Riporto il post dal thread di Avira:

Ho appena installato avira e dopo una scan ho un paio di domande:
-innanzitutto mi segnala come warning i seguenti files:
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\updxodoj.exe
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!
Ho letto in prima pagina che 3 di questi non sono un problema,ma quel updxodoj.exe che diavolo sarebbe? Perchè non può essere aperto dal programma?

In quella discussione mi è stato suggerito che updxodoj.exe potrebbe essere un rootkit e che dovrei farlo analizzare sui siti:
http://www.virustotal.com/it/
http://virscan.org/
Il problema è che il file è bloccato e che non si può eseguire nessuna operazione su esso;così ho provato ha installare Unlocker,ma, contrariamente a quanto letto in rete riguardo il suo funzionamento,cliccando col tasto destro del mouse su file o directory, non mi compare nessuna voce del programma nel menu a tendina.
Any advice?

carica con le modalità che ho in firma il log di Gmer http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)

Ecco fatto...

scansione e log di Prevx http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)

scansione e log di Prevx http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)

Lo posto,anche se non mi ha trovato nulla:
http://www.fileqube.com/shared/XGJhVzY104189

io seguirei la guida generica... secondo me dalle prime due scansioni antispyware qualcosa salta fuori...

Lo posto,anche se non mi ha trovato nulla:
http://www.fileqube.com/shared/XGJhVzY104189

quello che posso legegre da questo log sono le seguenti avvertimenti:

C:\Documents and Settings\Cantoni\Impostazioni locali\Temp\A~NSISu_.exe InMem: 0 Det [U] PX5: 3C000245617C3F7868CB0102418C8C00413128EE

REGSESSMGR - \REGISTRY\Machine\System\CurrentControlSet\Control\Session Manager - PendingFileRenameOperations [\??\C:\DOCUME~1\Cantoni\IMPOST~1\Temp\A~NSISu_.exe]


C:\Programmi\Advanced Registry Fix\Advanced Registry Fix.exe InMem: 0 Det [U] PX5: 06751C8500E93DDED0DC32A9AF5F1A008C6D7E07


C:\Programmi\Atari\Test Drive Unlimited\TestDriveUnlimited.exe InMem: 0 Det [U] PX5: C050BEF900F6464D50FF0089CB65B7015986E009


C:\Documents and Settings\Cantoni\Desktop\Vario III\PC & Videogames\PC\Phun\Phun.exe InMem: 0 Det [UP] PX5: 527F3C8C00C62B8BE070164DFD963A00F2AA7F7C

il primo file di quelli che ho riportato è sicuramente inquetante e pericoloso, quindi segui la procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti rispettando le Regole di Sezione :)

Perchè sono segnalati un programma,un gioco originale e un simulatore di fisica 2d :mbe: ? Cosa vuoi dire che il primo è inquietante?
Comunque seguendo la guida,ho notato che la voce 'Disattiva ripristino configurazione di sistema' era già selezionata...boh.
Ecco il log di Malwarebytes Anti-Malware; appena ho tempo ricancello i temporanei e scannerizzo col secondo programma nella lista.

P.S. Advanced Registry Fix me l'aveva passato tempo fa un amico,ma non so se è originale. Comunque dubito seriamente sia la causa di qualche problema.

Ho seguito la procedura consigliata e credo di aver ricavato solo un pò di falsi positivi...
-A-Squared Free credo siano 2 falsi positivi;
-F-Secure OnLine non mi ha trovato nulla dopo una scan di 2h e mezza (ho dimenticato il log,ma non ha segnalato pericoli);
-Dr.Web CureIT www.hwupgrade.helloweb.eu/ParserLog/log/output-2162708907.txt (log 'ridotto');
-ESET SysInspector : crea log in xml enormi,giusto?
http://www.fileqube.com/shared/CwdAd106590
-HiJackThis : ho usato la pagina tedesca per l'analisi,ma non c'era nulla di pericoloso...

Mah...

con cureit non hai fatto la scansione completa o sbaglio?

hjt caricalo lo stesso please ;)

Mi sembra di aver fatto la completa... tieni conto che ho ridotto col programmino apposito,altrimenti sarebbero 26 MB di log. Devo uppare quelli :stordita: ?
Comunque ecco HJT.

Mi sembra di aver fatto la completa... tieni conto che ho ridotto col programmino apposito,altrimenti sarebbero 26 MB di log. Devo uppare quelli :stordita: ?
Comunque ecco HJT.
tempo di scansione mi pare di aver visto 8minuti...

tempo di scansione mi pare di aver visto 8minuti...

Sì,ma è perchè ho toccato qualcosa a 8 minuti dal termine,azzerando le statistiche. Comunque a questo punto lascerei perdere, visto che nessuno di quei programmi mi segnala infezioni e il pc funziona senza problemi...
Una cosa però: il file C:\WINDOWS\system32\updxodoj.exe è presente solo nel mio registro o è di windows?

Mi serve un consiglio,sempre riguardo il file C:\WINDOWS\system32\updxodoj.exe.
Sono riuscito a far partire unlocker,ma mi dice che il file non è bloccato da nessun handle,nonostante non riesca ad eseguire alcun tipo di operazione su esso. Il programma mi consente comunque di rinominarlo,spostarlo o cancellarlo... cosa mi consigliate di fare? Se lo elimino, danneggio il sistema?
Non esiste nessun'altro modo per sbloccarlo e upparlo su qualche sito di analisi?

