Olimpo Informatico

[Polmonite]

Salve a tutti ^^ !
Sono nuovo di qui.
Mi son ritrovato spesso su questo forum quando cercavo via google per risolvere problemi del piccì e mi è tornato molto utile, perciò ho pensato di aprire un topic per il problema che mi affligge ora sperando possiate aiutarmi ancora una volta ^^" .

Comincio dicendo che come sistema operativo ho Windows XP SP2 Media Center Edition. Ho fatto da poco un ripristino del sistema (non distruttivo) per fare un po' di pulizia. Speravo di togliermi dalle scatole, oltre a un po' di sporcizia, anche il problema per cui ho aperto il topic. Purtroppo non è stato così.
Dalle ricerche che ho fatto si tratterebbe di un dialer (e in effetti mi è capitato di trovare una connessione non creata da me).
Da quel che ho trovato la soluzione sarebbe "semplice": modalità provvisoria, disattivare il ripristino conf. sistema, hijackthis, spuntare le 2 voci whataboutdog/rabit e fixarle (più giù ho postato il log) e poi pulizia con ccleaner (togliendo la spunta a "eliminare solo file più vecchi di 48 giorni"). Già che c'ero ho fatto anche una passata con spybot search&destroy e con adware (da modalità provvisoria) e con avast (modalità normale), visualizzando anche file nascosti.

Purtroppo però il problema non si è risolto
All'avvio mi sono ritrovato con i 2 nomi nel log di hijackthis.
Inoltre (non so se è collegato al problema) da quando ho fatto il ripristino di sistema all'avvio MFIndexer mi da come errore "Impossibile trovare SH33W32.dll".

--------------------
Log di Hijackthis:
--------------------

Logfile of HijackThis v1.99.1
Scan saved at 8.41.01, on 08/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Windows\Creator\Remind_XP.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
c:\programmi\internet explorer\iexplore.exe
C:\Documents and Settings\HP_Administrator\Documenti\Andrea\Programmi\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] c:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [IS CfgWiz] c:\Programmi\File comuni\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HELPAN~1\Pavilion\XPEWWBF4\plugin\bin\PCHButton.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\programs\MFIndexer.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

--------------------

Questo è il log (prima di fixare le voci ovviamente... però purtroppo ogni tanto ricompaiono
Ah, inoltre se faccio il log mentre son connesso compare anche questa riga:

O17 - HKLM\System\CCS\Services\Tcpip\..\{945A0B1C-F6E0-4260-9EF6-76B5328ED765}: NameServer = 193.70.152.15 193.70.152.25


Penso di aver detto tutto quel che so.
Sperando in un vostro aiuto, vi ringrazio anticipatamente, anche solo per aver letto

Bon Suar!

[Orange]

ciao, Polmonite (spero che non ha niente a che fare con te il tuo nick.. )

quei due (dog e rabit) potrebbero essere il sintomo d'infezione da Instant Access..
scrica il tool FindAWF

[Polmonite]

Wow !

Già una risposta! Beh, grazie !

Si, la connessione si chiamava Istant Access e mi aveva creato anche un collegamento desktop, prontamente eliminati (sapevo di essermi dimenticato qualcosa, chiedo scusa). Un'altra volta invece mi ha creato una connessione di nome Connect senza creare alcun collegamento.

FindAWF non chiudeva più la finestra MS-DOS. Dovevo attendere che si chiudesse da sola?
Sentivo che non lavorava più e non capivo. Se i dati sono incompleti lo faccio ripartire (FindAWF mi ha creato anche un'applicazione MS-DOS di nome locate.com nella cartella in cui l'ho fatto partire: è normale?).
Cmq mi ha creato 3 file .txt, questo è l'awf.txt:


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\BAK

11/05/2000 02.00 90.112 UpdReg.EXE
1 File 90.112 byte
2 Directory 75.821.318.144 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\HP\KBD\BAK

11/02/2003 21.02 61.440 KBD.EXE
1 File 61.440 byte
2 Directory 75.821.318.144 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\ITUNES\BAK

14/06/2004 19.01 286.720 iTunesHelper.exe
1 File 286.720 byte
2 Directory 75.821.314.048 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 75.821.314.048 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\QUICKT~1\BAK

01/01/2004 12.25 98.304 qttask.exe
1 File 98.304 byte
2 Directory 75.821.314.048 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\SYMNET~1\BAK

