Olimpo Informatico

[dg-ren]

Saluti a tutti,
cerco aiuto in questo forum per il problema in oggetto.

Ho effettuato la scansione con awf.exe ottenendo questo log:

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 2838-6C3D

Directory di C:\PROGRA~1\ESET\BAK

15/10/2015 23.14 917.504 nod32kui.exe
1 File 917.504 byte
2 Directory 12.831.588.352 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 2838-6C3D

Directory di C:\PROGRA~1\REGSHAVE\BAK

04/02/2002 22.32 53.248 REGSHAVE.EXE
1 File 53.248 byte
2 Directory 12.831.588.352 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 2838-6C3D

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 15.39 15.360 ctfmon.exe
07/06/2004 06.44 659.456 hphmon06.exe
09/07/2001 10.50 155.648 NeroCheck.exe
11/03/2004 01.26 406.016 PSDrvCheck.exe
4 File 1.236.480 byte
2 Directory 12.831.584.256 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 2838-6C3D

Directory di C:\PROGRA~1\AHEAD\NEROBA~1\BAK

10/02/2005 17.00 1.937.408 NBJ.exe
1 File 1.937.408 byte
2 Directory 12.831.584.256 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 2838-6C3D

Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\BAK

02/11/2004 20.24 32.768 PDVDServ.exe
1 File 32.768 byte
2 Directory 12.831.584.256 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 2838-6C3D

Directory di C:\PROGRA~1\HEWLET~1\HPSHAR~1\BAK

17/04/2002 11.42 69.632 hpgs2wnd.exe
1 File 69.632 byte
2 Directory 12.831.584.256 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 2838-6C3D

Directory di C:\PROGRA~1\HEWLET~1\HPSOFT~1\BAK

16/02/2005 23.11 49.152 HPWuSchd2.exe
1 File 49.152 byte
2 Directory 12.831.584.256 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 2838-6C3D

Directory di C:\PROGRA~1\HEWLET~1\{AAC4F~1\BAK

07/06/2004 06.53 49.152 hphupd06.exe
1 File 49.152 byte
2 Directory 12.831.584.256 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 2838-6C3D

Directory di C:\PROGRA~1\HP\HPCORE~1\BAK

12/01/2005 14.54 241.664 hpcmpmgr.exe
1 File 241.664 byte
2 Directory 12.831.584.256 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 2838-6C3D

Directory di C:\PROGRA~1\PINNACLE\PPE\BAK

03/02/2004 16.13 49.152 PPE.EXE
1 File 49.152 byte
2 Directory 12.831.584.256 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 2838-6C3D

Directory di C:\PROGRA~1\GOOGLE\GOOGLE~2\121128~1.546\BAK

27/01/2007 17.29 171.448 GoogleToolbarNotifier.exe
1 File 171.448 byte
2 Directory 12.831.580.160 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 2838-6C3D

Directory di C:\PROGRA~1\JAVA\JRE15~3.0_0\BIN\BAK

12/10/2006 04.10 49.263 jusched.exe
1 File 49.263 byte
2 Directory 12.831.580.160 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 2838-6C3D

Directory di C:\PROGRA~1\PINNACLE\SHARED~1\PROGRAMS\USBTIP\BAK

13/06/2005 03.30 192.512 USBTip.exe
1 File 192.512 byte
2 Directory 12.831.580.160 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 2838-6C3D

Directory di C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK

06/04/2004 12.28 172.032 hpztsb11.exe
1 File 172.032 byte
2 Directory 12.831.580.160 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

