Win32/Dialer.RU

[trafalguar]

NOD32 mi ha appena segnalato:

C:\WINDOWS\TEMP\uzzblb.exe
variante modificata di Win32/Dialer.RU cavallo di troia
Evento occorso su un nuovo file creato da un'applicazione c:\windows\system32\winlogon.exe

e sono diversi giorni che mi dà queste segnalazioni (credo relative sempre allo stesso virus) con nomi differenti (casuali) del file .exe all'interno di C:\WINDOWS\TEMP\
ho fatto una scansione completa del sistema con il NOD32 che però non mi ha rilevato nulla.. come procedo per la sua rimozione?

[Riverside]

Quote:

Originariamente inviato da trafalguar

NOD32 mi ha appena segnalato: C:\WINDOWS\TEMP\uzzblb.exe
variante modificata di Win32/Dialer.RU cavallo di troia Evento occorso su un nuovo file creato da un'applicazione c:\windows\system32\winlogon.exe

Inizia con il pubblicare, qui, un log di HijackThis, poi aspetta che qualcuno lo controlli e ti dia indicazioni precise in merito.

[trafalguar]

mmm.. ok.. cmq prima ancora di postare avevo fatto una scansione con hijackthis, poi ho uppato il log su hijackthis.de ed eliminato già le voci sospette.. che erano

O4 - HKLM\..\Run: [System Updater Machine] system.exe
O4 - HKLM\..\RunServices: [System Updater Machine] system.exe

il log di hijackthis ora è:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23.51.11, on 06/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\winlogon.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\WallpaperSS\WallpaperSS.exe
C:\Programmi\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programmi\HPQ\shared\hpqwmi.exe
C:\Programmi\uTorrent\uTorrent.exe
C:\WINDOWS\system32\cmd.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Documents and Settings\ButterFly\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:1080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programmi\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programmi\Free Download Manager\iefdmcks.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programmi\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WallpaperSS] C:\Programmi\WallpaperSS\WallpaperSS.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [RoboForm] "C:\Programmi\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Scarica con Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Compila - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programmi\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Compila Modulo - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programmi\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Salva - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programmi\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Salva Moduli - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programmi\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programmi\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF Barra strumenti - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programmi\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1173636578268
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn...tDetection.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAV...oadManager.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {FC6703A7-5B7E-4f58-BE6D-2693AA3906AE} (HP Content Update) - http://h30299.www3.hp.com/ediags/hpn...p.cab?1,0,0,94
O17 - HKLM\System\CCS\Services\Tcpip\..\{73F5A3AB-ED8D-4FC8-837C-FE915C421184}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\shared\hpqwmi.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySQL - Unknown owner - C:\WM\MySQL-4.1.12\bin\mysqld-nt.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: WMServerTools - Apache - Apache Software Foundation - C:\WM\Apache-2.0.54\bin\Apache.exe
O23 - Service: WMServerTools - MySQL - Unknown owner - C:\WM\MySQL-4.1.12\bin\mysqld-nt.exe

--
End of file - 8299 bytes

grazie in anticipo

[FOXYLADY]

Nel tuo log non c'è nulla di strano, a parte quel wallpapers.exe che non so se sia un programma sicuro o meno.

Prova a scaricare Avenger
http://swandog46.geekstogo.com/avenger.zip
dopo averlo decompresso, avvia il file avenger.exe
Seleziona l'opzione Input Script Manually
e clicca sulla lente d'ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | System Updater Machine
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices | System Updater Machine

clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

[trafalguar]

wallpapers.exe è un programmino che uso per cambiare gli sfondi del desktop a tempo.. ed è sicuro.. ora provo a fare come mi hai detto.. se si ripresenta il problema torno a postare.. grazie

[ste_95]

guarda qui:

http://forum.html.it/forum/showthrea...readid=1150393

[trafalguar]

ho usato the avenger ma non ha fatto niente.. forse perchè avevo già fixato quelle 2 voci con hijackthis?! per quanto riguarda l'articolo segnalato da ste_95 l'avevo già letto ma la situazione sembra un pò diversa.. perchè al quanto pare non ci sono files con nomi sospetti nella cartella C:\WINDOWS\SYSTEM32 del mio pc, ed inoltre nella cartella Tasks (abilitando la visualizzazione dei files nascosti) non c'è cmq nulla.. nessun file .job

p.s. ora mi viene il dubbio che the avenger non abbia funzionato perchè l'ho lanciato dal desktop.. infatti non mi ha creato neanche il log.. lo metto in C: e riprovo..