05/01/2006 16.24 100.056 SNDMon.exe
1 File 100.056 byte
2 Directory 75.821.314.048 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\WINAMP\BAK

30/01/2006 21.13 35.328 winampa.exe
1 File 35.328 byte
2 Directory 75.821.314.048 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\CREATOR\BAK

18/12/2003 00.31 118.784 Remind_XP.exe
1 File 118.784 byte
2 Directory 75.821.314.048 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\EHOME\BAK

10/08/2004 12.04 59.392 ehtray.exe
1 File 59.392 byte
2 Directory 75.821.314.048 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\SMINST\BAK

14/04/2004 21.43 233.472 RECGUARD.EXE
1 File 233.472 byte
2 Directory 75.821.314.048 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\SYSTEM\BAK

03/06/2007 22.46 179 hpsysdrv.DAT
07/05/1998 17.04 52.736 hpsysdrv.exe
2 File 52.915 byte
2 Directory 75.821.314.048 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\SYSTEM32\BAK

07/06/2004 19.44 659.456 hphmon06.exe
16/10/2002 17.57 81.920 ps2.exe
2 File 741.376 byte
2 Directory 75.821.309.952 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK

25/09/2006 17.42 108.160 ashDisp.exe
1 File 108.160 byte
2 Directory 75.821.309.952 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\ATITEC~1\ATICON~1\BAK

26/08/2004 22.00 339.968 atiptaxx.exe
1 File 339.968 byte
2 Directory 75.821.326.336 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

04/02/2004 10.30 70.760 ccApp.exe
08/04/2004 07.16 124.016 cfgwiz.exe
2 File 194.776 byte
2 Directory 75.821.309.952 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\HP\{AAC4F~1\BAK

07/06/2004 19.53 49.152 hphupd06.exe
1 File 49.152 byte
2 Directory 75.821.309.952 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\CREATIVE\SBAUDI~1\DVDAUDIO\BAK

18/06/2003 02.00 45.056 CTDVDDet.EXE
1 File 45.056 byte
2 Directory 75.821.309.952 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\MICROS~1\WORKSS~1\BAK

10/06/2003 18.48 50.688 WkUFind.exe
1 File 50.688 byte
2 Directory 75.821.309.952 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\SONIC\UPDATE~1\BAK

19/08/2003 09.01 110.592 sgtray.exe
1 File 110.592 byte
2 Directory 75.821.309.952 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\SECURI~1\BAK

18/08/2004 22.46 218.240 UsrPrmpt.exe
1 File 218.240 byte
2 Directory 75.821.309.952 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\JAVA\J2RE14~1.2_0\BIN\BAK

01/01/2004 11.01 32.881 jusched.exe
1 File 32.881 byte
2 Directory 75.821.309.952 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\HELPAN~1\PAVILION\XPEWWBF4\PLUGIN\BIN\BAK

01/01/2004 12.37 159.744 PCHButton.exe
1 File 159.744 byte
2 Directory 75.821.309.952 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~


Grazie mille per l'aiuto

[Orange]

[Polmonite]

Ecco il log completo
Grazie ancora!


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\BAK

11/05/2000 02.00 90.112 UpdReg.EXE
1 File 90.112 byte
2 Directory 75.812.061.184 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\HP\KBD\BAK

11/02/2003 21.02 61.440 KBD.EXE
1 File 61.440 byte
2 Directory 75.812.061.184 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\ITUNES\BAK

14/06/2004 19.01 286.720 iTunesHelper.exe
1 File 286.720 byte
2 Directory 75.812.057.088 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 75.812.057.088 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\QUICKT~1\BAK

01/01/2004 12.25 98.304 qttask.exe
1 File 98.304 byte
2 Directory 75.812.057.088 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\SYMNET~1\BAK

05/01/2006 16.24 100.056 SNDMon.exe
1 File 100.056 byte
2 Directory 75.812.057.088 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\WINAMP\BAK

30/01/2006 21.13 35.328 winampa.exe
1 File 35.328 byte
2 Directory 75.812.057.088 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\CREATOR\BAK

18/12/2003 00.31 118.784 Remind_XP.exe
1 File 118.784 byte
2 Directory 75.812.057.088 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\EHOME\BAK

10/08/2004 12.04 59.392 ehtray.exe
1 File 59.392 byte
2 Directory 75.812.057.088 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\SMINST\BAK

