Salve gente,
piccolo probleminho un amico che accende il pc ... tutto sembra essere normale...ma quando arriva al passaggio successivo al log invece di caricare explorer appare solo la freccina del mouse su sfondo azzurro...


se premo contro alt cance entro da task e con "esegui" riesco a fare diverse cose pero explorer se lo lancio mi da errore...

la cosa strana è che è successo ad altri 3/4 amici...

possibile virus o crash della shell?

ciao e grazie

Dovrebbe essere un virus.
Io qui in laboratorio ne ho altri 4 con lo stesso problema.
Carica tutto, tranne explorer (e non lo fa neanche lanciare da task manager).
Quindi tutta la shell non funziona (icone, systray, ecc...).

Si vede solo il wallpaper.

Rimedi?

ho preso l hd e scansionato a parte sul mio pc da lavoro con kav 6 avg anti spyware cancellato i temp e zozzerie varie ma un volta riattaccato nulla... nonostante la pulizia nient altro...

vorrei provrare a installare una shell pack tipo quelle che si usano per fare modding di winzozzo pero vorrei trovarne una di winzoz xp al naturale senza cose particolari

esistono?

non so se è una cosa intelligente ma potrebbe essere una soluzione...

Non credo si risolva.
La cosa stana è che con il task manager posso fare tutto, ma non posso lanciare explorer (shell annessa).
Ho provato a riinstallare winxp e ho risolto nulla...

Provo con AVS by Kaspersky...

per le shell
http://www.freedownloadscenter.com/Shell_and_Desktop/Desktop_Window_Managers/Fastell.html
ma un log di hijackthis ce lo avete?

Ho già fatto una passsata di HiJackThis e ho corretto alcuni problemi ma la shell non la carica cmq.

provate così:da task manager File->nuova operazione (esegui)-> digita "regedit"navighi fino alla chiave in questione se c'è HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
clic con destro su explorer.exe seleziona l'opzione "autorizzazioni", seleziona il tuo account e spunta la casella controllo completo nella colonna "consenti".Vedi se c'è anche "iexplorer.exe" stesso procedimento
poi dal task manager file->nuova operazione (esegui) digiti explorer.exe e dovrebbero apparire le icone

edit: fallo da provvisoria (F8 al boot) se non riesci da mod normale fate sapere

Saluti :cool:

Niente da fare.
Aggiungo: non appena cerco di lanciare explorer.exe mi dice che è inesistente con tutto che è presente dentro windows...

cioè non c'e proprio la chiave in questione nel percorso?(epxlorer.exe)

la chiave c'è, l'ho modificata come mi hai detto ma nulla...

Non mi fa aprire explorer dal taskmanager.

Nessuno sa di che virus si tratti e come eliminarlo?

seguo smepre ma ora non ho davanti il pc in questione!:D

Su un computer che ho in assistenza mi killa HiJackThis

Dalla scansione con Active Virus Shield (Kaspersky5) mi ha trovato qusti due virus:
trojan.Win32.Dialer.tl
Trojan.Win32.Small.kj
Sono attinenti con il problema?

Risolto eliminando dal registro questa voce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

explorer.exe
iexplorer.exe

il virus dovrebbe essere il LinkOptimizer B

Risolto eliminando dal registro questa voce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

explorer.exe
iexplorer.exe

il virus dovrebbe essere il LinkOptimizer B

non è il b ma qualche variante più avanti

non è il b ma qualche variante più avanti

Può essere...

Può essere...

lo so perchè la b ha componenti rootkit, le successive no

Effettivamente non ho controllato se c'è traccia di rootkit...

Boh, più tardi controllerò.

probvato anche io come dice Darkman.

RISOLTO!!!!

.....navighi fino alla chiave in questione se c'è HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
clic con destro su explorer.exe seleziona l'opzione "autorizzazioni", seleziona il tuo account e spunta la casella controllo completo nella colonna "consenti".Vedi se c'è anche "iexplorer.exe" ........


