Dopo aver seguito tutti i consigli riportati nell'apposito thread e parlatone col buon Eraser, ho fatto un pò di pulizia nel mio hd trovando una quantità di virus come mai ne avevo trovati assieme da quando navigo, e son ormai anni, sulla rete. Nel dettaglio:

con Bitdefender ho trovato ed eliminato se9vchost.exe (Trojan Downloader.Small.bvj)
MSCOMM32.EXE (Trojan.MulDrop3511)
cmd.exe


con Ewido Troj/Brospy-C

con HiJackThis fixato un paio di cosucce

con entrambi rilevato un file, LinkOptimizer, che non sono riuscito ad eliminare in alcun modo

infine con Avast ho individuato e cancellato un trojan chiamato Win32:Agent-Gen
Ed è questo il bastardo del titolo.

Il trojan in questione si presenta dopo pochi minuti o a volte un paio di ore che sono online. Ho il sospetto che arrivi via Msn perchè, non ne sono certo, mi pare di averlo quasi sempre riscontrato mentre ho il prog aperto, ma potrei sbagliarmi.

Genera un file chiamato qbog1.exe, visibile sulla Task Manager ma da dove non si può terminare, che a sua volta, dopo un pò di secondi, genera una finta connessione remota chiamata Internet, visibile solo accedendo alla cartella dove sono tutte le connessioni.

Il bastardo infatti, ti disconnette e si riconnette col suo numero facendoti credere che sia il tuo normale provider. Infatti se andate a controllare questa connessione leggerete il numero di telefono del solito servizio a cui vi connettete normalmente!!

Il virus evidentemente maschera il suo numero vero. Se come alcuni miei amici avete chiamato Internet la vostra connessione in rete è facile rimanere fregati.

Aggiungo infine un'altra cosa strana, non s se legata a qualche virus: ultimamente quando faccio delle ricerche su Google mi si aprono delle finestre mai viste prima. Vi allego la foto così è più chiaro :)

http://img141.imageshack.us/img141/5729/senzatitolo1copia8do.th.jpg (http://img141.imageshack.us/my.php?image=senzatitolo1copia8do.jpg)

Aggiungo che ho eseguito tutte le operazioni "disinfettanti" in mod provvisoria e con il ripristino disattivato laddove era possibile :(

Vi allego qua sotto il file di Hijackthis fatto stamattina

http://img84.imageshack.us/img84/6607/senzatitolo1copia26gr.th.jpg (http://img84.imageshack.us/my.php?image=senzatitolo1copia26gr.jpg)

AIUTOOOOOOOOOOOOO :muro:

per linkoptimizer leggi quì
http://www.helpinweb.it/forum/index.php?showtopic=1220&st=0&#entry4302

Per il log rifallo mettendo HJT in una cartella C:\
Copia il log in un formato testo nel seguente 3d (con la descrizione dei sintomi)
http://www.hwupgrade.it/forum/showthread.php?t=937676

Dopo aver seguito tutti i consigli riportati nell'apposito thread e parlatone col buon Eraser, ho fatto un pò di pulizia nel mio hd trovando una quantità di virus come mai ne avevo trovati assieme da quando navigo, e son ormai anni, sulla rete. Nel dettaglio:

con Bitdefender ho trovato ed eliminato se9vchost.exe (Trojan Downloader.Small.bvj)
MSCOMM32.EXE (Trojan.MulDrop3511)
cmd.exe


con Ewido Troj/Brospy-C

con HiJackThis fixato un paio di cosucce

con entrambi rilevato un file, LinkOptimizer, che non sono riuscito ad eliminare in alcun modo

infine con Avast ho individuato e cancellato un trojan chiamato Win32:Agent-Gen
Ed è questo il bastardo del titolo.

Il trojan in questione si presenta dopo pochi minuti o a volte un paio di ore che sono online. Ho il sospetto che arrivi via Msn perchè, non ne sono certo, mi pare di averlo quasi sempre riscontrato mentre ho il prog aperto, ma potrei sbagliarmi.

Genera un file chiamato qbog1.exe, visibile sulla Task Manager ma da dove non si può terminare, che a sua volta, dopo un pò di secondi, genera una finta connessione remota chiamata Internet, visibile solo accedendo alla cartella dove sono tutte le connessioni.

Il bastardo infatti, ti disconnette e si riconnette col suo numero facendoti credere che sia il tuo normale provider. Infatti se andate a controllare questa connessione leggerete il numero di telefono del solito servizio a cui vi connettete normalmente!!

Il virus evidentemente maschera il suo numero vero. Se come alcuni miei amici avete chiamato Internet la vostra connessione in rete è facile rimanere fregati.