14/04/2004 21.43 233.472 RECGUARD.EXE
1 File 233.472 byte
2 Directory 75.812.057.088 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\SYSTEM\BAK

03/06/2007 22.46 179 hpsysdrv.DAT
07/05/1998 17.04 52.736 hpsysdrv.exe
2 File 52.915 byte
2 Directory 75.812.057.088 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\SYSTEM32\BAK

07/06/2004 19.44 659.456 hphmon06.exe
16/10/2002 17.57 81.920 ps2.exe
2 File 741.376 byte
2 Directory 75.812.052.992 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK

25/09/2006 17.42 108.160 ashDisp.exe
1 File 108.160 byte
2 Directory 75.812.052.992 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\ATITEC~1\ATICON~1\BAK

26/08/2004 22.00 339.968 atiptaxx.exe
1 File 339.968 byte
2 Directory 75.812.052.992 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

04/02/2004 10.30 70.760 ccApp.exe
08/04/2004 07.16 124.016 cfgwiz.exe
2 File 194.776 byte
2 Directory 75.812.052.992 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\HP\{AAC4F~1\BAK

07/06/2004 19.53 49.152 hphupd06.exe
1 File 49.152 byte
2 Directory 75.812.052.992 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\CREATIVE\SBAUDI~1\DVDAUDIO\BAK

18/06/2003 02.00 45.056 CTDVDDet.EXE
1 File 45.056 byte
2 Directory 75.812.052.992 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\MICROS~1\WORKSS~1\BAK

10/06/2003 18.48 50.688 WkUFind.exe
1 File 50.688 byte
2 Directory 75.812.052.992 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\SONIC\UPDATE~1\BAK

19/08/2003 09.01 110.592 sgtray.exe
1 File 110.592 byte
2 Directory 75.812.052.992 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\SECURI~1\BAK

18/08/2004 22.46 218.240 UsrPrmpt.exe
1 File 218.240 byte
2 Directory 75.812.052.992 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\JAVA\J2RE14~1.2_0\BIN\BAK

01/01/2004 11.01 32.881 jusched.exe
1 File 32.881 byte
2 Directory 75.812.052.992 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\HELPAN~1\PAVILION\XPEWWBF4\PLUGIN\BIN\BAK

01/01/2004 12.37 159.744 PCHButton.exe
1 File 159.744 byte
2 Directory 75.812.052.992 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