Saluti :cool:

Hem e io che avevo detto? :mbe:

appena si decidono a portarmi sto pc provo pure io grazie !!!!!!!!

salve a tutti,
io mi ritrovo da qualche giorno con lo stesso problema, ho provato a cercare le chiavi da eliminare in questione ma sul mio pc non ci sono, vi allego un log di hijackthis
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\WINDOWS\System32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Administrator\Desktop\removr\hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R3 - URLSearchHook: (no name) - {B7D3E479-CC68-42B5-A338-938ECE35F419} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Programmi\Dealio\kb106\Dealio.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programmi\Dealio\kb106\Dealio.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Server4PC.lnk = C:\Programmi\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Programmi\Dealio\kb106\res\DealioSearch.html
O8 - Extra context menu item: Open using &Advanced JPEG Compressor - C:\Programmi\Advanced JPEG Compressor\ajcieex.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programmi\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programmi\Titan Poker\casino.exe
O9 - Extra button: Poker.com - {6FDD5236-C9F0-49ef-935D-385F5E21991A} - C:\Programmi\Poker.com\poker.exe
O9 - Extra button: InterCasino $$$ - {909AAEB6-C2CB-4AB5-A7BB-C33B72AB4BFB} - C:\Documents and Settings\Administrator\Desktop\InterCasino $$$.lnk (file missing)
O9 - Extra 'Tools' menuitem: InterCasino $$$ - {909AAEB6-C2CB-4AB5-A7BB-C33B72AB4BFB} - C:\Documents and Settings\Administrator\Desktop\InterCasino $$$.lnk (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O9 - Extra button: InterCasino $$$ - {909AAEB6-C2CB-4AB5-A7BB-C33B72AB4BFB} - C:\Documents and Settings\Administrator\Desktop\InterCasino $$$.lnk (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: InterCasino $$$ - {909AAEB6-C2CB-4AB5-A7BB-C33B72AB4BFB} - C:\Documents and Settings\Administrator\Desktop\InterCasino $$$.lnk (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {360E40AA-EE8B-4101-BA67-0CAD3F7A48DD} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186427500734
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} (Download Helper Class) - http://activex.microgaming.com/dlhelper/version7/dlhelper.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://allslots.microgaming.com/allslots/FlashAX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C35D8888-E62B-4DA4-8C91-DC2CC2B1F1F5}: NameServer = 213.205.36.70 213.205.32.70
O21 - SSODL: uKRWAYvVl - {64EBA45A-CE41-0EF0-9751-85D47C0BD4FF} - C:\WINDOWS\system32\ocz.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - Unknown owner - C:\WINDOWS\ATKKBService.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DiamondCS ProcessGuard Service v3.410 (DCSPGSRV) - Unknown owner - C:\Programmi\ProcessGuard\dcsuserprot.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

grazie

Ciao... fixa questi
R3 - URLSearchHook: (no name) - {B7D3E479-CC68-42B5-A338-938ECE35F419} - (no file)
O9 - Extra button: InterCasino $$$ - {909AAEB6-C2CB-4AB5-A7BB-C33B72AB4BFB} - C:\Documents and Settings\Administrator\Desktop\InterCasino $$$.lnk (file missing)
O9 - Extra 'Tools' menuitem: InterCasino $$$ - {909AAEB6-C2CB-4AB5-A7BB-C33B72AB4BFB} - C:\Documents and Settings\Administrator\Desktop\InterCasino $$$.lnk (file missing)
O9 - Extra button: InterCasino $$$ - {909AAEB6-C2CB-4AB5-A7BB-C33B72AB4BFB} - C:\Documents and Settings\Administrator\Desktop\InterCasino $$$.lnk (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: InterCasino $$$ - {909AAEB6-C2CB-4AB5-A7BB-C33B72AB4BFB} - C:\Documents and Settings\Administrator\Desktop\InterCasino $$$.lnk (file missing) (HKCU)
O16 - DPF: {360E40AA-EE8B-4101-BA67-0CAD3F7A48DD}


riguardo queste voci vorrei capire se le hai installate tu,altrimenti fixa il tutto.


