kru

Ecco quà:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://2uid.info

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM..\Run: [enxfaa.exe] H:\DOCUME~1\family\IMPOST~1\Temp\enxfaa.exe

O4 - HKLM..\Run: [kztfaa.exe] H:\WINDOWS\TEMP\kztfaa.exe

O4 - HKLM..\Run: [ozzbua.exe] H:\DOCUME~1\family\IMPOST~1\Temp\ozzbua.exe

O4 - HKLM..\Run: [flroxa.exe] H:\DOCUME~1\family\IMPOST~1\Temp\flroxa.exe

O4 - HKLM..\Run: [niopaa.exe] H:\WINDOWS\TEMP\niopaa.exe

Tutte le voci in grassetto sono trojan! Complimenti!!!! Ma la collezione la fai per scopi puramente personali, o poi li rivendi cari?
Scherzo, naturalmente.

Ecco il mio consiglio. Copiati tutto questo elenco su un documento .txt.
Riavvia in modalità provvisoria, lancia Hijack e fixa tutte quelle voci.
Fatto ciò, elimina uno per uno tutti i files indicati nelle voci che ho postato, seguendo i percorsi indicati.
Vedi pure questa quì:

O4 - HKLM..\Run: [netgapft] "h:\windows\system32\netgapft.exe"

Se non conosci questo file di programma, o non ti dice niente, ti consiglio di fixarlo, magari fai fare il backup. Un file exe non di windows nella cartella system32 è sempre da considerarsi ultra sospetto.

Infine, riavvia, rilancia hijack e verifica se sono ancora presenti le voci che hai fixato (oppure riposta il log )

Facci sapere

brandos

Eccomi Kru,ho fatto ciò che mi hai consigliato di fare e questo è il nuovo log:

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programmi\Bonjour\mDNSResponder.exe
H:\WINDOWS\eHome\ehRecvr.exe
H:\WINDOWS\eHome\ehSched.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\system32\slserv.exe
H:\WINDOWS\system32\svchost.exe
H:\VEXPLITE\viritsvc.exe
H:\WINDOWS\system32\dllhost.exe
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\wscntfy.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe
H:\WINDOWS\ehome\ehtray.exe
H:\WINDOWS\eHome\ehmsas.exe
H:\WINDOWS\system32\RunDll32.exe
H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
H:\WINDOWS\system32\RUNDLL32.EXE
H:\Programmi\a-squared Anti-Dialer\a2adguard.exe
H:\VEXPLITE\MONLITE.EXE
H:\WINDOWS\system32\ctfmon.exe
H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
H:\Programmi\MSN Messenger\MsnMsgr.Exe
H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
H:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
H:\WINDOWS\system32\slrundll.exe
H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
H:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
H:\WINDOWS\system32\wuauclt.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe
H:\Documents and Settings\family\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lacasalingaideale.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM..\Run: [ehTray] H:\WINDOWS\ehome\ehtray.exe
O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..\Run: [GrooveMonitor] "H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM..\Run: [NeroFilterCheck] H:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM..\Run: [QuickTime Task] "H:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM..\Run: [PinnacleDriverCheck] H:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM..\Run: [nwiz] nwiz.exe /install
O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM..\Run: [a-squared Anti-Dialer] "H:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM..\Run: [VIRIT LITE MONITOR] H:\VEXPLITE\MONLITE.EXE
O4 - HKCU..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU..\Run: [MsnMsgr] "H:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU..\Run: [Uniblue Registry Booster2] H:\Programmi\Uniblue\RegistryBooster2\RegistryBooster.exe /S
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = H:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: h:\programmi\bonjour\mdnsnsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - H:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - H:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - H:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - H:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - H:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - H:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - H:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - H:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - H:\VEXPLITE\viritsvc.exe

Però ti debbo dire che il modem è sempre agonizzante

kru

Hai un modem aethra ?

Se si, queste 2 voci:

O4 - HKLM..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM..\Run: [2kadiras] 2kadiras.exe

dovrebbero essere normali. Altrimenti, puoi provare ad eliminare anche quelle. Spesso i trojan si riconoscono perchè il nome del file è uguale al nome del processo ([9xadiras]).

