Ragazzi, ho eliminato il virtumonde grazie a spybot search & destroy e dopo l'eliminazione ho avviato a-squared che non ha trovato nulla! il punto è che ogni volta ke becco il virtumonde mi mette delle voci di libreria in system32 e le inserisce in automatico in avvio:

rundll32.exe "C:\Windows\system32\ugwpkfbn.dll",b
rundll32.exe "C:\Windows\system32\yssjrcxd.dll",s

la scorsa volta ho eliminato il file del virtumonde dalla partizione di linux ma stavolta non c'è e non ci sono nemmeno questi file perchè molto probabilmente spybot li ha eliminati solo che se avvio MSCONFIG da ESEGUI quelle 2 linee sono ancora nella sezione AVVIO (ovviamente non sono spuntate perchè le ho eliminate io ;) ) il problema è ke nn so come eliminarle dal menù di avvio di MSCONFIG, quindi ogni volta che avvio il pc windows mi dice di ripristinare l'avvio normale xkè vede ke ci sono due voci non spuntate (ke però non devono essere spuntate!) però ormai il virus non c'è più... come faccio? rundll32.exe non posso mica cancellarlo vero?

edit --- scusate il doppio post

ciao editato, segui i consigli del post del moderatore qui sotto :)

spybot? ionon affiderei ilmio pc per un'infezione così grave ad un programma mediocre come quello, e per dimostrartelo possiamo anche eseguire 4 scansioni che mostreranno proprio i residui ancora pericolosi e attivi :)

prima cosa cambia antivirus, se non ti ha bloccato l'infezione e non ti è stato utile a rimuoverlo è inutile tenerlo perchè sicuramente è stato messo ko.
quindi su questa premessa, almeno temporaneamente, installa avira antivir free:
download (http://www.free-av.de/en/download/1/avira_antivir_personal__free_antivirus.html) | guida all'uso (http://www.hwupgrade.it/forum/showthread.php?t=1514684)

dopo averlo scaricato e installato (ovviamente anche impostato come da guida) esegui una prima scansione e metti sempre tutto in quarantena quello che trova, poi riavvia e fagli scaricare gli aggiornamenti e fai una scansione completa anche qui troverà nuovo materiale da mettere in quarantena

poi scarica dr.Web CureIT: download (ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe) | guid all'uso (http://www.hwupgrade.helloweb.eu/?p=5), fai una prima scansione veloce salvando il log (mi raccomando salvalo con un nuovo nome) poi fai la scansione completa ovviamente sempre salvando il log con nuovo nome

poi scarica ed esegui Kaspersky Virus Removal Tool download e info (http://www.hwupgrade.it/forum/showthread.php?t=1631690) facendo sempre la scansione completa e salvando il log.

ed infine ESET SysInspector: download (http://download.eset.com/download/sysinspector/32/ENU/SysInspector.exe)
doppio click su SysInspector per lanciare il tool - scorri in basso SysInspector - EULA e clicca su I Agree ed attendi pazientemente che SysInspector esegua l'analisi al termine si aprirà l'interfaccia del programma, a questo punto non devi fare altro che cliccare su File - Save Log (per praticità salvalo sul DeskTop) clicca su Yes - Nome file: lascia quello che propone in automatico - Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml)

se non ti costa troppo fammi anche l scansione con PrevxCSI: download (http://www.prevx.com/freescan.asp) | guida all'uso (http://www.hwupgrade.it/forum/showthread.php?t=1680806)
a fine scansione eseguire una stampa del monitor o della finestra di Prevx e salvare il log ("options" -> "save a log file"); se mi salvi illog mi fsai felicissimo :)

cercherò di fare tutto ciò ke mi hai detto solo che se non ricordo male PrevxCSI non funziona sul mio pc... non lo so xkè :cry: Cmq, il mio antivirus è NOD32 v3.0.642.0 ed è sempre aggiornato. Credevo fosse un buon antivirus, cmq ho detto virtumonde xkè l'altra volta prima che lo eliminassi aveva lasciato dei file di libreria con nomi simili a questi. Ma nessuno di voi sa come faccio ad eliminare quelle voci dall'avvio automatico? dove la trovo la cartella run nel registro di sistema per vedere quali sono le voci che sono impostate per l'avvio? :confused:

tu procedi con le scansioni poi vediamo anche quello ;)

cercherò di fare tutto ciò ke mi hai detto solo che se non ricordo male PrevxCSI non funziona sul mio pc... non lo so xkè :cry: Cmq, il mio antivirus è NOD32 v3.0.642.0 ed è sempre aggiornato. Credevo fosse un buon antivirus, cmq ho detto virtumonde xkè l'altra volta prima che lo eliminassi aveva lasciato dei file di libreria con nomi simili a questi. Ma nessuno di voi sa come faccio ad eliminare quelle voci dall'avvio automatico? dove la trovo la cartella run nel registro di sistema per vedere quali sono le voci che sono impostate per l'avvio? :confused:

falle in ordine come ti ho detto :)
se nel frattempo riesci anche a impostare i dns di www.opendns.comte ne sarei grato :)