O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programmi\Dealio\kb106\Dealio.dll
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Programmi\Dealio\kb106\Dealio.dll
O4 - Global Startup: Server4PC.lnk = C:\Programmi\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Programmi\Dealio\kb106\res\DealioSearch.html
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programmi\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programmi\Titan Poker\casino.exe
O9 - Extra button: Poker.com - {6FDD5236-C9F0-49ef-935D-385F5E21991A} - C:\Programmi\Poker.com\poker.exe
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://allslots.microgaming.com/allslots/FlashAX.cab

O23 - Service: DiamondCS ProcessGuard Service v3.410 (DCSPGSRV) - Unknown owner - C:\Programmi\ProcessGuard\dcsuserprot.exe (file missing) se avevi process guard fixala

adesso fammi capire sei senza desktop e non trovi queste chiavi?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplorer.exe
Un'altra domanda l'infezione l'hai presa con messenger o come ?
Vedo che non hai un antivirus( Virit è troppo poco per protezione) ne dovresti scaricare uno ad esempio antivir,ed anche un firewall.

ciao e grazie per l'aiuto,
ora sono riuscito a fare un pò di pulizia con vari software dal taskmanager,
ho di nuovo le icone e la barra explorer, come antivirus avevo nod32, domenica l'ho disinstallato per mettere l'aggiornamento licenza e mi sono ritrovato nella m.....da, ora o provato a reinstallarlo ma quando vado a richiamare NOD32 control center mi da errore nel servizio kernel e di conseguenza non posso aggiornare il data base virus, il servizio assistenza mi ha dato una serie di passaggi da eseguire ma il problema è rimasto (mi dicevano di fare una scansione con nod32 e io rispondevo che se non l'ho aggiornavo era inutile), allora ho messo virit , aggiornato ad oggi e ho eseguito una scansione........
posto il log hijackthis dopo la pulizia
la 021 non riesco ad eliminarla
grazie

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\WINDOWS\System32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\TechniSat DVB\bin\Server4PC.exe
C:\WINDOWS\System32\svchost.exe
C:\VEXPLITE\VIRITEXP.EXE
C:\Programmi\uTorrent\utorrent.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrator\Desktop\removr\hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Programmi\Dealio\kb106\Dealio.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programmi\Dealio\kb106\Dealio.dll
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Server4PC.lnk = C:\Programmi\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Programmi\Dealio\kb106\res\DealioSearch.html
O8 - Extra context menu item: Open using &Advanced JPEG Compressor - C:\Programmi\Advanced JPEG Compressor\ajcieex.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programmi\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programmi\Titan Poker\casino.exe
O9 - Extra button: Poker.com - {6FDD5236-C9F0-49ef-935D-385F5E21991A} - C:\Programmi\Poker.com\poker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{C35D8888-E62B-4DA4-8C91-DC2CC2B1F1F5}: NameServer = 213.205.36.70 213.205.32.70
O21 - SSODL: uKRWAYvVl - {64EBA45A-CE41-0EF0-9751-85D47C0BD4FF} - C:\WINDOWS\system32\ocz.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - Unknown owner - C:\WINDOWS\ATKKBService.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DiamondCS ProcessGuard Service v3.410 (DCSPGSRV) - Unknown owner - C:\Programmi\ProcessGuard\dcsuserprot.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

posta un log di run scanner e riporta le voci in rosso che ti da

lo so perchè la b ha componenti rootkit, le successive no

un rootkit senza componenti rootkit?che diavolo di roba eh?:D

posta un log di run scanner e riporta le voci in rosso che ti da

salve, non conosco run scanner, dove lo reperisco ( ho fatto una ricerca ma nisba) grazie

quindi la dealio toolbar l'hai messa tu e vari poker li hai installati tu?
disattiva il ripristino config di sistema se non sai come fare vedi QUI link (http://support.microsoft.com/kb/310405/it)
un poco di pulizia,scarica ATF Cleaner http://www.atribune.org/ccount/click.php?id=1 Avvia ATF Cleaner
(se usi Firefox o Opera, selezionali dal menu in alto)
metti la spunta su "Select All" per ogni browser
e clicca su "Empty Selected"
per la 021 fai così Scarica Avenger da qua AVENGER (http://swandog46.geekstogo.com/avenger.zip)
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:

files to delete
C:\WINDOWS\system32\ocz.dll

clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui

scarica Superantispyware (http://www.superantispyware.com/downloadfile.html?productid=SUPERANTISPYWARE) aggiornalo e fagli fare una "Perform complete scan" da "scan your computer"

scarica a-squared Free 3.0 (http://www.emsisoft.it/it/software/download/) aggiornalo e fagli fare una scansione completa del sistema
un'altra cosa:dal log non riesco a vedere che SO hai (presumo XP) e se hai il service pack installato......
facci sapere

ciao :cool:

Ciao, ho usato avenger, dopo che clikko sul semaforo ho questo errore
"Error: selected file does not appear to be a valid script. " , ora provo con gli altri consigli e metto i risultati.

il mio OS è xp ,ho il SP2

grazie

per forza quello script è l'orreore del programmatore che lo ha scritto,
lo scriptn giusto è

Files to delete:
C:\WINDOWS\system32\ocz.dll

per forza quello script è l'orreore del programmatore che lo ha scritto,
lo scriptn giusto è

Files to delete:
C:\WINDOWS\system32\ocz.dll

ho saltato i due punti...:doh: devo smetterla di postare di notte :stordita:

grazie a tutti per l'aiuto,
dopo un scanner di superantispyware ( 5 ore)sono finalmente riuscito ad aggiornare nod32, ora altre 5 ore di scan nod32 e posto i log dello stato attuale del sistema.

a più tardi

grazie

grazie a tutti per l'aiuto,
dopo un scanner di superantispyware ( 5 ore)sono finalmente riuscito ad aggiornare nod32, ora altre 5 ore di scan nod32 e posto i log dello stato attuale del sistema.

a più tardi

grazie

:eek: ma quanta roba hai su sto pc? dai nod ci metterà di meno,eppoi ce ancora asquared :D ....hai cancellato quella roba con avenger?

finita scansione con nod
posto i dati log (solo le infezioni per ragioni di spazio )
C:\Documents and Settings\Administrator\Dati applicazioni\Microsoft\Internet Explorer\Desktop.htt - Win32/Hoax.Renos applicazione - cancellato
C:\WINDOWS\ServicePackFiles\free.exe - probabilmente una variante di Win32/Agent.NBP cavallo di troia
C:\WINDOWS\ServicePackFiles\free.exe.bak - probabilmente una variante di Win32/Agent.NBP cavallo di troia
C:\WINDOWS\system32\dxdllreg.exe~ - Win32/TrojanDownloader.Delf.NUF cavallo di troia - cancellato
C:\WINDOWS\system32\WinCore32.exe - Win32/TrojanDownloader.Agent.BYH cavallo di troia - cancellato
Numero di file controllati: 814271
Numero di virus trovati: 5
Numero di file disinfettati: 5
Scansione terminata alle: 17:45:44 Tempo impiegato: 16105 sec (04:28:25)

eseguito avenger posto log dopo riavvio
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qftgfpxw

*******************

Script file located at: \??\C:\fpfjyxfm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\ocz.dll deleted successfully.

Completed script processing.

*******************

e per finire il log di hijackthis attuale

Logfile of HijackThis v1.99.1
Scan saved at 18.09.47, on 08/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\svchost.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\TechniSat DVB\bin\Server4PC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrator\Desktop\removr\hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [dskbbqle] "c:\windows\system32\dskbbqle.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Server4PC.lnk = C:\Programmi\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: Open using &Advanced JPEG Compressor - C:\Programmi\Advanced JPEG Compressor\ajcieex.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programmi\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programmi\Titan Poker\casino.exe
O9 - Extra button: Poker.com - {6FDD5236-C9F0-49ef-935D-385F5E21991A} - C:\Programmi\Poker.com\poker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186524590843
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - Unknown owner - C:\WINDOWS\ATKKBService.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DiamondCS ProcessGuard Service v3.410 (DCSPGSRV) - Unknown owner - C:\Programmi\ProcessGuard\dcsuserprot.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe


spero di aver raggiunto uno stato accettabile..........
grazie

fixa questo
O4 - HKLM\..\Run: [dskbbqle] "c:\windows\system32\dskbbqle.exe"

