non riesco a collegarmi a internet virus svchost?

[carlettoge]

Salve
ho seguito un po' tutto e provato i vari programmi ma non potendo collegarmi (scrivo da altro pc) provo a mandarvi il log che ho fatto in modalità provvisoria

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.25.04, on 03/04/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\windows\system32\ctfmon.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google News
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Bing, Actualité et Sport
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: ???????@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe " -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1250924030689
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\system32\Ati2evxx.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Guard.Mail.ru - Unknown owner - C:\Programmi\Mail.Ru\Guard\GuardMailRu.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe

--
End of file - 5070 bytes

[Sir Jack]

Ciao, ho avuto un problema molto simile, risolto brillantemente da pegifr.

ERrore svchost allo startup (win xp sp3)

Vedi se ti ci ritrovi.

[carlettoge]

ho fatto uno scan con mbam in modalità procvvisoria (tra l'altro entra in funzione ventola del portatile) ma non rileva nulla.
ovviamente non posso aggiornare i database del mbam perché su quel pc non ho internet

[carlettoge]

ho fatto scansione con Gmer mi dice che ci sono state modifice al file svchost (nascosto) e alla fine scansione apparsa schermata blu
DRIVER_IRQL_NOT_LESSOR_EQUAL

[Sir Jack]

ho fatto scansione con Gmer mi dice che ci sono state modifice al file svchost (nascosto) e alla fine scansione apparsa schermata blu
DRIVER_IRQL_NOT_LESSOR_EQUAL

hmmm allora aspetta pegifr

[pegifr]

Ciao carlettoge

Riesegui HJT, clicca su Scan, spunta le caselle delle seguenti voci e clicca su Fix checked.

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: ???????@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O23 - Service: Guard.Mail.ru - Unknown owner - C:\Programmi\Mail.Ru\Guard\GuardMailRu.exe (file missing)

Scarica Malwarebytes’ Anti-Malware > http://www.malwarebytes.org/mbam.php
Clicca su download free version. Collega eventuali dispositivi di massa USB.
Installalo, avvialo ed aggiornalo (è importante).
Esegui la scansione completa del sistema selezionando tutte le unità ed elimina tutti gli elementi identificati.
Completa la rimozione col riavvio se richiesto.
Salva il log della scansione ed allegalo (si trova nel Tab "log").

Gli scanner antirootkit fanno a pugni con tutti i files nascosti, anche quelli buoni...
Per quel BSOD credo ci sia da aggiornare qualche drivers. Vai nella cartella Minidump, se c'è, in windows e caricami su Wikisend il file .dmp con la data più recente. Spero sia l'unico...

[carlettoge]

Grazie intanto tantissimo.
Ho fatto scan con HJT, fissati e cancellati e lo scan con Malwarebytes’ Anti-Malwaree che allego qui perché mi dice che il caricamento dell'allegato è fallito. Chiedo venia.
(avevo caricato su USB Malwarebytes’ Anti-Malware su altro PC e poi ho dovuto andare a sistemare le definizioni... Comunque sono riuscito.
Poi chiamo se tutto risolto
Carletto
(cartella di Minidump è vuota)


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6287

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06/04/2011 21.39.39
mbam-log-2011-04-06 (21-39-39).txt

Scan type: Full scan (C:\|D:\|F:\|)
Objects scanned: 225123
Time elapsed: 33 minute(s), 21 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

[pegifr]

Ciao carlettoge

Se il problema persiste, cominciamo dalla peggiore delle ipotesi…

Scarica DeFogger > http://download.bleepingcomputer.com/jpshortstuff/Defogger.exe
Salvalo sul desktop ed eseguilo. Su Vista e 7 eseguilo come amministratore.
Clicca su Disable. Conferma. Premi OK. Chiudi la schermata precedente. Verrà prodotto un log sul desktop (DeFogger_Disable.txt), allegalo. Se ti viene richiesto il riavvio, accetta.

Scarica TDSSKiller > http://support.kaspersky.com/downloads/utils/tdsskiller.zip
Estrai il contenuto sul desktop ed avvialo.
Clicca su Start Scan.
Se c’è un’infezione, l'azione di default sarà cure. Clicca su continua.
Se c’è il sospetto di un’infezione, l'azione di default sarà skip. Clicca su continua.
Se viene richiesto il riavvio, accetta.
Il rapporto si troverà in C > TDSSKiller.[Version]_[Date]_[Time]_log.txt
Se non è stato richiesto il riavvio, chiudi e clicca su report .
Salva il contenuto in un file di testo per poi allegarlo.

[carlettoge]

grazie dell'attenzione
allego due file (non riesco ad allegarli)
defogger
e tdsskiller (qui è apparso il skip!

DEFOGGER
d

[pegifr]

Vediamo cosa avrebbe trascurato TDSS dopo aver fatto girare DeFogger…

Usa Wikisend > Wikisend: free file sharing service per caricare il log di TDSS.