malware ineliminabile ibmtop.exe su userinit.exe

[katodb]

Penso di aver trovato il malware che da qualche giorno affligge la mia navigazione sul web.
Ho seguito tutte le guide e le scansioni con i programmi suggeriti (dr. web, cureit, ewido, ad aware, spybots) ma non ho rimosso nulla, avast continua a segnalarmi questo tipo di trojan:Win32ownloader-AO [Trj]
Ho fatto il log con hijackthis che posto e dopo aver seguito i links suggeriti per capire le singole voci, ho notato questa voce F2 (hijackthis.de me lo da come sconosciuto):

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\ibmtop.exe"

Non riesco ad eliminarlo e una volta fixato ricompare perchè si base sul file userinit, a parte che proprio non lo trovo tra i files di windows
facendo una ricerca.

Come lo elimino?


In grassetto le voci sospette che non riesco ad eliminare perchè ricompaiono.

Logfile of HijackThis v1.99.1
Scan saved at 23.13.35, on 19/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
c:\windows\ibmtop.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\programmi utility\AVAST\aswUpdSv.exe
E:\programmi utility\AVAST\ashServ.exe
C:\WINDOWS\system32\rundll32.exe
E:\PROGRA~1\AVAST\ashDisp.exe
C:\WINDOWS\system32\NotifyPhoneBook.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\programmi utility\AVAST\ashMaiSv.exe
E:\programmi utility\AVAST\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\dario\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ansa.it/
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\ibmtop.exe",
O2 - BHO: Class - {8D43C99A-F297-8AC5-71CD-23736CE1321E} - C:\WINDOWS\lglqa1.dll (file missing)
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\AVAST\ashDisp.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6ECE161-C1EB-4E45-A528-503478C0B2B4}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\programmi utility\AVAST\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\programmi utility\AVAST\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\programmi utility\AVAST\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\programmi utility\AVAST\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe

[juninho85]

fixa quelle voci eccetto quella del DNS,ma da modalità provvisoria dopo aver disabilitato il ripristino configurazione di sistema

[katodb]

Quote:

Originariamente inviato da juninho85

fixa quelle voci eccetto quella del DNS,ma da modalità provvisoria dopo aver disabilitato il ripristino configurazione di sistema

ok grazie

[juninho85]

Quote:

Originariamente inviato da katodb

ok grazie

risolto?

[GmG]

O2 - BHO: Class - {8D43C99A-F297-8AC5-71CD-23736CE1321E} - C:\WINDOWS\lglqa1.dll (file missing)

Questa voce mi fa pensare a LinkOptimizer
http://www.hwupgrade.it/forum/showthread.php?t=1271721

[katodb]

Quote:

Originariamente inviato da juninho85

risolto?

appena torno a casa, adesso sono in ufficio

[katodb]

Quote:

Originariamente inviato da GmG

O2 - BHO: Class - {8D43C99A-F297-8AC5-71CD-23736CE1321E} - C:\WINDOWS\lglqa1.dll (file missing)

Questa voce mi fa pensare a LinkOptimizer
http://www.hwupgrade.it/forum/showthread.php?t=1271721

leggevo proprio ieri questo thread e ho subito scaricato il tool ed effettivamente qualcosa ha trovato e rimosso, appena torno a casa posto anche il log.

[katodb]

ho fatto come ha detto juninho. Come mai facendo più volte la scansione con hijackthis e fixando l'exe sospetto alcune volte ricompare e altre no?

comunque adesso sono tornato in modalità normale ed è sempre presente

Logfile of HijackThis v1.99.1
Scan saved at 18.07.16, on 20/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\programmi utility\AVAST\aswUpdSv.exe
c:\windows\ibmtop.exe
C:\WINDOWS\Explorer.EXE
E:\programmi utility\AVAST\ashServ.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\NotifyPhoneBook.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
E:\PROGRA~1\AVAST\ashDisp.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\programmi utility\AVAST\ashMaiSv.exe
E:\programmi utility\AVAST\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\dario\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ansa.it/
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\ibmtop.exe",
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\AVAST\ashDisp.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6ECE161-C1EB-4E45-A528-503478C0B2B4}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\programmi utility\AVAST\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\programmi utility\AVAST\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\programmi utility\AVAST\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\programmi utility\AVAST\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe


questo invece è il log di gromozol removal


Removal tool loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINDOWS\system32\lpt4.bmp
\\?\C:\WINDOWS\system32\lpt4.bmp
Resetting file permissions...
Clearing attributes...
Accesso negato - C:\_cleaned.tmp
Removing file...
C:\_cleaned.tmp
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\12.tmp
Removed!
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\22.tmp
Removed!
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\3.tmp
Removed!
Scanning: C:\Programmi\File comuni
Removing protected file: C:\Programmi\File comuni\System\aBF.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\cAOReA.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\CIVt.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\cSrDuP.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\cXSzD.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\eBf.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\fgKKk.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\fod.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\Han.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\HcoAge.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\Htu.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\hZyh.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\Iua.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\JETxS.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\JnyRVR.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\jpe.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\JPoB.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\KUXA.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\law.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\lha.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\LZB.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\mVu.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\NyfvZ.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\OaRhm.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\OEC.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\ONUoWO.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\pSCb.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\PTY.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\qcrPjB.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\qRU.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\rDZmjB.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\RmC.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\rpEmq.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\rpy.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\sIg.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\tAw.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\tmnGfI.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\UDG.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\UHelg.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\urkY.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\uuD.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\UWj.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\VOF.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\vQaWje.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\VyVa.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\wGDRe.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\WNy.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\WRl.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\wveJC.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\XioLM.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\XRl.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\YRyMoj.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\YVb.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\ZWO.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ


Trojan.Gromozon Removed!

[FOXYLADY]

Prova a fare così, col ripristino sempre disattivato ovviamente,
scarica Avenger
http://swandog46.geekstogo.com/avenger.zip
dopo averlo decompresso, avvia il file avenger.exe
Seleziona l'opzione Input Script Manually
e clicca sulla lente d'ingrandimento

Ti si apre la finestra View/edit script
All'interno del box bianco, copia e incolla il seguente codice

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
"c:\windows\ibmtop.exe"


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.

Ricontrolla il log di hijackthis e verifica se la voce è scomparsa, altrimenti usiamo un altro metodo.

[katodb]

Quote:

Originariamente inviato da FOXYLADY

Prova a fare così, col ripristino sempre disattivato ovviamente,
scarica Avenger
http://swandog46.geekstogo.com/avenger.zip
dopo averlo decompresso, avvia il file avenger.exe
Seleziona l'opzione Input Script Manually
e clicca sulla lente d'ingrandimento

Ti si apre la finestra View/edit script
All'interno del box bianco, copia e incolla il seguente codice

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
"c:\windows\ibmtop.exe"


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.

Ricontrolla il log di hijackthis e verifica se la voce è scomparsa, altrimenti usiamo un altro metodo.

farò come dici, intanto posso dire che da quando ho fatto il fix con hijackthis e usato il Gromozon removal tool non ho più segnalazioni di trojan da parte di avast e la navigazione sembra più veloce...solo ogni tanto mi compare una finestra che mi chiede informazioni per effettuare una chiamata etc...a cui rispondo sempre no......(ho disabilitato allora il servizio client dns, non so se c'entra mi pareva di aver letto così).

finestra sospetta



Grazie, ti faccio sapere...

[katodb]

allora ho fatto la procedura e il file è stato eliminato (lo dice ewenger) ma non ho potuto controllare perchè hijackthis non funziona più.

[FOXYLADY]

Come non funziona più

[katodb]

Quote:

Originariamente inviato da FOXYLADY

Come non funziona più

clicco per aprirlo, compare la clessidra, dopo pochi secondi scompare e niente.
Provo a disintallare e reinstallare.

Tu non ci crederai ho scritto su google hijackthis e cliccato cerca e mi si chude la finestra di internet explorer. Ho recuperato il programma da un cd di backup che avevo fatto vado per scompattare il zip che lo contiene e si chiude la finestra di windows....il pc sembra che rifiuti qualsiasi cosa abbia a che fare con questo programma. Com'è possibile?