Aggiungo infine un'altra cosa strana, non s se legata a qualche virus: ultimamente quando faccio delle ricerche su Google mi si aprono delle finestre mai viste prima. Vi allego la foto così è più chiaro :)

http://img141.imageshack.us/img141/5729/senzatitolo1copia8do.th.jpg (http://img141.imageshack.us/my.php?image=senzatitolo1copia8do.jpg)


Aggiungo che ho eseguito tutte le operazioni "disinfettanti" in mod provvisoria e con il ripristino disattivato laddove era possibile :(

Vi allego qua sotto il file di Hijackthis fatto stamattina

http://img84.imageshack.us/img84/6607/senzatitolo1copia26gr.th.jpg (http://img84.imageshack.us/my.php?image=senzatitolo1copia26gr.jpg)

AIUTOOOOOOOOOOOOO :muro:

QUALE CMD.EXE HAI CANCELLATO?!?
qbog1.exe cancellalo in mod provvisoria

scansiona con kaspersky

ciao e grazie per la risposta.

Linkoptimizer in pratica non dovrebbe esserci piu nel mio sistema, nel senso che non si trovano più di lui ne cartelle, ne key, ne i files indicati nella discussione che mi hai linkato :)

c'è solo se vai in Pannelo di controllo---> Installazione applicazioni. se provi a disisytallarlo ti rimanda ad una pagina internet dove anche non cliccando su unistall secondo me lo rigenera. così appare morto, ma non vorrei sbagliarmi :(

ciao Bugs, ehm non ricordo quale fosse cmd.exe, ne avevo 2, non vorrei aver fatto na cazz :(


qbog1.exe l'ho cancellato in mod provvisoria 5 volte, ma ricompare sempre.

Aggiornamento: seguendo i consigli dell'altro link ho scoperto uno strano eseguibile chiamato px.exe in C:\Programmi

mi sa che è quello. ma dubito si possa far fuori cosi, anche in provvisoria :muro:

Aggiornamento: seguendo i consigli dell'altro link ho scoperto uno strano eseguibile chiamato px.exe in C:\Programmi

mi sa che è quello. ma dubito si possa far fuori cosi, anche in provvisoria :muro:

Controlla se il file px.exe -è per caso nascosto e di sola lettura?- cambia nome dopo qualche avvio, e se è un file criptato (nome con la scritta verde). Controlla in pannello di cotrollo>servizi se hai qualche servizio strano avviato PVhsX o qualcosa del genere

ciao Bugs, ehm non ricordo quale fosse cmd.exe, ne avevo 2, non vorrei aver fatto na cazz :(


qbog1.exe l'ho cancellato in mod provvisoria 5 volte, ma ricompare sempre.
allora se ne hai cancellato uno in system32 hai fatto una cavolata in quanto serve ad interpretare i comandi DOS.
per qbog1 ti ho già risposto sul thread di hijackthis dicendoti di svuotare la cartella dei files di ripristino configurazione di sistema

Controlla se il file px.exe -è per caso nascosto e di sola lettura?- cambia nome dopo qualche avvio, e se è un file criptato (nome con la scritta verde). Controlla in pannello di cotrollo>servizi se hai qualche servizio strano avviato PVhsX o qualcosa del genere
Si per tutto quello che mi hai detto su Px.exe

In servizi ho trovato un file chiamato PEU.... mi sa che è l'equivalente di PVhsX

Allora, andando a controllare da Servizi ho avuto conferme: PEU è al momento disattivato, ma fa riferimento a Px.exe. E' da qui che ha origine tutto.


Grazie Bugs, corro a leggere e provo. cmd.exe non è quello di system32per fortuna, appena controllato :)

ok
ricordati di pulire e cancellare i file di ripristino conf di sistema

ok
ricordati di pulire e cancellare i file di ripristino conf di sistema
Bugs perdona l'ignoranza, ma mi spiegheresti come fare? :)

Ah, per quel file, PEU, che è configurato come connessione, qualcuno ha qualche idea? come posso eliminarlo? Provo a cambiare password e altre cose e mandarlo in tilt?

FERMO!!!

NON ELIMINARE QUEL FILE! E' IMPORTANTISSIMO.

aspetta 5 minuti e ti dico come muoverti

ok

Scarica questo programma: The Avenger (http://swandog46.geekstogo.com/avenger.zip)

Decomprimilo in una cartella, poi eseguilo.

Clicca alla voce "Input script manually"

Clicca poi sulla lente di ingrandimento, ti si aprirá una nuova finestra bianca dove poter scrivere

Inserisci queste due righe di testo:


Files to delete:
c:\programmi\Px.exe


Clicca ora su Done

Clicca sull'icona del semaforo. Ti chiederá di riavviare il pc. Una volta riavviato controlla che il file non ci sia piu. Controlla poi se il programma ti ha fatto un backup del file sotto:

C:\windows\system32\avenger\backup.zip

Mandami quel file (backup.zip) via form.

that's all

Bugs perdona l'ignoranza, ma mi spiegheresti come fare? :)

Ah, per quel file, PEU, che è configurato come connessione, qualcuno ha qualche idea? come posso eliminarlo? Provo a cambiare password e altre cose e mandarlo in tilt?
allora hai win xp vero?
vai su pannello di controllo>prestazioni e manutenzione>sistema>ripristino configurazione di sistema>metti la spunta a disattiva ripristinoi conf di sistema poi selezioni applica poi la levi e selezioni applica(così lo riattivi)
naturalmente tutto questo dopo aver pulito il computer da virus e schifezze varie.