23568 6 Jun 2007 "C:\WINDOWS\UpdReg.EXE"
90112 11 May 2000 "C:\WINDOWS\bak\UpdReg.EXE"
23568 6 Jun 2007 "C:\hp\KBD\KBD.EXE"
61440 11 Feb 2003 "C:\hp\KBD\bak\KBD.EXE"
286720 14 Jun 2004 "C:\Programmi\iTunes\iTunesHelper.exe1181155976"
286720 14 Jun 2004 "C:\Programmi\iTunes\bak\iTunesHelper.exe"
23568 6 Jun 2007 "C:\Programmi\QuickTime\qttask.exe"
98304 1 Jan 2004 "C:\Programmi\QuickTime\bak\qttask.exe"
23568 30 May 2007 "C:\Programmi\SymNetDrv\SNDMon.exe"
100056 5 Jan 2006 "C:\Programmi\SymNetDrv\bak\SNDMon.exe"
23568 30 May 2007 "C:\Programmi\Winamp\winampa.exe"
35328 30 Jan 2006 "C:\Programmi\Winamp\bak\winampa.exe"
23568 6 Jun 2007 "C:\WINDOWS\CREATOR\Remind_XP.exe"
118784 18 Dec 2003 "C:\WINDOWS\CREATOR\bak\Remind_XP.exe"
59392 10 Aug 2004 "C:\WINDOWS\ehome\ehtray.exe"
59392 10 Aug 2004 "C:\WINDOWS\ehome\bak\ehtray.exe"
23568 6 Jun 2007 "C:\WINDOWS\SMINST\RECGUARD.EXE"
233472 14 Apr 2004 "C:\WINDOWS\SMINST\bak\RECGUARD.EXE"
248 6 Jun 2007 "C:\WINDOWS\system\hpsysdrv.dat"
179 3 Jun 2007 "C:\WINDOWS\system\bak\hpsysdrv.DAT"
23568 6 Jun 2007 "C:\WINDOWS\system\hpsysdrv.exe"
52736 7 May 1998 "C:\WINDOWS\system\bak\hpsysdrv.exe"
23568 6 Jun 2007 "C:\WINDOWS\system32\hphmon06.exe"
659456 7 Jun 2004 "C:\WINDOWS\system32\bak\hphmon06.exe"
23568 6 Jun 2007 "C:\WINDOWS\system32\ps2.exe"
81920 16 Oct 2002 "C:\hp\drivers\keyboard\PS2.EXE"
81920 16 Oct 2002 "C:\WINDOWS\system32\bak\ps2.exe"
75392 30 Apr 2007 "C:\Programmi\Alwil Software\Avast4\ashDisp.exe"
108160 25 Sep 2006 "C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe"
23568 6 Jun 2007 "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
339968 26 Aug 2004 "C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe"
23568 6 Jun 2007 "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
70760 4 Feb 2004 "C:\Programmi\File comuni\Symantec Shared\bak\ccApp.exe"
23568 6 Jun 2007 "C:\Programmi\File comuni\Symantec Shared\cfgwiz.exe"
124016 8 Apr 2004 "C:\Programmi\File comuni\Symantec Shared\bak\cfgwiz.exe"
188480 24 Mar 2003 "C:\Programmi\File comuni\Microsoft Shared\web server extensions\40\bin\cfgwiz.exe"
23568 6 Jun 2007 "C:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe"
49152 7 Jun 2004 "C:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\bak\hphupd06.exe"
23568 6 Jun 2007 "C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE"
45056 18 Jun 2003 "C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\bak\CTDVDDet.EXE"
23568 30 May 2007 "C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe"
50688 10 Jun 2003 "C:\Programmi\File comuni\Microsoft Shared\Works Shared\bak\WkUFind.exe"
23568 6 Jun 2007 "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe"
110592 19 Aug 2003 "C:\Programmi\File comuni\Sonic\Update Manager\bak\sgtray.exe"
23568 6 Jun 2007 "C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe"
218240 18 Aug 2004 "C:\Programmi\File comuni\Symantec Shared\Security Center\bak\UsrPrmpt.exe"
23568 6 Jun 2007 "C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe"
32881 1 Jan 2004 "C:\Programmi\Java\j2re1.4.2_03\bin\bak\jusched.exe"
23568 6 Jun 2007 "C:\Programmi\Help and Support Additions\Pavilion\XPEWWBF4\plugin\bin\PCHButton.exe"
159744 1 Jan 2004 "C:\Programmi\Help and Support Additions\Pavilion\XPEWWBF4\plugin\bin\bak\PCHButton.exe"
159744 1 Jan 2004 "C:\WINDOWS\pchealth\helpctr\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\Pavilion\XPEWWBF4\plugin\bin\PCHButton.exe"


end of report

[Orange]

o cappero!!!

scarica The Avenger e scompattalo sul desktop
avvialo, seleziona "Input Script Manually"
nella finestra che si apre: View/edit script, copia/incolla seguente:

Citazione:

