Olimpo Informatico

light · Inviato: 30 Apr 2008 21:19 Oggetto: WIN32:TratBHO [Trj] e......

Salve a tutti. Eccomi qua .Su consiglio di chemicalbit sono tornato per vedere se potete darmi una mano. Mi sa che ho qualche problema.....
Come antivirus uso Avast 4.8 home. Nel cestino di Avast nella cartella files infetti ho bbepirep.dll e cqxkrybq.dll. Locazione originaria: C\WINDOWS\system32. Ultime modifiche: 25/04/2008. Tempo di trasferimento: 29/04/2008. Virus Win32:TratBHO [Trj].
In Files di sistema c'è kernel32.dll, winsock.dll e wsock32.dll. Ultime modifiche: 16/04/2007, 31/08/2001 e 19/08/2004. tempo di Trasferimento: tutti e tre il 26/04/2008. Virus: il primo non scrive niente, gli altri 2 scrive --no virus--.
In "Tutti i files nel cestino" ci sono tutti e 5. I primi me li ha trovati praticamente ieri sera e li ho messi nel cestino.
Nell'avviare il computer mi appare una barra grigia RUNDLL, che mi dice : errore durante il caricamento di C:\Windows\system32\cqxkrybq.dll. Impossibile trovare il modulo specificato.
Cosa faccio di questi 5 files?

In più vi posto il risultato di hijackthis appena fatto.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.59.34, on 30/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Web Accelerator\slipcore.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Documents and Settings\utente 1\Documenti\Eraser\eraser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Web Accelerator\slipgui.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Documents and Settings\utente 1\Documenti\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5400
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programmi\SiteAdvisor\4144\SiteAdv.dll
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programmi\Web Accelerator\PBHelper.dll
O2 - BHO: (no name) - {91223DE9-F8E6-4FFD-8889-BE6784C18696} - (no file)
O2 - BHO: (no name) - {929BBBC3-254A-4E68-AA24-E76FEA3694AA} - (no file)
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\Programmi\Web Accelerator\components\NOWImaging.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programmi\SiteAdvisor\4144\SiteAdv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\Web Accelerator\slipcore.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BMe70f0ad3] Rundll32.exe "C:\WINDOWS\system32\cqxkrybq.dll",s
O4 - HKCU\..\Run: [Eraser] C:\Documents and Settings\utente 1\Documenti\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: SlipStream Web Accelerator.lnk = C:\Programmi\Web Accelerator\slipgui.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Mostra immagine originale - res://C:\Programmi\Web Accelerator\gui_resource.dll/328
O8 - Extra context menu item: Mostra tutte le immagini originali - res://C:\Programmi\Web Accelerator\gui_resource.dll/327
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{31BB7DD2-86DC-41F0-969A-426268A09575}: NameServer = 208.67.222.222
O20 - Winlogon Notify: gebbxxy - gebbxxy.dll (file missing)
O20 - Winlogon Notify: winjjq32 - C:\WINDOWS\SYSTEM32\winjjq32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7285 bytes

chemicalbit · Inviato: 30 Apr 2008 22:59 Oggetto:

Vedere anche Software - generale --> File immagine JPG che non si apre e che non si cancella

-------

light, inizia con un po' di pulizie generiche:

Disabilita il ripristino di sistema.
Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
Fai una scansione cone Norman Malware Cleaner.
- Scarica il programma
- Avvia il pc in modalità provvisoria.
- Avvia Norman Malware Cleaner e fagli fare la scansione completa.
- Alla fine della scansione viene generato un log sul desktop chiamato NFix_2008-MM-gg_hh-mm-ss.log.
Riavvia il computer in moalità normale
Segui le istruzioni di questo topic per eseguire combofix.
Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. riporta:
- Carica il log di Norman Malware Cleaner su FreeFileHosting come indicato qui e posta il link che ti viene assegnato
- Il log di Combofix generalmente non è molto lungo, quindi postalo direttamente nel messaggio

light

Risultato di FreeFyleHosting:NFix_2008-05-05_22-22-151.log

Risultato Di Combofix (ma è una bomba mi ha beccato anche XP Antivirus che non è un antivirus ma è UN VIRUS CAMMUFFATO DA ANTIVIRUS, beccato ieri [vista l'ora] pomeriggio verso le 19.00]:

ComboFix 08-05-01.3 - utente 1 2008-05-05 23.46.59.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.130 [GMT 2:00]
Eseguito da: C:\Documents and Settings\utente 1\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programmi\XP Antivirus
C:\Programmi\XP Antivirus\xpa.exe
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\qqstv.ini
C:\WINDOWS\system32\qqstv.ini2
C:\WINDOWS\system32\urqNFwxy.dll
C:\WINDOWS\system32\xGMVEfhk.ini

.
((((((((((((((((((((((((( Files Creati Da 2008-04-05 al 2008-05-05 )))))))))))))))))))))))))))))))))))
.

2008-05-05 23:49 . 2008-05-05 23:49 <DIR> d-------- C:\WINDOWS\system32\xircom
2008-05-05 23:49 . 2008-05-05 23:49 <DIR> d-------- C:\Programmi\microsoft frontpage
2008-05-05 23:46 . 2008-05-05 23:46 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
2008-05-05 22:08 . 2008-05-05 22:08 <DIR> d-------- C:\Programmi\CCleaner
2008-04-29 10:56 . 2008-04-29 10:58 <DIR> d-------- C:\Programmi\RegCleaner
2008-04-26 23:51 . 2008-04-26 23:51 127 --a------ C:\WINDOWS\system32\MRT.INI
2008-04-25 20:22 . 2008-04-29 21:45 109,814 --a------ C:\WINDOWS\BMe70f0ad3.xml
2008-04-15 12:58 . 2008-02-20 07:33 148,992 --------- C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-04-15 12:58 . 2008-02-20 07:33 45,568 --------- C:\WINDOWS\system32\dllcache\dnsrslvr.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-05 21:35 --------- d-----w C:\Documents and Settings\utente 1\Dati applicazioni\SiteAdvisor
2008-05-05 21:31 --------- d-----w C:\Documents and Settings\utente 1\Dati applicazioni\U3
2008-05-05 19:07 --------- d-----w C:\Documents and Settings\utente 1\Dati applicazioni\SlipStream
2008-05-04 18:38 --------- d-----w C:\Programmi\HP
2008-05-04 18:38 --------- d-----w C:\Programmi\Hewlett-Packard
2008-05-04 18:35 --------- d-----w C:\Programmi\File comuni\HP
2008-05-04 16:34 --------- d-----w C:\Programmi\Fritz 8
2008-04-30 21:06 --------- d-----w C:\Programmi\Digisoft AntiDialer
2008-04-30 14:08 --------- d-----w C:\Documents and Settings\utente 1\Dati applicazioni\Image Zone Express
2008-04-26 16:37 --------- d-----w C:\Documents and Settings\utente 1\Dati applicazioni\ChessBase
2008-03-29 16:39 2,663,936 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-03-29 16:39 1,952,768 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-03-29 13:51 --------- d-----w C:\Programmi\SlySoft
2008-03-29 13:51 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\SlySoft
2008-03-28 11:01 --------- d-----w C:\Documents and Settings\utente 1\Dati applicazioni\dvdcss
2008-03-27 22:02 97,600 ----a-w C:\WINDOWS\system32\drivers\AnyDVD.sys
2008-03-23 13:11 --------- d-----w C:\Programmi\File comuni\Adobe
2008-03-21 16:50 3,288,517 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-03-20 22:36 --------- d-----w C:\Programmi\CyberLink DVD Solution
2008-03-20 22:33 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-03-20 22:33 --------- d-----w C:\Programmi\CyberLink
2008-03-20 21:46 --------- d-----w C:\Programmi\Servizi in linea
2008-03-20 07:57 1,845,888 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 07:57 1,845,888 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-18 17:10 --------- d-----w C:\Programmi\File comuni\Wise Installation Wizard
2008-03-14 22:24 93,128 ----a-w C:\WINDOWS\system32\ElbyCDIO.dll
2008-03-10 12:47 --------- d-----w C:\Programmi\CDex_170b1
2008-03-04 10:57 60,416 ----a-w C:\WINDOWS\ALCFDRTM.EXE
2008-03-01 16:28 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-02-29 08:57 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-02-29 08:57 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-22 10:00 13,824 ----a-w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-20 06:52 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:52 282,624 ----a-w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-15 05:44 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2005-03-31 21:17 40,960 ----a-w C:\Programmi\Uninstall_CDS.exe
2007-12-06 11:48 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2007-12-06 11:48 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\index.dat
2007-12-06 11:48 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\MSHist012007120620071207\index.dat
2007-12-06 11:48 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="C:\Documents and Settings\utente 1\Documenti\Eraser\eraser.exe" [2006-04-14 02:44 265728]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:39 15360]
"AnyDVD"="C:\Programmi\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-03-28 17:33 1743808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 10:42 90112 C:\WINDOWS\soundman.exe]
"ZoneAlarm Client"="C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02 919280]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-10-10 15:49 7286784]
"nwiz"="nwiz.exe" [2005-10-10 15:49 1519616 C:\WINDOWS\system32\nwiz.exe]
"NWEReboot"="" []
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"SlipStream"="C:\Programmi\Web Accelerator\slipcore.exe" [2006-04-07 05:51 253952]
"RemoteControl"="C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 18:35 32768]
"Adobe Reader Speed Launcher"="C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 04:06 40048]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-10-10 15:49 86016]
"BMe70f0ad3"="C:\WINDOWS\system32\cqxkrybq.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:39 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [2008-03-01 14:58 124928 C:\WINDOWS\system32\advpack.dll]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Digisoft AntiDialer.lnk - C:\Programmi\Digisoft AntiDialer\AntiDialer.exe [2003-08-19 16:53:40 730112]
HP Digital Imaging Monitor.lnk - C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 05:21:22 288472]
SlipStream Web Accelerator.lnk - C:\Programmi\Web Accelerator\slipgui.exe [2008-02-17 23:30:07 159744]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebbxxy]
gebbxxy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjjq32]
winjjq32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programmi\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
S3 usbscan;Driver scanner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]
S3 USBSTOR;Driver archiviazione di massa USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]