Ok, graie millle ragazzi. Provo e vi faccio sapere. A tra poco :)

Riecomi. Allora, eraser, il file Px.exe non compare più in Programmi, ti ho spedito il backup.zip che volevi. Resta ora quel cavolo di PEU presente in Servizi. Fa sempre riferimento allo scomparso px.exe, ma non mi permette di toccarlo. Ho provato a disattivarloma mi dice "accesso negato"

cavolo, il programma non ha potuto fare il backup del file...

cavolo, il programma non ha potuto fare il backup del file...
Azz, ma che diavolo di trojan è sto coso?? :mbe:

Cmq secondo te se cambio le impostazioni di quel coso presente in Servizi, PEU, faccio danno?

beh, il file a cui fa riferimento il servizio non c'è piu, quindi il servizio non dovrebbe essere attivo

Allora abbiamo presso la stessa schifosissima cosa. Controlla in document e setting e troverai pure un account nascosto...disintegralo!... per eliminare il servizio maledetto puoi usare wsf.
P.S.
Penso sia utile riunire i post...mi sa si tratti della stessa "cosa"

Rieccomi. Allora, innanzitutto grazie mille ragazzi, grazie ai vostri suggerimenti e al tool di Eraser (grazie per la disponibilità :ave: ), ho fatto fuori quell'exe bastardo e ora non ho più schifezze attive nel pc :)

Bugs, ho seguito pure la tua indicazione, tutto ok :), thnx

L'unica cosa rimasta è appunto quell'account farlocco chiamato PEU che però, facendo riferimento all'exe sopracitato e eliminato, è morto. Infatti risulta arrestato e non rompe.

Tuttavia grazie a Commodore proverò a farlo sparire ugualmente. Una cosa. Cos'è wsf? :p

Tuttavia grazie a Commodore proverò a farlo sparire ugualmente. Una cosa. Cos'è wsf? :p

WSF stà per Windows Service Finder, è una piccola utilià che lavora da shell di comando la puoi trovare QUI (http://www.enfis.it/download.php#) usa la seguente sintassi da prompt dei comadi: wsf.exe /ks=XXX (sostituisci XXX con il nome del servizio da eliminare)
Ciao!

Azz, grazie! ;)

Azz, grazie! ;)

De nada :)

Sono "costretto" a ri-ringraziarti: questo tool è ottimo! Disintegrato l'ultimo residuo del bast..done :)

Ode al forum di HU e ai suoi preparati e disponibili frequentatori e Mod :cincin:

Figurati dovere :D ....ho qualche nuova...dal vecchio log di comodo risultano questi strani IP 195.225.176.85 195.225.177.145 e altri. Ho rifatto una ricerca whois che porta dritta dritta a questi siti:
NameServer: NS-PRI.RIPE.NET
NameServer: NS3.NIC.FR
NameServer: SUNIC.SUNET.SE
NameServer: NS-EXT.ISC.ORG
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: TINNIE.ARIN.NET
Se si tenta il collegamento spunta un certificato (non valido) da scaricare....mi sa che è la chiave di volta....resta da capire come è entrato nel mio PC. Se qualcuno (leggi eraser :p ) avesse un pc da immolare :D mi sa che si svelerebbe l'arcano...

P.S.
Mi sa che non hai, come me del resto, disintegrato tutto. Se cerchi nel registro di sistema con regedit (non con jv16 che non trova niente) troverai alcune chiavi (si chiamano come il servizio) ancora presenti...se smanetti con autorizzazioni varie riesci a cancellare qualcosa...non tutto però

non ho problemi nell'analizzare sample ma non capisco di che certificato parli :fagiano:

il server probabilmente sotto inchiesta é questo 195.225.176.85 e sicuramente il sample é lí, solo che visto cosí potrebbe essere in qualunque posizione, sotto qualunque cartella con chissá quale nome.

