HiJackThis - Analisi Log - leggere Regole di Sezione

[paolo-fcb]

Quote:

Originariamente inviato da Gle89

Paolo, come ti ho già detto (e ripetuto Ania) posta in Aiuto sono infetto, anche se NON sei proprio sicuro di esserlo... una controllatina non fa mai male

Per Prevx prova prima a toglierlo dall avvio :
1)disabilita il ripristinio di configurazione di sistema
2)START - ESEGUI - MSCONFIG e invio - in alto AVVIO - togli il segno di spunta a PREVX.
3)riavvia e prova a disinstallare

Disabilitata, ora provo col msconfig ma prevx non ce l'ho nei programmi di startup......

[Gle89]

Quote:

Originariamente inviato da paolo-fcb

Disabilitata, ora provo col msconfig ma prevx non ce l'ho nei programmi di startup......

Pardon ho fatto confusione
Con i suggerimenti di ania non va lo stesso?
Quale è l'errore preciso che ti da?

Alcuni utenti sono entrati in modalità provvisoria con l'utente ADMINISTRATOR ed hanno terminato il processo "PXAgent.exe" e poi hanno potuto disinstallare,provalo!

[paolo-fcb]

Col tool di rimozione mi da questo errore qui:



Non c'è da nessuna parte, nemmeno in msconfig-avvio, davvero insopportabile questo coso utilissimo per 1 mese ma ora da estirpare......

Pardon, avevo obliato di far partire il pc in safe mode che ritengo sia modalità provvisoria, ora provo e vi riferisco.

Ragazzi, io non so davvero come ringraziarvi

[Gle89]

Alcuni utenti sono entrati in modalità provvisoria con l'utente ADMINISTRATOR ed hanno terminato il processo "PXAgent.exe" e poi hanno potuto disinstallare,provalo!

UP

[paolo-fcb]

Prevx2.0: ELIMINATO!!!!!
La cartella di DAP sono riuscito a spostarla sul desktop ma 1 file è ancora bloccato, ho pianificato la rimozione al prossimo avvio.

x Lancetta: Elistara non mi ha trovato nulla...

[Gle89]

Quote:

Originariamente inviato da paolo-fcb

Prevx2.0: ELIMINATO!!!!!
La cartella di DAP sono riuscito a spostarla sul desktop ma 1 file è ancora bloccato, ho pianificato la rimozione al prossimo avvio.

BEne... Adesso quali sono i tuoi problemi? MSN hai risolto?

[paolo-fcb]

Quote:

Originariamente inviato da Gle89

BEne... Adesso quali sono i tuoi problemi? MSN hai risolto?

Si col messenger ora funziona ok anche se un pò lento a connettersi; la cartella di DAP spostata sul desktop è ancora incancellabile però.....

Purtroppo quella voce del nod in hjt è ancora presente, ho provato a toglierla sia in modalità normale che provvisoria ma nulla da fare, ora posto un nuovo log.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.25.40, on 08/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\PROGRA~1\SPYWAR~2\SpywareTerminatorShield.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\ThreatFire\TFTray.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\Creative\Shared Files\CTDevSrv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programmi\Sandboxie\SbieSvc.exe
C:\PROGRA~1\SPYWAR~2\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ThreatFire\TFService.exe
C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Unlocker\Unlocker.exe
C:\Programmi\Unlocker\Unlocker.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\livecall.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Programmi\Foxit\tbFoxi.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Programmi\Foxit\tbFoxi.dll
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~2\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\StarModem\StarModem USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ThreatFire] C:\Programmi\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10...I.cab55579.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - http://zone.msn.com/BinFrameWork/v10...y.cab55579.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10...t.cab55579.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1174439887796
O16 - DPF: {95B5D20C-BD31-4489-8ABF-F8C8BE748463} (MSN Games – Hearts) - http://zone.msn.com/bingame/zpagames...z.cab67031.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramewor...o.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - http://zone.msn.com/binframework/v10...y.cab55579.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Programmi\Creative\Shared Files\CTDevSrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe (file missing)
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programmi\Sandboxie\SbieSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\PROGRA~1\SPYWAR~2\sp_rsser.exe
O23 - Service: ThreatFire - PC Tools - C:\Programmi\ThreatFire\TFService.exe

--
End of file - 7713 bytes

[Gle89]

Il log è pulito.

