salve.mi sono imbattuto non nelle solite pop up ma addirittura mentre navigo mi si aprono nuove pagine con siti sempre diversi.
ho fatto varie scansioni ma nn riesco a risolvere.

ciao
premesso che sarebbe utile sapere con quali programmi hai fatto le scansioni e riportare i log (facendo attenzione a come: leggere le regole di sezione), a parte ciò potresti incominciare a postare un log di hijackthis: lo conosci?
scaricalo da qui (http://download.hijackthis.eu/hijackthis_199.zip)
scompattalo in una cartella, lo apri e digli do a system scan and save a logfile, quando finisce la scansione ti apre un file notepad, salvalo in formato txt e lo alleghi qui

ciao ciao

ciao!ho eseguito i programmi che consigliate in queto forum che tra l'altro già usavo quindi ccleaner - Ad-Aware SE Personal - Spybot - Search & Destroy.Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.13.31, on 13/12/07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\PROGRA~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\oodag.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\HPQ\shared\hpqwmi.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: RadioItalia Toolbar - {0aaeaede-aefd-4672-a764-5c5c037612a2} - C:\Programmi\RadioItalia\tbRad1.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RadioItalia Toolbar - {0aaeaede-aefd-4672-a764-5c5c037612a2} - C:\Programmi\RadioItalia\tbRad1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: RadioItalia Toolbar - {0aaeaede-aefd-4672-a764-5c5c037612a2} - C:\Programmi\RadioItalia\tbRad1.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{23036DBD-56C0-47D9-9C82-D148F9FC6113}: NameServer = 213.205.32.70,213.205.36.70
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\shared\hpqwmi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programmi\Windows Live\installer\WLSetupSvc.exe

--
End of file - 7543 bytes

a proposito grazie...

Il log risulta pulito, ci sarebbe da aggiornare Java, ma la cosa è secondaria.
Fai uno scan con A-squared free e PrevxCSI e riporta qui i log, usando la funzione Gestisci Allegati o hostandoli su www.zshare.net.

salve.mi sono imbattuto non nelle solite pop up ma addirittura mentre navigo mi si aprono nuove pagine con siti sempre diversi ...... ho fatto varie scansioni ma nn riesco a risolvere.

scansione con PANDA ANTIROOTKIT: clicca qui per il download (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione.
Poi segui i suggerimenti che ti sono stati già dati.

posta altro log.
a-squared Free - Version 3.0
Last update: 13/12/07 9.40.14

Impostazioni scansione:

Oggetti: Memoria, Tracce, Cookies, C:\WINDOWS\, C:\Programmi
Archivio scansioni: On
Scientifico: On
ADS Scan: On

Scansione avviata: 13/12/07 9.40.33

C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:6 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:14 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:15 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:16 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:17 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:19 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:21 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:23 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:42 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:43 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:44 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:49 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:51 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:52 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:54 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:55 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:56 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:57 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:58 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:59 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:60 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:61 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:62 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:63 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:66 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:71 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:72 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:73 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:74 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:75 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:76 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:82 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:94 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:100 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:101 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:106 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:107 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:112 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:113 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Cookies\marco@ad.zanox[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Cookies\marco@rad.msn[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Cookies\marco@rad.msn[3].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Cookies\marco@s3.shinystat[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Cookies\marco@s3.shinystat[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Cookies\marco@tradedoubler[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Cookies\marco@www.hwupgrade[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Cookies\marco@www.kingolotto[2].txt rilevati: Trace.TrackingCookie

Scansionati

Files: 32295
Tracce: 339436
Cookies: 623
Processi: 48

Rilevato

Files: 0
Tracce: 0
Cookies: 47
Processi: 0
Chiavi registro: 0

PANDA ANTIROOTKIT mi si chiude da solo al 16% :eek:

scarica gmer....che dici river?

scarica gmer....che dici river?

io dico che và bene, sarebbe meglio fornire anche il link ;)
http://www.gmer.net/gmer.zip
Scarica Gmer decomprimilo per praticità sul desktop, esegui gmer.exe. Lancia una scansione alla ricerca di eventuali Rootkit, riporta nel prossimo post le eventuali righe in rosso rilevate.

:doh:

mi si chiude anche gmer.:muro:

mi si chiude anche gmer.:muro:

:eek: ...sei ancora vivo? :D
prova farlo girare in modalità provvissoria: premi f8 quando il pc si accende,prima che si avvia windows, altrimenti vai su msconfig(da esegui), poi nel tab boot.ini e qui segna safeboot e riavvia (ricorda dopo di riandare in msconfig e togliere la spunta in safeboot ;)

in questo articolo di megalab (http://www.megalab.it/articoli.php?id=1029) si parla dei programmi antirootkit: vedi qui quali programmi puoi utilizzare in alternativa, dopo aver provato gmer in modalità provvissoria
bye

:D si si vivo e vegeto.grazie del tuo aiuto .

fatto...ma nn so dove ho salvato il log.:D

Il log di gmer serve solo se ci sono righe rosse.

fatto...ma nn so dove ho salvato il log.:D

qua c colpo io: dovevi a fine scansione cliccare su copy e aprire notepad e incollarci il log
cmq, ti sono apparse delle righe in rosso? se è si...mi dispiace:ma devi rifare la scnasione e copiare il log...:doh:
sorry

io nn ne avevo di righe rosse ma al momento il problema sembra peggiorato.

io nn ne avevo di righe rosse ma al momento il problema sembra peggiorato.

cioè...

che nella normale navigazione mi si è aperta una pagina del sito kingolotto e poco dopo il sito dell' apple

che nella normale navigazione mi si è aperta una pagina del sito kingolotto e poco dopo il sito dell' apple

beh,allora come ti era stato suggerito da nuz:fa una scansione con asquared e con prevxcsi, allegando i log secondo le regole di sezione
i due programmi li puoi trovare nella guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737)

Gmer lo hai fatto in modalità provvisoria? Te lo chiedo perchè la cosa non mi convince, cioè in modalità provvisoria molti driver e servizi non vengono caricati.
Sarebbe meglio se le scansioni antirootkit le riuscissi a fare in modalità normale.
Vai al link che ti ha postato murack83pa e scarica i vari software antirootkit e vediamo quale riesce a portare a termine lo scan e con che risultati.

P.S. Poi può essere pure che ho scritto una cavolata riguardo ai rootkit in modalità provvisoria, in tal caso mi scuso da subito.

vi faccio vedere questo : screenhunter_01 dec. 15 18.00.jpg - 0.17MB (http://www.zshare.net/image/564605978525a4/)

e questo : a-squared Free - Version 3.0
Last update: 15/12/07 6.16.05

Impostazioni scansione:

Oggetti: Memoria, Tracce, Cookies
Archivio scansioni: On
Scientifico: On
ADS Scan: On

Scansione avviata: 15/12/07 6.16.42

C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:6 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:11 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:12 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:16 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:17 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:18 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:19 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:20 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:21 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:22 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:23 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:27 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:30 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:31 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:32 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:33 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:49 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:50 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:52 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:53 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\ujiirwhw.default\cookies.txt:54 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Marco\Dati

quello che ha rilevato spybot sono i tracking coockie,giusto nuz?
quelli nn dovrebbero causarti aperture di pagine improvvise

gli ho suggerito di farla in mod provv xchè ne con panda ne con gmer riusciva a completare la scansione...

come ho letto da qualke parte in questo forum:è meglio fare scansioni diverse con antiroortkit diversi..

il log di asquared sembra incompleto: devi fare la scansione con asquared in deep scan

dopo asquared, fai una scansione con prevxcsi e poi posti qui i log....

prova questo programma che è un derivato di gmer
http://www.gmer.net/catchme.php
e allega il log

prova questo programma che è un derivato di gmer
http://www.gmer.net/catchme.php
e allega il log

interessante...nn lo conoscevo...;)
me lo scarico x ogni evenienza
grazie wizard :D

interessante...nn lo conoscevo...;)
me lo scarico x ogni evenienza
grazie wizard :D

de nada, sincermanete non l'ho mai usato, lo notai tempo fa mentre scaricavo gmer

l'ho provato ora: velocissssimo....:D
ovviamente, nessun rootkit ;)

:muro: catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Oltre ai cookie traccianti, c'è un file. Se spybot non lo rimuove eliminalo con Avenger:

Avenger (http://swandog46.geekstogo.com/avenger.zip). Eseguilo e seleziona Input Script Manually, clicca sulla lente e inserisci:

Files to delete:
C:\WINDOWS\Temp\msksetup.log

Clicca sul semaforo, accetta e riavvia quando richiesto.
Poi allega il log che trovi in c:\avenger.txt

Consiglio una spazzolata con CCleaner visto che i cookies e temporanei saranno rimasti a fare muffa ;)

oOOOOO un mod!!!
salve.io ccleaner lo uso solitamente anche per svuotare semplicemente il cestino...
ho provato quasi tutti i prg antispyware in circolazione compresi quelli suggeriti dal forum ma proprio nn si riesce a debellare questo problema.
sono vicino al formattone...

cmq ogni volta trovo sempre le stesse cose...
screenhunter_01 dec. 16 17.42.jpg - 0.13MB (http://www.zshare.net/image/5671024fcc71ad/)

E' normale che ti trovi i tracking cookie di frefox. Impostalo in modo che cancelli i cookie alla chiusura.

