HELP! Virus & goggle falso !!

Aiuto !! penso di aver preso un bel virusssssss...
anzi ne sono sicuro..

il problema e' che ne' ccleaner ne una paio di scansioni con AVG sembrano aver trovato e risolto nulla..

Innanzitutto la homepage di Goggle NON e' la vera (nonostante l'indirizzo sia corretto e nonostante la grafica sia pressoche' identica) se faccio una qualsiasi ricerca mi rimanda ad una pagina in cui appare la scritta MOVED here, dove here e' un linnk che mi sono ben guardato dal cliccare.
l'antivirus comunque informa che la pagina e' contraffatta e non attendibile.

altro problema, ogni tanto mi si aprono delle finestre di IE e spariscono da sole.

il computer se riavviato arriva alla schermata della password (utente) e non chiedendo nulla, ricarica la schermata di AVVIO DI WINDOWS e li' si blocca..

stessa cosa se avviato in modalita' provvisoria..

prima che andasse tutto in palla piu' totale sono riuscito a fare uno scan con hijackthis e ho notato che erano presenti voci come host: 89.xxx.xxx www.google.com, fr,it, e via dicendo
che non avevo mai visto e che quindi mi sono andato a cancellare direttamente..

in rete le informazioni a riguardo sono molto vaghe (risalgono al 2006 ma non sembrano riferirsi allo stesso tipo di virus)
nessuno e' nella mia stessa situazione?
avete un idea su come possa risolvere non drasticamente la cosa?

 

..il problema e' che non funzionando la "ricerca" di google, posso cercare poco..

pero' nessuno mi impedisce di usare una pennetta usb...

faccio 2 prove

 

attualmente sto' scrivendo dal portatile...

sono riuscito a scaricare spybot e sta' gia' macinando errori su errori (e noto con piacere che ha trovato altri componenti di MYWEBSEARCH, che pensavo di aver rimosso).

appena finisce lo scan vi aggiorno..

 

ha funzionato !!

visto il casino che mi ha risolto Spybot ritorna gloriosamente in pianta stabile nei programmi salva chiappe !

(pero' mywebsearch e' rimasto...)

 

nada de nada....

in installazione programmi non c'e' piu' nulla, nemmeno in C:

eppure se scrivo nella barra l'indirizzo mywebsearch c'e' sempre...

ti allego il log di hijackthis.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16.03.51, on 13/04/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.17023)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Programmi\Bonjour\mDNSResponder.exe

C:\PROGRA~1\AVG\AVG8\avgam.exe

C:\Programmi\Java\jre6\bin\jqs.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\Programmi\Google\Update\1.2.183.23\GoogleCrashHandler.exe

C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe

C:\WINDOWS\system32\svchost.exe

C:\BMWgroup\ETKLokal\transbase\tbmux32.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\Programmi\AVG\AVG8\avgcsrvx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System\cisvc.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Programmi\Microsoft IntelliPoint\ipoint.exe

C:\Programmi\Microsoft IntelliType Pro\itype.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Programmi\Microsoft IntelliPoint\dpupdchk.exe

C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Programmi\PC Connectivity Solution\Transports\NclMSBTSrv.exe

C:\PROGRA~1\FILECO~1\Nokia\MPlatform\NokiaMServer.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\Programmi\File comuni\Nokia\NoA\nokiaaserver.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\TEMP\34C.tmp

C:\Programmi\FreePOPs\freepopsd.exe

C:\Programmi\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

F3 - REG:win.ini: load=C:\WINDOWS\System\cisvc.exe

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com

O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [intelliPoint] "C:\Programmi\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [itype] "C:\Programmi\Microsoft IntelliType Pro\itype.exe"

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [startCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Policies\Explorer\Run: [spool] C:\WINDOWS\System32\drivers\spoolsv.exe /waitservice

O4 - HKLM\..\Policies\Explorer\Run: [MstInit] C:\WINDOWS\mstinit.exe /waitservice

O4 - HKLM\..\Policies\Explorer\Run: [MqtgSVC] C:\DOCUME~1\NICCOL~1\IMPOST~1\Temp\mqtgsvc.exe /waitservice

O4 - HKLM\..\Policies\Explorer\Run: [Logman] C:\WINDOWS\logman.exe /waitservice

O4 - HKLM\..\Policies\Explorer\Run: [iEudinit] C:\DOCUME~1\NICCOL~1\DATIAP~1\ieudinit.exe /waitservice

O4 - HKLM\..\Policies\Explorer\Run: [Cisvc] C:\WINDOWS\System\cisvc.exe /waitservice