[trafalguar]

Ok.. era come pensavo.. ora Avenger messo in C: ha funzionato ma questo è il risultato:

Beginning to process script file:

Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|System Updater Machine
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|System Updater Machine failed!
Status: 0xc0000034

Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|System Updater Machine
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|System Updater Machine failed!
Status: 0xc0000034

Completed script processing.

probabilmente perchè queste chiavi non ci sono già più (verificato manualmente con regedit!)
Ho trovato però un file sospetto a cui prima forse non avevo fatto caso C:\poqm.exe e l'ho uppato su virustotal.com per una scansione. Ecco il risultato (le voci d'interesse):

AntiVir 7.4.0.57 2007.08.06 TR/Linkoptimiz.14.A
CAT-QuickHeal 9.00 2007.08.06 (Suspicious) - DNAScan
eSafe 7.0.15.0 2007.07.31 suspicious Trojan/Worm
Ikarus T3.1.1.8 2007.08.07 Trojan.Linkoptimizer.B
McAfee 5091 2007.08.06 Spy-Agent.bf.dldr
Panda 9.0.0.4 2007.08.06 Suspicious file
Sophos 4.19.0 2007.08.01 Mal/Packer
Sunbelt 2.2.907.0 2007.08.04 VIPRE.Suspicious
Symantec 10 2007.08.07 Trojan.Linkoptimizer.B
Webwasher-Gateway 6.0.1 2007.08.07 Trojan.Linkoptimiz.14.A

Risultato: 10/32 (31.25%)

Ovviamente l'ho cancellato.. sarà finita?

[mausap]

Quote:

Originariamente inviato da trafalguar

Ok.. era come pensavo.. ora Avenger messo in C: ha funzionato ma questo è il risultato:

Beginning to process script file:

Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|System Updater Machine
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|System Updater Machine failed!
Status: 0xc0000034

Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|System Updater Machine
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|System Updater Machine failed!
Status: 0xc0000034

Completed script processing.

probabilmente perchè queste chiavi non ci sono già più (verificato manualmente con regedit!)
Ho trovato però un file sospetto a cui prima forse non avevo fatto caso C:\poqm.exe e l'ho uppato su virustotal.com per una scansione. Ecco il risultato (le voci d'interesse):

AntiVir 7.4.0.57 2007.08.06 TR/Linkoptimiz.14.A
CAT-QuickHeal 9.00 2007.08.06 (Suspicious) - DNAScan
eSafe 7.0.15.0 2007.07.31 suspicious Trojan/Worm
Ikarus T3.1.1.8 2007.08.07 Trojan.Linkoptimizer.B
McAfee 5091 2007.08.06 Spy-Agent.bf.dldr
Panda 9.0.0.4 2007.08.06 Suspicious file
Sophos 4.19.0 2007.08.01 Mal/Packer
Sunbelt 2.2.907.0 2007.08.04 VIPRE.Suspicious
Symantec 10 2007.08.07 Trojan.Linkoptimizer.B
Webwasher-Gateway 6.0.1 2007.08.07 Trojan.Linkoptimiz.14.A

Risultato: 10/32 (31.25%)

Ovviamente l'ho cancellato.. sarà finita?

linkoptimizer di quei russi del cavolo è uno dei malware piu' infami che esistano

potresti avere anche qualche rootkit nascosto

vai sul sito della symantec e cerca informazioni su Trojan.Linkoptimizer.B

Ti sei infettato navigando probabilmente quindi aggiorna il xp e tutti i programmi con secunia inspector e naviga con firefox con no script o opera

se vuoi usare ie metti metti sandboxie

[trafalguar]

a dire il vero me ne sono proprio accorto del momento dell'infezione.. navigavo con IE ed è partito un popup che ha lanciato 2-3 finestre di firefox ed un paio di finestre di cmd.exe se non mi sbaglio anche l'antivirus mi ha segnalato qualcosa.. e da lì è iniziato tutto..
comunque windows lo tengo sempre aggiornato.. questo secunia inspector non lo conoscevo ma ora lo provo subito.. se continuano a manifestarsi problemi torno a postare

[trafalguar]

Azz! ho usato secuna inspector.. e praticamente consiglia di cambiare tutti questi software:

Adobe Acrobat Reader 6.0.1.1091 -> 7.0.9
Apple QuickTime 7.1.6.200 -> 7.2.0.0
Mozilla Firefox 2.0.0.4 -> 2.0.0.6
Winamp 5.3.2.1003 -> 5.3.5
Adobe Flash Player 9.0.28.0 -> 9.0.47.0
Macromedia Flash Player 7.0.2.0 -> 9.0.47.0
Sun Java JRE 1.6.0.10.6 -> 1.6.0.20.0

mmm.. ora cerco di mettermi in regola!

[FOXYLADY]

Direi che è il caso

Per quanto riguarda Acrobat Reader poi, se non hai esigenze particolari e lo usi solo come visualizzatore ti consiglierei di rimuoverlo del tutto e sostituirlo con Sumatra Pdf reader, estremamente più leggero e veloce .