Files to delete: C:\WINDOWS\UpdReg.EXE C:\hp\KBD\KBD.EXE C:\Programmi\QuickTime\qttask.exe C:\Programmi\SymNetDrv\SNDMon.exe C:\Programmi\Winamp\winampa.exe C:\WINDOWS\CREATOR\Remind_XP.exe C:\WINDOWS\SMINST\RECGUARD.EXE C:\WINDOWS\system\hpsysdrv.dat C:\WINDOWS\system\hpsysdrv.exe C:\WINDOWS\system32\hphmon06.exe C:\WINDOWS\system32\ps2.exe C:\Programmi\Alwil Software\Avast4\ashDisp.exe C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programmi\File comuni\Symantec Shared\ccApp.exe C:\Programmi\File comuni\Symantec Shared\cfgwiz.exe C:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe C:\Programmi\Help and Support Additions\Pavilion\XPEWWBF4\plugin\bin\PCHButton.exe Files to move: C:\WINDOWS\bak\UpdReg.EXE | C:\WINDOWS\UpdReg.EXE C:\hp\KBD\bak\KBD.EXE | C:\hp\KBD\KBD.EXE C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe C:\Programmi\SymNetDrv\bak\SNDMon.exe | C:\Programmi\SymNetDrv\SNDMon.exe C:\Programmi\Winamp\bak\winampa.exe | C:\Programmi\Winamp\winampa.exe C:\WINDOWS\CREATOR\bak\Remind_XP.exe | C:\WINDOWS\CREATOR\Remind_XP.exe C:\WINDOWS\SMINST\bak\RECGUARD.EXE | C:\WINDOWS\SMINST\RECGUARD.EXE C:\WINDOWS\system\bak\hpsysdrv.DAT | C:\WINDOWS\system\hpsysdrv.dat C:\WINDOWS\system\bak\hpsysdrv.exe | C:\WINDOWS\system\hpsysdrv.exe C:\WINDOWS\system32\bak\hphmon06.exe | C:\WINDOWS\system32\hphmon06.exe :\WINDOWS\system32\bak\ps2.exe | C:\WINDOWS\system32\ps2.exe C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe | C:\Programmi\Alwil Software\Avast4\ashDisp.exe C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe | C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programmi\File comuni\Symantec Shared\bak\ccApp.exe | C:\Programmi\File comuni\Symantec Shared\ccApp.exe C:\Programmi\File comuni\Symantec Shared\bak\cfgwiz.exe | C:\Programmi\File comuni\Symantec Shared\cfgwiz.exe C:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\bak\hphupd06.exe | C:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\bak\CTDVDDet.EXE | C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE C:\Programmi\File comuni\Microsoft Shared\Works Shared\bak\WkUFind.exe | C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe C:\Programmi\File comuni\Sonic\Update Manager\bak\sgtray.exe | C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe C:\Programmi\File comuni\Symantec Shared\Security Center\bak\UsrPrmpt.exe | C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe C:\Programmi\Java\j2re1.4.2_03\bin\bak\jusched.exe | C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe C:\Programmi\Help and Support Additions\Pavilion\XPEWWBF4\plugin\bin\bak\PCHButton.exe | C:\Programmi\Help and Support Additions\Pavilion\XPEWWBF4\plugin\bin\PCHButton.exe

Clicca sul tasto Done
Poi sull'icona del semaforo
Rispondi Yes
Il PC dovrebbe riavviarsi ( se così non fosse, fallo tu)
posta qui il log di Avenger, uno aggiornato di FindAWF e uno di HiJack

[Polmonite]

Quell' "O cappero!" non preannuncia niente di buono, vero?

Cmq ho seguito le tue istruzioni e questi sono i due log:

HIJACKTHIS:
-----------------
Logfile of HijackThis v1.99.1
Scan saved at 20.08.57, on 08/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\iPod\bin\iPodService.exe
c:\programmi\internet explorer\iexplore.exe
C:\Documents and Settings\HP_Administrator\Documenti\Andrea\Programmi\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] c:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [IS CfgWiz] c:\Programmi\File comuni\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HELPAN~1\Pavilion\XPEWWBF4\plugin\bin\PCHButton.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\programs\MFIndexer.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.whataboutarabit.com
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
-----------------

FindAWF:
-----------------

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\BAK

0 File 0 byte
2 Directory 75.735.371.776 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\HP\KBD\BAK

0 File 0 byte
2 Directory 75.735.371.776 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\ITUNES\BAK

14/06/2004 19.01 286.720 iTunesHelper.exe
08/06/2007 20.02 102 iTunesHelperAppLog.txt
2 File 286.822 byte
2 Directory 75.735.367.680 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 75.735.367.680 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\QUICKT~1\BAK

0 File 0 byte
2 Directory 75.735.384.064 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\SYMNET~1\BAK

0 File 0 byte
2 Directory 75.735.367.680 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\WINAMP\BAK

0 File 0 byte
2 Directory 75.735.367.680 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\CREATOR\BAK

0 File 0 byte
2 Directory 75.735.367.680 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\EHOME\BAK

10/08/2004 12.04 59.392 ehtray.exe
1 File 59.392 byte
2 Directory 75.735.367.680 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\SMINST\BAK

0 File 0 byte
2 Directory 75.735.367.680 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\SYSTEM\BAK

0 File 0 byte
2 Directory 75.735.367.680 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\SYSTEM32\BAK

16/10/2002 17.57 81.920 ps2.exe
1 File 81.920 byte
2 Directory 75.735.367.680 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK

0 File 0 byte
2 Directory 75.735.367.680 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\ATITEC~1\ATICON~1\BAK

0 File 0 byte
2 Directory 75.735.363.584 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

0 File 0 byte
2 Directory 75.735.363.584 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\HP\{AAC4F~1\BAK

0 File 0 byte
2 Directory 75.735.363.584 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\CREATIVE\SBAUDI~1\DVDAUDIO\BAK

