi avvisa che il file dllhst3g.exe è impossibile da trovare nella directory specificata e di toglierlo dal registro. Da quel momento se controllo Virus Vault (o valut, scusate di inglese non sono una cima) di AVG trovo con piacere che anche il file dllhst3g.exe è considerato un bel Trojan Horse...
Ho provato a ripristinare tutti quanti i file, credendo che dopo l'eliminazione si sia cambiato qualcosa dal registro, fortuna che avevo cliccato prima su HEAL... ma niente da fare...
Potete aiutarmi? Ve ne sarei grata...
Spero di essere stata chiara.

[wjmat]

Ciao

se vuoi ripulire per bene il pc segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post, e secondo le modalità

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.

• per dubbi o problemi su qualche programma od operazione cerca informazioni aggiuntive qui
• se il pc è molto compromesso (es. riavvii frequenti, schermate blu) oppure hai problemi con internet per aggiornare i programmi leggi qui
• se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

link caricamento log generici ► fileqube.com ■ wikisend.com ■ mediafire.com
link caricamento immagini ► fileqube.com ■ imageshack.us

[HannibalLecterMD]

Ogni tanto succede che il PC si riavvia con la schermata blu, ma questo da sempre... Credo sia un problema di temperatura... Ma se posso risolverlo, non sarebbe affatto male.
Ok faccio il tutto poi torno qua, grazie mille per ora!

[HannibalLecterMD]

Spero di inserire i log nella maniera giusta...

MalwareBytes
http://www.fileqube.com/file/kGFZQRJ167566

A-Squared Free
http://www.fileqube.com/file/VAEloZIu167569

F-Secure Online
http://www.fileqube.com/file/RGnXGxX167570

Dottor Web mi da parecchi problemi e si blocca alla fine della scansione...
Se è proprio necessario lo faccio... Ditemi voi ^^

SysInspector
http://www.fileqube.com/file/dqteUCL167571

Hijackthis
Per questo se non va bene postato così ditemi cosa devo fare... E chiedo scusa per l'errore
http://www.fileqube.com/file/wPVhEWV167573

Gmer
Idem per questo..
http://www.fileqube.com/file/fDIYkxk167574

Prevxcsi
http://www.fileqube.com/file/GGBxGzydW167575

[HannibalLecterMD]

Scusatemi se riscrivo, ma vi prego...
Datemi una mano

[wjmat]

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log rinominato in .txt e lo carichi con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Codice:

F3 - REG:win.ini: load=C:\WINDOWS\dllhst3g.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programmi\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [LifeCam] "C:\Programmi\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programmi\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Cisvc] C:\DOCUME~1\HANNIB~1\DATIAP~1\cisvc.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Cisvc] C:\DOCUME~1\HANNIB~1\DATIAP~1\cisvc.exe /waitservice (User 'Default user')
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programmi\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

spyware doctor puoi disinstallarlo pure, ti rallenta solamente

carica un log di Combofix (leggi bene le info)

[HannibalLecterMD]

Ok ora faccio tutto!!! Poi torno qua a rispondere e a dirti se è tutto apposto!
Sei davvero gentilissimo, grazie!

[HannibalLecterMD]

Ok allora con Gestisci Allegati cè il log di Hijackthis

E questo è quello di Combofix: http://www.fileqube.com/file/bxXuXY167773

[wjmat]

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

[HannibalLecterMD]

Ho tolto avg e ho installato avira!
Ho messo anche il firewall consigliato e funziona tutto alla grande, non ho tolto i residui, ora proverò a farlo...
Combofix lo devo togliere o posso tenerlo?
Grazie davvero per il tuo aiuto, ho il pc molto più veloce adesso e sicuramente più sicuro

Dato che ci sono usufruisco ancora della tua disponibilità, se ne hai ancora, per chiederti: ma i riavvii sporadici del computer, soprattutto quando uso programmi di grafica o giochi, avvengono per possibili programmi installati male o per altri motivi? Non può essere la scheda video, è nuova e l'ho pagata l'occhio della testa...
Come faccio a capirlo? Grazie ancora ^^