[trafalguar]

e sumatra sia
in effetti l'acrobat reader mi ha proprio stancato con la sua lentezza..

p.s. per l'integrazione nel browser come faccio? firefox quando clicco su un pdf mi apre un nuovo tab e dice che ci vogliono dei componenti aggiuntivi.. poi mi rimanda al sito della adobe in pratica aspetta che installo il reader..

[FOXYLADY]

A me me li apre tranquillamente i documenti pdf online , però non uso firefox.
Lo hai impostato come lettore pdf predefinito?

[trafalguar]

si l'ho impostato come lettore predefinito.. ma mi sa che funziona solo con IE.. devo vedere almeno se posso modificare qualcosa in firefox per far partire direttamente il download quando clicco su un pdf anzichè provare ad aprirlo nel browser..
cmq dopo aver aggiornato tutti i programmi consigliati da secunia.. ora la scansione con secunia non mi funziona più.. ho provato a farla 2-3 volte e sia con firefox che con IE.. carica la applet, parte la ricerca delle applicazione ma va avanti all'infinito senza trovare nulla..

[trafalguar]

non ho risolto un bel niente..

C:\WINDOWS\TEMP\zvftpa.exe
variante modificata di Win32/Dialer.RU cavallo di troia
Evento occorso su un nuovo file creato da un'applicazione c:\windows\system32\services.exe

la cosa curiosa è che succede sempre intorno alle 23-23:30

datemi una mano a risolvere..

[lancetta]

hai disattivato il ripristino di sistema? poi dopo pulizia dei temp con CCleaner( QUI)disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore" oppure con ATF Cleaner http://www.atribune.org/ccount/click.php?id=1 (è stand alone) Avvia ATF Cleaner
(se usi Firefox o Opera, selezionali dal menu in alto)
metti la spunta su "Select All" per ogni browser
e clicca su "Empty Selected" fai anche una scansione degli ads
Così:apri hijackthis clicca "open the misc tools section",click su "open ads spy",leva la spunta a "quick scan",click sul tasto "scan" e riporta qui cosa ha rilevato.

[trafalguar]

il ripristino di sistema ce l'ho disattivato di default e faccio la pulizia quasi ogni giorno con ccleaner compresa la cancellazione dei files delle ultime 48 ore.. cmq ora ho usato ATF Cleaner e fatto la scansione degli ads con hijackthis come suggerito.. questo è il log..

C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 2A81F9CE (97 bytes)

posso rimuoverla ora questa voce?
Inoltre ho fatto una scansione con Sophos Anti-RootKit che non ha rilevato nulla ed ho provato a fare una scansione con RootKitRevealer che però purtroppo crasha prima di portare a termine la scansione..
ora ho anche un programma sospetto in esecuzione, c:\windows\system32\winnftmu.exe ho provato ad upparlo su virustotal ma stranamente mi dice 0 bytes size received / Se ha recibido un archivo vacio
più vado avanti più la situazione sembra peggiorare..

[lancetta]

Quote:

Originariamente inviato da trafalguar

il ripristino di sistema ce l'ho disattivato di default e faccio la pulizia quasi ogni giorno con ccleaner compresa la cancellazione dei files delle ultime 48 ore.. cmq ora ho usato ATF Cleaner e fatto la scansione degli ads con hijackthis come suggerito.. questo è il log..

C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 2A81F9CE (97 bytes)

posso rimuoverla ora questa voce?
Inoltre ho fatto una scansione con Sophos Anti-RootKit che non ha rilevato nulla ed ho provato a fare una scansione con RootKitRevealer che però purtroppo crasha prima di portare a termine la scansione..
ora ho anche un programma sospetto in esecuzione, c:\windows\system32\winnftmu.exe ho provato ad upparlo su virustotal ma stranamente mi dice 0 bytes size received / Se ha recibido un archivo vacio
più vado avanti più la situazione sembra peggiorare..

fixa la voce e cerchiamo di pulire il più possibile scarica Superantispyware aggiornalo e fagli fare una "Perform complete scan" da "scan your computer"

scarica a-squared Free 3.0 aggiornalo e fagli fare una scansione completa del sistema

nuovo log di hijackthis,le scansioni puoi farle anche da provvisoria se necessario(F8 al boot).

[trafalguar]

a-squared ha trovato un file c:\windows\system32\system.exe è un file di sistema o posso cancellarlo?

edit: mi rispondo da solo.. qui si parla proprio del mio caso.. quindi direi che posso cancellare tranquillamente.. sto facendo anche una scansione completa dei dischi locali con panda activescan (che ci mette moooolto tempo). appena finito posterò il nuovo log di hijackthis.. cmq nelle ultime 24 ore il virus non si è presentato.. speriamo bene..