Ma parli di un modem ADSL o 56k ?

brandos

Ciao, Kru.
Il modem è un Aethra Starmodem ed ho l' adsl flat di Libero. La connessione attualmente è molto evanescente, dopo qualche istante cade:?
Cosa devo fare con i files che mi hai segnalato?

kru

Quei files, allora, non sono dannosi. Fanno parte dei SW del tuo modem. Ho visto però che sembrano inutili.
Comunque non ti risolvono il problema.

Il log mi sembra pulito, però....
dunque, mi viene da pensare che non sia un problema di trojan, nè di dialer (che con l'ADSL non funzionano ).
Ho paura che sia più un problema di Libero, che di virus. Insomma, il tuo PC è Libero da virus, ma affetto da Libero

Facciamo un altro esame.
Riesci a fare un log dei processi in esecuzione (con il task manager) ? Dovrebbe esserci una discussione di qualche settimana fa, in cui Wolf spiega come ottenerlo.

Prova a postare quello...

brandos

Scusami Kru, ma non riesco a trovare questa procedura:bho:

kru

La trovi qui:

Procedura per creare il log da taskmanager

a dopo

brandos

Rieccomi! Ciao Kru.
Purtroppo non sono in grado di loggare i processi di task manager. Se si parla di Dos non sò proprio dove mettere le mani :bho:

kru

Se hai win XP, dal menu di avvio
tutti i programmi > accessori > prompt dei comandi.

Ti appare una finestra, con il cursore che lampeggia.

Scrivi: tasklist -v>log.txt

Fatto

brandos

Eccezionale é bello imparare GRAZIE!!!
Ecco il log:

Nome immagine PID Nome sessione Sessione Utilizzo mem Stato Nome utente Tempo CPU Titolo finestra
========================= ====== ================ ======== ============ =============== ================================================== ============ ========================================================================
System Idle Process 0 Console 0 16 K In esecuzione NT AUTHORITY\SISTEMA 7.51.16 N/D
System 4 Console 0 220 K In esecuzione NT AUTHORITY\SYSTEM 0.00.17 N/D
smss.exe 640 Console 0 372 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
csrss.exe 692 Console 0 3.872 K In esecuzione NT AUTHORITY\SYSTEM 0.00.07 N/D
winlogon.exe 716 Console 0 2.112 K In esecuzione NT AUTHORITY\SYSTEM 0.00.02 N/D
services.exe 764 Console 0 4.256 K In esecuzione NT AUTHORITY\SYSTEM 0.00.03 N/D
lsass.exe 776 Console 0 1.424 K In esecuzione NT AUTHORITY\SYSTEM 0.00.01 N/D
svchost.exe 936 Console 0 4.992 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
svchost.exe 984 Console 0 4.600 K In esecuzione NT AUTHORITY\SERVIZIO DI RETE 0.00.01 N/D
svchost.exe 1024 Console 0 21.452 K In esecuzione NT AUTHORITY\SYSTEM 0.00.10 N/D
svchost.exe 1104 Console 0 3.380 K In esecuzione NT AUTHORITY\SERVIZIO DI RETE 0.00.00 N/D
svchost.exe 1140 Console 0 4.420 K In esecuzione NT AUTHORITY\SERVIZIO LOCALE 0.00.00 N/D
spoolsv.exe 1324 Console 0 5.272 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
mDNSResponder.exe 1416 Console 0 3.360 K In esecuzione NT AUTHORITY\SYSTEM 0.00.01 N/D
ehRecvr.exe 1440 Console 0 4.208 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
ehSched.exe 1464 Console 0 4.976 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
nvsvc32.exe 1540 Console 0 3.676 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 NVSVCPMMWindowClass
slserv.exe 1604 Console 0 1.016 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
svchost.exe 1624 Console 0 4.028 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
VIRITSVC.EXE 1640 Console 0 1.736 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
explorer.exe 424 Console 0 33.436 K In esecuzione BRANDOS-C1FAD93\family 0.00.35 N/D
dllhost.exe 460 Console 0 6.140 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
alg.exe 532 Console 0 3.532 K In esecuzione NT AUTHORITY\SERVIZIO LOCALE 0.00.00 N/D
wscntfy.exe 592 Console 0 2.564 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 N/D
ehtray.exe 2116 Console 0 1.112 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 N/D
rundll32.exe 2132 Console 0 4.128 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 Hidden Main Window
ehmsas.exe 2140 Console 0 4.752 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 OleMainThreadWndName
GrooveMonitor.exe 2148 Console 0 5.016 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 N/D
rundll32.exe 2200 Console 0 3.632 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 MediaCenter
a2adguard.exe 2216 Console 0 5.344 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 a-squared Anti-Dialer 2.0 - Guard
MONLITE.EXE 2228 Console 0 15.544 K In esecuzione BRANDOS-C1FAD93\family 0.00.25 VirIT Lite Monitor
ctfmon.exe 2244 Console 0 3.544 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 N/D
NMBgMonitor.exe 2252 Console 0 9.888 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 CDirectoryChangeWatcherHelperWindow
msnmsgr.exe 2260 Console 0 18.916 K In esecuzione BRANDOS-C1FAD93\family 0.00.11 [EMAIL="[email protected]"][email protected][/EMAIL]
NMIndexingService.exe 2280 Console 0 9.204 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
NMIndexStoreSvr.exe 2348 Console 0 21.752 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 DirectDBListenWndProc
DSLMON.exe 2380 Console 0 3.800 K In esecuzione BRANDOS-C1FAD93\family 0.00.01 StarModem ADSL USB MODEM
slrundll.exe 2728 Console 0 2.648 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 SLLauncher
usnsvc.exe 3956 Console 0 2.556 K In esecuzione NT AUTHORITY\SYSTEM 0.00.01 N/D
IEXPLORE.EXE 1952 Console 0 3.040 K In esecuzione BRANDOS-C1FAD93\family 0.01.01 | virus contro hi-jack-this - Microsoft Internet Explorer
cmd.exe 492 Console 0 3.324 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 Prompt dei comandi - tasklist -v
tasklist.exe 3676 Console 0 5.188 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 OleMainThreadWndName
wmiprvse.exe 3812 Console 0 6.288 K In esecuzione NT AUTHORITY\SERVIZIO DI RETE 0.00.00 N/D