e cancellalo con killbox

poi run scanner
http://www.runscanner.net/

Salve a tutti, non ci crederete ma sono di nuovo nella ca...a, il passaggio sopra descritto l'ho eliminato con avenger..........
ora ho un problema diverso.............................
quando il pc si avvia e carica la barra explorer la connessione adsl tiscali parte da sola e dopo 30 secondi di internet il pc si riavvia da solo........
allora ho staccato il modem e mi sono connesso ad internet col portatile(così potevo rispondere a questo post )............
se faccio una scansione con spybot mi trova rootkit.dayoff.proces con 2 chiavi di registro infette e tradedoubler con un cookie tracciante
quando clikko per eliminare e correggere il programma si chiude senza eseguire il comando...
allora decido di usare AVG anti-spyware , quando lo avvio il pc si riavvia da solo!!!!!!!!
il riavvio improvviso del pc mi succedeva anche prima dei famosi problemi sopra elencati, ma pensavo fosse un problema di temperature...
ho controllato la cartella document and setting e mi ritrovo 2 cartelle mai viste
Local service e networkservice , oltre ad una cartella strana in administrator nominata www.google.com.....
spero possiate aiutarmi.
grazie.
p.s. scusate la mia ignoranza, ho fatto la scansione con runscanner, come faccio a postare le voci in rosso??
grazie

ciao

Salve a tutti, non ci crederete ma sono di nuovo nella ca...a, il passaggio sopra descritto l'ho eliminato con avenger..........
ora ho un problema diverso.............................
quando il pc si avvia e carica la barra explorer la connessione adsl tiscali parte da sola e dopo 30 secondi di internet il pc si riavvia da solo........
allora ho staccato il modem e mi sono connesso ad internet col portatile(così potevo rispondere a questo post )............
se faccio una scansione con spybot mi trova rootkit.dayoff.proces con 2 chiavi di registro infette e tradedoubler con un cookie tracciante
quando clikko per eliminare e correggere il programma si chiude senza eseguire il comando...
allora decido di usare AVG anti-spyware , quando lo avvio il pc si riavvia da solo!!!!!!!!
il riavvio improvviso del pc mi succedeva anche prima dei famosi problemi sopra elencati, ma pensavo fosse un problema di temperature...
ho controllato la cartella document and setting e mi ritrovo 2 cartelle mai viste
Local service e networkservice , oltre ad una cartella strana in administrator nominata www.google.com.....
spero possiate aiutarmi.
grazie.
p.s. scusate la mia ignoranza, ho fatto la scansione con runscanner, come faccio a postare le voci in rosso??
grazie

ciao

per runscanner ci clikki sopra seleziona copy to clipboard e le incolli nel blocco note e poi tutte insieme qui.
poi fai una scan con gmer scaricati prevx installalo fai un aggiornamento e fai una scansione di sistema

