Creazione automatica internet connection

[clanto]

Chi mi può aiutare, mi si sconnette continuamente alice, perchè mi si crea un nuovo accesso remoto "internet connection"  (se lo cancello si ricrea in pochi minuti.
Allego un log.

Logfile of HijackThis v1.99.1
Scan saved at 21.19.14, on 12/12/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msasvc.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\msasvc.exe
C:\WINDOWS\System32\irdvxc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\vcmon.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\mysvcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Documents and Settings\Jessi\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
O2 - BHO: (no name) - {02DEFC98-65CD-4718-AB0D-D07594B5EE7A} - C:\WINDOWS\System32\ddcbbba.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - C:\Programmi\AOL Security Toolbar\tbu19E\AOL_security_toolbar.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: (no name) - {DEEE1E69-F794-45D3-B5F9-F14BBFE4807A} - C:\Programmi\ComPlus Applications\horelotal.dll (file missing)
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: AOL Security Toolbar - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - C:\Programmi\AOL Security Toolbar\tbu19E\AOL_security_toolbar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programmi\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [msconfig38] mssvcc.exe
O4 - HKLM\..\Run: [msconfig232] mssvccc.exe
O4 - HKLM\..\Run: [Mgsgi service] ojbkv.exe
O4 - HKLM\..\Run: [Win32] msnsrv.exe
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\Run: [Windows Management] stmng32.exe
O4 - HKLM\..\Run: [MSN Live Messanger] msnlive.exe
O4 - HKLM\..\Run: [MS System Call Function] MSSCF32.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\Run: [john315] C:\WINDOWS\system32\srrvc.exe
O4 - HKLM\..\Run: [mel34] C:\WINDOWS\system32\mdm4.exe
O4 - HKLM\..\Run: [787A8629] C:\WINDOWS\System32\mlsdf8h8779299.exe
O4 - HKLM\..\Run: [rsy32] C:\WINDOWS\System32\rsy32.exe
O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
O4 - HKLM\..\RunServices: [msconfig232] mssvccc.exe
O4 - HKLM\..\RunServices: [Mgsgi service] ojbkv.exe
O4 - HKLM\..\RunServices: [Win32] msnsrv.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [Windows Management] stmng32.exe
O4 - HKLM\..\RunServices: [MSN Live Messanger] msnlive.exe
O4 - HKLM\..\RunServices: [MS System Call Function] MSSCF32.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [787A8629] C:\WINDOWS\System32\mlsdf8h8779299.exe
O4 - HKLM\..\RunServices: [rsy32] C:\WINDOWS\System32\rsy32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [E06IXLRD_74546] "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Win32] msnsrv.exe
O4 - HKCU\..\Run: [Windows Management] stmng32.exe
O4 - HKCU\..\Run: [MS System Call Function] MSSCF32.exe
O4 - HKCU\..\Run: [john315] C:\WINDOWS\system32\srrvc.exe
O4 - HKCU\..\Run: [mel34] C:\WINDOWS\system32\mdm4.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://bar.mytotalsearch.com/menusearch.html?p=CPXXXXXX60
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://c:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://c:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/download/DownloaderActiveX.cab
O20 - Winlogon Notify: ddcbbba - ddcbbba.dll (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Print Spooler Service (oy87eii8kyh12eu) - Unknown owner - C:\WINDOWS\System32\sklrr7y9851058.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (RpcMon) - Unknown owner - C:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: SecDqe - Unknown owner - C:\WINDOWS\TEMP\6D.tmp (file missing)
O23 - Service: SecKbr - Unknown owner - \\?\C:\Programmi\File comuni\System\com7.exe (file missing)
O23 - Service: SysNpd - Unknown owner - C:\WINDOWS\TEMP\5.tmp (file missing)
O23 - Service: SysTpu - Unknown owner - \\?\C:\Programmi\File comuni\System\lpt4.exe (file missing)
O23 - Service: SysZhw - Unknown owner - C:\WINDOWS\TEMP\69.tmp (file missing)
O23 - Service: Windows Terminal Services - Unknown owner - C:\WINDOWS\system32\vcmon.exe
O23 - Service: WinHdx - Unknown owner - \\?\C:\Programmi\File comuni\nul.exe (file missing)
O23 - Service: WinMrq - Unknown owner - C:\WINDOWS\TEMP\6F.tmp (file missing)