[HannibalLecterMD]

Appunto, ho provato ad installare Wise Registry Cleaner Free ma siccome avevo paura di combinare casini l'ho disinstallato con Revo Uninstaller.
Nella disinstallazione mi ha chiesto poi di togliere le due chiavi di registro e altri file del programma nella cartella "Programmi"...
Adesso ogni qual volta che riavvio il PC, oppure che lo spengo, mi viene la schermata blu di errore...
Infatti non posso spegnerlo normalmente, devo premere il tasto di spegnimento/accensione e farlo 'brutalmente'
Cosa posso fare?

[HannibalLecterMD]

Appena puoi rispondimi, se invece devo aprire un nuovo topic per quest'altro problema dimmelo pure...
E scusami per il disturbo che ti sto recando ^^

[wjmat]

rimuovi tutti i programmi di quelli indifcati nel trattamento

per le bsod con i programmi di grafica potrebbero essere i driver della scheda video, eventualmente cerca nella sezione adatta consigli per la tua scheda

fai un controllo della RAM

scarica whocrashed da qui
installalo
se sul pc non è installato Windows Debugging Package (WinDbg) di Microsoft, verrà scaricato ed installato automaticamente per il corretto funzionamento del programma
lancialo, clicca su analize e al termine copia in un file di testo tutta la parte sotto Analysis e allegacelo secondo le modalità

[HannibalLecterMD]

Non riesco a togliere Gmer Combofix e Dr.Web perchè non sono in 'Installazione Applicazioni' del Pannello di Controllo, è sufficiente cliccare con il tasto destro sulle icone ed eliminarli così? Scusa l'ignoranza in materia...

PS. Ho tenuto i primi due spyware il firewall Online Armor, Avira antivirus, ATFCleaner e JKDefrag, se devo togliere anche quelli dimmelo pure...

Ho fatto il test della RAM, non mi ha dato nemmeno un errore...
Ecco qua il risultato di WhoCrashed:
Grazie per la tua pazienza..

[wjmat]

il trattamento rimanda al bigino per le singole e chiare disinstallazioni

nvtcp.sys mi ha portato qui
http://www.hwupgrade.it/forum/archiv...t-1071101.html

[HannibalLecterMD]

Ho provato a modificare l'estensione del file nvtcp.sys in .old, proprio come hanno consigliato a quel ragazzo, ma niente da fare... Stesso problema che persiste

[wjmat]

vedo errori dovuti anche a usbport.sys
che periferiche usb hai collegato?

[HannibalLecterMD]

Stampante Epson Stylus
Scanner Mustek
WebCam
Mouse e Tastiera a infrarossi Longitech
E basta mi sembra...
Ho provato a fare una ricerca agli ultimi errori avvenuti oggi riguardanti questo file ntoskrnl.exe
Infatti proprio oggi e ieri è segnato....
Non potrei aver combinato dei danni nel registro con l'eliminazione di Wise Registry Cleaner Free, vero? XD

(Ho cancellato i programmi! Grazie!)

[HannibalLecterMD]

Ho analizzato di nuovo con il programma WhoChared, e a quanto pare l'errore è ancora un altro questa volta....

On Fri 23/01/2009 16.25.39 your computer crashed
This was likely caused by the following module: beep.sys
Bugcheck code: 0x1000000A (0xFFDF, 0x2, 0x1, 0x806E7A8E)
Error: Unknown
file path: C:\WINDOWS\system32\drivers\beep.sys
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: BEEP Driver
The crash took place in a standard Microsoft module. Likely the culprit is another driver on your system which cannot be identified.

[wjmat]

comincia a scollegare tutte le periferiche usb inutili e lascia solo mouse e tastiera

configura antivir come indicato qui, fai una scansione completa e carichi il log/report secondo le modalità