Ho un problema molto fastidioso, ogni volta che apro una pagina internet, mi si apre un'altra pagina di un'altro sito :mad:
Explorer è sparito dal dextop, ho seguito questa guida http://www.hwupgrade.it/forum/showthread.php?t=1555416, ma niente!
Mi si apre pure questa finestra:

http://img390.imageshack.us/img390/8985/problemali2.th.jpg (http://img390.imageshack.us/my.php?image=problemali2.jpg)

Che devo fare?:muro:

Benvenuto,

inizia con il seguire la Guida alla Disinfestazione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) passo passo e alla fine allega tutti i log richiesti (nelle modalità espresse nelle regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)) cosi potremo darti una mano!;)

Ecco i log richiesti:

Malwarebytes Anti-Malware --> mbam-log-8-17-2008 (12-17-55).txt (http://wikisend.com/download/735090/mbam-log-8-17-2008 (12-17-55).txt)
A-Squared Free v3.x --> a2scan_080817-130913.txt (http://wikisend.com/download/504726/a2scan_080817-130913.txt)
F-Secure OnLine --> non ho potuto fare la scansione in quanto explorer è sparito
Dr.Web CureIT --> non si aggiorna
ESET SysInspector --> SysInspector-MILLY-W4FWJR6GZ-080817-1718.xml (http://wikisend.com/download/948320/SysInspector-MILLY-W4FWJR6GZ-080817-1718.xml)
HiJackThis --> hijackthis.log (http://wikisend.com/download/476090/hijackthis.log)
Gmer --> gmer.log (http://wikisend.com/download/907488/gmer.log)
Gmer mi segnala queste voci:
Service C:\Programmi\File comuni\MicrosoftShared\DMheBx.exe (*** hidden *** )[AUTO] NetCmv
Service C:\Programmi\File comuni\System\Dcmk.exe (*** hidden *** )[AUTO] SysXmc
PrevxCSI --> prevx.log (http://wikisend.com/download/968922/prevx.log)

se drweb lo avevi appena scaricato non ènecessario aggiornarlo quindi puoi fare la scansione completa lo stesso :)
al posto di f-secure puoi usare kaspersky-tool :)


gmer:

Service C:\Programmi\File comuni\Microsoft Shared\DMheBx.exe (*** hidden *** ) [AUTO] NetCmv <-- ROOTKIT!!!
Service C:\Programmi\File comuni\System\Dcmk.exe (*** hidden *** )
[AUTO] SysXmc <-- ROOTKIT !!!

riesegui gmer poi sopra a quelle voci rosse clicka su ognuna di esse con il tasto destro scegliendo la voce selezionabile (DELETE SERVICE).

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {55592251-E65D-959B-DA92-C5FF72174D82} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: SpoofStick BHO - {CBA74CDA-DF78-4AD9-954E-3B15D0A993DE} - C:\Programmi\CoreStreet\SpoofStick\SpoofStickBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: SpoofStick - {4D46ED77-1429-4CF6-8F63-C84B5D710BAF} - C:\Programmi\CoreStreet\SpoofStick\SpoofStick.dll
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programmi\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\System32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\Milly\IMPOST~1\Temp\IXP000.TMP\"
O4 - HKCU\..\Run: [qkmcsai] "c:\documents and settings\milly\impostazioni locali\dati applicazioni\qkmcsai.exe" qkmcsai
O4 - Startup: Deer Hunter 2005 Registration.lnk = G:\Programmi\camion\Deer Hunter 2005\ATR1.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html



fatto questo mi dovresti disisnstallare quella chiavica di AVG che non te ne fai nulla e fa solo casino infatti hai ben due antivirus e nessuno di questi ha risolto prorpio perchè vanno in conflitto tra loro.
senza riavviare poi lanci un aggiornamento di avira e mi fai una scansioe completa del pc e mi pubblichi il log :)


prevx:

C:\Programmi\rooarr502.exe InMem: 0 Det [U] PX5: 3C000245B97C3F789CCB1A02418C8C00F434AA46

C:\Programmi\rpatentino\wrpat.exe InMem: 0 Det [U] PX5: BB67B2D200230E9980F805812B8541005D79F1D2

C:\Documents and Settings\Milly\Desktop\rpatentino30315a.exe InMem: 0 Det [U] PX5: 14A6205ADA4CA605C7650B313D29DB002BBA7BA9