brandos

Nel frattempo, non sò perchè, ma qualche cosa mi ha detto di riaffidarmi ad avast( speriamo bene ) e a Prisma firewall
Comunque il modem è sempre lesso
Potrò mai riavere la mia bella connessione di un tempo
Eppure ho sempre avuto l'Adsl di Libero. Possibile che all'improvviso tale compagnia abbia sclerato Booo.......

kru

Ciao, Brandos.

Ho esaminato il log, ma sembra pulito anche questo.

Io non vedo nessun tipo di minaccia attiva. Inoltre, tieni conto che di solito i virus tendono ad inibire l'utilizzo del taskmanager, degli antivirus e di HijackThis, mentre a te questo non succede. Non penso sia un virus.
Inoltre, hai utilizzato una miriade di SW per effettuare le scansioni, e nessuno ha rilevato niente, salvo i trojan che abbiamo rimosso.

Potrebbe essere il modem che non va più, a questo punto, oppure una minaccia che riesce a mimetizzarsi troppo bene (ma è quasi impossibile...).

Hai la possibilità di testare quel modem, da un amico, per esempio, oppure provare ad utilizzare tu un altro modem per connetterti?

Inoltre vorrei capire una cosa. Dici che dopo un poco cade la connessione. Ma dopo un pò riesci a riconnetterti, oppure una volta caduta non torna più?

brandos

Ciao, Kru.
La mia connessione attualmente funziona così: mi connetto, dopo 15 20 secondi la connessione cade allora mi riconnetto e poi ricade ed io mi riconnetto.......... Credimi non è comodo per nulla :bho:

kru

Sono sempre più convinto che dipenda dal modem o da Libero.

Prova ad andare sul task manager, ed a monitorare l'utilizzo di rete.
Studia quanta banda viene utilizzata istante per istante, poi, osservane i cambiamenti quando "cade" la connessione.

brandos

Rieccomi,Ciao Kru.
Non ero sparito ma ero preso a combattere una nuova guerra
Devo dire che è veramente un periodaccio :bho: :bho:
Ti avevo detto di aver reistallato Avast. Ebbene sia lui che Spybot sono saltati.Ho provato a disistallarli ed a reistallarli ma non vanno. Quando provo a lanciarli il sistema mi dice che non trova l'exe
Che diano fastidio a qualche intruso?
Nel frattempo ho eliminato:
O4 - HKLM..\Run: [zzqeca.exe] H:\DOCUME~1\family\IMPOST~1\Temp\zzqeca.exe e un Wintenes.exe in System32 (Mi mancavano alla collezione vero??).
Quindi che dici devo rassegnarmi e rinunciare a questi due programmi oltre che alla regolarità della connessione oppure ho qualche speranza?
Dimenticavo di dire che il pc non mi permette di riavviare in modalità provvisoria nè di creare un ripristino di configurazione precedente

