HiJackThis - Analisi Log - leggere Regole di Sezione

[juninho85]

Quote:

Originariamente inviato da paolo-fcb

pulito

Quote:

Originariamente inviato da Houdini87

.

prova ad eliminarlo poi vedi se i problemi son risolti

[Houdini87]

Quote:

Originariamente inviato da juninho85

pulito

prova ad eliminarlo poi vedi se i problemi son risolti

che problemi dovrei avere con questo file??


io non ne riesco a riscontrare nessuno...

[juninho85]

Quote:

Originariamente inviato da Houdini87

che problemi dovrei avere con questo file??


io non ne riesco a riscontrare nessuno...

avevi postato il log nell'altro thread perchè avevi dei problemi no?!

[Houdini87]

Quote:

Originariamente inviato da juninho85

avevi postato il log nell'altro thread perchè avevi dei problemi no?!

avevo problemi con msn...ma ora l'ho risolto quello..ma questo file mi è nuovo...

[juninho85]

Quote:

Originariamente inviato da Houdini87

avevo problemi con msn...ma ora l'ho risolto quello..ma questo file mi è nuovo...

nel dubbio tienilo fixato

[Capitan_J]

Quote:

Originariamente inviato da Houdini87

Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.14 -
Authentium 4.93.8 2007.09.16 -
Avast 4.7.1043.0 2007.09.15 -
AVG 7.5.0.485 2007.09.15 -
BitDefender 7.2 2007.09.16 -
CAT-QuickHeal 9.00 2007.09.15 -
ClamAV 0.91.2 2007.09.16 -
DrWeb 4.33 2007.09.16 -
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5136 2007.09.14 -
Ewido 4.0 2007.09.15 -
FileAdvisor 1 2007.09.16 -
Fortinet 3.11.0.0 2007.09.16 -
F-Prot 4.3.2.48 2007.09.16 -
F-Secure 6.70.13030.0 2007.09.15 -
Ikarus T3.1.1.12 2007.09.16 -
Kaspersky 4.0.2.24 2007.09.16 -
McAfee 5120 2007.09.14 -
Microsoft 1.2803 2007.09.16 -
NOD32v2 2532 2007.09.16 -
Norman 5.80.02 2007.09.14 -
Panda 9.0.0.4 2007.09.15 Suspicious file
Prevx1 V2 2007.09.16 Heuristic: Suspicious Self Modifying File
=
VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics?

Rising 19.40.61.00 2007.09.16 -
Sophos 4.21.0 2007.09.16 -
Sunbelt 2.2.907.0 2007.09.15 -
Symantec 10 2007.09.16 -
TheHacker 6.2.5.060 2007.09.14 -
VBA32 3.12.2.4 2007.09.15 -
VirusBuster 4.3.26:9 2007.09.15 -
Webwasher-Gateway 6.0.1 2007.09.14 -


che vuol dire??? che lo devo cancellare???

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9.40.14, on 16/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

-----------------------------

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {bd0e4d83-654e-4213-965b-fcbe887061f4} - (no file)

O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINDOWS\system32\iehelper3.dll

--
End of file - 6905 bytes


questo è l'ultimo log dopo la scansione di ben 3 anti virus(che con uno ho tolto 2 warm e qualche altra puttanata)

Per il log di HJT fixa quelle in neretto...
La voce in rosso dovrebbe essere un Trojan/Dialer ("LiveCall" adult content dialer component), a volte si riferisce a iesecpro.dll - IE SEcurity Pro, però non mi fiderei...

[juninho85]

guarda se sul registro di sistema hai le seguenti chiavi

Quote:

HKLM\Software\Classes\CLSID\{49E0E0F0-5C30-11D4-945D-000000000000}
HKCR\CLSID\{49E0E0F0-5C30-11D4-945D-000000000000}
HKCR\CLSID\{49E0E0F0-5C30-11D4-945D-000000000000}
HKCR\CLSID\{49E0E0F0-5C30-11D4-945D-000000000000}\InprocServer32
HKCR\CLSID\{49E0E0F0-5C30-11D4-945D-000000000000}\InprocServer32#ThreadingModel
HKCR\CLSID\{49E0E0F0-5C30-11D4-945D-000000000000}\ProgID
C:\WINDOWS\SYSTEM32\IEHELPER3.DLL
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{49E0E0F0-5C30-11D4-945D-000000000000}
IEHELPER3.DLL

se così fosse si tratta di un trojan downloader e ti prego di inviarmene una copia zippata in maniera tale da poterlo inviare in analisi