:D prevx.log - 0.38MB (http://www.zshare.net/download/5674393af04170/)

Il log di PrevxCSI:

Results::
Known malicious programs: 0

Ora fai una scansione on-line:

http://www.hwupgrade.it/forum/showthread.php?t=1392332

E riporta il log se ci sono infezioni rilevate.

Poi fai anche un altro log di HJT.

nulla on line...
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.58.02, on 16/12/07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\oodag.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\HPQ\shared\hpqwmi.exe
C:\PROGRA~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: RadioItalia Toolbar - {0aaeaede-aefd-4672-a764-5c5c037612a2} - C:\Programmi\RadioItalia\tbRad1.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RadioItalia Toolbar - {0aaeaede-aefd-4672-a764-5c5c037612a2} - C:\Programmi\RadioItalia\tbRad1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: RadioItalia Toolbar - {0aaeaede-aefd-4672-a764-5c5c037612a2} - C:\Programmi\RadioItalia\tbRad1.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PrevxCSI] "C:\Programmi\PrevxCSI\prevxcsi.exe" -boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools\daemon.exe"
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{23036DBD-56C0-47D9-9C82-D148F9FC6113}: NameServer = 213.205.32.70,213.205.36.70
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\shared\hpqwmi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programmi\Windows Live\installer\WLSetupSvc.exe

--
End of file - 7876 bytes

formattone????

Il log pare pulito. Hai fatto anche una pulizia dei temporanei con ccleaner?

il log sembra pulito:
devi aggiornare java
c'è questa voce che nn so che sia ma credo che la puoi fixare

O4 - Global Startup: BTTray.lnk = ?


ora credo che puoi anche disinstallare kaspersky e panda...

ho provato quasi tutti i prg antispyware in circolazione compresi quelli suggeriti dal forum ma proprio nn si riesce a debellare questo problema ....... sono vicino al formattone...
:nonsifa: scarica:
TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download (http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip)
scompattalo ed eseguilo (è un tool standalone) e vedi se rileva qualcosa.

SYSCLEAN TRENDMICRO: clicca qui per il download (http://www.trendmicro.com/ftp/products/tsc/sysclean.com)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua e rimuove gli eventuali virus worm e malware presenti nella memoria del P.C., nel file di registro di Windows, nelle cartelle di sistema e in qualsiasi altra ubicazione del disco locale.
● devi creare una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean

● scarica le definizioni dei virus (vengono aggiornate, quotidianamente): clicca qui per il download ( http://www.trendmicro.com/ftp/products/pattern/lpt881.zip)

● scompatta, all’interno della cartella creata, il file zippato contenente le definizioni
● disabilita in Ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● esegui Sysclean
● togli il segno di spunta dalla casella:Automatically Clean
● pubblica, il log che verrà rilasciato

un centinaio di volte...

:muro:

+----------------------------------------------------
| Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------


--== Dump Hidden File on C:\ ==--
[HIDDEN_FILE]:
FullPath : C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.dat
FullPathLength: 82
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.exe
FullPathLength: 82
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf_nav.dat
FullPathLength: 86
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf_navps.dat
FullPathLength: 88
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
4 hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
[HIDDEN_PROCESS]:
ParentId : 000005F8
ID : 0000094C
Type : 0x00000001
Name : cgkvxqkf.exe
ImageName : C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.exe


--== Dump Hidden Driver ==--
No hidden drivers found.

+----------------------------------------------------
| Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------


--== Dump Hidden File on C:\ ==--
[HIDDEN_FILE]:
FullPath : C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.dat
FullPathLength: 82
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.exe
FullPathLength: 82
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf_nav.dat
FullPathLength: 86
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf_navps.dat
FullPathLength: 88
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
4 hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
[HIDDEN_PROCESS]:
ParentId : 000005F8
ID : 0000094C
Type : 0x00000001
Name : cgkvxqkf.exe
ImageName : C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.exe


--== Dump Hidden Driver ==--
No hidden drivers found.

:D ops...

che nella normale navigazione mi si è aperta una pagina del sito kingolotto e poco dopo il sito dell' apple
Certo che è strano; dai log che hai allegato non si evidenza nulla di anomalo.
Esegui ancora questo:

svuota del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

lancia CCleaner e poi:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

Ti avevo suggerito, anche, di scaricare SYSCLEAN TRENDMICRO: clicca qui per il download (http://www.trendmicro.com/ftp/products/tsc/sysclean.com)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua e rimuove gli eventuali virus worm e malware presenti nella memoria del P.C., nel file di registro di Windows, nelle cartelle di sistema e in qualsiasi altra ubicazione del disco locale.
● devi creare una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean

● scarica le definizioni dei virus (vengono aggiornate, quotidianamente): clicca qui per il download ( http://www.trendmicro.com/ftp/products/pattern/lpt881.zip)

● scompatta, all’interno della cartella creata, il file zippato contenente le definizioni
● disabilita in Ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● esegui Sysclean
● togli il segno di spunta dalla casella:Automatically Clean
● allega il log che verrà rilasciato

oOOOOO un mod!!!
salve.io ccleaner lo uso solitamente anche per svuotare semplicemente il cestino...
ho provato quasi tutti i prg antispyware in circolazione compresi quelli suggeriti dal forum ma proprio nn si riesce a debellare questo problema.
sono vicino al formattone...

e gli altri log richiesti dalla guida?
perchè sei sorpreso di vedere un moderatore in quest'area?

salve!nn sono sorpreso ma onorato...:D
è un pochino che giro per il web e ancora nn mi è uscita nessuna nuova finestra l'ultima cosa che ho fatto è stata una scansione con RootkitBuster e ora sembrerebbe...ma nn lo diciamo ancora :D
cmq grazie a tutti.

scusami: ma ti è stato chiesto di fare una scansione con SYSCLEAN TRENDMICRO, l'hai fatta?
se si, gentilmente allega qui il log,grazie
se è no, falla.....nn importa se finora nn hai problemi al pc, altrimenti fra 2 giorni siamo di nuovo qui....;)
thanks
ciao

edit: mi sono dimenticato: tutti gli altri log richiesti dalla guida? nn te lochiedo x essere rompiballe, ma lo dico x te...

eccolo. /--------------------------------------------------------------\
| Trend Micro System Cleaner |
| Copyright 2006, Trend Micro, Inc. |
| http://www.antivirus.com |
\--------------------------------------------------------------/


2007-12-17, 20:50:00, Auto-clean mode specified.
2007-12-17, 20:50:00, Running scanner "C:\Documents and Settings\Marco\Desktop\Nuova cartella\TSC.BIN"...
2007-12-17, 20:50:22, Scanner "C:\Documents and Settings\Marco\Desktop\Nuova cartella\TSC.BIN" has finished running.
2007-12-17, 20:50:22, TSC Log:

2007-12-17, 20:50:49, An error was detected on "C:\System Volume Information\*.*": Accesso negato.
2007-12-17, 20:50:51, The user stopped the operation.


