Ciao,è da un po di tempo che il mio PC quando vuole comincia a fare tutto da solo (apre finestre,internet ecc).
Da 2-3 gg sto notando anche che mi crasha la conessione ogni minuto.

Ecco il log con hijackthis!



Grazie a Tutti! GIUSEPPE!

BEnvenuto Giuseppe,

per favore leggi le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984) in merito a come postare il log di HJT.

Modifica quindi il tuo post precendente e URL="http://www.hwupgrade.it/forum/showthread.php?t=1599737"]clicca qui[/URL] segui le istruzioni e fai tutte le scansioni richieste e allega qui tutti i log.

Mi raccomando segui le regole altrimenti nessuno ti potrà dare assistenza.

Riscarica anche HJT (dalla guida) perchè hai una versione vecchia. ;D

Scusa,non ho capito cosa ho sbagliato!!!

Scusa,non ho capito cosa ho sbagliato!!!
LEGGI LE REGOLE DI SEZIONE !!!!!!!

ti viene spiegato con quali modalità devi allegare i log (e come ti ha appena detto Glenda, riedita il post dove hai copiato ed incollato il log).

E pensare che le Regole di Sezione sono in bella evidenza ed è chiaramente precisato, nel titolo del thread OBBLIGATORIA LA LETTURA :(

Le regole le avevo lette,ma nn avevo capito cosa dovevo fare!
Cmq ora edito il post!
Thx mille!

Ho postato il nuovo log!!!!
Qualcuno può dirmi se ho qualche virus?
Thx Giuseppe

Ci sono molte cose che non vanno.
Inizia a fixare queste:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = "http://gw.virgilio.it/adsl/01.minisearch"

O2 - BHO: (no name) - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - (no file)

O3 - Toolbar: (no name) - {92E1B3F7-0546-421E-9835-904D25B7BA66} - (no file)

O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)

O4 - HKLM\..\Run: [Windows Registers] Svchosts.exe

O4 - HKLM\..\Run: [file laoder configuration] rnd32.exe

O4 - HKLM\..\Run: [install] C:\WINDOWS\WINDOWS\install.exe

O4 - HKLM\..\RunServices: [Windows Registers] Svchosts.exe

O4 - HKLM\..\RunServices: [file laoder configuration] rnd32.exe

O4 - HKCU\..\Run: [Windows Registers] Svchosts.exe

O4 - HKCU\..\Run: [file laoder configuration] rnd32.exe

O4 - HKCU\..\Run: [install] C:\WINDOWS\WINDOWS\install.exe

O4 - HKCU\..\RunServices: [file laoder configuration] rnd32.exe

O4 - HKUS\S-1-5-18\..\Run: [Windows Registers] Svchosts.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [Internet2 Optimizer] wkfix.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [file laoder configuration] rnd32.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunServices: [file laoder configuration] rnd32.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunServices: [file laoder configuration] rnd32.exe (User 'Default user')

O9 - Extra button: Umail - {55C20313-D72A-42A7-AD21-0C76D08591A7} - hxxp://umail.virgilio.it (file missing) (HKCU)

O15 - Trusted Zone: "www.hastalavista.it"

O15 - Trusted Zone: "www.pornoaccesso.com"

O21 - SSODL: rdihost - {4115960E-3AAA-4A34-B1CA-51111E64E4DB} - rdihost.dll (file missing)

O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe (file missing)

O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe (file missing)

Poi scarica Avenger (http://swandog46.geekstogo.com/avenger.zip). Eseguilo e seleziona Input Script Manually, clicca sulla lente e inserisci:

Files to delete:
C:\WINDOWS\System32\Svchosts.exe
C:\WINDOWS\System32\rnd32.exe
C:\WINDOWS\System32\wkfix.exe
C:\WINDOWS\WINDOWS\install.exe
C:\WINDOWS\System32\Netlib.exe
C:\WINDOWS\System32\rpcclient.exe

Registy values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | Windows Registers
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | file laoder configuration
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | install
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runservices | Windows Registers
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runservices | file laoder configuration
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run | Windows Registers
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run | Internet2 Optimizer
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run | file laoder configuration
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunServices | file laoder configuration
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunServices | file laoder configuration