Se eravate ancora infetti con uno sniffer sarebbe stato possibile analizzarne il percorso completo di connessione :(

Cosí sinceramente non c'é moltissimo da fare...rimango in attesa di qualche altro caso, i vostri sono stati risolti ma la questione non mi convince

controllato con regedit, col nome di quel servizio non ho trovato nulla. può essere che abbia chiavi con altri nomi in proposito, boh?

pure io sarei curioso di capire come cavolo è entrato stò coso. faccio vari test mensili e il Pc mi risulta essere blindato. Mi sorge anche il dubbio che Spybot e Spywareblaster fungono poco :(

non ho problemi nell'analizzare sample ma non capisco di che certificato parli :fagiano:

il server probabilmente sotto inchiesta é questo 195.225.176.85 e sicuramente il sample é lí, solo che visto cosí potrebbe essere in qualunque posizione, sotto qualunque cartella con chissá quale nome.

Se eravate ancora infetti con uno sniffer sarebbe stato possibile analizzarne il percorso completo di connessione :(

Cosí sinceramente non c'é moltissimo da fare...rimango in attesa di qualche altro caso, i vostri sono stati risolti ma la questione non mi convince

Mi sa che ho detto una stupidata :p il certificato è quello relativo al servizio di reindirizzamento del sito whois...chiedo venia :stordita:

X maxone
Il "mio" servizio si chiamava PVHsX ...dubito però che nel tuo registro ci sia qualcosa di simile

Ciao ragazzi... come dicevo ho avuto anche io questa bestiolina nel mio PC... premetto che ci sono andato dietro da un po, anche perchè all'inizio non si trovava nulla su LinkOptimizer ( potete leggermi in questo forum (http://www.helpinweb.it/forum/index.php?showtopic=1220) )

Cmq... prima di riuscire ad eliminare i file presenti in c:\programmi\ (io li ho disintegrati con la knoppix 5.0 di linux non conoscevo il tool proposto da erase, grande programmino) ho notato che con passware EFS key e possibile decriptare il file ma purtroppo richiede una password...

Il Trojan abbiamo visto che crea un nuovo account utente... All'interno delle directory presenti in Documents and Settings\xxxxx\ si trovano i certificati per riuscire a decriptare il file EFS... o per creare un "agente di recupero"

le cartelle dove si trovano informazioni per il recupero sono:

\Application Data\Microsoft\SystemCertificates\My\Certificates
\Application Data\Microsoft\SystemCertificates\My\Keys
\Application Data\Microsoft\Crypto\RSA

Se qualcuno all'interno di questo forum ha gia fatto qualcosa del genere, faccia un passo avanti :D
in caso trovate informazioni qui -> Parte1 (http://www.windowserver.it/Default.aspx?tabid=113) Parte2 (http://www.windowserver.it/Default.aspx?tabid=114) (ringrazio Guia nell'altro forum per la collaborazione)

Purtroppo avendo cancellato i file crittografati non posso più fare esperimenti... inoltre volevo chiedervi un parere su una cosa...
Dato che il servizio di criptazione EFS si trova solo nella versione professional di XP ed è imparentato con il file system di una partizione NTFS... Secondo voi un attacco del genere davanti ad una partizione a Fat32 o ad un sistema operaivo diverso come anche XP Home, che tipo di infezione provocherebbe?
Perchè sto pensando in questi giorni grazie a LinkOptimizer di disattivare il servizio in XP di crittografia dei file...

Insomma in questo modo anche i virus potrebbero risiedere nel nostro HD passando invisibili alle scansioni dei nostri antivirus... Microsoft dovrebbe provvedere ad un aggiornamento immediato per evitare questo tipo di attacchi...

Ok... adesso sto spyware a proprio il :ciapet: scoperto...
Se riusciamo a sniffare la corretta locazione sul server... e ad aprire i file critografati... siamo a cavallo :)

Rivoglio il Trojan!!! :D

attualmente Prevx rimuove linkoptimizer.dll

ok, abbiamo intercettato un altro caso in forum stranieri
stiamo cercando di recuperare il sample

Cmq... prima di riuscire ad eliminare i file presenti in c:\programmi\ (io li ho disintegrati con la knoppix 5.0 di linux non conoscevo il tool proposto da erase, grande programmino) ho notato che con passware EFS key e possibile decriptare il file ma purtroppo richiede una password...

Io con SUSE avviato da cd non sono riuscito cancellarlo... :eh:

Io con SUSE avviato da cd non sono riuscito cancellarlo... :eh:

Non conosco Suse so che è una versione a pagamento e quindi penso riconosca in lettura/scrittura anche lei le partizioni NTFS.

In Knoppik 5.0 mi sono mosso cosi... (la 4.0 non me lo permetteva)
Avviato da CD... tasto destro su HD... ho abilitato in scrittura l'HD... c:\programmi\xxxxxx.exe tasto destro su file elimina, che corrisponde a shift+canc...

Fortunatamente sono riuscito a cancellare il maledetto (non so ancora come) da xp
hola!

Fortunatamente sono riuscito a cancellare il maledetto (non so ancora come) da xp
hola!