.
Contenuto della cartella 'Scheduled Tasks'
"2008-05-05 10:37:00 C:\WINDOWS\Tasks\WebReg Deskjet F300 series.job"
- C:\Programmi\HP\Digital Imaging\bin\hpqwrg.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-05 23:50:51
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Ora fine scansione: 2008-05-05 23:55:07 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-05 21:55:02

5 Directory 30,495,178,752 byte disponibili
9 Directory 30,459,506,688 byte disponibili

152 --- E O F --- 2008-04-30 17:33:46

Risultato recente di hijachthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.03.53, on 06/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Web Accelerator\slipcore.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Documents and Settings\utente 1\Documenti\Eraser\eraser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Web Accelerator\slipgui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\utente 1\Documenti\Documenti p\hijackthis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programmi\SiteAdvisor\4144\SiteAdv.dll
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programmi\Web Accelerator\PBHelper.dll
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\Programmi\Web Accelerator\components\NOWImaging.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programmi\SiteAdvisor\4144\SiteAdv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\Web Accelerator\slipcore.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BMe70f0ad3] Rundll32.exe "C:\WINDOWS\system32\cqxkrybq.dll",s
O4 - HKCU\..\Run: [Eraser] C:\Documents and Settings\utente 1\Documenti\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: SlipStream Web Accelerator.lnk = C:\Programmi\Web Accelerator\slipgui.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - Winlogon Notify: gebbxxy - gebbxxy.dll (file missing)
O20 - Winlogon Notify: winjjq32 - winjjq32.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6083 bytes

Dire che soprattutto Combofix è stato un toccasana...è dire poco. Il computer va che è una scheggia. però ci sono ancora nel risultato di hijchthis quei BHO..che mi suonano male. Poi vediamo. Caro chemical a domani, o meglio se riesco ad oggi, vista l'ora.

bdoriano

Un'occhiata rapida rivela rimasugli di Vundo.