C:\documents and settings\milly\impostazioni locali\dati applicazioni\qkmcsai.exe InMem: 1 Det [B] PX5: ABEC2EA700853F46E0840421941C8F001E678DCD Malware Group: Fraudulent Security Program
REGRUNKEY - \REGISTRY\User\S-1-5-21-57989841-682003330-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run - qkmcsai ["c:\documents and settings\milly\impostazioni locali\dati applic]


Summary:
C:\documents and settings\milly\impostazioni locali\dati applicazioni\qkmcsai.exe - [B] >> Fraudulent Security Program (PX5: ABEC2EA700853F46E0840421941C8F001E678DCD)

potresti farmi analizzare questi files su http://virscan.org/ e http://www.virustotal.com/ (basta che pubblichi l'url che compare nel browser a fine di ogni scansione):
C:\Programmi\rooarr502.exe
C:\Programmi\rpatentino\wrpat.exe
C:\Documents and Settings\Milly\Desktop\rpatentino30315a.exe
C:\documents and settings\milly\impostazioni locali\dati applicazioni\qkmcsai.exe

noto ora che sei di trento eppure coscritto :p :D

Gà già sono della provincia di trento e pure coscritto :D
Grazie dei consigli, li sto eseguendo passo per passo ;) ma ci impieghero un paio di giorni prima di inserire tutti i log da te richiesti:(

le più lente sono le prime 4 e PrevxCSI poi è abbastanza veloce :)
quindi se può esserti d'aiuto puoi pubblicare subito le prime 4 e poi fare la seconda parte :p

Dr.Web CureIT --> CureIt.log (http://wikisend.com/download/523972/CureIt.log)
kaspersky-tool --> Kaspersky.txt (http://wikisend.com/download/520032/Kaspersky.txt)
Gmer --> gmer2.log (http://wikisend.com/download/588896/gmer2.log)
Quando tento di eliminare quelle 2 voci rosse, mi esce questa finestra:
http://img167.imageshack.us/img167/7080/gmerer2.th.jpg (http://img167.imageshack.us/my.php?image=gmerer2.jpg) http://img167.imageshack.us/img167/452/gmer1wm0.th.jpg (http://img167.imageshack.us/my.php?image=gmer1wm0.jpg)
hijackthis --> hijackthis2.log (http://wikisend.com/download/534452/hijackthis2.log)
AVG l'ho disinstallato
avira --> AVSCAN-20080820-145955-947A58ED.LOG (http://wikisend.com/download/553666/AVSCAN-20080820-145955-947A58ED.LOG)

C:\Programmi\rooarr502.exe:
http://virscan.org/report/6748b218916eb462722269e73efc7321.html
http://www.virustotal.com/it/reanalisis.html?449492cb0e8fe9c020cbc4b5d744f49b

C:\Programmi\rpatentino\wrpat.exe:
http://virscan.org/report/acec5bad819a85c45911598cbe9ca091.html
http://www.virustotal.com/it/reanalisis.html?fb0eaac47185a59081d569d0f6588540

C:\Documents and Settings\Milly\Desktop\rpatentino30315a.exe:
http://virscan.org/report/32decadff8068e344b5a912732fac215.html
http://www.virustotal.com/it/reanalisis.html?e584004f0c149f25a90a00d357c59a65

C:\documents and settings\milly\impostazioni locali\dati applicazioni\qkmcsai.exe:
http://virscan.org/report/84f5e014e18389779fe321aa1b646349.html
http://www.virustotal.com/it/reanalisis.html?ec88198757ea37eb6e54160bf344d4e4

non mi sembra che tu abbia fatto tutto cio che ti sia stato chiesto, ti ricordo che davanti al monitor ci sei te e il pc è il tuo..
per cortesia potresti ricontrollare quanto suggerito in questo messaggio? http://www.hwupgrade.it/forum/showpost.php?p=23727848&postcount=4

ovviamente trascurando la parte gmer visto che l'hai fatta :)
grazie :)

mmm...dal tuo topic se ho capito bene mi manca soltanto la scansione con avira e analizzare quei files :confused:
Man mano che esegueo quello che hai scritto, aggiorno il topic ;)

Il log di Gmer è sostanzialmente cambiato, per eliminare le due voci in rosso ovvero

Service C:\Programmi\File comuni\Microsoft Shared\DMheBx.exe (*** hidden *** ) [AUTO] NetCmv <-- ROOTKIT!!!
Service C:\Programmi\File comuni\System\Dcmk.exe (*** hidden *** )
[AUTO] SysXmc <-- ROOTKIT !!!