/--------------------------------------------------------------\
| Trend Micro System Cleaner |
| Copyright 2006, Trend Micro, Inc. |
| http://www.antivirus.com |
\--------------------------------------------------------------/


2007-12-17, 20:50:55, Running scanner "C:\Documents and Settings\Marco\Desktop\Nuova cartella\TSC.BIN"...
2007-12-17, 20:51:01, Scanner "C:\Documents and Settings\Marco\Desktop\Nuova cartella\TSC.BIN" has finished running.
2007-12-17, 20:51:01, TSC Log:

2007-12-17, 20:51:08, An error was detected on "C:\System Volume Information\*.*": Accesso negato.
2007-12-17, 20:51:15, Files Detected:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 12/17/2007 20:51:15
VSAPI Engine Version : 8.500-1002
VSCANTM Version : 1.1-1001
Command Line: C:\Documents and Settings\Marco\Desktop\Nuova cartella\VSCANTM.BIN /NBPM /S /CLEANALL /DCEGENCLEAN /LAPPEND /LD /LC /LCF /NM /NB C:\*.*

2007-12-17, 20:51:15, Files Clean:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 12/17/2007 20:51:15
VSAPI Engine Version : 8.500-1002
VSCANTM Version : 1.1-1001
Command Line: C:\Documents and Settings\Marco\Desktop\Nuova cartella\VSCANTM.BIN /NBPM /S /CLEANALL /DCEGENCLEAN /LAPPEND /LD /LC /LCF /NM /NB C:\*.*

2007-12-17, 20:51:15, Clean Fail:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 12/17/2007 20:51:15
VSAPI Engine Version : 8.500-1002
VSCANTM Version : 1.1-1001
Command Line: C:\Documents and Settings\Marco\Desktop\Nuova cartella\VSCANTM.BIN /NBPM /S /CLEANALL /DCEGENCLEAN /LAPPEND /LD /LC /LCF /NM /NB C:\*.*

2007-12-17, 20:51:15, Scanner "C:\Documents and Settings\Marco\Desktop\Nuova cartella\VSCANTM.BIN" has finished running.

è un pochino che giro per il web e ancora nn mi è uscita nessuna nuova finestra l'ultima cosa che ho fatto è stata una scansione con RootkitBuster e ora sembrerebbe...ma nn lo diciamo ancora
Sembrerebbe a posto, ora; sarebbe però, utile, per maggior sicurezza, tu allegassi un nuovo log di Hthis ;)

:D Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.09.19, on 17/12/07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\PROGRA~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\oodag.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\HPQ\shared\hpqwmi.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: RadioItalia Toolbar - {0aaeaede-aefd-4672-a764-5c5c037612a2} - C:\Programmi\RadioItalia\tbRad1.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RadioItalia Toolbar - {0aaeaede-aefd-4672-a764-5c5c037612a2} - C:\Programmi\RadioItalia\tbRad1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: RadioItalia Toolbar - {0aaeaede-aefd-4672-a764-5c5c037612a2} - C:\Programmi\RadioItalia\tbRad1.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PrevxCSI] "C:\Programmi\PrevxCSI\prevxcsi.exe" -boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cgkvxqkf] c:\documents and settings\marco\impostazioni locali\dati applicazioni\cgkvxqkf.exe cgkvxqkf
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools\daemon.exe"
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{23036DBD-56C0-47D9-9C82-D148F9FC6113}: NameServer = 213.205.32.70,213.205.36.70
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\shared\hpqwmi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programmi\Windows Live\installer\WLSetupSvc.exe

--
End of file - 7965 bytes

il problema nn si è ancora risolto
sono sicuro che river ti spiegherà xchè e cosa fare ;)

perchè dici ancora nn si è risolto?
io al momento nn ho avuto prob e il pc è acceso da circa 2 ore.:cry:

x colpa di questa voce:

O4 - HKCU\..\Run: [cgkvxqkf] c:\documents and settings\marco\impostazioni locali\dati applicazioni\cgkvxqkf.exe cgkvxqkf

vediamo cosa dicono i dottori

Scarica Avenger (http://swandog46.geekstogo.com/avenger.zip). Eseguilo e seleziona Input Script Manually, clicca sulla lente e inserisci:

Files to delete:
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.dat
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.exe
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf_nav.dat
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf_navps.dat


Clicca sul semaforo, accetta e riavvia quando richiesto.
Poi allega il log che trovi in c:\avenger.txt

il problema nn si è ancora risolto
sono sicuro che river ti spiegherà xchè e cosa fare ;)
Ottimo colpo d'occhio murack ;)
La questione la vediamo tra una mezzoretta; esco a comprare le sigarette, sono rimasto senza :( :doh:

avenger quando avvio con il semaforo mi da una serie di errori.

Quali?

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ylqoeeyq

*******************

Script file located at: \??\C:\WINDOWS\adoelsxg.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.dat not found!
Deletion of file C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.dat failed!

Could not process line:
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.dat
Status: 0xc0000034



File C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.exe not found!
Deletion of file C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.exe failed!

Could not process line:
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.exe
Status: 0xc0000034



File C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf_nav.dat not found!
Deletion of file C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf_nav.dat failed!

Could not process line:
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf_nav.dat
Status: 0xc0000034



File C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf_navps.dat not found!
Deletion of file C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf_navps.dat failed!

Could not process line:
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf_navps.dat
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Non ci siamo, Avenger non ha avuto successo.

:cry:

Visto che rootkit buster li aveva individuati allora rifai la scansione, poi li selezioni e clicca su delete select items.
I file sono questi:

C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.dat
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.exe
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf_nav.dat
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf_navps.dat

+----------------------------------------------------
| Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------


--== Dump Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.

prima ci avevo capito poco...ora nulla

Forse Avenger era comunque riuscito a fare tabula rasa.
A questo punto allega un altro log di HiJackThis.

per favore riallega anche il log di Sysclean

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.03.05, on 17/12/07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\PROGRA~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\oodag.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\HPQ\shared\hpqwmi.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: RadioItalia Toolbar - {0aaeaede-aefd-4672-a764-5c5c037612a2} - C:\Programmi\RadioItalia\tbRad1.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RadioItalia Toolbar - {0aaeaede-aefd-4672-a764-5c5c037612a2} - C:\Programmi\RadioItalia\tbRad1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: RadioItalia Toolbar - {0aaeaede-aefd-4672-a764-5c5c037612a2} - C:\Programmi\RadioItalia\tbRad1.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PrevxCSI] "C:\Programmi\PrevxCSI\prevxcsi.exe" -boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cgkvxqkf] c:\documents and settings\marco\impostazioni locali\dati applicazioni\cgkvxqkf.exe cgkvxqkf
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools\daemon.exe"
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{23036DBD-56C0-47D9-9C82-D148F9FC6113}: NameServer = 213.205.32.70,213.205.36.70
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\shared\hpqwmi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programmi\Windows Live\installer\WLSetupSvc.exe

--
End of file - 7965 bytes

/--------------------------------------------------------------\
| Trend Micro System Cleaner |
| Copyright 2006, Trend Micro, Inc. |
| http://www.antivirus.com |
\--------------------------------------------------------------/


2007-12-17, 22:04:28, Auto-clean mode specified.
2007-12-17, 22:04:28, Running scanner "C:\Documents and Settings\Marco\Desktop\Nuova cartella\TSC.BIN"...
2007-12-17, 22:04:47, Scanner "C:\Documents and Settings\Marco\Desktop\Nuova cartella\TSC.BIN" has finished running.
2007-12-17, 22:04:47, TSC Log:

2007-12-17, 22:04:54, An error was detected on "C:\System Volume Information\*.*": Accesso negato.
2007-12-17, 22:04:56, Files Detected:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 12/17/2007 22:04:56
VSAPI Engine Version : 8.500-1002
VSCANTM Version : 1.1-1001
Command Line: C:\Documents and Settings\Marco\Desktop\Nuova cartella\VSCANTM.BIN /NBPM /S /CLEANALL /DCEGENCLEAN /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 C:\*.*

2007-12-17, 22:04:56, Files Clean:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 12/17/2007 22:04:56
VSAPI Engine Version : 8.500-1002
VSCANTM Version : 1.1-1001
Command Line: C:\Documents and Settings\Marco\Desktop\Nuova cartella\VSCANTM.BIN /NBPM /S /CLEANALL /DCEGENCLEAN /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 C:\*.*

2007-12-17, 22:04:56, Clean Fail:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 12/17/2007 22:04:56
VSAPI Engine Version : 8.500-1002
VSCANTM Version : 1.1-1001
Command Line: C:\Documents and Settings\Marco\Desktop\Nuova cartella\VSCANTM.BIN /NBPM /S /CLEANALL /DCEGENCLEAN /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 C:\*.*

2007-12-17, 22:04:56, Scanner "C:\Documents and Settings\Marco\Desktop\Nuova cartella\VSCANTM.BIN" has finished running.

questo cattivello proprio nn se ne vuole andare.....
ma il ripristino configurazione sistema è rimasto disattivato tutto il tempo,giusto?