Se sei riuscito a cancellare un file con crittazione da XP probabilmente potevi anche aprirlo... :confused: guarda se lo tieni nel cestino mi sembra strano

Se sei riuscito a cancellare un file con crittazione da XP probabilmente potevi anche aprirlo... :confused: guarda se lo tieni nel cestino mi sembra strano

No no il cestino l'ho svuotato, poi con ontrack ho tentato di recuperare il file...più nessuna traccia. Sono riuscito a cancellare il file con xp che stava ancora caricando...ripeto non ho idea come. La cosa strana che non capisco è che potevo, dopo aver penato per cambiargli gli attributi, rinominare il file, ma non cancellarlo, spostarlo copiarlo....

@Commodore

Mi controlli se hai ancora la chiave:
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)

su un PC su cui sto facendo assistenza è l'unica cosa che rimane... e non capisco perche si rigenera anche dopo averla cancellata da ragedit...

X maxone
Il "mio" servizio si chiamava PVHsX ...dubito però che nel tuo registro ci sia qualcosa di simile
si, scusa, sono stato poco chiaro io: mi riferivo al servizio che avevo io, quello chiamato PEU :p

@Commodore

Mi controlli se hai ancora la chiave:
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)

su un PC su cui sto facendo assistenza è l'unica cosa che rimane... e non capisco perche si rigenera anche dopo averla cancellata da ragedit...

No nessuna chiave di questo tipo (neppure prima)

ci risiamo


immagino sia una di quelle schifezze che commodore diceva erano probabilmente rimaste nel pc, perchè francamente non saprei come possa essere rientrato...

allora, scan online di ewido non ha troato nulla, ma lo scan prima dell'avvio di Avast mi ha trovato infetto questo file:

qgfjd1.dll

il file risultava infetto da: Win32: Agent Gen che si trovava in system32

poi un mio prog di protezione mi ha segnalato che è stata aggiunta questa chiave:

axwjg.exe (oppure qxwjg.exe

nel dubbio l'ho temporaneamente messa da parte, pronto a cancellare tutto se mi dite voi ;)


ah, altro controllo: in servizi è riapparso quell'account, PEU... per fortuna in programmi non sembra esserci nessun exe anomalo


mi è venuto un sospetto: ma non è che qualche sito che visito è infetto, oppure entra attraverso Msn o Emule???

io dopo aver cancellato tutto... ho notato nella System32 un file infetto process.exe segnalato na nod come Win32/PrcView non ho rovato piu nulla...

però come ho detto prima la chiave O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file) anche se la cancello cambiado le proprieta accesso utente dal regedit si rigenera...

Credo ci sia qualche altra cosa oltre a quello che abbiamo cancellato che fa scattare il Dialer...

io dopo aver cancellato tutto... ho notato nella System32 un file infetto process.exe segnalato na nod come Win32/PrcView non ho rovato piu nulla...

però come ho detto prima la chiave O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file) anche se la cancello cambiado le proprieta accesso utente dal regedit si rigenera...

Credo ci sia qualche altra cosa oltre a quello che abbiamo cancellato che fa scattare il Dialer...
esattamente. io, ripeto, ho il sospetto che ci sia qualcosa che lo riattivi quando ci colleghiamo da qualche aprte. stò facendo delle prove e il sospettato numero uno, nel mio caso, resta Msn. nei giorni scorsi che non lo avevo usato non avevo nulla nel pc, o meglio, quell'account, PEU, non c'era e non avevo trovato virus nel sistema. appena invece l'ho usato sono ricomparsi. anche ieri, dopo aver postato qui, ho eliminato tutto con i prog suggeriti nel topic. il sistema ea pulito. mi sono connesso a Msn et voià: PEU stamattina è ricomparso. coincidenza? :mbe:

ragazzi, nessuna novità? :)

just for info:

ho ricevuto il sample, tra poco, appena ho un attimo libero, ci butto un occhio

Ho dato un'occhiata al forum, sembra che l'amico stia facendo danni.....

In effetti scassa non poco le bxxxe sto' strxxxzo

teniamo in altro questo topic, magari torna utile anche agli altri in attesa di buone nuove da eraser :)

Aggiornamento...la stessa bestia l'ha presa un mio amico...non c'è stato nulla da fare se non formattare. La novità era rappresentata dal nome del servizio PHG che aveva tutta la descrizione, una prosopopea farlocca sui dischi fissi, in italiano.

aiuto ragazzi l'ho preso anche io e non so come risolvere perchè non sono molto pratica con il pc!aiutatemi!