Per il DAP prova questo: http://www.ursoftware.com/?ref=g_uninstaller

per il nod32 prova a chiedere qui : http://www.hwupgrade.it/forum/showthread.php?t=1401728

[lancetta]

Quote:

Originariamente inviato da paolo-fcb

Prevx2.0: ELIMINATO!!!!!
La cartella di DAP sono riuscito a spostarla sul desktop ma 1 file è ancora bloccato, ho pianificato la rimozione al prossimo avvio.

x Lancetta: Elistara non mi ha trovato nulla...

se mettevi il log era meglio comunque per Nod prove a reinstallarlo reboot disinstalla reeboot,naturalmente non devi avere altri soft antivirus in run..

@ Gle...credo che SPYWARE TERMINATOR c'è l'abbia già almeno dai log lo vedo......

[Gle89]

Quote:

Originariamente inviato da lancetta

@ Gle...credo che SPYWARE TERMINATOR c'è l'abbia già almeno dai log lo vedo......

vero

[paolo-fcb]

Lancetta è che il log dice pochissimo, te lo copio:


Mon Oct 08 16:37:48 2007
EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminados Ficheros Temporales del IE

Mon Oct 08 16:37:53 2007
EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

[paolo-fcb]

Ragazzi sono riuscito a togliere quella voce del nod! Come ho fatto? Ci ho pensato un pò e ho fatto msconfig da esegui, sono andato su servizi e ho tolto la spunta alla voce che diceva nodkernel32.exe, ora però ogni volta che avvio mi dice che ho l'avvio selettivo, che faccio me ne frego?
Il file di DAP invece è incancellabile, sta lì sul desktop a rompere i maroni....

[Gle89]

Quote:

Originariamente inviato da paolo-fcb

Ragazzi sono riuscito a togliere quella voce del nod! Come ho fatto? Ci ho pensato un pò e ho fatto msconfig da esegui, sono andato su servizi e ho tolto la spunta alla voce che diceva nodkernel32.exe, ora però ogni volta che avvio mi dice che ho l'avvio selettivo, che faccio me ne frego?

ti da una finestrella con scritto e po in fondo a sinistra una casella per metterci un segno di spunta? se si metti il segno di spunta e non verrà più!

Quote:

Il file di DAP invece è incancellabile, sta lì sul desktop a rompere i maroni....

hai provato questo? http://www.ursoftware.com/?ref=g_uninstaller

[paolo-fcb]

Quote:

Originariamente inviato da Gle89

ti da una finestrella con scritto e po in fondo a sinistra una casella per metterci un segno di spunta? se si metti il segno di spunta e non verrà più!

Giusto


hai provato questo? http://www.ursoftware.com/?ref=g_uninstaller

Ma io non devo disinstallare un intero programma ma 1 solo file......

[Gle89]

Quote:

Originariamente inviato da paolo-fcb

Ma io non devo disinstallare un intero programma ma 1 solo file......

ok, ok non importa fare tutte quelle faccine... Oltre al file del DAP che non riesci a rimuovere c'è qualcos'altro che non va nel tuo pc?

[Chill-Out]

Quote:

Originariamente inviato da paolo-fcb

Ma io non devo disinstallare un intero programma ma 1 solo file......