0 File 0 byte
2 Directory 75.735.363.584 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\MICROS~1\WORKSS~1\BAK

0 File 0 byte
2 Directory 75.735.363.584 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\SONIC\UPDATE~1\BAK

0 File 0 byte
2 Directory 75.735.363.584 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\SECURI~1\BAK

0 File 0 byte
2 Directory 75.735.363.584 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\JAVA\J2RE14~1.2_0\BIN\BAK

0 File 0 byte
2 Directory 75.735.363.584 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\HELPAN~1\PAVILION\XPEWWBF4\PLUGIN\BIN\BAK

0 File 0 byte
2 Directory 75.735.363.584 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

286720 14 Jun 2004 "C:\Programmi\iTunes\iTunesHelper.exe1181155976"
286720 14 Jun 2004 "C:\Programmi\iTunes\bak\iTunesHelper.exe"
102 8 Jun 2007 "C:\Programmi\iTunes\bak\iTunesHelperAppLog.txt"
59392 10 Aug 2004 "C:\WINDOWS\ehome\ehtray.exe"
59392 10 Aug 2004 "C:\WINDOWS\ehome\bak\ehtray.exe"
81920 16 Oct 2002 "C:\hp\drivers\keyboard\PS2.EXE"
81920 16 Oct 2002 "C:\WINDOWS\system32\bak\ps2.exe"


end of report
-----------------

Inoltre ho dato un'occhio al .txt di avenger e tutto è stato eseguito correttamente tranne quest'errore:

Error: file move operations must be within volumes.
File move operation :\WINDOWS\system32\bak\ps2.exe|C:\WINDOWS\system32\ps2.exe failed!

Could not process line:
:\WINDOWS\system32\bak\ps2.exe|C:\WINDOWS\system32\ps2.exe
Status: 0xc000003e

Scusa il disturbo, ma quando si parla di proteggere il sistema sono una frana.

[bdoriano]

Avvia hijackthis
clicca do a system scan only
metti il segno di spunta a queste voci:

[Polmonite]

Salve a tutti!
Approfitto per ringraziare anche bdoriano per la risposta visto che mi ero dimenticato di farlo

Aspettavo qualche giorno per vedere se il problema era andato via.
E in linea teorica non è successo niente: niente connessioni create o altro.

Però facevo ogni giorno (anche più volte al giorno) una scansione con hijackthis (ho trovato la v.2 qualcosa... avevo ancora la 1.5 o giù di lì). E non usciva niente.
Fino a oggi

Oggi mi son ritrovato di nuovo le 2 stringhe whatabouta... ecc. ecc.

Provo a ripostare i log di Hijack e FindAWF sperando ancora in un aiuto, perchè purtroppo sono abbastanza impedito in queste cose. Chiedo scusa per il disturbo.

HIJACK:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21.05.45, on 13/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Documents and Settings\HP_Administrator\Documenti\Andrea\Programmi\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] c:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [IS CfgWiz] c:\Programmi\File comuni\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HELPAN~1\Pavilion\XPEWWBF4\plugin\bin\PCHButton.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\programs\MFIndexer.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

--
End of file - 9395 bytes


FINDAWF:


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\BAK

0 File 0 byte
2 Directory 73.766.326.272 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\HP\KBD\BAK

0 File 0 byte
2 Directory 73.766.326.272 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\ITUNES\BAK

13/06/2007 19.46 305 iTunesHelperAppLog.txt
1 File 305 byte
2 Directory 73.766.322.176 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 73.766.322.176 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\QUICKT~1\BAK

0 File 0 byte
2 Directory 73.766.322.176 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\SYMNET~1\BAK

0 File 0 byte
2 Directory 73.766.322.176 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\WINAMP\BAK

0 File 0 byte
2 Directory 73.766.322.176 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\CREATOR\BAK

0 File 0 byte
2 Directory 73.766.322.176 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\EHOME\BAK

10/08/2004 12.04 59.392 ehtray.exe
1 File 59.392 byte
2 Directory 73.766.322.176 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\SMINST\BAK

0 File 0 byte
2 Directory 73.766.322.176 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\SYSTEM\BAK

0 File 0 byte
2 Directory 73.766.322.176 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\SYSTEM32\BAK

16/10/2002 17.57 81.920 ps2.exe
1 File 81.920 byte
2 Directory 73.766.322.176 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK

0 File 0 byte
2 Directory 73.766.322.176 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\ATITEC~1\ATICON~1\BAK

0 File 0 byte
2 Directory 73.766.318.080 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

0 File 0 byte
2 Directory 73.766.318.080 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\HP\{AAC4F~1\BAK

0 File 0 byte
2 Directory 73.766.318.080 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\CREATIVE\SBAUDI~1\DVDAUDIO\BAK

0 File 0 byte
2 Directory 73.766.318.080 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\MICROS~1\WORKSS~1\BAK

0 File 0 byte
2 Directory 73.766.318.080 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\SONIC\UPDATE~1\BAK

0 File 0 byte
2 Directory 73.766.318.080 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\SECURI~1\BAK

0 File 0 byte
2 Directory 73.766.318.080 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\JAVA\J2RE14~1.2_0\BIN\BAK

0 File 0 byte
2 Directory 73.766.318.080 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\HELPAN~1\PAVILION\XPEWWBF4\PLUGIN\BIN\BAK

0 File 0 byte
2 Directory 73.766.318.080 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

305 13 Jun 2007 "C:\Programmi\iTunes\bak\iTunesHelperAppLog.txt"
59392 10 Aug 2004 "C:\WINDOWS\ehome\ehtray.exe"
59392 10 Aug 2004 "C:\WINDOWS\ehome\bak\ehtray.exe"
81920 16 Oct 2002 "C:\hp\drivers\keyboard\PS2.EXE"
81920 16 Oct 2002 "C:\WINDOWS\system32\bak\ps2.exe"


end of report


Inutile dire che le due vocine "a proposito di un cane" e "a proposito di un coniglio" le ho fixate.

Aggiungo anche che facendo la scansione con hijackthis mentre sono connesso si aggiunge sempre la riga:

O17 - HKLM\System\CCS\Services\Tcpip\..\{945A0B1C-F6E0-4260-9EF6-76B5328ED765}: NameServer = 193.70.152.15 193.70.152.25

Qualcuno sa per caso cos'è? Se ho capito bene dovrebbe collegarmi a un qualche sito, ma non ho capito a cosa (spero sia un aggiornamento automatico di qualcosa...).

Grazie ancora, anche solo per aver letto

[bdoriano]

In effetti, a parte le 2 righe che hai già notato nel log di hijackthis, altro non si vede.
Anche il log di findAWF sembra ok.

Per un ulteriore controllo, scarica questo tool e scompattalo in una sua cartella
avvia il tool
seleziona "File" => "Standard scripts "
metti la spunta su ?Advanced System Investigation"
clicca su "Execute selected scripts".
conferma.
Viene creato il file virusinfo_syscheck.zip che trovi nella sottocartella LOGS dove hai scompattato il tool.

carica il log su http://www.freefilehosting.net/ e qui metti solo il link per poterlo scaricare.

[Polmonite]

Grazie

http://www.freefilehosting.net/download/MjIxMjc4

Eccolo uppato!

Spero possa tornare utile

[bdoriano]

Curiosità: quali e quanti antivirus hai installato?

Puoi, per cortesia, caricare su http://www.freefilehosting.net il file C:\WINDOWS\WinStart.bat? Denghiu.

@Orange, dai un'occhiata anche tu, per cortesia.

[Orange]

[Polmonite]

Chiedo scusa, ho scaricato e non ho aggiornato.

Sto rieseguendo or ora la scansione col programmino consigliato da bdoriano.

[bdoriano]

Non hai di che scusarti, colpa mia che ho dimenticato di farti aggiornare il tool.

il file WinStart.bat lo trovi in C:\WINDOWS, prima attiva la visualizzazione file nascosti e di sistema.

edit:
contrordine, il file WinStart.bat non è più presente. Probabilmente stavi dis-installando qualche programma.
Usi o hai usato qualche prodotto Symantec (Antivirus, Firewall, Internet Center, Fax, etc...)?

[Polmonite]

Quando ho ripristinato il sistema norton antivirus e firewall si sono reinstallati automaticamente. l'antivirus l'ho disinstallato subito (avendo reinstallato subito avast), il norton firewall invece è semplicemente disattivato.

Si, chiedevo dove fosse il file appunto per chè facendo cerca file non mi ha trovato niente.