Aggiornamento...la stessa bestia l'ha presa un mio amico...non c'è stato nulla da fare se non formattare. La novità era rappresentata dal nome del servizio PHG che aveva tutta la descrizione, una prosopopea farlocca sui dischi fissi, in italiano.
Azz, trojan bast....

ma possibile non si possa far nulla se non formattare? :(


X Montellina87: leggiti questo topic dall'inizio, troverai molte info utili su come eliminare perlomeno il grosso, rendendolo abbastanza innocuo (a meno che non si sia "evoluto" e i metodi vecchi non fungano più)

La prima volta sono riuscito a debellarlo, questa volta no....si è evoluto :(

azz :(

senti, ma tu eri riuscito la prima volta a eliminare quel servizio che si genera e che cambia nome da pc a pc? Mi spiego: a me questo PEU, servizio nell'area Gestione è rimasto. Lo faccio fuori ma ricompare ad ogni riavvio. Però non essendoci piu' l'exe che lo attivava apapre innocuo. Ma mi da fastidio averlo li :(

http://forum.html.it/forum/showthread.php?threadid=1008361

seguite questa ottima guida al momento

fatto. il problema da me credo sia ormai solo sta maledetta chiave che HJThis non riesce a fixare

O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)

qualcuno di voi è riuscito?

Aggiungo stamattina:

dopo aver seguito per scrupolo l'altra guida con RKR ho ottenuto un log. Qui riporto la parte che mi sembra contenere voci sospette (non solo quelle in neretto). Che ne dite?

HKLM\S-1-5-21-329068152-583907252-839522115-1003\RemoteAccess\InternetProfile 05/06/2006 15.19 7 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\blue.Shortcut\ 21/03/2006 19.23 15 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\blue.Shortcut\shell\open\command\ 21/03/2006 19.23 15 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 21/03/2006 18.25 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 21/03/2006 18.25 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 21/03/2006 18.25 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 21/03/2006 18.25 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 21/03/2006 18.25 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{89E4FD92-A677-11d7-A773-00C04F68F44E}\Pins\Input\Types\{10ed2d83-f16f-0348-2000-8c26b23e9a26}\22 07/07/2006 19.32 91 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 21/03/2006 18.25 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 21/03/2006 18.25 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version 11/06/2006 19.51 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 21/03/2006 18.25 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 21/03/2006 18.25 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 21/03/2006 18.25 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 21/03/2006 18.25 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 21/03/2006 18.25 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 05/06/2006 12.42 66 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version 11/06/2006 19.51 0 bytes Key name contains embedded nulls (*)
C:\WINDOWS\system32 17/07/2006 23.25 143.81 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32:enhancee.tli 17/07/2006 23.25 143.81 KB Hidden from Windows API.
D:\pl_para\â.:CÀ 05/10/2004 18.14 0 bytes Hidden from Windows API.

Infine con HJThis e il suo tool Adsspy ho rilevato questo:

C:\WINDOWS\Prefetch\SYSTEM32 : QXWJG.EXE-0C38FDDC.pf (20386 bytes)

Ho un problema madornale.Ho il PC completamente infestato dai virus.Li ho individuati con hijack ma non riesco ad eliminarli neanche dal prompt dei comandi.Mi avevano consigliato di usare kasper sky ma purtroppo c'è un altro problema
Praticamente uno di questi virus o malware mi causa il riavvio immediato del sistema.Non riesco a fare niente.Mi si riavvia subito.Ho provato anche ad andare nelle configurazioni d'avvio.Ho addirittura disattivato tutto ma mi si riavvia lo stesso.
Dato che si riavvia non ho il tempo per installare kasper sky e nella modalità provissoria non posso installarlo.

Questo è il log di hijack

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\HiJackThis_v2.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Duplex - {4D8603D1-E19F-4DB9-B841-CF0B3AECF967} - C:\WINDOWS\system32\apparat.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: FastRX - {E09962E7-A39E-4F60-8003-66D57BED27B7} - C:\WINDOWS\system32\fastRX.dll (file missing)
O2 - BHO: ComCap - {E1B2E864-8BFC-4072-AE11-924E0F8BBA96} - C:\WINDOWS\system32\comcap16.dll (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus Photo R320 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE /P30 "EPSON Stylus Photo R320 Series" /O6 "USB001" /M "Stylus Photo R320"
O4 - HKLM\..\Run: [aouei] C:\Documents and Settings\valentina\Dati applicazioni\ratorefaci\sysrtmvs.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [explorer] C:\Documents and Settings\valentina\winstall.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [list 32 web bore] C:\Documents and Settings\All Users\Dati applicazioni\Bone Software List 32\Bat audio.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\winsys.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\npjpi150_09.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spazzolasallybuffy.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1157033836218
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll
O20 - AppInit_DLLs: ??????????????????????????;??
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LogLrz - Unknown owner - \\?\C:\Programmi\Windows NT\com8.exe (file missing)
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: SAVScan - Unknown owner - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SrvAxl - Unknown owner - \\?\C:\Programmi\Windows NT\com2.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: SysLvt - Unknown owner - \\?\C:\Programmi\Windows NT\lpt4.exe (file missing)
O23 - Service: SysUlp - Unknown owner - \\?\C:\Programmi\File comuni\System\lpt3.exe (file missing)