brandos

Attualmente sprovvisto di protezione. ( festaaaaa)
Non riesco ad istallare nemmeno Avg. Questo è quello che mi comunica il pc:
Local machine: installation failed
Installation:
Error: Action failed for file avgamsvr.exe: creating file....
No such file or directory
C'è un qualche cosa che impedisce la creazione degli exe o di alcuni exe
Sento che la formattazione è vicina:bho: :bho: :bho:

brandos

Mi controlli, per favore, questo log?:?
Logfile of HijackThis v1.99.1
Scan saved at 0.55.49, on 22/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programmi\Bonjour\mDNSResponder.exe
H:\WINDOWS\eHome\ehRecvr.exe
H:\WINDOWS\eHome\ehSched.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\system32\slserv.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\dllhost.exe
H:\WINDOWS\ehome\ehtray.exe
H:\WINDOWS\system32\RunDll32.exe
H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
H:\WINDOWS\eHome\ehmsas.exe
H:\WINDOWS\system32\RUNDLL32.EXE
H:\WINDOWS\system32\ctfmon.exe
H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
H:\Programmi\MSN Messenger\MsnMsgr.Exe
H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
H:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
H:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
H:\WINDOWS\system32\slrundll.exe
H:\Programmi\MSN Messenger\usnsvc.exe
H:\Programmi\Internet Explorer\iexplore.exe
H:\Programmi\Internet Explorer\iexplore.exe
H:\Documents and Settings\family\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lacasalingaideale.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://2uid.info
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM..\Run: [ehTray] H:\WINDOWS\ehome\ehtray.exe
O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..\Run: [GrooveMonitor] "H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM..\Run: [NeroFilterCheck] H:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM..\Run: [netgapft] "h:\windows\system32\netgapft.exe"
O4 - HKLM..\Run: [PinnacleDriverCheck] H:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM..\Run: [nwiz] nwiz.exe /install
O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM..\Run: [2kadiras] 2kadiras.exe
O4 - HKCU..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU..\Run: [MsnMsgr] "H:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = H:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: h:\programmi\bonjour\mdnsnsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - H:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - H:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - H:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - H:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - H:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - H:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - H:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - H:\WINDOWS\SYSTEM32\slserv.exe

wolf.otakar

Ciao brandos,
fixa queste voci:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://2uid.info

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local

R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM..\Run: [netgapft] "h:\windows\system32\netgapft.exe"
[CENTER]
[/CENTER]

Inoltre scarica A-Squared e SuperAntiSpyware; aggiornali e prova ad effettuare uno scan!

 Sento che la formattazione è vicina

prova un po' questi software e vediamo che succede!

gorka

Se non riesci ad installare un antivirus puoi provare a lanciarne uno da pen drive, come ad esempio questa di wininizio

brandos

Ciao, Wolf. Ben ritrovato.
Sono riuscito a fare una scansione online con Activescan (Panda) e questo è quello che ha trovato:

Incidente Stato Percorso
Virus:W32/Bagle.NH.worm Disinfettato Sistema Operativo
Virus:w32/bagle.hx.worm Disinfettato Sistema Operativo
Hacktool:rootkit/mhook Non Disinfettato hkey_local_machine\system\currentcontrolset\services\m_hook
Spyware:Cookie/Toplist Non Disinfettato H:\Documents and Settings\family\Cookies\family@toplist[1].txt
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~17.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~1A.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~1D.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~2.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~20.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~23.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~26.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~29.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~2C.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~2F.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~33.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~34.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~39.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~3A.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~3E.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~41.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~45.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~46.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~4B.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~4D.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~5.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~50.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~53.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~56.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~8.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~B.exe
Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~F.exe
Strumenti indesiderati:Application/RealSpy Non Disinfettato H:\WINDOWS\system32\actskn45.ocx
Virus:Trj/Mitglieder.OD Disinfettato H:\WINDOWS\system32\flec003.exe
Virus:Trj/Mitglieder.OD Disinfettato H:\WINDOWS\system32\hldrrr.exe
Adware:Adware/LinkOptimizer Non Disinfettato H:\WINDOWS\system32\netgapft.exe