Salve ragazzi, mi viene un dubbio: quali sono tutti i "posti" in cui possono nascondersi gli avvi automatici dei programmi? Mi spiego meglio:
Oggi un cliente aveva un PC affetto da un virus... ho lanciato Hijackthis ed ho fatto fare il log.
Ho caricato il log nella pagina del sito e da lì ho visto che c'erano 3 voci da eliminare, ma ritornando al programma Hijackthis, queste 3 voci non c'erano (erano 3 .exe che venivano eseguiti all'avvio di Windows)...
Sono andato sul registro nelle chiavi RUN sia di "HKcurrent User" che di "HKlocal Machine"... non erano presenti
Ho avviato msconfig e neanche nella voce "AVVIO" erano presenti
In "Esecuzione automatica" non erano presenti...
Insomma, dove cacchio erano quelle voci?

Il virus l'ho tolto andando in provvisoria e cancellando fisicamente quei 3 .exe, ma non riesco a capire DOVE fossero le chiamate a quei 3 files...

P.S.: se volete cercare info su questo virus, il nome mi pare fosse hvNrtID

ti basta entrare nel registro e fare un find di quei nomi dei file che hai cancellato fisicamente :)

cmq dovresti dare una spazzolata maggiore, hijackthis da solo non fa miracoli :D

quella schifezza che hanno avuto i tuoi cliente si propaga tramite penna usb:
http://security.p2pforum.it/rimuovere-hvnrtid

consiglierei l'uso di Flash Disinfector, nn solo per la pulizia ma anche per la sua funzione di "immunizzatore"

a tal proposito, consiglio di disabilitare l'autorun:

Vista (http://generazionenet.itadib.com/tips-tricks-f75/disabilitare-l-autoplay-autorun-in-windows-vista-t956.html)

XP (http://generazionenet.itadib.com/tips-tricks-f75/disabilitare-l-autoplay-autorun-in-windows-xp-t494.html)

considera ad esempio, riguado la tua domanda, che c sono malware che sfruttano i file ini del sistema (system.ini e win.ini) e nel log di hijackthis in questo caso li troverai all voci F0, F1, F2, F3

ovviamente, senza contare i rootkit....difficilmente li vedrai in hijackthis...