Vi prego.Ditemi come cancellare quei dannati file o almeno come annullare il processo di riavvio.Una volta che riesco a disattivare quel dannato processo di riavvio sarà almeno possibile lavorare con tranquillità a sti problemi.
Grazie Q_Q

Ho un problema madornale.Ho il PC completamente infestato dai virus.Li ho individuati con hijack ma non riesco ad eliminarli neanche dal prompt dei comandi.Mi avevano consigliato di usare kasper sky ma purtroppo c'è un altro problema
Praticamente uno di questi virus o malware mi causa il riavvio immediato del sistema.Non riesco a fare niente.Mi si riavvia subito.Ho provato anche ad andare nelle configurazioni d'avvio.Ho addirittura disattivato tutto ma mi si riavvia lo stesso.
Dato che si riavvia non ho il tempo per installare kasper sky e nella modalità provissoria non posso installarlo.

Questo è il log di hijack

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\HiJackThis_v2.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Duplex - {4D8603D1-E19F-4DB9-B841-CF0B3AECF967} - C:\WINDOWS\system32\apparat.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: FastRX - {E09962E7-A39E-4F60-8003-66D57BED27B7} - C:\WINDOWS\system32\fastRX.dll (file missing)
O2 - BHO: ComCap - {E1B2E864-8BFC-4072-AE11-924E0F8BBA96} - C:\WINDOWS\system32\comcap16.dll (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus Photo R320 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE /P30 "EPSON Stylus Photo R320 Series" /O6 "USB001" /M "Stylus Photo R320"
O4 - HKLM\..\Run: [aouei] C:\Documents and Settings\valentina\Dati applicazioni\ratorefaci\sysrtmvs.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [explorer] C:\Documents and Settings\valentina\winstall.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [list 32 web bore] C:\Documents and Settings\All Users\Dati applicazioni\Bone Software List 32\Bat audio.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\winsys.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\npjpi150_09.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spazzolasallybuffy.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1157033836218
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll
O20 - AppInit_DLLs: ??????????????????????????;??
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LogLrz - Unknown owner - \\?\C:\Programmi\Windows NT\com8.exe (file missing)
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: SAVScan - Unknown owner - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SrvAxl - Unknown owner - \\?\C:\Programmi\Windows NT\com2.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: SysLvt - Unknown owner - \\?\C:\Programmi\Windows NT\lpt4.exe (file missing)
O23 - Service: SysUlp - Unknown owner - \\?\C:\Programmi\File comuni\System\lpt3.exe (file missing)


Vi prego.Ditemi come cancellare quei dannati file o almeno come annullare il processo di riavvio.Una volta che riesco a disattivare quel dannato processo di riavvio sarà almeno possibile lavorare con tranquillità a sti problemi.
Grazie Q_Q

hai il gromozon, come gli altri....
poi dopo tante appinit_dlls mai vista una così strana....
O20 - AppInit_DLLs: ??????????????????????????;??
fixala
poi prova a fixare qst, ma non farai molto contro l'infezione....
O23 - Service: LogLrz - Unknown owner - \\?\C:\Programmi\Windows NT\com8.exe (file missing)
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe (file missing)

O23 - Service: SAVScan - Unknown owner - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: SysLvt - Unknown owner - \\?\C:\Programmi\Windows NT\lpt4.exe (file missing)
O23 - Service: SysUlp - Unknown owner - \\?\C:\Programmi\File comuni\System\lpt3.exe (file missing)



inoltre questi mi sembrano MOLTO sospetti:
O4 - HKLM\..\Run: [aouei] C:\Documents and Settings\valentina\Dati applicazioni\ratorefaci\sysrtmvs.exe
O4 - HKLM\..\Run: [explorer] C:\Documents and Settings\valentina\winstall.exe
O2 - BHO: Duplex - {4D8603D1-E19F-4DB9-B841-CF0B3AECF967} - C:\WINDOWS\system32\apparat.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\winsys.exe
O4 - HKLM\..\Run:[list 32 web bore] C:\Documents and Settings\All Users\Dati applicazioni\Bone Software List 32\Bat audio.exe

ps questi sospetti non fixarli fino ad ulteriore conferma

@Leonstrife

Il log è un casino completo, ci sono un sacco di virus, spyware, adware e chi più ne ha più ne metta... spero di non essermi dimenticato nulla... prova a fixarli in modalità provvisoria e soprattutto dopo la disinfezione RIFAI il log in modo da vedere se TUTTE (ma proprio tutte) ste schifezze sono state rimosse!! Per entrare in mod provvisoria premi F8 appena accendi il pc..