Non capisco come mai Trend Micro Rootkit Boster prima li vedeva e ora no. Puoi ricontrollare? Non serve allegare il log, mi devi solo dire se li vede.
Se non li vede prova con gmer (http://www.gmer.net/gmer.zip) o AVIRA Antirootkit (http://dl.antivir.de/down/windows/antivir_rootkit.zip) o Panda antirootkit (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip). A meno che tu non li abbia già usati.

li ho usati tutti.ora riprovo Trend Micro Rootkit Boster

nulla...:cry:
ma possibile mai

Non capisco come mai Trend Micro Rootkit Boster prima li vedeva e ora no. Puoi ricontrollare? Non serve allegare il log, mi devi solo dire se li vede.
Scusa Nuz, da profano di Avenger non è che lo script sia errato?

Files to delete:
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.dat
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.exe
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf_nav.dat
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf_navps.dat

O, quello corretto è:

Folders to delete:
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.dat
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.exe
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf_nav.dat
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf_navps.dat

Apri il notepad, e copia/incolla questo

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"cgkvxqkf"=-

poi salva il file in C:\ col nome di fix.reg
N.B: importantissimo salvarlo in C:\

Inserisci questo script in Avenger

Files to delete:
c:\documents and settings\marco\impostazioni locali\dati applicazioni\cgkvxqkf.exe

Programs to launch on reboot:
C:\fix.reg

al termine allega il log di Avenger + nuovo log di HijackThis

River non credo puoi controllare qua:

http://alexsandra.wordpress.com/2007/04/25/90/

o qua:

http://forum.wininizio.it/index.php?act=Attach&type=post&id=15358

A meno che non ho letto male io.

visto che si tratta di rootkit si potrebbe usare il tool della eset agvpfix?

Nuz, come ho già detto con Avenger non mi ci metto neppure ma, da quel che vedo dalla Guida che hai linkato:

Fatta questa introduzione ora parliamo dei comandi che possiamo usare, come già accennato possiamo cancellare file, cartelle, chiavi di registro e driver, pertanto vediamo questi comandi, tenendo presente che ogni operazione che eseguiremo The Avenger creerà una copia di backup di quanto cancellato nella cartella C:\Avenger.

Files to delete : Ci permette di eliminare i files, anche in casi ostinati dove le varie applicazioni nocive tendono a proteggere i loro files e cartelle
[esempio :]
Files to delete:
C:\Windows\virus.exe
Nota : Verrà eliminato il file virus.exe presente nella cartella C:\Windows

Folders to delete: E’ praticamente identico al precedente, solo che ci permette di cancellare intere cartelle compreso il loro contenuto
[esempio :]
Folders to delete:
C:\Documents and Settings\Alex\Dati applicazioni\virus
Nota : Verrà cancellata la cartella virus

Ed i file del nosto amico, sono localizzati proprio in C:\Documents and Settings\marco\Dati applicazioni\ NOME FILE, non in C:\Windows.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gdjnxfdi

*******************

Script file located at: \??\C:\stsumxus.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File c:\documents and settings\marco\impostazioni locali\dati applicazioni\cgkvxqkf.exe not found!
Deletion of file c:\documents and settings\marco\impostazioni locali\dati applicazioni\cgkvxqkf.exe failed!

Could not process line:
c:\documents and settings\marco\impostazioni locali\dati applicazioni\cgkvxqkf.exe
Status: 0xc0000034

Program C:\fix.reg successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.49.27, on 17/12/07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\oodag.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\PROGRA~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\HPQ\shared\hpqwmi.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: RadioItalia Toolbar - {0aaeaede-aefd-4672-a764-5c5c037612a2} - C:\Programmi\RadioItalia\tbRad1.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RadioItalia Toolbar - {0aaeaede-aefd-4672-a764-5c5c037612a2} - C:\Programmi\RadioItalia\tbRad1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: RadioItalia Toolbar - {0aaeaede-aefd-4672-a764-5c5c037612a2} - C:\Programmi\RadioItalia\tbRad1.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PrevxCSI] "C:\Programmi\PrevxCSI\prevxcsi.exe" -boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools\daemon.exe"
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{23036DBD-56C0-47D9-9C82-D148F9FC6113}: NameServer = 213.205.32.70,213.205.36.70
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\shared\hpqwmi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programmi\Windows Live\installer\WLSetupSvc.exe

--
End of file - 7830 bytes

pare a me o ce lo siamo levato di torno stò maledetto

io nn lo vedo piu :D

nn so se è stato detto: devi aggiornare java

Nuz, come ho già detto con Avenger non mi ci metto neppure ma, da quel che vedo dalla Guida che hai linkato:


Ed i file del nosto amico, sono localizzati proprio in C:\Documents and Settings\marco\Dati applicazioni\ NOME FILE, non in C:\Windows.

Come puoi vedere sul sito dell'autore il comando Files to delete non è limitato alla sola cartella C:\Windows

http://swandog46.geekstogo.com/avengernotes.htm

pare a me o ce lo siamo levato di torno stò maledetto

Pare di si, l'unica cosa è che neanche nei primi due log compariva. Solo dal terzo è cominciata a venire fuori quella riga.

allora, si possono usare entrambi i comandi dipende da ciò che devi falciare :O

ce l'abbiamo fatta?
ovvero ce l'avete fatta?

Pare di si, l'unica cosa è che neanche nei primi due log compariva. Solo dal terzo è cominciata a venire fuori quella riga.

la nascondeva il rootkit presumo

visto che si tratta di rootkit si potrebbe usare il tool della eset agvpfix?

:cry: almeno ditemi se si poteva?:stordita:
cmq a me sembra che sia sparito...
complimenti a voi e all'autore della bestiola:Perfido:

:cry: almeno ditemi se si poteva?:stordita:
cmq a me sembra che sia sparito...
complimenti a voi e all'autore della bestiola:Perfido:

BEYOND ti sei addirittura autoquotato :D

allora ragazzi un doveroso ringraziamento ... siete grandi!!!
ma a questo punto ho 2 domande:
dave cavolo si prendono questi spy e perchè i miei programmi nn mi hanno protetto?

allora, si possono usare entrambi i comandi dipende da ciò che devi falciare :O
Secondo me è più corretto usare il secondo, ma visto che il problema ora si è risolto, lo potremo valutare in un'altra occasione.

Un tool che potresti usare come ulteriore verifica è RegRun Reanimator (http://www.greatis.com/reanimator.zip). Scompatta tutto in una cartella e poi avvia reanimator.exe. Alla prima schermata clicca su scan for viruses, poi su Make a scan now. Poi se ci sono infezioni ti dice di cliccare su Fix Problem.
Se rileva tra questi cgkvxqkf o comunque il percorso C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\cgkvxqkf.exe allora clicca su get it out, se rileva altro allora clicca su I'm not sure e vedi che risultato ti da. Se BAD clicca su Get it out. In caso di dubbi clicca su Close e poi su exit.

aggiorna Java ed installa un firewall

BASTAAAAAAAAAAAA
:D :D :D :D mi fido se da qui a qualche giorno riesce formatto tutto

ma a questo punto ho 2 domande:
dave cavolo si prendono questi spy e perchè i miei programmi nn mi hanno protetto?
Si prendono ovunque, oramai.
Per il resto, ti suggerisco di installare un antispyware con una protezione in tempo reale e un firewall software (il firewall di Windows fa acqua da tutte le parti).