[paolo-fcb]

Quote:

Originariamente inviato da juninho85

pulito

Grazie Juninho

[PierCC]

Ciao ragazzi:in effetti, c'era qualcosa che non andava

Dall'ultimo scan con Kaspersky

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Sunday, September 16, 2007 2:23:45 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.93.1
Kaspersky Anti-Virus database last update: 16/09/2007
Kaspersky Anti-Virus database records: 419274
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\

Scan Statistics:
Total number of scanned objects: 66530
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 00:59:45

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\Administrator\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Administrator\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Administrator\Impostazioni locali\Cronologia\History.IE5\MSHist012007091620070917\index.dat Object is locked skipped
C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Administrator\Impostazioni locali\Temp\Perflib_Perfdata_d4.dat Object is locked skipped
C:\Documents and Settings\Administrator\Impostazioni locali\Temp\~DF88F3.tmp Object is locked skipped
C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Administrator\ntuser.dat Object is locked skipped
C:\Documents and Settings\Administrator\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe Infected: Trojan-Dropper.Win32.Agent.bwf skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

Scan process completed.


Come posso eliminare l'infezione?

Grazie dell'aiuto

[Houdini87]

Quote:

Originariamente inviato da Capitan_J

Per il log di HJT fixa quelle in neretto...
La voce in rosso dovrebbe essere un Trojan/Dialer ("LiveCall" adult content dialer component), a volte si riferisce a iesecpro.dll - IE SEcurity Pro, però non mi fiderei...

che sarebbero questi ultmi e due che mi hai messo in neretto??

[Gle89]

@ PierCC

una domanda,se cerchi quel file nel tuo pc ti da un icona con una bocca rossa?

prova a rimuovere in questo modo:

scarica questo tool

Decomprimilo in una cartella sul desktop
apri reanimator.exe.
Click su "Remove Rustock Rootkit".
Sarai avvisato che stai per usare la "RootkitNO" utility.
Avviala!
Sarai avvisato di riavviare il computer.
Dopo il riavvio, Rustock sarà stato rimosso usando Partizan.
Finita la procedura di pulizia, puoi rimuovere Partizan dall'avvio di Windows .

Click su "UnInstall Partizan" .

Puoi anche eliminare (se vuoi) la cartella "RootkitNo" dal disco dove hai installato Windows.


EDIT

fai inoltre una scansione con VIRIT dopo averlo aggiornato!

[PierCC]

Quote:

Originariamente inviato da Gle89

@ PierCC

una domanda,se cerchi quel file nel tuo pc ti da un icona con una bocca rossa?

prova a rimuovere in questo modo:

scarica questo tool

Decomprimilo in una cartella sul desktop
apri reanimator.exe.
Click su "Remove Rustock Rootkit".
Sarai avvisato che stai per usare la "RootkitNO" utility.
Avviala!
Sarai avvisato di riavviare il computer.
Dopo il riavvio, Rustock sarà stato rimosso usando Partizan.
Finita la procedura di pulizia, puoi rimuovere Partizan dall'avvio di Windows .

Click su "UnInstall Partizan" .

Puoi anche eliminare (se vuoi) la cartella "RootkitNo" dal disco dove hai installato Windows.


EDIT

fai inoltre una scansione con VIRIT dopo averlo aggiornato!

Ciao, ho seguito tutta la procedura che mi hai indicato, la scansione posso farla con Antivir?io utilizzo Spyware terminator e Spybot per l'eliminazione di trojan e spyware

Grazie

[Gle89]

farla con VIRIT è meglio secondo me... potrebbe trovare file che AntiVir non trova!

Ad ogni modo con il tool che hai usato ha tolto quel file infetto che segnalava KAPERSKY ONLINE? al massimo rifalla e si guarda se lui stesso lo ritrova"

[Capitan_J]

Quote:

Originariamente inviato da Houdini87

che sarebbero questi ultmi e due che mi hai messo in neretto??

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {bd0e4d83-654e-4213-965b-fcbe887061f4} - (no file)

Uno è la yahoo toolbar, non so se l'hai installata di proposito e poi disinstallata oppure è stato un altro programma "sponsorizzato" da yahoo che te l'ha installata...