Clicca sul semaforo, accetta e riavvia quando richiesto.
Poi allega il log che trovi in c:\avenger.txt

Poi devi cliccare su Risorse del computer col tasto destro del mouse. Poi scegli Gestione poi vai su Servizi e Applicazioni, poi su servizi e scorri la lista fino a trovare i servizi Net Functions Library e Remote Procedure Call (RPC) Client. Doppio click, poi in Tipo di avvio scegli: Disabilitato.
Apri HJT, seleziona Open the Misc Tool section, poi scegli Delete a NT service. Nella finestra inserisci: Netlib e dai ok. Ti chiederà di riavviare.
Al riavvio ripeti quest'ultima operazione fino a quando ti viene chiesto il nome da rimuovere e inserisci: RpcClient e dai ok.

Alla fine allega un nuovo log di HJT.

Grazie millee!!!
Cmq per fixarli cosa intendi?Che programmi mi consigli?
Al momento uso Kaspersky 7 e come anti spy SpyBot e AD-Aware.

Grazie Mille!

Devi avviare HJT fare lo scan e mettere poi il segno di spunta sulle voci che ti ho elencato. Infine premi il pulsante Fix Checked.

Ti Ringrazio Ancora e scusa x la mia ignoranza in materia :D

Giuseppe

Quando avrai ripulito il pc ti consiglio di rimuovere StyleXp, perchè molti temi per quel software contengono schifezze. Gli stessi effetti li puoi ottenere in maniera più sicura con altre utility gratuite.
E poi cerca di evitare certi siti....:D

Ciao,ho fatto tutto sperando di essere riuscito a risolvere ^^
Cmq si ora lo disistallo subito StyleXP.
Per quanto riguarda i siti,non so come sia possibile poichè navigo sempre su siti di altro genere!!! :D :D

Ti posto i due log:

Grazie Ancora Giuseppe!!!

Ci sono ancora cose che non vanno, il problema è che con avenger non ne è stato beccato uno.

Argh :(
Sai per caso come posso fare?
Grazie in anticipo!

Visto che mi pare improponibile farti maneggiare nel registro, allora proviamo con Trendmicro Sysclean:

Scarica questo:
http://www.trendmicro.com/ftp/products/tsc/sysclean.com
e questo:
http://www.trendmicro.com/ftp/products/pattern/lpt881.zip

Metti entrambi nella stessa cartella ed estrai sempre in questa cartella il file zip.
Kaspersky potrebbe dirti che si tratta di un virus, ma tu ignora.
Avvia sysclean.com
Togli il segno di spunta dalla casella: Automatically clean....
Fai uno scan e alla fine salva il log e postalo qui così ti verrà detto cosa rimuovere.

Fai anche quest'altra cosa: vai in c:\Windows\system32\drivers\etc e cerca il file hosts. Aprilo col blocco note e controlla se ci sono
queste righe e altre simili:

127.0.0.1 kaspersky.com
127.0.0.1 www.kaspersky.com

P.S. A supporto anche di altri che stanno seguendo la discussione riporto due link a quello che ti sei beccato:

http://www.sophos.com/security/analyses/w32agobotkl.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2EBQJ&VSect=Sn

Ciao,ho fatto tutto quello che mi hai detto e ora ti posto il log con Sysclean!
Per quanto riguarda gli host,ho trovato questa stringa:


#192.168.0.1 intel.mshome.net # 2011 11 4 10 14 0 25 968

Ciao e Grazie ancora!!!

Ciao,ho fatto tutto quello che mi hai detto e ora ti posto il log con Sysclean!
Per quanto riguarda gli host,ho trovato questa stringa:


#192.168.0.1 intel.mshome.net # 2011 11 4 10 14 0 25 968

Ciao e Grazie ancora!!!

La scansione con sysclean non è stata completata, perchè alcuni file non sono stati trovati nella cartella.
Hai messo tutto in una cartella?
Non è che Kaspersky li ha eliminati?

Ciao,ho messo tutto nella stessa cartella e quando Kaspersky me l'ha segnalati come virus ho messo "Ignora".
Ora riprovo e poi posto il nuovo log!
Giuseppe