:cry: almeno ditemi se si poteva?:stordita:
cmq a me sembra che sia sparito...
complimenti a voi e all'autore della bestiola:Perfido:

ciao beyond,aspetta che ora i soci ti rispondono,cosi potrai risolvere i tuoi dubbi;) cmq gia ti anticipo che tra tutte,la tua era la procedura piu corretta,i miei complimenti beyond,sei in gamba:mano:

BEYOND ti sei addirittura autoquotato :D

eh si...:D
il mio post era rimasto indietro a pagina 4 e nell'euforia dell'eliminazione della bestiola,autoquotarmi era l'unico modo per far risalire a galla il mio metodo,piuttosto cosa mi dici a bocce ferme...?:mbe:
:D

ciao beyond,aspetta che ora i soci ti rispondono,cosi potrai risolvere i tuoi dubbi;) cmq gia ti anticipo che tra tutte,la tua era la procedura piu corretta,i miei complimenti beyond,sei in gamba:mano:
Qualcuno, lo può uccidere, per favore :mbe: :doh:
Comunque Socio, come ti ho appena detto in Messenger, il prossimo giro proviamo anche la tua soluzione (basta che non ti metti a suggerire personal tool che non funzionano :sbonk: )

BASTAAAAAAAAAAAA
:D :D :D :D mi fido se da qui a qualche giorno riesce formatto tutto

credo di non aver capito, sii più esplicito

ciao beyond,aspetta che ora i soci ti rispondono,cosi potrai risolvere i tuoi dubbi;) cmq gia ti anticipo che tra tutte,la tua era la procedura piu corretta,i miei complimenti beyond,sei in gamba:mano:



eh si...:D
il mio post era rimasto indietro a pagina 4 e nell'euforia dell'eliminazione della bestiola,autoquotarmi era l'unico modo per far risalire a galla il mio metodo,piuttosto cosa mi dici a bocce ferme...?:mbe:
:D

mi dispiace ma in questo caso no credo che il tool "agvpfix" in questione avrebbe potuto sortire effetti positivi

credo di non aver capito, sii più esplicito

dicevo solo che per questa sera basta con tool vari.
riprendo domani sto facendo un po di fumo :D

dicevo solo che per questa sera basta con tool vari.
riprendo domani sto facendo un po di fumo :D

a ecco credevo di aver capito che dopo tutto stò sbattimento volevi formattare :eek:

ahahah giuro che ci avevo pensato.
ma credo che nn ce ne sia piu bisogno.almeno spero!!!

io avrei un piccolo problema.... :(

all'avvio il pc mi chiede se modificare quella voce di registro fix...
io da vero sveltone ho pensato di cancellarla per ovviare a questo ma all'avvio mi dice che nn è possibile trovare la voce di registro.
sicuramente è una stupidagine ma al momento mi sfugge

Cerca di darci più informazioni, chi ti da quel messaggio? Riesci a fare uno screenshot e upparlo su www.zshare.net?

ciao nuz.praticamente la voce che mi cerca è quella che mi ha fatto creare chill-out.
credo che dovrò aspettare lui per risolvere.

ciao nuz.praticamente la voce che mi cerca è quella che mi ha fatto creare chill-out.
credo che dovrò aspettare lui per risolvere.

L'avevo capito, però volevo vedere il messaggio di errore.

il problema è che il msg arriva prima che carichi il desktop quindi icone e barra.

ora ho rimesso la voce di registro in c:/ e all'avvio mi chiede se apportare quelle modifiche al registro.

metti fix.reg sul DeskTop tasto dx del mouse - clicca su unisci

cancella fix.reg salvato in C:\

ciao.nn ho ben capito ora ti spiego come ho fatto:
ho copiato il file reg sul desktop poi ho clikkato col destro e ho fatto unisci e ho cancellato il file reg che stava su c:.
ma nn cambia nulla

Domanda:
ieri sera dopo aver inserito lo script in Avenger hai riavviato -> presumo di SI
il problema al riavvio non si è presentato, se no l'avresti fatto subito presente

il problema si è presentato dopo la cancellazione del file fix.reg salvato in C:\ ?

no oggi quando ho acceso il pc

Apri HiJackThis, clicca su Open the misc tools, c'è Generate Startup list, ora metti il segno di spunta alle due caselle a fianco e clicca su Generate Startup list. Allega il log.

e allora c'è qualcosa che non mi quadra e possibile avere uno screenshot dell' errore o la dicitura esatta dell'errore stesso

StartupList report, 18/12/07, 9.59.49
StartupList version: 1.52.2
Started from : C:\Programmi\Trend Micro\HijackThis\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v7.00 (7.00.6000.16574)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\oodag.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\HPQ\shared\hpqwmi.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Documents and Settings\Marco\Menu Avvio\Programmi\Esecuzione automatica]
Yahoo! Widget Engine.lnk = C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

Shell folders AltStartup:
*Folder not found*

User shell folders Startup:
*Folder not found*

User shell folders AltStartup:
*Folder not found*

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica]
*No files*

Shell folders Common AltStartup:
*Folder not found*

User shell folders Common Startup:
*Folder not found*

User shell folders Alternate Common Startup:
*Folder not found*

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
*Registry value not found*

[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry value not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SoundMAX = C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
AGRSMMSG = AGRSMMSG.exe
avgnt = "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
eabconfg.cpl = C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
hpWirelessAssistant = C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
Apoint = C:\Programmi\Apoint2K\Apoint.exe
SoundMAXPnP = C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
IMJPMIG8.1 = "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
ATIPTA = "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Adobe Reader Speed Launcher = C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
DAEMON Tools Lite = "C:\Programmi\DAEMON Tools\daemon.exe"

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]
=

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

[1173]
rdghchuh = "C:\fix.reg"

[373362]
rdg = "C:\"

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*

--------------------------------------------------

File association entry for .EXE:
HKEY_CLASSES_ROOT\exefile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .COM:
HKEY_CLASSES_ROOT\comfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .BAT:
HKEY_CLASSES_ROOT\batfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .PIF:
HKEY_CLASSES_ROOT\piffile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .SCR:
HKEY_CLASSES_ROOT\scrfile\shell\open\command

(Default) = "%1" /S

--------------------------------------------------

File association entry for .HTA:
HKEY_CLASSES_ROOT\htafile\shell\open\command

(Default) = C:\WINDOWS\system32\mshta.exe "%1" %*

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = %SystemRoot%\system32\NOTEPAD.EXE %1

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}] *
StubPath = C:\WINDOWS\system32\ieudinit.exe

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig

[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] *
StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] *
StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

[{5945c046-1e7d-11d1-bc44-00c04fd912be}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser

[{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp10.inf,PerUserStub

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = C:\WINDOWS\system32\ie4uinit.exe -BaseSettings

[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *
StubPath = C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

--------------------------------------------------

Enumerating ICQ Agent Autostart apps:
HKCU\Software\Mirabilis\ICQ\Agent\Apps

*Registry key not found*

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*
run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present
C:\WINDOWS\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Verifying REGEDIT.EXE integrity:

- Regedit.exe found in C:\WINDOWS
- .reg open command is normal (regedit.exe %1)
- Company name OK: 'Microsoft Corporation'
- Original filename OK: 'REGEDIT.EXE'
- File description: 'Editor del Registro di sistema'

Registry check passed

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\Programmi\RadioItalia\tbRad1.dll - {0aaeaede-aefd-4672-a764-5c5c037612a2}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - (no file) - {7E853D72-626A-48EC-A868-BA8D5E23E045}
(no name) - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll - {9030D464-4C02-4ABF-8ECC-5164760863C6}

--------------------------------------------------

Enumerating Task Scheduler jobs:

*No jobs found*

--------------------------------------------------

Enumerating Download Program Files:

[CKAVWebScan Object]
InProcServer32 = C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
CODEBASE = http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

[{33564D57-0000-0010-8000-00AA00389B71}]
CODEBASE = http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

[NanoInstaller Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\NanoInst.dll
CODEBASE = http://www.nanoscan.com/cabs/nanoinst.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #1: C:\WINDOWS\System32\mswsock.dll
NameSpace #2: C:\WINDOWS\System32\winrnr.dll
NameSpace #3: C:\WINDOWS\System32\mswsock.dll
Protocol #1: C:\WINDOWS\system32\mswsock.dll
Protocol #2: C:\WINDOWS\system32\mswsock.dll
Protocol #3: C:\WINDOWS\system32\mswsock.dll
Protocol #4: C:\WINDOWS\system32\rsvpsp.dll
Protocol #5: C:\WINDOWS\system32\rsvpsp.dll
Protocol #6: C:\WINDOWS\system32\mswsock.dll
Protocol #7: C:\WINDOWS\system32\mswsock.dll
Protocol #8: C:\WINDOWS\system32\mswsock.dll
Protocol #9: C:\WINDOWS\system32\mswsock.dll
Protocol #10: C:\WINDOWS\system32\mswsock.dll
Protocol #11: C:\WINDOWS\system32\mswsock.dll
Protocol #12: C:\WINDOWS\system32\mswsock.dll
Protocol #13: C:\WINDOWS\system32\mswsock.dll
Protocol #14: C:\WINDOWS\system32\mswsock.dll
Protocol #15: C:\WINDOWS\system32\mswsock.dll
Protocol #16: C:\WINDOWS\system32\mswsock.dll
Protocol #17: C:\WINDOWS\system32\mswsock.dll
Protocol #18: C:\WINDOWS\system32\mswsock.dll
Protocol #19: C:\WINDOWS\system32\mswsock.dll
Protocol #20: C:\WINDOWS\system32\mswsock.dll
Protocol #21: C:\WINDOWS\system32\mswsock.dll