917504 23 May 2007 "C:\Programmi\ESET\nod32kui.exe"
917504 15 Oct 2015 "C:\Programmi\ESET\bak\nod32kui.exe"
53248 4 Feb 2002 "C:\Programmi\REGSHAVE\bak\REGSHAVE.EXE"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
659456 7 Jun 2004 "C:\WINDOWS\system32\bak\hphmon06.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
406016 11 Mar 2004 "C:\WINDOWS\system32\bak\PSDrvCheck.exe"
1937408 10 Feb 2005 "C:\Programmi\Ahead\Nero BackItUp\bak\NBJ.exe"
32768 2 Nov 2004 "C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe"
69632 17 Apr 2002 "C:\Programmi\Hewlett-Packard\HP Share-to-Web\bak\hpgs2wnd.exe"
49152 16 Feb 2005 "C:\Programmi\Hewlett-Packard\HP Software Update\bak\HPWuSchd2.exe"
49152 7 Jun 2004 "C:\Programmi\Hewlett-Packard\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\bak\hphupd06.exe"
241664 12 Jan 2005 "C:\Programmi\HP\hpcoretech\bak\hpcmpmgr.exe"
49152 3 Feb 2004 "C:\Programmi\Pinnacle\PPE\bak\PPE.EXE"
52272 27 Jan 2007 "C:\Programmi\Google\googletoolbar3user.exe"
69632 15 Dec 2006 "C:\Programmi\Google\Google Earth\googleearth.exe"
19972080 5 Nov 2006 "C:\Software installazioni\Google world\Google sketchUp\GoogleSketchUpWEN.exe"
138168 27 Jan 2007 "C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe"
5007104 8 Nov 2006 "C:\Software installazioni\Google world\Google sketchUp\tutorials (in flash)\GoogleVideoPlayerSetup.exe"
171448 27 Jan 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe"
32881 10 Oct 2005 "C:\Programmi\Java\j2re1.4.2_10\bin\jusched.exe"
36975 3 Jun 2005 "C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe"
36975 10 Nov 2005 "C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe"
36975 3 Jun 2005 "C:\Programmi\Java\jdk1.5.0_04\jre\bin\jusched.exe"
49263 12 Oct 2006 "C:\Programmi\Java\jre1.5.0_09\bin\bak\jusched.exe"
192512 13 Jun 2005 "C:\Programmi\Pinnacle\Shared Files\Programs\USBTip\bak\USBTip.exe"
172032 6 Apr 2004 "C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\hpztsb11.exe"


end of report



COME POSSO PROCEDERE PER ELIMINARE IL PROBLEMA?


grazie

[Orange]

benvenuto

cos'è che ti fà sospettare d'essere infetto? hai notato qualche comportamento strano del PC?

il log che hai postato è pulito.
c'è solo questa riga che trovo un'po "bizzarra":

[dg-ren]

Ogni volta che accendo il PC parte un dialer dal programma pa_004.exe che tenta una connessione.
Provo ad eliminare il file ma puntualmente viene ricreato.
Alcune volte nod32 lo individua e lo mette in quarantena (secondo me dipende da chi parte prima allo startup).

[Orange]

posta i log di HJT e di Gmer. QUI c'è un "come fare"

[dg-ren]

Ecco il log di hijackthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.08.14, on 20/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\C'è Posta\CPosta.exe
C:\Programmi\File comuni\Teleca Shared\Generic.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
c:\programmi\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Autodesk Shared\WSCommCntr1.exe
C:\WINDOWS\explorer.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Mass Downloader\massdown.exe
C:\Software installazioni\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Multi_Media_Italy Toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMul1.dll
R3 - URLSearchHook: Coolstreaming_Tool-Bar_v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCoo0.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MouseGest - {112AB43D-32C4-3B21-53BA-13A46743BC34} - C:\WINDOWS\system32\mousegex.dll
O2 - BHO: Multi_Media_Italy Toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMul1.dll
O2 - BHO: Web Mon - {7428F943-BC4F-4A39-3B43-AB433C523B34} - C:\WINDOWS\system32\WebMon.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - C:\PROGRA~1\MASSDO~1\MDHELPER.DLL
O2 - BHO: Coolstreaming_Tool-Bar_v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCoo0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: Multi_Media_Italy Toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMul1.dll
O3 - Toolbar: Coolstreaming_Tool-Bar_v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCoo0.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programmi\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [AAW] "C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\AdunanzA\eMule_AdnzA.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: C'è Posta.lnk = ?
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica &tutto con Mass Downloader - C:\Programmi\Mass Downloader\Add_All.htm
O8 - Extra context menu item: Scarica con &Mass Downloader - C:\Programmi\Mass Downloader\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Programmi\Mass Downloader\massdown.exe
O9 - Extra 'Tools' menuitem: &Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Programmi\Mass Downloader\massdown.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://renatolaurita.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://renatolaurita.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} - http://www.coolstreaming.us/consolle/plug-in/SOPCORE.CAB
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\hpbpro.exe
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\hpboid.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programmi\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

--
End of file - 10287 bytes

[dg-ren]

qui ho inserito l'immagine del messaggio di node32 che compare ad ogni riavvio:

http://www.freefilehosting.net/show/MjI5NTU=


Per quanto riguarda gmer putroppo posto un solo log perchè nella creazione del secondo il pc si resetta durante l'operazione di scan ...... (è gravissimo????)