Scarica VundoFix e VirtumundoBegone e salvali sul desktop.
Avvia VundoFix
Seleziona Scan for Vundo e a scansione terminata scegli Remove Vundo.
Clicca Yes e alla richiesta di riavviare il Pc rispondi Ok.
Al riavvio dovrebbe comparire il blocco-note con dentro il log, copia e posta sul forum il contenuto.
Ora avvia in modalità provvisoria
Avvia VirtumundoBeGone e segui le indicazioni a video.
riavvia il Pc in modalità normale e posta il log.
Segui le istruzioni di questo topic per postare il log di combofix.
Fai anche un nuovo log di HijackThis e mettilo qui.

chemicalbit · Dio maturo Registrato: 01/04/05 18:59 Messaggi: 18597 Residenza: Milano

light

Se vuoi torno a fare la scansione con Normal Malware Cleaner e torno su FreeFileHosting e riposto il risultato. Per quanto riguarda il fatto di poter aprire una nuova discussione nel forum sicurezza, ti ringrazio per darmene la possibilità, chemicalbit, però faccio tutto domani anche quello che mi ha detto bdoriano. Adesso non arrivo.

Però vi voglio fare alcune domande.

A parte che una volta finita la scansione con Combofix, non mi ha eliminato i files infetti (tra cui Xp Antivirus), almeno penso io, perchè me li ha messi in quarantena creando la cartella QooBox, dove c'è un documento di testo (blocco-note) con all'interno scritto:

2008-03-21 13:21 93184 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\urqNFwxy.dll.vir
2008-04-26 00:02 143 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\mcrh.tmp.vir
2008-04-26 23:35 1703013 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\xGMVEfhk.ini.vir
2008-04-26 23:49 209059 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\qqstv.ini.vir
2008-04-26 23:49 209059 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\qqstv.ini2.vir
2008-04-29 19:58 22 --a------ C:\Qoobox\Quarantine\C\WINDOWS\pskt.ini.vir
2008-05-05 20:09 438272 --a------ C:\Qoobox\Quarantine\C\Programmi\XP Antivirus\xpa.exe.vir
2008-05-05 23:48 54 --a------ C:\Qoobox\Quarantine\catchme.log

Avast prima di iniziare a fare il lavoro di chemicalbit mi ha trovato un'altro virus:
gosAd.temp in C\windows\temp il cui nome è Win32:Trojan-gen Other (racchiuso da parentesi graffe la parola Other).

Questi virus (quelli che sono nel cestino di Avast) e quelli messi in quarantena da Combofix, li posso togliere manualmente dal registro di sistema?. Li tolgo in modalità normale o provvisoria? Per essere sicuri che vengano cancellati in modo perenne è meglio la modalità provvisoria?

Mi piacerebbe anche che qualcuno mi dicesse dove andare a operare nel registro di sistema una volta guardato il file di hijachthis.

Ultima cosa. Disabilitando Avast per usare Combofix, una volta riabilitato come antivirus, non riesco mica a far apparire nella barra di sitema l'icona blu di avast.

Icona di sistema avast!.

Un'icona blu con la lettera "a" verrà mostrata nella barra di sistema (vicino l'orologio), indicando lo stato di avast! antivirus.
Animare l' icona durante la scansione. Ogni volta che la protezione residente di avast! scansiona qualsiasi cosa (es. un' e-mail in partenza/arrivo, un file che sta per essere aperto, unapagina web che sta per essere scaricata col vostro browser), l'icona inizierà a girare indicando l'attività di avast!.
La cosiddetta pagina di Visualizzazione (come dice l' aiuto di avast) in Impostazioni (di Avast), io non l'ho trovata.

light

Oggi ho disinstallato la stampante e il relativo sofware HP. perchè si apriva insistentemente una finestra in inglese (questo prima di fare quello che mi ha suggerito chemicalbit) e mi invitava a reinstallare il software.
Poi ho reinstallato il sofware e qui con grande sorpresa il software della Hp mi ha detto che ci sono dei file nel service pack 2 di Xp che non sono riconosciuti (dal software stesso della HP)e che non può procede all'installazione. Quindi mi ha invitato a reinstallare in origine il SP2. Complimenti mi sono detto.

Ho rifatto un giro con ATFCleaner, uno con CCleaner e uno con RegCleaner. Ho rifatto uno scan con Norman Malware Cleaner e lo postato su FreeFileHosting: Questo è il risultato:

NFix_2008-05-07_13-58-28.log

Poi ho fatto quello che mi ha suggerito bdoriano.