--------------------------------------------------

Enumerating Windows NT/2000/XP services

Driver ACPI Microsoft: system32\DRIVERS\ACPI.sys (system)
Driver del controller integrato Microsoft: system32\DRIVERS\ACPIEC.sys (system)
aeaudio: system32\drivers\aeaudio.sys (manual start)
Eliminatore di eco acustico del kernel Microsoft: system32\drivers\aec.sys (manual start)
AFD: \SystemRoot\System32\drivers\afd.sys (system)
Agere Systems Soft Modem: system32\DRIVERS\AGRSM.sys (manual start)
Avvisi: %SystemRoot%\system32\svchost.exe -k LocalService (disabled)
Servizio Gateway di livello applicazione: %SystemRoot%\System32\alg.exe (manual start)
AntiVir PersonalEdition Classic Scheduler: "C:\Programmi\AntiVir PersonalEdition Classic\sched.exe" (autostart)
AntiVir PersonalEdition Classic Guard: "C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe" (autostart)
Alps Pointing-device Filter Driver: system32\DRIVERS\Apfiltr.sys (manual start)
Gestione applicazione: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
Protocollo client ARP 1394: system32\DRIVERS\arp1394.sys (manual start)
Servizio stato di ASP.NET: %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (manual start)
Driver per supporti asincroni RAS: system32\DRIVERS\asyncmac.sys (manual start)
Controller disco rigido IDE/ESDI standard: system32\DRIVERS\atapi.sys (system)
Ati HotKey Poller: %SystemRoot%\system32\Ati2evxx.exe (autostart)
ati2mtag: system32\DRIVERS\ati2mtag.sys (manual start)
ATITool Overclocking Utility: system32\DRIVERS\ATITool.sys (system)
atksgt: system32\DRIVERS\atksgt.sys (autostart)
Protocollo client ARP ATM: system32\DRIVERS\atmarpc.sys (manual start)
Audio Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Driver stub audio: system32\DRIVERS\audstub.sys (manual start)
avgio: \??\C:\Programmi\AntiVir PersonalEdition Classic\avgio.sys (system)
avgntflt: \??\C:\Programmi\AntiVir PersonalEdition Classic\avgntflt.sys (manual start)
avipbb: system32\DRIVERS\avipbb.sys (system)
Servizio trasferimento intelligente in background: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Browser di computer: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Mobiola Web Camera driver: system32\DRIVERS\BTCamDrv.sys (manual start)
Driver di comunicazioni virtuali Bluetooth: system32\DRIVERS\btport.sys (manual start)
Enumeratore bus Bluetooth: system32\DRIVERS\btkrnl.sys (manual start)
Bluetooth Service: C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe (autostart)
WIDCOMM USB Bluetooth Driver: System32\Drivers\btwusb.sys (manual start)
Decoder sottotitoli codificati: system32\DRIVERS\CCDECODE.sys (manual start)
Driver del CD-ROM: system32\DRIVERS\cdrom.sys (system)
Servizio di indicizzazione: %SystemRoot%\system32\cisvc.exe (manual start)
ClipBook: %SystemRoot%\system32\clipsrv.exe (disabled)
.NET Runtime Optimization Service v2.0.50727_X86: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (manual start)
Driver scheda AC Microsoft: system32\DRIVERS\CmBatt.sys (manual start)
Driver della batteria composita Microsoft: system32\DRIVERS\compbatt.sys (system)
Applicazione di sistema COM+: C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start)
Servizi di crittografia: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Utilità di avvio processo server DCOM: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)
Client DHCP: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Driver del disco: system32\DRIVERS\disk.sys (system)
DK2 WindowsNT Driver: \??\C:\WINDOWS\system32\Drivers\dk2drv.sys (autostart)
Servizio amministrativo di Gestione disco logico: %SystemRoot%\System32\dmadmin.exe /com (manual start)
dmboot: System32\drivers\dmboot.sys (disabled)
dmio: System32\drivers\dmio.sys (disabled)
dmload: System32\drivers\dmload.sys (disabled)
Gestione dischi logici: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Sintetizzatore DLS Microsoft Kernel: system32\drivers\DMusic.sys (manual start)
Client DNS: %SystemRoot%\system32\svchost.exe -k NetworkService (autostart)
Decodificatore audio DRM del kernel Microsoft: system32\drivers\drmkaud.sys (manual start)
DVB-T Receiver: System32\Drivers\DTV_Capture_2X0.sys (manual start)
DVB-T Loader: System32\Drivers\DTV_Loader_2X1.sys (manual start)
EABFiltr: \??\C:\WINDOWS\system32\drivers\EABFiltr.sys (system)
eabusb: \??\C:\WINDOWS\system32\drivers\eabusb.sys (manual start)
ENTECH: \??\C:\WINDOWS\system32\DRIVERS\ENTECH.sys (manual start)
Servizio di segnalazione errori: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Registro eventi: %SystemRoot%\system32\services.exe (autostart)
Sistema di eventi COM+: C:\WINDOWS\system32\svchost.exe -k netsvcs (manual start)
Compatibilità di Cambio rapido utente: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
FltMgr: system32\DRIVERS\fltMgr.sys (system)
Driver archiviazione volumi: system32\DRIVERS\ftdisk.sys (system)
giveio: system32\giveio.sys (system)
gmer: System32\DRIVERS\gmer.sys (manual start)
Utilità di classificazione pacchetti generica: system32\DRIVERS\msgpc.sys (manual start)
Google Updater Service: "C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe" (manual start)
Guida in linea e supporto tecnico: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
HID Input Service: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Driver di classe HID Microsoft: system32\DRIVERS\hidusb.sys (manual start)
HP WMI Interface: C:\Programmi\HPQ\shared\hpqwmi.exe (manual start)
HTTP: System32\Drivers\HTTP.sys (manual start)
SSL HTTP: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start)
Driver di porta mouse PS/2 e tastiera i8042: system32\DRIVERS\i8042prt.sys (system)
InstallDriver Table Manager: "C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe" (manual start)
Driver filtro masterizzazione CD: system32\DRIVERS\imapi.sys (system)
Servizio COM di masterizzazione CD IMAPI: C:\WINDOWS\system32\imapi.exe (manual start)
IntelIde: system32\DRIVERS\intelide.sys (system)
Driver processore Intel: system32\DRIVERS\intelppm.sys (system)
Driver Windows Firewall IPv6: system32\DRIVERS\Ip6Fw.sys (manual start)
Driver filtro traffico IP: system32\DRIVERS\ipfltdrv.sys (manual start)
Driver tunnel IP in IP: system32\DRIVERS\ipinip.sys (manual start)
Traduttore indirizzi di rete IP: system32\DRIVERS\ipnat.sys (manual start)
Driver IPSEC: system32\DRIVERS\ipsec.sys (system)
Servizio enumeratore infrarossi: system32\DRIVERS\irenum.sys (manual start)
Driver bus PnP ISA/EISA: system32\DRIVERS\isapnp.sys (system)
ithsgt: system32\DRIVERS\ithsgt.sys (autostart)
Driver classe tastiera: system32\DRIVERS\kbdclass.sys (system)
Driver di tastiera HID: system32\DRIVERS\kbdhid.sys (system)
Mixer wave audio del kernel Microsoft: system32\drivers\kmixer.sys (manual start)
Server: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Workstation: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
lilsgt: system32\DRIVERS\lilsgt.sys (autostart)
lirsgt: system32\DRIVERS\lirsgt.sys (autostart)
Helper NetBIOS di TCP/IP: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
lnhewvvrgcpc: system32\drivers\lnhewvvrgcpc.sys (manual start)
Messenger: %SystemRoot%\system32\svchost.exe -k netsvcs (disabled)
mf: system32\DRIVERS\mf.sys (manual start)
MidiSyn: system32\drivers\MidiSyn.sys (manual start)
Condivisione desktop remoto di NetMeeting: C:\WINDOWS\system32\mnmsrvc.exe (disabled)
Driver classe mouse: system32\DRIVERS\mouclass.sys (system)
Driver di mouse HID: system32\DRIVERS\mouhid.sys (manual start)
Redirector del client WebDav: system32\DRIVERS\mrxdav.sys (manual start)
MRXSMB: system32\DRIVERS\mrxsmb.sys (system)
Distributed Transaction Coordinator: C:\WINDOWS\system32\msdtc.exe (manual start)
Windows Installer: C:\WINDOWS\system32\msiexec.exe /V (manual start)
Proxy di servizio di flusso Microsoft: system32\drivers\MSKSSRV.sys (manual start)
Proxy clock di flusso Microsoft: system32\drivers\MSPCLOCK.sys (manual start)
Proxy di gestione qualità di flusso Microsoft: system32\drivers\MSPQM.sys (manual start)
Driver BIOS Microsoft System Management: system32\DRIVERS\mssmbios.sys (manual start)
Convertitore a T/Sito a sito per flusso Microsoft: system32\drivers\MSTEE.sys (manual start)
Maxtor OneTouch Security Driver: system32\DRIVERS\mxopswd.sys (manual start)
NABTS/FEC VBI Codec: system32\DRIVERS\NABTSFEC.sys (manual start)
NBService: C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe (manual start)
Connesione TV/Video Microsoft: system32\DRIVERS\NdisIP.sys (manual start)
Driver TAPI NDIS di accesso remoto: system32\DRIVERS\ndistapi.sys (manual start)
Protocollo I/O modalità utente su NDIS: system32\DRIVERS\ndisuio.sys (manual start)
Driver WAN NDIS di accesso remoto: system32\DRIVERS\ndiswan.sys (manual start)
Interfaccia NetBIOS: system32\DRIVERS\netbios.sys (system)