[Ninfea]

Hai fatto benissimo a postare un log; seleziona le seguenti voci ed eliminale:
O4 - HKLM\..\Run: [msconfig38] mssvcc.exe
O4 - HKLM\..\Run: [msconfig232] mssvccc.exe
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O8 - Extra context menu item: &Search - http://bar.mytotalsearch.com/menusearch.html?p=CPXXXXXX60
O20 - Winlogon Notify: ddcbbba - ddcbbba.dll (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dl
O23 - Service: Remote Procedure Call (RPC) Monitoring (RpcMon) - Unknown owner - C:\WINDOWS\System32\Rpcmon.exe (file missing)


Ti consiglio assolutamente di cancellare il contenuto della cartella TEMP dopo aver "fixato" le voci con hijackthis, ed inoltre di pulire il registro con Ccleaner che puoi trovare qua:
https://www.hwsetup.it/news/reader.php?objid=2674


Vai su trova problemi, fammi sapere se risolvi


p.s.
Che antivirus usi?

[clanto]

Ti ringrazio, oggi provo ad eliminare i file che mi hai indicato.
L'antivirus che uso adesso è AVAST, ma ne ho cambiati un po', prima avevo Norton 2005, poi quello free di Kaspersky.

[Ninfea]

Ok,ti chiedevo che antivirus usi perché dal log ti risulta un trojan che si é creato in svcchost.exe, il file originale infatti é svchost.exe, e fa proprio parte dei processi di rete (ad esempio l'avvio del browser), per cui dobbiamo rimuoverlo dalla radice (dal registro di sistema) con Ccleaner se ci riusciamo
Fai le prove che ti ho detto anche in modalità provvisoria nel caso la modalità normale non risultasse sufficente

[clanto]

HO provato tutte le operazioni che mi hai indicato, non ho ottenuto nessun miglioramento, anzi, adesso quando mi connetto a internet, mi esce un errore di sistema che mi spegne il pc. Non so che fare!

[Ninfea]

Allora la cosa migliore da fare é un ripristino da backup o da console di ripristino.
Apri il pc in modalità provvisoria, vai su avvio/programmi/accessori/utilità di ripristino di sistema/ripristino di sistema e clicca su una data in cui il sistema funzionava di sicuro ( anche senza virus possibilmente)..

[clanto]

Non posso fare un ripristino in quanto era disattivato.
Chiedo a questo punto se mi conviene copiare tutti i dati su un altro HD e formattare.
Ho il dubbio però di non riuscire ad eliminare il virus, ma di trasferirlo nell'altro disco.

[Ninfea]

Se salvi i dati uno per uno su un supporto esterno non c'é pericolo, il pericolo sorge nel momento in cui fai un backup completo..

[clanto]

Ciao, dopo vari tentativi ho deciso di comprare un hd esterno e di salvare i dati. Poi formatterò tutto.
Un'ultima domanda, nel pc ho una scheda madre Abit VT7 in cui ho inserito un secondo HD Hitachi k780 SATA II. Non riesce a leggerlo, le ho provate tutte. MI è venuto il dubbio che non supporti il tipo di HD.
Mi puoi dare qualche indicazione? Grazie e buon anno.

[Ninfea]

Ciao clanto,
Non credo che non lo supporti, piuttosto hai installato i drivers aggiornati della scheda madre? Di solito con il cd della scheda madre e i drivers danno insieme anche molte utilities per il controllo dei dischi SATA.
Inoltre probabilmente devi configurare il bios..
Dal momento che questa sezione é antivirus comunque per il tuo problema ti consiglio di aprire una nuova discussione qui:
http://www.forumzone.it/forum.asp?FORUM_ID=47&CAT_ID=27&Forum_Title=Dischi+rigidi+e+removibili
dove potrai trovare il supporto necessario al tuo problema sotto la guida del nostro caro moderatore Italia 1.
A presto


edit: Dimenticavo, buon anno anche a te




Questo messaggio è stato aggiornato da Ninfea il 08/01/2007  alle ore  15:36:03