posto le voci in rosso di runscanner,
Item: 010 HKLM\SYSTEM\CurrentControlSet\Services (Services)
Signature: Not verified
Description: ATK Keyboard Service
Version:
Company:
Path: c:\windows\atkkbservice.exe
MD5: File not found
Productname:
FileDescription: atkkbservice.exe
Registry path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ATKKeyboardService
Registry value:
Item: 010 HKLM\SYSTEM\CurrentControlSet\Services (Services)
Signature: Not verified
Description: DiamondCS ProcessGuard Service v3.410
Version:
Company:
Path: c:\programmi\processguard\dcsuserprot.exe
MD5: File not found
Productname:
FileDescription: dcsuserprot.exe
Registry path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DCSPGSRV
Registry value:
Item: 010 HKLM\SYSTEM\CurrentControlSet\Services (Services)
Signature: Not verified
Description: FFLJWGRI
Version:
Company:
Path: c:\docume~1\admini~1\impost~1\temp\ffljwgri.exe
MD5: File not found
Productname:
FileDescription: ffljwgri.exe
Registry path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FFLJWGRI
Registry value:
Item: 010 HKLM\SYSTEM\CurrentControlSet\Services (Services)
Signature: Not verified
Description: ICF
Version:
Company:
Path: c:\windows\system32\svchost.exe:exe.exe
MD5: File not found
Productname:
FileDescription: exe.exe
Registry path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ICF
Registry value:
Item: 010 HKLM\SYSTEM\CurrentControlSet\Services (Services)
Signature: Not verified
Description: NXVAIDUYRZQDEX
Version:
Company:
Path: c:\docume~1\admini~1\impost~1\temp\nxvaiduyrzqdex.exe
MD5: File not found
Productname:
FileDescription: nxvaiduyrzqdex.exe
Registry path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NXVAIDUYRZQDEX
Registry value:
Item: 011 HKLM\SYSTEM\CurrentControlSet\Services (drivers)
Signature: Not verified
Description: System Bus Extender
Version:
Company:
Path: c:\windows\system32\drivers\vdjhelnv.sys
MD5: File not found
Productname:
FileDescription: vdjhelnv.sys
Registry path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bbomahau
Registry value:
Item: 011 HKLM\SYSTEM\CurrentControlSet\Services (drivers)
Signature: Not verified
Description: EIO
Version:
Company:
Path: c:\windows\system32\drivers\eio.sys
MD5: File not found
Productname:
FileDescription: eio.sys
Registry path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EIO
Registry value:
Item: 011 HKLM\SYSTEM\CurrentControlSet\Services (drivers)
Signature: Not verified
Description: MEMSWEEP2
Version:
Company:
Path: c:\windows\system32\1d48.tmp
MD5: File not found
Productname:
FileDescription: 1d48.tmp
Registry path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MEMSWEEP2
Registry value:
Item: 011 HKLM\SYSTEM\CurrentControlSet\Services (drivers)
Signature: Not verified
Description: ASUS Video3D Service
Version:
Company:
Path: c:\windows\system32\drivers\video3d.sys
MD5: File not found
Productname:
FileDescription: video3d.sys
Registry path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Video3D
Registry value:
Item: 043 HKCU\Software\Microsoft\Internet Explorer\Extensions
Description: SolidConverterPDF
Version:
Company:
Path: GUID / CLSID not found
MD5: NA
Productname:
FileDescription:
Registry path: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\SolidConverterPDF
Registry value:
Item: 061 HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
Signature: Not verified
Description: Estensione panoramica video del Pannello di controllo {42071714-76d4-11d1-8b24-00a0c9068ff3}
Version:
Company:
Path: deskpan.dll
MD5: File not found
Productname:
FileDescription: deskpan.dll
Registry path: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
Registry value: {42071714-76d4-11d1-8b24-00a0c9068ff3}
Item: 102 HKLM - HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars
Description: {32683183-48a0-441b-a342-7c2a440a9478}
Version:
Company:
Path: GUID / CLSID not found
MD5: NA
Productname:
FileDescription:
Registry path: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Registry value:
Item: 102 HKLM - HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars
Description: {5C4C24D0-28B6-4B6B-B70F-E09848367F10}
Version:
Company:
Path: GUID / CLSID not found
MD5: NA
Productname:
FileDescription:
Registry path: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Explorer Bars\{5C4C24D0-28B6-4B6B-B70F-E09848367F10}
Registry value:
Item: 104 HKLM\Software\Microsoft\Code Store Database\Distribution Units
Description: {D2007CDB-0000-0000-0000-000000000000}
Version:
Company:
Path: GUID / CLSID not found
MD5: NA
Productname:
FileDescription:
Registry path: HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{D2007CDB-0000-0000-0000-000000000000}
Registry value:
Item: 173 HKCR\*\shellex\ContextMenuHandlers
Description:
Version:
Company:
Path: GUID / CLSID not found
MD5: NA
Productname:
FileDescription:
Registry path: HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Blocco menu Start
Registry value:


p.s. quando installo prevx come lo aggiorno??

io direi di fare così
Files to delete:
c:\docume~1\admini~1\impost~1\temp\ffljwgri.exe
c:\windows\system32\svchost.exe:exe.exe
c:\docume~1\admini~1\impost~1\temp\nxvaiduyrzqdex.exe
c:\windows\system32\drivers\vdjhelnv.sys
c:\windows\system32\1d48.tmp
Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MEMSWEEP2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FFLJWGRI
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ICF
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NXVAIDUYRZQDEX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bbomahau

però prima voglio un secondo parere, non sono pratico di runscanner

come cancello queste voci con run scanner? quando vado per mettere spunta sulla voce scelta non succede niente.
grazie

P.s. ho installato prevx, aggiornato, fatto scansione niente, se clicco su avg anti-spyware il pc si riavvia, allora ho provato da modalità provvisoria, fatto scansione con avg ma problema rimane,
decido di provare spybot, scansione eseguita, quando clicco su risoluzione problemi spybot si chiude, se mi connetto ad internet dopo 1 minuto il pc si riavvia!!!!
aiutooooo!

no lo devi fare con avenger, mi ero dimenticato di dritelo
disabilita il system resore
http://www.sicurezzainrete.com/disabilitare_system_restore.htm


con avenger (scarichi il file da
http://swandog46.geekstogo.com/avenger.zip lo scompatti in una cartella e lo esegui)

seleziona input script manually seleziona la lente di ingrandimento; incollaci questo script