NetBios su Tcpip: system32\DRIVERS\netbt.sys (system)
DDE di rete: %SystemRoot%\system32\netdde.exe (disabled)
DDE DSDM di rete: %SystemRoot%\system32\netdde.exe (disabled)
Accesso rete: %SystemRoot%\system32\lsass.exe (manual start)
Connessioni di rete: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Notebook Hardware Control Driver: \??\C:\WINDOWS\system32\drivers\nhcDriver.sys (manual start)
1394 Net Driver: system32\DRIVERS\nic1394.sys (manual start)
NLA (Network Location Awareness): %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
NMIndexingService: "C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe" (manual start)
Nokia USB Phone Parent: system32\drivers\nmwcd.sys (manual start)
Nokia USB Generic: system32\drivers\nmwcdc.sys (manual start)
Nokia USB Port: system32\drivers\nmwcdcj.sys (manual start)
Nokia USB Modem: system32\drivers\nmwcdcm.sys (manual start)
Provider supporto protezione LM NT: %SystemRoot%\system32\lsass.exe (disabled)
Archivi rimovibili: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
Driver filtro traffico IPX: system32\DRIVERS\nwlnkflt.sys (manual start)
Driver inoltratore traffico IPX: system32\DRIVERS\nwlnkfwd.sys (manual start)
O&O Defrag: C:\WINDOWS\system32\oodag.exe (autostart)
Controller host Texas Instruments IEEE 1394 compatibile OHCI: system32\DRIVERS\ohci1394.sys (system)
Driver bus PCI: system32\DRIVERS\pci.sys (system)
Pcmcia: system32\DRIVERS\pcmcia.sys (system)
Plug and Play: %SystemRoot%\system32\services.exe (autostart)
Servizi IPSEC: %SystemRoot%\system32\lsass.exe (autostart)
WAN Miniport (PPTP): system32\DRIVERS\raspptp.sys (manual start)
Archiviazione protetta: %SystemRoot%\system32\lsass.exe (autostart)
Utilità di pianificazione pacchetti QoS: system32\DRIVERS\psched.sys (manual start)
Driver Direct Parallel Link: system32\DRIVERS\ptilink.sys (manual start)
PxHelp20: System32\Drivers\PxHelp20.sys (system)
Driver connessione automatica Accesso remoto: system32\DRIVERS\rasacd.sys (system)
Auto Connection Manager di Accesso remoto: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
WAN Miniport (L2TP): system32\DRIVERS\rasl2tp.sys (manual start)
Connection Manager di Accesso remoto: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
Driver PPPOE di accesso remoto: system32\DRIVERS\raspppoe.sys (manual start)
Direct Parallel: system32\DRIVERS\raspti.sys (manual start)
Rdbss: system32\DRIVERS\rdbss.sys (system)
RDPCDD: System32\DRIVERS\RDPCDD.sys (system)
Gestione sessione di assistenza mediante desktop remoto: C:\WINDOWS\system32\sessmgr.exe (manual start)
Driver filtro riproduzione CD-ROM audio digitale: system32\DRIVERS\redbook.sys (system)
Routing e Accesso remoto: %SystemRoot%\system32\svchost.exe -k netsvcs (disabled)
RPC Locator: %SystemRoot%\system32\locator.exe (manual start)
RPC (Remote Procedure Call): %SystemRoot%\system32\svchost -k rpcss (autostart)
QoS RSVP: %SystemRoot%\system32\rsvp.exe (manual start)
Realtek 10/100/1000 NIC Family all in one NDIS XP Driver: system32\DRIVERS\Rtlnicxp.sys (manual start)
Driver NT scheda Fast Ethernet PCI Realtek basata su RTL8139: system32\DRIVERS\RTL8139.SYS (manual start)
Gestione account di protezione (SAM): %SystemRoot%\system32\lsass.exe (autostart)
smart card: %SystemRoot%\System32\SCardSvr.exe (manual start)
Utilità di pianificazione: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
sdbus: system32\DRIVERS\sdbus.sys (manual start)
SDTHOOK: System32\DRIVERS\SDTHOOK.sys (manual start)
Secdrv: system32\DRIVERS\secdrv.sys (autostart)
Accesso secondario: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
senfilt: system32\drivers\senfilt.sys (manual start)
Notifica eventi di sistema: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
%Serenum.SVCDESC%: system32\DRIVERS\serenum.sys (manual start)
%Serial.SVCDESC%: system32\DRIVERS\serial.sys (system)
Windows Firewall / Condivisione connessione Internet (ICS): %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Rilevamento hardware shell: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
BDA Slip De-Framer: system32\DRIVERS\SLIP.sys (manual start)
smwdm: system32\drivers\smwdm.sys (manual start)
Q-TEC WEBCAM 100 USB: system32\DRIVERS\pfc027.sys (manual start)
SoundMAX Agent Service: C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe (autostart)
speedfan: system32\speedfan.sys (system)
Frazionatore audio del kernel Microsoft: system32\drivers\splitter.sys (manual start)
Spooler di stampa: %SystemRoot%\system32\spoolsv.exe (autostart)
sptd: System32\Drivers\sptd.sys (system)
Driver filtro Ripristino configurazione di sistema: \SystemRoot\system32\DRIVERS\sr.sys (disabled)
Servizio Ripristino configurazione di sistema: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Srv: system32\DRIVERS\srv.sys (manual start)
Servizio di rilevamento SSDP: %SystemRoot%\system32\svchost.exe -k LocalService (manual start)
ssmdrv: system32\DRIVERS\ssmdrv.sys (system)
Acquisizione di immagini di Windows (WIA): %SystemRoot%\system32\svchost.exe -k imgsvc (autostart)
BDA IPSink: system32\DRIVERS\StreamIP.sys (manual start)
Driver bus software: system32\DRIVERS\swenum.sys (manual start)
Sintetizzatore Wavetable GS kernel Microsoft: system32\drivers\swmidi.sys (manual start)
MS Software Shadow Copy Provider: C:\WINDOWS\system32\dllhost.exe /Processid:{39C6DCA7-BCE1-431A-8048-9EFC84B5C498} (manual start)
Periferica audio di sistema Microsoft Kernel: system32\drivers\sysaudio.sys (manual start)
Avvisi e registri di prestazioni: %SystemRoot%\system32\smlogsvc.exe (disabled)
Telefonia: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Driver protocollo TCP/IP: system32\DRIVERS\tcpip.sys (system)
Driver della periferica terminale: system32\DRIVERS\termdd.sys (system)
Servizi terminal: %SystemRoot%\System32\svchost -k DComLaunch (manual start)
Tetris driver: System32\Drivers\Tetris.sys (manual start)
Temi: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
tifm21: system32\drivers\tifm21.sys (manual start)
Manutenzione collegamenti distribuiti client: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Windows User Mode Driver Framework: C:\WINDOWS\system32\wdfmgr.exe (autostart)
Driver aggiornamento microcodice: system32\DRIVERS\update.sys (manual start)
Host di periferiche Plug and Play universali: %SystemRoot%\system32\svchost.exe -k LocalService (manual start)
Gruppo di continuità: %SystemRoot%\System32\ups.exe (manual start)
Driver principale generico USB Microsoft: system32\DRIVERS\usbccgp.sys (manual start)
Driver Miniport controller enhanced host USB 2.0 Microsoft: system32\DRIVERS\usbehci.sys (manual start)
Hub abilitato USB2: system32\DRIVERS\usbhub.sys (manual start)
Classe stampanti USB Microsoft: system32\DRIVERS\usbprint.sys (manual start)
Driver scanner USB: system32\DRIVERS\usbscan.sys (manual start)
Driver archiviazione di massa USB: system32\DRIVERS\USBSTOR.SYS (manual start)
Driver Miniport Controller Universal Host USB Microsoft: system32\DRIVERS\usbuhci.sys (manual start)
Servizio Messenger Sharing Folders USN Journal Reader: "C:\Programmi\MSN Messenger\usnsvc.exe" (manual start)
VgaSave: \SystemRoot\System32\drivers\vga.sys (system)
Copia replicata del volume: %SystemRoot%\System32\vssvc.exe (manual start)
Driver di Intel(R) PRO/Wireless 2200BG Network Connection Driver per Windows XP: system32\DRIVERS\w29n51.sys (manual start)
Ora di Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Driver ARP IP di accesso remoto: system32\DRIVERS\wanarp.sys (manual start)
Driver di compatibilità audio Microsoft WINMM WDM: system32\drivers\wdmaud.sys (manual start)
WebClient: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
Strumentazione gestione Windows: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Windows Live Setup Service: "C:\Programmi\Windows Live\installer\WLSetupSvc.exe" (manual start)
Servizio Numero di serie per dispositivi multimediali portatili: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Strumentazione gestione Microsoft Windows per ACPI: system32\DRIVERS\wmiacpi.sys (system)
Scheda WMI Performance: C:\WINDOWS\system32\wbem\wmiapsrv.exe (manual start)
Centro sicurezza PC: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Codec World Standard Teletext: system32\DRIVERS\WSTCODEC.SYS (manual start)
Aggiornamenti automatici: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Zero Configuration reti senza fili: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
xgavjwtipskw: system32\drivers\xgavjwtipskw.sys (manual start)
xhlvtflfpton: system32\drivers\xhlvtflfpton.sys (manual start)
Servizio Provisioning di rete: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
xodadsfvklgq: system32\drivers\xodadsfvklgq.sys (manual start)
xxhiruuodjas: system32\drivers\xxhiruuodjas.sys (manual start)