O4 - HKLM\..\Policies\Explorer\Run: [rsvp] C:\WINDOWS\System\rsvp.exe /waitservice

O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\NICCOL~1\DATIAP~1\dllhst3g.exe /waitservice

O4 - HKLM\..\Policies\Explorer\Run: [ComRepl] C:\WINDOWS\comrepl.exe /waitservice

O4 - HKCU\..\Policies\Explorer\Run: [ClipSrv] C:\WINDOWS\System32\drivers\clipsrv.exe /waitservice

O4 - HKCU\..\Policies\Explorer\Run: [Logman] C:\DOCUME~1\NICCOL~1\DATIAP~1\logman.exe /waitservice

O4 - HKCU\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\NICCOL~1\DATIAP~1\dllhst3g.exe /waitservice

O4 - HKCU\..\Policies\Explorer\Run: [spool] C:\WINDOWS\spoolsv.exe /waitservice

O4 - HKCU\..\Policies\Explorer\Run: [Esent Utl] C:\DOCUME~1\NICCOL~1\DATIAP~1\esentutl.exe /waitservice

O4 - HKCU\..\Policies\Explorer\Run: [Cisvc] C:\WINDOWS\cisvc.exe /waitservice

O4 - HKCU\..\Policies\Explorer\Run: [MqtgSVC] C:\WINDOWS\System32\drivers\mqtgsvc.exe /waitservice

O4 - HKCU\..\Policies\Explorer\Run: [rsvp] C:\WINDOWS\System\rsvp.exe /waitservice

O4 - HKCU\..\Policies\Explorer\Run: [sessMgr] C:\WINDOWS\System32\drivers\sessmgr.exe /waitservice

O4 - HKCU\..\Policies\Explorer\Run: [MstInit] C:\WINDOWS\System\mstinit.exe /waitservice

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Esent Utl] C:\WINDOWS\System32\drivers\esentutl.exe /waitservice (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Esent Utl] C:\WINDOWS\System32\drivers\esentutl.exe /waitservice (User 'Default user')

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Titan Poker\casino.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\WINDOWS\system32\SHDOCVW.DLL

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\WINDOWS\system32\SHDOCVW.DLL

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O20 - Winlogon Notify: youm_3 - C:\WINDOWS\SYSTEM32\youm_3.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Servizio di Google Update (gupdate1c99b7d27038d32) (gupdate1c99b7d27038d32) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Transbase - Transaction Software, D 81737 Munich - C:\BMWgroup\ETKLokal\transbase\tbmux32.exe

--

End of file - 11410 bytes

mi chiedo pero' visto che all'inizio del log parla di IE (io uso firefox) se la scansione sia effettuata SOlO su IE e non su Firefox..

 

pensavo di aver risolto.. ma..

mi sono accorto che la situazione stava lentamente degenerando con eventi tipo:

Apertura improvvisa di schede firefox con siti improbabili

Firewall di windows stranamente disattivato ed impossibile da riattivare

messaggi di AVG che rilevava trojan su trojan

ogni giorno mi sono fatto un deep scan e un passaggio di spybot..eliminando cio' che non ci doveva essere.

poi ieri il patatrac:

mi si e' installato un falso antivirus che mi ha impallato tutto (partendo con improbabili scan, impossibili da fermare se non spegnendo il pc).

il problema piu' grosso e' che ora non riesco ad avviare il pc nemmeno in modalita' provvisoria, fa' la schermata di boot ma, come prima, al momento della selezine tra utente e amministratore "salta" e passa direttamente alla schermata di avvio di windows.. bloccandosi..

e sono nella cacca, ho una mail della ryanair per il check in online ma usando outlook non ho possibita' di accedervi perche non piu' sul server..

e devo partire !!!

HELP !!

 

ma mi preme ripristinare tutto...

ho anche altri dati importanti da recuperare...

 

Solo Firefox !!

ma prima di formattare (perche' sono sempre stato refrattario a questa estrema soluzione volgio capire se posso recuperare "di forza"

o quantomeno riuscire ad avviare in modalita' provvisoria..

pensandoci potrei anche caricare win su un hd esterno e far partire tutto da li' e poi far euno scan approfondito dell'HD originario...

 

ora lo brucio !!!

per prova ho reinserito il cd di windows (con l'intenzione di farmi una partizione e poi vedere)...

non ho installato nulla ho solamente fatto caricare i driver... e' ripartito e spybot e' gia' in ricerca,visto che l'utlima volta che tutto sembrava funzionare stava macinando malawares vari...

che palle raga !!

ma nessuno che sparge questi virus e' mai morto di morte violenta tra agonie varie?