Files to delete:
c:\docume~1\admini~1\impost~1\temp\ffljwgri.exe
c:\windows\system32\svchost.exe:exe.exe
c:\docume~1\admini~1\impost~1\temp\nxvaiduyrzqdex.exe
c:\windows\system32\drivers\vdjhelnv.sys
c:\windows\system32\1d48.tmp
Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MEMSWEEP2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FFLJWGRI
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ICF
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NXVAIDUYRZQDEX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bbomahau


fai ok premi due volte sul semaforo rispondi sempre si; riavvia il sistema e posta il log di ritorno al riavvio

Strano avenger dopo il riavvio mi ha dato un log completamente vuoto, ora riprovo
credo non abbia funzionato, ecco il log avenger
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tclcpsks

*******************

Script file located at: dvs^bbxr

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!

azz, allora incolla lo script in un file di blocco note, lo salvi. in avenger inserisci la prima opzione, clikka sulla cartellina apri il file, poi continua clikkando sul semaforo ecc

ecco il log di avenger ( comunque se provo a connettermi ad internet il pc si riavvia!!!!!!! aiutoooo!!)

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jbktsgkq

*******************

Script file located at: \??\C:\Documents and Settings\blmjhvtq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File c:\docume~1\admini~1\impost~1\temp\ffljwgri.exe not found!
Deletion of file c:\docume~1\admini~1\impost~1\temp\ffljwgri.exe failed!

Could not process line:
c:\docume~1\admini~1\impost~1\temp\ffljwgri.exe
Status: 0xc0000034



File c:\windows\system32\svchost.exe:exe.exe not found!
Deletion of file c:\windows\system32\svchost.exe:exe.exe failed!

Could not process line:
c:\windows\system32\svchost.exe:exe.exe
Status: 0xc0000034



File c:\docume~1\admini~1\impost~1\temp\nxvaiduyrzqdex.exe not found!
Deletion of file c:\docume~1\admini~1\impost~1\temp\nxvaiduyrzqdex.exe failed!

Could not process line:
c:\docume~1\admini~1\impost~1\temp\nxvaiduyrzqdex.exe
Status: 0xc0000034



File c:\windows\system32\drivers\vdjhelnv.sys not found!
Deletion of file c:\windows\system32\drivers\vdjhelnv.sys failed!

Could not process line:
c:\windows\system32\drivers\vdjhelnv.sys
Status: 0xc0000034



File c:\windows\system32\1d48.tmp not found!
Deletion of file c:\windows\system32\1d48.tmp failed!

Could not process line:
c:\windows\system32\1d48.tmp
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MEMSWEEP2 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FFLJWGRI deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ICF deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NXVAIDUYRZQDEX deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bbomahau deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

P.S. ho provato a togliere il riavvio automatico per vedere se mi dava qualche errore o schermata blu, invece appena connesso ,1 minuto circa, si riavvia da solo.....
sono disperato.

ciao

così per curiosità che alimentatore hai? e il modem l'hai cambiato di recente?

non so dirti che alimentetore ho, comunque se non mi connetto ad internet il pc non si riavvia( appena connesso 30 secondi e puff!!), se apro avg il pc si riavvia, spybot fa la scansione ma al momento di correggere gli errori si chiude, il modem e quello di tiscali e ce l'ho da 2 anni................

al 99% ho qualche virus ma non riesco ad individuarlo

ciao e grazie

non so dirti che alimentetore ho, comunque se non mi connetto ad internet il pc non si riavvia( appena connesso 30 secondi e puff!!), se apro avg il pc si riavvia, spybot fa la scansione ma al momento di correggere gli errori si chiude, il modem e quello di tiscali e ce l'ho da 2 anni................

