Ciao Wolf, mi dice
No infections encoutered so far

dopo vedo queste due voci:
VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
WinStationsDisabled REG_SZ 0

Si, anche con IE si chiude

... rieccomi, Avast ha riavvito, scansito ma non ha rilevato nulla, e se clicco sul link ccleaner si chiude comunque firefox...:?

Avast scaricato e installato, adesso devo riavviare, mentre per cclener come clicco sul link si chiude Firefox di botto

Provato, il gromozon non c'è:
Gromozon rootkit component not detected - searching for other components
Scanning: C:\Programmi\File comuni
Scanning Windows Directory...
Scanning Temporary files...
Trojan.Gromozon does not exist on the system.
Scan finished normally
For a detailed log, please refer to \gromozon_removal.log

il file di log riporta:
Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Trojan.Gromozon does not exist - your system is clean.

ora ho tolto 1-2-3 Spyware Free ma il comportamento non cambia.

Potrebbero essere rimaste delle chiavi dell'antivirus nel registro??

adesso su questo PC ho disinstallato tutto, proprio perchè pensavo a qualche protezione troppo "restrittiva", dato che mi chiudeva le finestre di explorer su Hijack e su avenger, quindi al momento sono "desnudo"

Ciao Wolf, purtroppo neppure virit mi parte in modalità provvisoria, sono solo riuscito a far partire 1-2-3 Spyware Free, che comunque non ha rilevato nulla

...neppure in modalità provvisoria

Ciao Wolf, ho cliccato sul link del a2AntiDialer e mi si è chiuso Firefox, (appena aggiornato alla versione 2.0.0.14).

Riaperto la sessione sono riuscito a scaricarlo con DownThemAll!, ma non parte l'installazione, si chiude alla prima schermata.

Ho tolto l'antivirus su questo PC, ma anche solo ad aprire la cartella di Hijack, si chiude di botto esplora risorse.

Adesso provo a riavviare in modalità provvisoria e vedo se cambia qualcosa.

Ciao Wolf, grazie per il suggerimento, domattina provo e ti dico, ora vado a dormire, sono pesto

...sono tornato. Tra influenze e problemi di lavoro non riesco più a combinare molto. Comunque i due viruzzi sembrano spariti, il problema però è che mi si disconnetteva sempre Internet, come se ci fosse comunque un dialer che tentava la connessione.

Allora ho provato a disinstallare modem USB che avevo sul PC principale e ad installarlo sul PC secondario della mia rete. Di li non avevo problemi di nessun tipo, quindi la linea è a posto, il problema è del PC principale.

Oltretutto sul PC principale, non riuscivo più ad aprire HijackThis perchè mi si chiudeva subito la finestra di explorer, allora pensando fosse qualche utility tra le tante che avevo installato qui elencate, ho iniziato a disinstallarle una ad una, ma il problema persisteva.:?

...morale della favola, ora navigo lo stesso con il PC principale, ma tramite l'altro PC che ha il modem, e purtroppo non sono più riuscito a condividere i file tra un PC e l'altro. Funziona la condivisione della connessione, le stampanti collegate, comprese quelle collegate con cavo di rete allo Zyxel ES-105, ma di vedersi tra di loro non se ne parla.:x

Ho provato ad assegnare gli indirizzi IP, a rifare la rete con il wizard e col dischetto dopo averla impostata sul PC secondario, ma nulla da fare.

Poi sul PC principale non si visualizzano tante cose, tipo banner o flash, come fosse firewallato di brutto

...aspetta, correggo, gli ho fatto ripetere l'analisi sul mio e mi ha dato questo:
F-Secure6.70.13260.02008.02.20Suspicious:W32/Malware!Gemini

...il bello è che come sito l'avevo pure recensito sul mio blog, ma non me ne ricordavo

per il csrulwrm.exe mi dice
0 bytes size received / Se ha recibido un archivo vacio

pur essendo da 13kb
e per il wwSecure.exe era già stato scansito da altri ma dal permalink con il risultato non risulta nulla
virustotal.com/it/analisis/b449be44f107cd7b85ea92aa2f964ffe

Ciao Wolf, neppure gmer ha rilevato quei due file sospetti

@Wolf Otakar said:

tzybta.exe è stato eliminato. Le due labbra, novita'???

Ciao Wolf, il bacio penso proprio di si, almeno, sino a questo momento non si è più "materializzato".

Adesso provo e vedo cosa mi trova gmer

Installato e lanciato, ma l'anti-rootkit free dell'AVG non ha rilevato nulla, mentre ripassando Prevx mi ritrova sempre quei due:

csrulwrm.exe
wwSecure.exe

Ciao Wolf, ho fatto le operazioni con Avenger e questo è il log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rdqvmbec

Script file located at: ??\C:\Documents and Settings\duknexbx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

Beginning to process script file:

File C:\WINDOWS\Temp\zhrgza.exe not found!
Deletion of file C:\WINDOWS\Temp\zhrgza.exe failed!

Could not process line:
C:\WINDOWS\Temp\zhrgza.exe
Status: 0xc0000034

File C:\WINDOWS\Temp\tzybta.exe deleted successfully.

Completed script processing.

Finished! Terminate.

Ha dato errore sul file zhrgza.exe, ma in effetti adesso non c'era nella cartella temp.

Ora lancio anti-rootkit...

...grazie, il prossimo anno, quando mi verrà di nuovo l'influnza non chiamo più il mio medico...

sei avvisato

Ciao Wolf, no, prevx non ha rimosso nulla perchè mi chiedeva di acquistare la licenza per proseguire.

Adesso finisco un lavoro, poi provo subito a seguire i tuoi ultimi suggerimenti, grazie ancora Wolf