Fai controllare quel file su www.virustotal.com e su http://virscan.org/
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se il file dovesse essere nascosto o di sistema, Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione -> Seleziona "Visualizza cartelle e file nascosti" -> scendi e togli la spunta a "Nascondi i file di sistema (consigliato)
Alla fine della verifica rimetti le impostazioni originali

http://www.hwupgrade.it/forum/showpost.php?p=24131705&postcount=4875

Intanto sistema una riga che c'è in HijackThis. Apri il prompt dei comandi, da start, esegui, scrivi cmd e dai invio.
Poi scrivi:
sc stop JGFXMFBA e dai invio
sc delete JGFXMFBA di nuovo invio

Allega un nuovo log di hijackthis, un log di RootkiUnhooker (LINK (http://rapidshare.com/files/136965760/RkU3.8.341.552.rar.html)) e prova anche ad usare Fileassassin (http://www.malwarebytes.org/fileassassin.php) per provare a sbloccare il file.

:)

Intanto sistema una riga che c'è in HijackThis. Apri il prompt dei comandi, da start, esegui, scrivi cmd e dai invio.
Poi scrivi:
sc stop JGFXMFBA e dai invio
sc delete JGFXMFBA di nuovo invio

Allega un nuovo log di hijackthis, un log di RootkiUnhooker (LINK (http://rapidshare.com/files/136965760/RkU3.8.341.552.rar.html)) e prova anche ad usare Fileassassin (http://www.malwarebytes.org/fileassassin.php) per provare a sbloccare il file.

:)

Siii,fileassasin ha funzionato,laddove unlocker ha fallito!
Ho uppato il file updxodoj.exe su i 2 siti consigliati ed ho ottenuto:
-con http://virscan.org, 4 risultati su 34:
AVAST! 3.0.1 080923-0 2008-09-23 Win32:Agent-NOH[Trj]
Fortinet 2.81-3.113 9.580 2008-09-23 Suspicious
Ikarus T3.1.01.34 2008.09.24.71519 2008-09-24 Virus.Win32.Agent.NOH
Symantec 1.3.0.24 20080923.003 2008-09-23 Dialer.Trojan
-con www.virustotal.com un pò di più:
Avast 4.8.1195.0 2008.09.23 Win32:Agent-NOH
eSafe 7.0.17.0 2008.09.24 Suspicious File
F-Secure 8.0.14332.0 2008.09.24 Suspicious:W32/Malware!Gemini
GData 19 2008.09.24 Win32:Agent-NOH
Ikarus T3.1.1.34.0 2008.09.24 Virus.Win32.Agent.NOH
Kaspersky 7.0.0.125 2008.09.24 Heur.Trojan.Generic
Prevx1 V2 2008.09.24 Malicious Software
Symantec 10 2008.09.24 Dialer.Trojan
TrendMicro 8.700.0.1004 2008.09.24 PAK_Generic.001
Webwasher-Gateway 6.6.2 2008.09.24 Win32.ModifiedUPX.gen (suspicious)

Qual è il verdetto?Lo cancello senza rimorsi,o può dare problemi a windows?

Inoltre ho digitato le istruzioni che hai postato e fatto un altro log con HJT e col programma da te citato:
http://www.fileqube.com/shared/FYkNOYV112229

eliminalo con file assassin, se non va usiamo avenger

Sono riuscito finalmente a cancellare il file,quindi teoricamente dovrei essere pulito...
Grazie a tutti,dovreste farvi pagare per il servizio che svolgete in questa sezione. Personalmente non ne avrei la pazienza :D .

perchè pensi sia tutto gratis?
ti sembra che siamo quà a fare beneficenza?
a chi la intestiamo la fattura?? :D :D

Sono riuscito finalmente a cancellare il file,quindi teoricamente dovrei essere pulito...
Grazie a tutti,dovreste farvi pagare per il servizio che svolgete in questa sezione. Personalmente non ne avrei la pazienza :D .

se vuoi puoi fare una donazione qui:http://www.ammazzatecitutti.org/editoriale/ammazzatecitutti-rischia-di-chiudere-entro-un-mese.php
sarebbe un peccato se fossero costretti a chiudere...

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - (no file)
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Veoh] "C:\Programmi\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O16 - tutte le voci senza riferimenti a microsoft

Cos'è,un servizio extra per il complimento :D ?
Di preciso cosa ho fatto,oltre a togliere i processi inutili all'avvio?

Cos'è,un servizio extra per il complimento :D ?
Di preciso cosa ho fatto,oltre a togliere i processi inutili all'avvio?

Immagino tu non abbia una copia di quel file, se si sarei mi piacerebbe averlo :)

Immagino tu non abbia una copia di quel file, se si sarei mi piacerebbe averlo :)

Parli di quel updxodoj.exe?
Guardacaso l'ho uppato per sicurezza prima di cancellarlo...
hxxp://www.filedropper.com/updxodoj (http://PERICOLOSO)
Vuoi studiarlo? Non so cosa può nascondere in 12 kb,visto che comunque il mio pc non aveva problemi...

Parli di quel updxodoj.exe?
Guardacaso l'ho uppato per sicurezza prima di cancellarlo...

Vuoi studiarlo? Non so cosa può nascondere in 12 kb,visto che comunque il mio pc non aveva problemi...

Si grazie ma rimuovi il link per evitare che qualcuno lo scarichi e combini un guaio.

Si grazie ma rimuovi il link per evitare che qualcuno lo scarichi e combini un guaio.

l'ho fatto io :

Ma di preciso cosa farebbe un file del genere?
Io non ho mai notato nè problemi,nè rallentamenti di ogni genere :confused: .
Mi sono accorto di averlo solo quando ho installato avira,avg nanche me lo segnalava...