al 99% ho qualche virus ma non riesco ad individuarlo

ciao e grazie

scan con gmer grazie e riporta le voci in rosso

questo c:\windows\system32\svchost.exe:exe.exe
è un ads(alternative data stream) c'è un file eseguibile "attaccato" a svchost.exe, the avenger non elimina gli ads, comunque gmer dovrebbe trovare altri valori, tipo instanze non visibili di IE o altro, ciao

questo c:\windows\system32\svchost.exe:exe.exe
è un ads(alternative data stream) c'è un file eseguibile "attaccato" a svchost.exe, the avenger non elimina gli ads, comunque gmer dovrebbe trovare altri valori, tipo instanze non visibili di IE o altro, ciao

apparte gli ho falciato la chiave di avvio quindi è un dato morto, per gli ads direi di usare questo
http://www.hwupgrade.it/forum/showthread.php?t=1294909

apparte gli ho falciato la chiave di avvio quindi è un dato morto, per gli ads direi di usare questo
http://www.hwupgrade.it/forum/showthread.php?t=1294909
e quindi cosa avresti risolto?:D l'ads è sempre attivo, ciao

e quindi cosa avresti risolto?:D l'ads è sempre attivo, ciao

dici eh? io questi così non ho mai capito come funzionano

per gli ads può usare anche hijackthis Così:apri hijackthis clicca "open the misc tools section",click su "open ads spy",leva la spunta a "quick scan",click sul tasto "scan" se ti trova l'ads incriminato lo fixi,se c'è altro lo riporti qui.

Per il fatto del riavvio mi ricorda quella variante di rustock che riavviava il pc prova questo

http://www.uploads.ejvindh.net/rustbfix.exe.

ora sto facendo la scansione, fra qualche ora posto i risultati,
grazie per l'aiuto
ciao

P.s. @lancetta , rustbfix credo di averlo provato ieri senza risultato, comunque dopo la scansione riprovo.

Salve di nuovo, da stamane alle 10 fino ad ora ( 21 ) senza connettermi e aprire avg il pc non si è mai riavviato
hijackthis mi ha dato questo log dopo lo scan consigliato da lancetta
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 2A81F9CE (97 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 2A81F9CE (97 bytes)

ora e in corso lo scan di nod32 in modalità provvisoria

rustbfix non ha trovato nulla

ho eseguito lo scan con MTR (microsoft removal tools ) esito 0 file infetti

disinstallato avg antispyware e virit ( consigliatomi dal supporto on line del nod32)

in modalità provvisoria ho lanciato spybot , risultato sempre quel bastardo rootkit.dayoff.process con due chiavi di registro
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\asc3550u
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\asc3550u
clikko correggi errori e spybot si chiude senza eseguire il comando.....

domani lancio lo scan di gmer ma dovreste dirmi quale lanciare
ora lancio rootkit
grazie per l'aiuto

fixa i 2 ads ;) siccome sono riconducibili anche al vundo e al bagle fai uno scan con Questo VUNDOFIX (http://www.atribune.org/public-beta/VundoFix.exe)
sul desktop lancialo metti la spunta su "Run VundoFix as a task" ti darà un messaggio che vundofix si chiuderà e riaprirà in un minuto o meno, quando il programma si riaprirà clicca OK clicca su "Scan for Vundo" quando ha finito di fare la scansione clicca su "Remove vundo" clicca YES alla domanda se vuoi rimuovere i files,quindi inizierà a rimuovere le dll del vundo se presenti ,quando ha finito ti dirà che dovrà riavviare il pc clicca OK.
accendi il pc e posta il log che troverai in C:\vundofix.txt....

poi Scarica http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Assicurati che la casella "Eliminar Ficheros Automaticamente" sia spuntata
Posta il log che trovi in: C:\InfoSat.txt

se eventualmente riesci poi a stare connesso scarica Panda Antirootkit (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
decomprimi il file Zip, sul desktop
eseguilo stando connesso, dovrebbe aggiornarsi automaticamente, dopodichè partirà una scansione per verificare la presenza,di eventuali rootkit, sul P.C. ed eseguire eventuali pulizie.

ciao lancetta,
ho fixato le due voci con hijackthis ,
ho lanciato vundofix ma mi da solo due voci
scan for vundo
remove vundo
run vundofix as a task non lo vedo,
eseguito scan 0 elementi trovati
eseguito elibagla e 0 elementi trovati
ora provo con panda anche perchè( mi tocco i cog......ni) ora sono CONNESSO col pc che dava problemi............panda non ha rilevato nulla
vi faccio sapere se dura

ciao

ok..giusto per sicurezza prova anche i tool contro linkoptimizer,se non lo hai già fatto,e vedi se ti ricompaiono i 2 ads,in bocca al lupo;)