Prova con HijackThis -> clicca su Open The Misc Tool Section -> clicca su Delete a file on reboot -> seleziona il file in questione, ti chiederà di riavviare per effettuare la cancellazione

[paolo-fcb]

Quote:

Originariamente inviato da Chill-Out

Prova con HijackThis -> clicca su Open The Misc Tool Section -> clicca su Delete a file on reboot -> seleziona il file in questione, ti chiederà di riavviare per effettuare la cancellazione

Grazie Chill-Out ci provo

Dai Gle le faccine sono nice......
Bè, diciamo che in particolare non c'è nulla che proprio non va ma alcune prestazioni mi dicono che sono vicino alla formattazione o peggio al cambio di HD, oggi stavo reinstallando l'Office 2003 e dal cd non venivano letti alcuni files, cioè mi diceva nel processo di inst di inserire il cd col files xxx laddove il file xxx era lì in bella mostra sul cd, mi hanno detto che questo è un sintomo di morte prossima del disco fisso, boh.....

[lancetta]

Quote:

Originariamente inviato da paolo-fcb

Grazie Chill-Out ci provo

Dai Gle le faccine sono nice......
Bè, diciamo che in particolare non c'è nulla che proprio non va ma alcune prestazioni mi dicono che sono vicino alla formattazione o peggio al cambio di HD, oggi stavo reinstallando l'Office 2003 e dal cd non venivano letti alcuni files, cioè mi diceva nel processo di inst di inserire il cd col files xxx laddove il file xxx era lì in bella mostra sul cd, mi hanno detto che questo è un sintomo di morte prossima del disco fisso, boh.....

Effettivamente penso che oltre la deframmentazione ti convenga fare anche uno scandisk..penso pure che hai un pò il registro incasinato con tracce di soft disinstallati...il processo del nod ad esempio è quello principale....se effettivamente sei pulito comincerei a fare subito un back up......

[lancetta]

Quote:

Originariamente inviato da Gle89

vero

Dai Gle con tutti i log che guardi.........

[cerbert]

Buon giorno a tutti,
mi ritrovo un log HT abbastanza anomalo.

Quote:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.14.32, on 09/10/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
???????????????????????????????
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
c:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\PROGRA~1\OUTPOS~1.0\outpost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
c:\Programmi\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programmi\VMware\VMware Workstation\vmware-authd.exe
C:\WINNT\System32\vmnat.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\vmnetdhcp.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\D-Tools\daemon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINNT\system32\internat.exe
C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Mozilla Firefox\firefox.exe
D:\downloads\cureit.exe
C:\DOCUME~1\cerutti\IMPOST~1\Temp\RarSFX1\_start.exe
C:\DOCUME~1\cerutti\IMPOST~1\Temp\RarSFX1\setup.exe
C:\WINNT\system32\taskmgr.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [USBDetector] C:\USBStorage\USBDetector.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA34D746-6868-42C3-9350-7762918D5525}: NameServer = 10.10.10.250
O20 - Winlogon Notify: iexplore - red01.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: OracleOraHome9ClientCache - Unknown owner - C:\Programmi\Oracle\OraHome92\BIN\ONRSD.EXE
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\OUTPOS~1.0\outpost.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - Unknown owner - C:\Programmi\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINNT\System32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - Unknown owner - C:\WINNT\System32\vmnat.exe

--
End of file - 5657 bytes

La sfilza di punti interrogativi copre, stando a Task Manager, "Services.exe".

Ho fatto una scansione con gmer che mostra anch'esso i punti interrogativi ma non rileva nessun rootkit.
Ho cercato tutti i files "services.exe" e li ho sottoposti ai servizi online-scan, con luce verde su tutti.

Tutto a posto? Non tanto.
La scansione all'avvio di Avast antivirus "freeza" sul file
C:\\winnt\installer\e7b69a.mst (pulito alle scansioni on-line)
La scansione completa di DoctorWeb Cure It crasha in partenza
Il Gromozon removal tool (per dirne uno) pur non rilevando gromozon, se gli si chiede scansione completa crasha durante la scansione della cartella di windows.

Sono eccessivamente paranoico?