[Orange]

[Polmonite]

Ok, ho riavviato e avenger ha eseguito con successo.

Ah, era il provider... Chiedo scusa... divento paranoico quando non so cosa sta succedendo e temevo una qualche minaccia ^^".

Le stringhe non sono ricomparse all'avvio (le avevo già fixate prima), quindi ho provato a far partire Del Domains.

A questo punto posso solo attendere e vedere se ricompaiono le voci o meno.

Grazie ancora per il tempo dedicatomi ^^ .

Bon Suar!

[Polmonite]

Eccomi tornato, ancora con problemi al piccì

Buona notizia: whataboutadog/rabit ecc. non sono più comparsi nè in cronologia nè tramite log di hijack.

Cattiva notizia: sembra essersi scatenato qualcos'altro

Non so se sia collegato al problema di prima, fatto sta che a quanto pare mi si è messo su un altro dialer (o lo stesso di prima, non so).

Ma andiamo con ordine:
mi connetto a internet e avast mi da l'avviso di un tentativo di connessione all'indirizzo 81.29.241.236, dal quale cerca di eseguire un fantomatico Spoolsv32.exe.
Gli dico chiudi connessione e lui mi ridà lo stesso errore con un altro eseguibile: pa_0111.exe (win32.dialer.gen (trj)); ancora chiudi connessione.
Ancora 4 errori sugli stessi file (di cui 2 su file del mio computer con lo stesso nome: suppongo se li sia scaricati in tempo...) e rifaccio chiudi connessione o cancella file a seconda di quel che mi consiglia avast.
Chiudo la connessione a internet, guardo in Temp e c'è il fantomatico pa_0111.exe; lo elimino (insieme ad altri file temporanei dai nomi dubbi).

Faccio partire la scansione con avast, approfondita.
Mi segnala come trojan il file .zip e il .exe di avenger (anche se probabilmente era tutto normale ho preferito lasciarglielo cancellare) e un altro virus (mi ero segnato il nome ma non lo trovo più... cacchio... se ben ricordo era qualcosa tipo Killwind). Metto in pausa la scansione di avast perchè dovevo uscire.
Provando a connettermi a internet avast ridà le segnalazioni di prima, con conseguente chiusura della finestra di scansionamento (che avevo messo momentaneamente in pausa e che aveva quasi finito ).
Allora provo la solita procedura: modalità provvisoria, disattiva ripristino sistema, spybot S&D (mi trova un win32.keylogger.fl e un win32.dialer.hh e li corregge senza problemi), ad-aware (0 problemi), ccleaner. Poi rifaccio fare ad avast una scansione alla directory C:\windows\ e non trova problemi.

Riavvio in modalità normale, mi connetto e avast mi ridà l'errore (tralaltro mi compare una finestra di connessione aperta da pa_0111.exe).
La cosa strana è che se chiudo la connessione e cancello i file che mi dice avast, dopo internet mi funziona senza darmi errori, ma mi compare (in basso a destra) l'icona di avast che controlla le mail spedite. Aprendo il controllo all'avvio di avast e guardando quello delle e-mail vedo che spedisco mail (da: nomi sconosciuti a: indirizzi sconosciuti ... ironia della sorte: avast non le segnala come infette).
Allora mi disconnetto (per non diffondere tali mail).
Ora sono connesso dal computer dell'università e internet a casa è staccato (l'ho tenuto attaccato giusto il tempo di scaricare l'ultima versione di stinger). Ho fatto partire stinger su consiglio di un mio amico prima di uscire, ma dubito risolva il problema.

Altra cosa strana: non so come possa averlo preso, visto che da quando ho fatto "pulizia" per il problema precedente gli unici siti che ho visitato sono stati questo, quello dell'università e un paio di forum che frequento da una vita.
Le uniche opzioni che mi restano sono soulseek oppure via e-mail (ma non mi sembra sia arrivato niente di compromettente). Oppure c'era già da prima.

Chiedo scusa ancora per il disturbo, ma la mia ignoranza in materia è alta e, inoltre, per non spedire in giro mail non ho potuto fare ricerche troppo approfondite in proposito.

Grazie ancora ^^ .

PS: non so se sia collegato al problema, ma all'avvio ho ancora il problema che non trova SH33W32.dll, lanciato dal processo MFIndexer.exe.

[Orange]

uff, quante cose!
e ricominciamo:
posta un log HJT