[katodb]

ho scoperto perchè, dal task manager ho terminato un'applicazione sospetto, poi ho fatto lo scan con hijackthis ed è venuto fuori sempre quel file sospetto ibmtop.exe che ha cambiato nome in macromedia monitor.exe

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\ibmtop.exe","c:\windows\macromedia-monitor.exe"

[66vampiro66]

FAI PRIMA A FORMATTARE.....

[juninho85]

Quote:

Originariamente inviato da katodb

ho scoperto perchè, dal task manager ho terminato un'applicazione sospetto, poi ho fatto lo scan con hijackthis ed è venuto fuori sempre quel file sospetto ibmtop.exe che ha cambiato nome in macromedia monitor.exe

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\ibmtop.exe","c:\windows\macromedia-monitor.exe"

...hai provato ad eseguire HJT in modalità provvisoria?il fatto che non ti si avvii sta a significare che linkoptimizer non è stato ancora debellato

[katodb]

Quote:

Originariamente inviato da juninho85

...hai provato ad eseguire HJT in modalità provvisoria?il fatto che non ti si avvii sta a significare che linkoptimizer non è stato ancora debellato

come ho scritto prima una volta terminato l'applicazione dal task manager hjthis ha ripreso a funzionare....

[FOXYLADY]

Prova a fare così
Clicca su start>esegui e digita regedit

Ti si aprirà l'editor del registro
Usando le caselline col segno + portati su questa chiave:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>CurrentVersion

ora clicca sulla casellina Winlogon
a destra ti appariranno varie voci, seleziona col tasto destro del mouse la voce Userinit e scegli l'opzione modifica, elimina dalla casella i valori
"c:\windows\ibmtop.exe","c:\windows\macromedia-monitor.exe"

In pratica deve presentarsi così
c:\windows\system32\userinit.exe

poi clicca su OK e riavvia il PC.

[katodb]

Quote:

Originariamente inviato da FOXYLADY

Prova a fare così
Clicca su start>esegui e digita regedit

Ti si aprirà l'editor del registro
Usando le caselline col segno + portati su questa chiave:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>CurrentVersion

ora clicca sulla casellina Winlogon
a destra ti appariranno varie voci, seleziona col tasto destro del mouse la voce Userinit e scegli l'opzione modifica, elimina dalla casella i valori
"c:\windows\ibmtop.exe","c:\windows\macromedia-monitor.exe"

In pratica deve presentarsi così
c:\windows\system32\userinit.exe

poi clicca su OK e riavvia il PC.

si presenta già così ed effetivamente per ora le cose vanno bene

[Mashi khana]

Ciao, ho anche io lo stesso file Ibmtop.exe. Anche io ho usato tutta la sequela di programmi consigliati senza risolvere nulla... La scocciatura è che ogni tanto ti domanda di dargli il numero di telefono per connettersi in analogico. In ogni caso alla fine ho cercato di rimuovere il programma in mille modi. Si trova in C:windows
Ho provato a cancellarlo manualmente, ma mi diceva che era in uso. Allora ho provato con un programmino che si chiama Move on boot che cancella al riavvio i file che sono in uso, ma dopo il riavvio era ancora in c:windows. Allora ho provato a togliere la spunta dalle proprietà di windows su Sola lettura, ma al programma in questione rimaneva! L'ho fatto visionare al sito totalvirus e nessun antivirus lo vede come virus... In conclusione ho fatto come consigliato da Foxylady:

Quote:

Prova a fare così
Clicca su start>esegui e digita regedit

Ti si aprirà l'editor del registro
Usando le caselline col segno + portati su questa chiave:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>CurrentVersion

ora clicca sulla casellina Winlogon
a destra ti appariranno varie voci, seleziona col tasto destro del mouse la voce Userinit e scegli l'opzione modifica, elimina dalla casella i valori
"c:\windows\ibmtop.exe","c:\windows\macromedia-monitor.exe"

In pratica deve presentarsi così
c:\windows\system32\userinit.exe

poi clicca su OK e riavvia il PC.

Dopo il riavvio il programma resta in C:windows...
ciao
P.s. Una cosa strana... anche io ho come home page il sito dell'ANSA