L'altro è URLSearchHook, e a volte installa questi file:

pnqbfczz.exe
pnqbfczz.exe

e queste chiavi nel registro:

Registry Value Entry: {FD9BC004-8331-4457-B830-4759FF704C22}
Start Up Entry: pnqbfczz
Registry Value Entry: {6E6DD93E-1FC3-4F43-8AFB-1B7B90C9D3EB}

Se le hai fixa tutto con HJT e poi cancella i file in questione.

Se non hai niente di tutto questo allora non è niente di che, è solo una chiave che si appoggia a qualcosa che non c'è.
Puoi comunque fixarla, o con HJT.

[Houdini87]

Quote:

Originariamente inviato da Capitan_J

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {bd0e4d83-654e-4213-965b-fcbe887061f4} - (no file)

Uno è la yahoo toolbar, non so se l'hai installata di proposito e poi disinstallata oppure è stato un altro programma "sponsorizzato" da yahoo che te l'ha installata...

L'altro è URLSearchHook, e a volte installa questi file:

pnqbfczz.exe
pnqbfczz.exe

e queste chiavi nel registro:

Registry Value Entry: {FD9BC004-8331-4457-B830-4759FF704C22}
Start Up Entry: pnqbfczz
Registry Value Entry: {6E6DD93E-1FC3-4F43-8AFB-1B7B90C9D3EB}

Se le hai fixa tutto con HJT e poi cancella i file in questione.

Se non hai niente di tutto questo allora non è niente di che, è solo una chiave che si appoggia a qualcosa che non c'è.
Puoi comunque fixarla, o con HJT.

non ho la yahoo bar.... cmq fixiato tutti e due i file...

[juninho85]

Quote:

Originariamente inviato da juninho85

guarda se sul registro di sistema hai le seguenti chiavi

se così fosse si tratta di un trojan downloader e ti prego di inviarmene una copia zippata in maniera tale da poterlo inviare in analisi

[PierCC]

Quote:

Originariamente inviato da Gle89

farla con VIRIT è meglio secondo me... potrebbe trovare file che AntiVir non trova!

Ad ogni modo con il tool che hai usato ha tolto quel file infetto che segnalava KAPERSKY ONLINE? al massimo rifalla e si guarda se lui stesso lo ritrova"

Kaspersky non ha trovato nulla dopo la rimozione con quel tool che mi hai indicato
Hijack continua a segnalarmi quei due siti sospetti nella trusted zone:li fixo e loro ritornano sempre

Inoltre,ad MSN aperto il firewall mi segnala continue richieste di msnmgr.exe che io sinora ho rifiutato visto che tutte le autorizzazioni le do' ad apertura del programma e quindi suppongo si possa trattare di malware

l'ultimo log di hijack è questo:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.32.01, on 16/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Comodo\Firewall\CPF.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\Programmi\File comuni\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
c:\programmi\internet explorer\iexplore.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\C6 Messenger\c6Messenger.exe
C:\Programmi\C6 Messenger\plugin\fsmodule\C6FileSharing.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\bak\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\MSN Messenger\livecall.exe
c:\programmi\internet explorer\iexplore.exe
F:\UTILITA'\HIJACKTHIS\HijackThis.exe
C:\WINDOWS\system32\wscntfy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hijackthis.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Programmi\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programmi\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/downloa...derActiveX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16F71935-E2EF-4FE3-BB07-8932400007A2}: NameServer = 85.37.17.52 85.38.28.92
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - Ahead Software - (no file)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Programmi\WinClamAVShield\sp_clamsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

--
End of file - 6165 bytes

[Gle89]

Sei sicuro di non viaggiare su questo sito:

O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/downloa...derActiveX.cab

L'altra voce dovrebbe riguardare Nero...se ce l hai lascia stare!

EDIT

prova con CCleaner (scaricalo dalla mia firma) dalle impostazioni togli la voce "cancella file di windows temp solo se piu vecchi di 48 ore", fai una bella pulizia e riposta il log

[juninho85]

Quote:

Originariamente inviato da Gle89

Sei sicuro di non viaggiare su questo sito:

O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/downloa...derActiveX.cab

C6 è un programma di messaggistica istantanea

[Gle89]

juninho85, lo so che C6 è un programma di chat tipo MSN, però mi sembra proprio strano che ci sia quella voce "DownloaderActiveX Control"