Risultato di VundoFix:

VundoFix V7.0.3

Scan started at 14.20.46 07/05/2008

Listing files found while scanning....

No infected files were found.

VundoFix V7.0.3

Scan started at 14.27.04 07/05/2008

Listing files found while scanning....

No infected files were found.

Risultato di VirtumundoBeGone:

[05/07/2008, 14:37:46] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\utente 1\Desktop\VirtumundoBeGone.exe" )
[05/07/2008, 14:38:01] - Detected System Information:
[05/07/2008, 14:38:01] - Windows Version: 5.1.2600, Service Pack 2
[05/07/2008, 14:38:01] - Current Username: utente 1 (Admin)
[05/07/2008, 14:38:01] - Windows is in SAFE mode with Networking.
[05/07/2008, 14:38:01] - Searching for Browser Helper Objects:
[05/07/2008, 14:38:01] - BHO 1: {089FD14D-132B-48FC-8861-0048AE113215} ()
[05/07/2008, 14:38:01] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/07/2008, 14:38:01] - Checking for HKLM\...\Winlogon\Notify\SiteAdv
[05/07/2008, 14:38:01] - Key not found: HKLM\...\Winlogon\Notify\SiteAdv, continuing.
[05/07/2008, 14:38:01] - BHO 2: {4115122B-85FF-4DD3-9515-F075BEDE5EB5} (PBlockHelper Class)
[05/07/2008, 14:38:01] - BHO 3: {9AA2F14F-E956-44B8-8694-A5B615CDF341} (NOW!Imaging)
[05/07/2008, 14:38:01] - Finished Searching Browser Helper Objects
[05/07/2008, 14:38:01] - Finishing up...
[05/07/2008, 14:38:01] - Nothing found! Exiting...

Combofix: la prima volta che l'ho usato mi ha creato un punto di ripristino e ha riavviato il pc. Oggi no.

Risultato di Combofix:

ComboFix 08-05-01.3 - utente 1 2008-05-07 14:52:14.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.79 [GMT 2:00]
Eseguito da: C:\Documents and Settings\utente 1\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Creati Da 2008-04-07 al 2008-05-07 )))))))))))))))))))))))))))))))))))
.