--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\Programmi\HPQ\Shared\hpqwmi.events|||h

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll

--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*No values found*

--------------------------------------------------

End of report, 37.215 bytes
Report generated in 0,078 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Eccolo dove è finito:

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

[1173]
rdghchuh = "C:\fix.reg"

[373362]
rdg = "C:\"

Apri il registro. Start->esegui, inserisci regedit e dai invio.
Vai alla voce

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

Cliccaci sopra e fai esporta così crei un backup.

Poi rimuovi le due voci:

rdghchuh = "C:\fix.reg
rdg = "C:\"

e che faccio?
:mc:

Eccolo dove è finito:

come ha fatto ha finire li

anche a me si aprono le pagine da sole.

e che faccio?
:mc:

Ho aggiornato il messaggio:

http://www.hwupgrade.it/forum/showpost.php?p=20175185&postcount=118

totomia3 modifica il tuo messaggio mettendo i log con Gestione Allegati o su www.zshare.net e dandoci il link.

ciao nuz....scasa ma tu sapresti aiutarmi....io nn sono molto esperto di informatica...ho fatto il percorso dei primi due topic...ed adesso nn so che fare.

@ totmioa3

allega i log secondo le Regole di Sezione che ti invito a leggere, ovvero hosta i log in formato .txt su www.zshare.net indicando il link dove prelevarli

modifica quindi il tuo post indicando solo il link

nn me li cancella

ciao nuz....scasa ma tu sapresti aiutarmi....io nn sono molto esperto di informatica...ho fatto il percorso dei primi due topic...ed adesso nn so che fare.

Non ho capito cosa hai fatto. Questo l'hai fatto:

Apri il registro. Start->esegui, inserisci regedit e dai invio.
Vai alla voce

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

Cliccaci sopra e fai esporta così crei un backup.

Poi rimuovi le due voci:

rdghchuh = "C:\fix.reg
rdg = "C:\"

si si ho creato il backup ma nn mi elimina le voci.

nn me li cancella

vai di provvisoria oppure avenger o con l'utility di hijackthis...(scusate se non illustro ma vado di fretta..

scusa ma nn trovo esegui con il vista forse c'è un altro percorso

clicca su modifica - autorizzazioni - metti il segno di spunta su Controllo completo (consenti) e procedi alla cancellazione

Edit: Fai prima quello che ha scritto Chill-Out


Turbo se da modalità provvisoria non riesci allora proviamo con Avenger:

Eseguilo e seleziona Input Script Manually, clicca sulla lente e inserisci:

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx | rdghchuh
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx | rdg

Clicca sul semaforo, accetta e riavvia quando richiesto.
Poi allega il log che trovi in c:\avenger.txt

...

@totomioa3:
devi assolutuamente modificare il tuo post!!!!
hai reso il 3d quasi illeggibile....scusami: x favore leggi le regole di sezione..se ti diciamo di modificare il post, lo diciamo x te xchè cosi a noi viene piu agevole e chiaro leggere i log e capire i tuoi problemi

finchè nn modifichi il tuo post precedente (nb:modificare nn significa creare un nuovo post...clicca sul pulsante modifica) nessuno ti puo dare aiuto

grazie della collaborazione
ciao

scusa ma nn trovo esegui con il vista forse c'è un altro percorso

le risposte sono per turbo tu adessi ti devi solo preoccupare di modificare il tuo post, thx.

scusa ma nn trovo esegui con il vista forse c'è un altro percorso

Tu per ora devi modificare il messaggio con i log, altrimenti nessuno ti può aiutare, perchè il post non rispetta le regole di sezione.

scusa ma nn trovo esegui con il vista forse c'è un altro percorso
Riedita il post dove hai allegato il log: non vedi che stai incasinando l'intero thread?? :mad:

l'altro è troppo grande
ma nn ho avuto righe rosse

ragazzi prometto di nn rompervi per le prossime 48 ore...:D

Totomia3 continui a non capire. Devi cliccare sul tasto modifica che trovi in basso a destra qui:

http://www.hwupgrade.it/forum/showpost.php?p=20175268&postcount=121

l'altro è troppo grande
ma nn ho avuto righe rosse

scusami: io nel post precedente ti ho specificato che nn devi creare un nuovo post, ma devi modificare il tuo primo post... :muro: :muro: :muro:

l'altro è troppo grande
ma nn ho avuto righe rosse

ti è stato chiesto di modificare questo post http://www.hwupgrade.it/forum/showpost.php?p=20175268&postcount=121
non è conforme alle Regole, ti sarai reso conto che stai incasinando tutta la discussione, per favore modificalo.

ragazzi prometto di nn rompervi per le prossime 48 ore...:D

Allora è risolto?

ragazzi prometto di nn rompervi per le prossime 48 ore...:D

quindi sei riuscito a cancellare i valori indicati?

se si mi spieghi come hanno fatto a finire li
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

si di nuovo grazie...

credo di aver combinato un bel pò di scompiglio, scusatemi tutti, ma vedevo che aiutavate tutti passo passo e mi sembrava piu semplice, ciao

totomia inizia ad eseguire l'analisi preliminare della Guida per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737). Poi allega i log delle varie scansioni.

si di nuovo grazie...

prego, ma allora hai proprio deciso di lasciarmi col dubbio :D

se si mi spieghi come hanno fatto a finire li
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

sinceramente nn lo so per quanto riguarda il fix...
per c:/ ho smanettato un po...

scusa ma io nn riesco a fare l'analisi preliminare
perchè nn trovo esegui

scusa ma io nn riesco a fare l'analisi preliminare
perchè nn trovo esegui

l'analisi preliminare consiste nel seguire questa Guida
http://www.hwupgrade.it/forum/showthread.php?t=1599737

sinceramente nn lo so per quanto riguarda il fix...
per c:/ ho smanettato un po...

a ecco hai smanettato un pò, si un pò molto :D ;) buon proseguimento, ciao.