http://www.freefilehosting.net/download/MjI5NjA=

Grazie e saluti

[Orange]

disattiva il ripristino e avvia in modalità provvisoria
avvia HiJack, seleziona Do a system scan only, metti la spunta alle voci indicate e premi Fix checked:

O2 - BHO: MouseGest - {112AB43D-32C4-3B21-53BA-13A46743BC34} - C:\WINDOWS\system32\mousegex.dll
O2 - BHO: Web Mon - {7428F943-BC4F-4A39-3B43-AB433C523B34} - C:\WINDOWS\system32\WebMon.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

riavvia il PC in modalità normale

scarica Avenger e scompattalo sul desktop
avvialo, seleziona Input script manually
clicca sulla lente d'ingrandimento
nella finestra che si apre View/Edit scrit copia/incolla queste righe:

[dg-ren]

Questo è il log di avenger dopo aver eseguito le tue istruzioni.
Comunque al riavvio il problema si è ripresentato identico.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ghwxvdil

*******************

Script file located at: \??\C:\WINDOWS\system32\rnyyvfir.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\mousegex.dll not found!
Deletion of file C:\WINDOWS\system32\mousegex.dll failed!

Could not process line:
C:\WINDOWS\system32\mousegex.dll
Status: 0xc0000034



File C:\WINDOWS\system32\WebMon.dll not found!
Deletion of file C:\WINDOWS\system32\WebMon.dll failed!

Could not process line:
C:\WINDOWS\system32\WebMon.dll
Status: 0xc0000034



Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{112AB43D-32C4-3B21-53BA-13A46743BC34} not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{112AB43D-32C4-3B21-53BA-13A46743BC34} failed!
Status: 0xc0000034



Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7428F943-BC4F-4A39-3B43-AB433C523B34} not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7428F943-BC4F-4A39-3B43-AB433C523B34} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Appena fatto posto il risultato di Gmer

[dg-ren]

Purtroppo la scanzione con Gmer non va a buon fine perchè improvvisamente il PC va in crash (finestra blu) e si riavvia.......

[bdoriano]

Che strano...
Fai questa scansione con SystemScan e posta i logs su http://www.freefilehosting.net come indicato qui.

[dg-ren]

Ho eseguito la scanzione, il risultato è:
report55.txt

Il problema non l'ho risolto, l'antivirus node32 trova all'accenzione il seguente virus:

virus2.JPG

il dialer mi perseguita, non si rimuove. Se parte e lo chiudo mi apre in automatico una pagina internet su un sito di suonerie per cellulari......

Grazie ancora per l'aiuto.

[Orange]

eccomi.
fai questi passaggi in ordine

1. scarica questo tool
disabilita il tuo antivirus
esegui rustbfix.exe
Se viene trovata l'infezione verrà chiesto di riavviare, riavvia il computer.
Probabilmente il computer si riavvierà due volte una dopo l'altra, è normale.

scarica RegRun Reanimator e scompattalo dove vuoi tu (non necessita d'installazione)
Esegui reanimator.exe
Clicca su Remove Rustock Rootkit
conferma tutte le richieste
riavvia

alla fine posta il log di rustbfix

2. scarica Avenger e scompattalo sul desktop
avvialo, seleziona Input script manually
clicca sulla lente d'ingrandimento
nella finestra che si apre View/Edit scrit copia/incolla queste righe:

[dg-ren]

OK,

quasi tutto fatto.
Ecco il log di avenger dopo il trattamento:
avenger20.txt

Mentre con rustbfix.exe ho problemi perchè lanciando il programma compare la finestra tipo consolle DOS e si chiude immediatamente dopo senza scrivere nulla all'interno.

Grazie ancora

[Orange]

ciao.
è andato quasi tutto bene...

potresti rifare la scansione con SistemScan? così controlliamo se è rimasto ancora qualcosa.

[dg-ren]

Fatto, ecco il risultato:


report59.txt

[Orange]

ripeti l'operazione con Avenger, inserendo questo script

[dg-ren]

Ho eseguito con avenger quanto suggerito ed il log è:
_____________________________________________________________
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dibrefjk

*******************

Script file located at: \??\C:\WINDOWS\nyroffcv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\sist32.exe deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|Service deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
_____________________________________________________________

[Orange]

bene.
il PC come và?