hai cliccato sulle suddette voci con il tasto dx del mouse e cliccato su DELETE SERVICE

Dr.Web CureIT --> CureIt.log (http://wikisend.com/download/523972/CureIt.log)
kaspersky-tool --> Kaspersky.txt (http://wikisend.com/download/520032/Kaspersky.txt)
Gmer --> gmer2.log (http://wikisend.com/download/588896/gmer2.log)
hijackthis --> hijackthis2.log (http://wikisend.com/download/534452/hijackthis2.log)
AVG l'ho disinstallato
avira --> AVSCAN-20080820-145955-947A58ED.LOG (http://wikisend.com/download/553666/AVSCAN-20080820-145955-947A58ED.LOG)

C:\Programmi\rooarr502.exe:
http://virscan.org/report/6748b218916eb462722269e73efc7321.html
http://www.virustotal.com/it/reanalisis.html?449492cb0e8fe9c020cbc4b5d744f49b

C:\Programmi\rpatentino\wrpat.exe:
http://virscan.org/report/acec5bad819a85c45911598cbe9ca091.html
http://www.virustotal.com/it/reanalisis.html?fb0eaac47185a59081d569d0f6588540

C:\Documents and Settings\Milly\Desktop\rpatentino30315a.exe:
http://virscan.org/report/32decadff8068e344b5a912732fac215.html
http://www.virustotal.com/it/reanalisis.html?e584004f0c149f25a90a00d357c59a65

C:\documents and settings\milly\impostazioni locali\dati applicazioni\qkmcsai.exe:
http://virscan.org/report/84f5e014e18389779fe321aa1b646349.html
http://www.virustotal.com/it/reanalisis.html?ec88198757ea37eb6e54160bf344d4e4


Manca qualcosa? :confused:

fixa:

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe


poi quand'è che ti decidi a rimovere avg per lasciare solo avira che è di granlunga superiore? due antivirus ti avevano portato qui e forse è il caso di evitare di continuare a lasciarli che si pestino i piedi, poi vedi tu il pc del resto è il tuo :)

le scansioni su virustotal sono vuote, sei sicuro d'aver copiato il link corretto? :boh:

mi potresti scremare il log di dr.web cureit con il programma parserlog? se lo facevi prima evitvi di tenere impeganta la linea per piùore a inviare un log pesante 73mb ;)

hijackthis3.log (http://wikisend.com/download/503868/hijackthis3.log)

AVG l'ho disinstallato, installazione applicazioni, rimuovi, però sono rimaste ancora le icone sul desktop:confused:

http://www.virustotal.com/it/analisis/b66e9ed0af0187d6d80db70101449f5a
http://www.virustotal.com/it/analisis/e935d3c15ea776a5b0a346011520f1c5
http://www.virustotal.com/it/analisis/2fce235dade568c0b72011b435584ca8
http://www.virustotal.com/it/analisis/e3f12f17a45ff883ed9912ee9b346568

Non riesco a scaricare il parserlog: mi scarica un file cureit.zip - archivio ZIP, dimensione non-compressa di 87.340 bytes e non riesco ad aprire il file cureit.jar - archivio ZIP, dimensione non-compressa di 28.742 bytes:doh:

il programma è quello, basta scompattare cureit.zip e poi lanciare il run.bat :)

io quei 4 programmi li cancellerei per sicurezza.. potresti tenere rpatentino30315a.exe che pare essere l'unico file non infetto :)

Dr.Web CureIT --> http://www.hwupgrade.helloweb.eu/ParserLog/log/output4969636597.txt

Quei 4 programmi li ho disinstallati e anche avg.
Ma ora dovrei rifare tutte le scansioni?:confused:

e a cosa serve fare la scansione se poi nellog compare "cura negata dall'utente" ?
rifalla grazie :)

Ho rifatto la scansione con Dr.Web CureIT, ma è normale che esca "scansione interrotta dall'utente"? :confused:

http://www.hwupgrade.helloweb.eu/ParserLog/log/output-10294795266.txt

Pensavo di disinstallare pure Spybot, perchè fa soltanto casino e lasciare a-squared free 3 e Malwarebytes Anti-Malware ed eventualmente installare Spyware Terminator :confused: Cosa pensi di questa combinazione?

Devo fare qualche scansione?