Da fixare:

O2 - BHO: Duplex - {4D8603D1-E19F-4DB9-B841-CF0B3AECF967} - C:\WINDOWS\system32\apparat.dll (file missing)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: FastRX - {E09962E7-A39E-4F60-8003-66D57BED27B7} - C:\WINDOWS\system32\fastRX.dll (file missing)
O2 - BHO: ComCap - {E1B2E864-8BFC-4072-AE11-924E0F8BBA96} - C:\WINDOWS\system32\comcap16.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [aouei] C:\Documents and Settings\valentina\Dati applicazioni\ratorefaci\sysrtmvs.exe
O4 - HKLM\..\Run: [explorer] C:\Documents and Settings\valentina\winstall.exe
O4 - HKLM\..\Run:[list 32 web bore] C:\Documents and Settings\All Users\Dati applicazioni\Bone Software List 32\Bat audio.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\winsys.exe
O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll
O20 - AppInit_DLLs: ??????????????????????????;??
O23 - Service: LogLrz - Unknown owner - \?C:ProgrammiWindows NTcom8.exe (file missing)
O23 - Service: SrvAxl - Unknown owner - \?C:ProgrammiWindows NTcom2.exe (file missing)
O23 - Service: SysLvt - Unknown owner - \?C:ProgrammiWindows NTlpt4.exe (file missing)
O23 - Service: SysUlp - Unknown owner - \?C:ProgrammiFile comuniSystemlpt3.exe (file missing)

Scusate la grandissima ignoranza Q_Q
Come li fixo?
Lo so ce ne vuole di pazienza per i fessi come me xD

Apri hijackthis, se ti si apre la maschera principale selezioni Do a system scan only, altrimenti selezioni Scan e ti fa lo scan, accanto ad ogni voce ci sono dei quadratini che puoi checkare: checkali e poi fai Fix checked. Fatto questo, riavvia il pc, rifai il log e ripostalo.

Grazie mille per la pazienza e soprattutto complimentoni per il nick :3

Questo è il log after fix

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22.40.41, on 03/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Administrator\Desktop\HiJackThis_v2.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O4 - HKLM\..\Run: [EPSON Stylus Photo R320 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE /P30 "EPSON Stylus Photo R320 Series" /O6 "USB001" /M "Stylus Photo R320"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\npjpi150_09.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spazzolasallybuffy.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1157033836218
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: SAVScan - Unknown owner - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

Pulito. :)

Riavvialo senza la mod provvisoria. Ancora problemi?

P.s. Lol anche il tuo nick è pheeko!

Si...purtroppo si riavvia ancora dopo un pò...sob Q_Q

In modalità provvisoria si riavvia? Se non si riavvia, scansiona con qualche antivirus...

Ah una cosa che mi sono dimenticato di dirti... hai disabilitato il system restore? Altrimenti le chiavi di Hijackthis che hai cancellato potrebbero essersi ricreate! Per disabilitare il system restore fai clic col tasto destro su risorse del computer, fai Proprietà, vai sulla scheda Ripristino configurazione di sistema, spunta la casella Disabilita ripristino di configurazione di sistema su tutte le unità e fai OK. Fatto questo, controlla se le chiavi di hjt non si sono ricreate. Se è tutto a posto il log, fai delle scansioni antivirali in mod provvisoria. Se non risolvi nemmeno così, non saprei cosa dirti, tieni la formattazione come ultima risorsa... ciao adesso devo andare... domani saprò se hai risolto OK? Ciauuu :)

si vede che hai il norton antivirus :).

°_° Guarda i servizi all'avvio:

Antivir

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe

AVG

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

Norton

O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: SAVScan - Unknown owner - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

Nod32

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

Leonstrife, scegli quali dei 3 togliere, ma lasciane solo uno di antivirus installato... sicuramente norton toglilo, poi nod32 lo lascerei solo se completo di licenza, in caso contratio lascia Antivir...

°_° Guarda i servizi all'avvio:

Antivir

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe

AVG

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

Norton

O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: SAVScan - Unknown owner - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

Nod32

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

Leonstrife, scegli quali dei 3 togliere, ma lasciane solo uno di antivirus installato... sicuramente norton toglilo, poi nod32 lo lascerei solo se completo di licenza, in caso contratio lascia Antivir...

Norton l'ha già tolto....si vede da "file missing" ai servizi....ti consiglierei di lasciare antivir

@ Tidus

guarda, l'ho talmente controllato di fretta che non ci ho fatto nemmeno caso, comunque non aggiungo commenti perchè mi arrabbio quando vedo queste cose.

anche qui è o gromozon nella sua nuova variante o rustock
per il secondo
http://wwwlasa.mi.infn.it/Servizio-di-Calcolo/sicurezza-e-protezione/rustbfix.exe/view

per il prima
http://www.pcalsicuro.com/main/2007/03/gromozon-il-ritorno/

leonstrife, al posto che utilizzare 20 antivirus non potresti utilizzare anche un anti-rootkit?