2008-05-07 14:20 . 2008-05-07 14:20 <DIR> d-------- C:\VundoFix Backups
2008-05-05 23:49 . 2008-05-05 23:49 <DIR> d-------- C:\WINDOWS\system32\xircom
2008-05-05 23:49 . 2008-05-05 23:49 <DIR> d-------- C:\Programmi\microsoft frontpage
2008-05-05 23:46 . 2008-05-05 23:46 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
2008-05-05 22:08 . 2008-05-05 22:08 <DIR> d-------- C:\Programmi\CCleaner
2008-04-29 10:56 . 2008-04-29 10:58 <DIR> d-------- C:\Programmi\RegCleaner
2008-04-26 23:51 . 2008-04-26 23:51 127 --a------ C:\WINDOWS\system32\MRT.INI
2008-04-25 20:22 . 2008-04-29 21:45 109,814 --a------ C:\WINDOWS\BMe70f0ad3.xml
2008-04-15 12:58 . 2008-02-20 07:33 148,992 --------- C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-04-15 12:58 . 2008-02-20 07:33 45,568 --------- C:\WINDOWS\system32\dllcache\dnsrslvr.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-07 11:24 --------- d-----w C:\Documents and Settings\utente 1\Dati applicazioni\SiteAdvisor
2008-05-07 10:51 --------- d-----w C:\Programmi\HP
2008-05-06 22:41 --------- d-----w C:\Documents and Settings\utente 1\Dati applicazioni\SlipStream
2008-05-06 21:14 --------- d-----w C:\Programmi\Digisoft AntiDialer
2008-05-05 21:31 --------- d-----w C:\Documents and Settings\utente 1\Dati applicazioni\U3
2008-05-04 18:35 --------- d-----w C:\Programmi\File comuni\HP
2008-05-04 16:34 --------- d-----w C:\Programmi\Fritz 8
2008-04-30 14:08 --------- d-----w C:\Documents and Settings\utente 1\Dati applicazioni\Image Zone Express
2008-04-26 16:37 --------- d-----w C:\Documents and Settings\utente 1\Dati applicazioni\ChessBase
2008-03-29 16:39 2,663,936 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-03-29 16:39 1,952,768 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-03-29 13:51 --------- d-----w C:\Programmi\SlySoft
2008-03-29 13:51 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\SlySoft
2008-03-28 11:01 --------- d-----w C:\Documents and Settings\utente 1\Dati applicazioni\dvdcss
2008-03-27 22:02 97,600 ----a-w C:\WINDOWS\system32\drivers\AnyDVD.sys
2008-03-23 13:11 --------- d-----w C:\Programmi\File comuni\Adobe
2008-03-21 16:50 3,288,517 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-03-20 22:36 --------- d-----w C:\Programmi\CyberLink DVD Solution
2008-03-20 22:33 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-03-20 22:33 --------- d-----w C:\Programmi\CyberLink
2008-03-20 21:46 --------- d-----w C:\Programmi\Servizi in linea
2008-03-20 07:57 1,845,888 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 07:57 1,845,888 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-18 17:10 --------- d-----w C:\Programmi\File comuni\Wise Installation Wizard
2008-03-14 22:24 93,128 ----a-w C:\WINDOWS\system32\ElbyCDIO.dll
2008-03-10 12:47 --------- d-----w C:\Programmi\CDex_170b1
2008-03-04 10:57 60,416 ----a-w C:\WINDOWS\ALCFDRTM.EXE
2008-03-01 16:28 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-02-29 08:57 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-02-29 08:57 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-22 10:00 13,824 ----a-w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-20 06:52 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:52 282,624 ----a-w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-15 05:44 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2005-03-31 21:17 40,960 ----a-w C:\Programmi\Uninstall_CDS.exe
2007-12-06 11:48 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2007-12-06 11:48 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\index.dat
2007-12-06 11:48 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\MSHist012007120620071207\index.dat
2007-12-06 11:48 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="C:\Documents and Settings\utente 1\Documenti\Eraser\eraser.exe" [2006-04-14 02:44 265728]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:39 15360]
"AnyDVD"="C:\Programmi\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-03-28 17:33 1743808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 10:42 90112 C:\WINDOWS\soundman.exe]
"ZoneAlarm Client"="C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02 919280]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-10-10 15:49 7286784]
"nwiz"="nwiz.exe" [2005-10-10 15:49 1519616 C:\WINDOWS\system32\nwiz.exe]
"NWEReboot"="" []
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"SlipStream"="C:\Programmi\Web Accelerator\slipcore.exe" [2006-04-07 05:51 253952]
"RemoteControl"="C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 18:35 32768]
"Adobe Reader Speed Launcher"="C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 04:06 40048]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-10-10 15:49 86016]
"BMe70f0ad3"="C:\WINDOWS\system32\cqxkrybq.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:39 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [2008-03-01 14:58 124928 C:\WINDOWS\system32\advpack.dll]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Digisoft AntiDialer.lnk - C:\Programmi\Digisoft AntiDialer\AntiDialer.exe [2003-08-19 16:53:40 730112]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebbxxy]
gebbxxy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjjq32]
winjjq32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
S3 usbscan;Driver scanner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
S3 USBSTOR;Driver archiviazione di massa USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]

.
Contenuto della cartella 'Scheduled Tasks'
"2008-05-07 10:37:00 C:\WINDOWS\Tasks\WebReg Deskjet F300 series.job"
- C:\Programmi\HP\Digital Imaging\bin\hpqwrg.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-07 14:53:57
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-05-07 14:56:38
ComboFix-quarantined-files.txt 2008-05-07 12:56:32
ComboFix2.txt 2008-05-05 21:55:08

6 Directory 30,471,106,560 byte disponibili
10 Directory 30,558,871,552 byte disponibili

124 --- E O F --- 2008-04-30 17:33:46

Risultato di hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.06.47, on 07/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Web Accelerator\slipcore.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Documents and Settings\utente 1\Documenti\Eraser\eraser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\Web Accelerator\slipgui.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Alwil Software\Avast4\setup\avast.setup
C:\Documents and Settings\utente 1\Documenti\Documenti p\hijackthis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programmi\SiteAdvisor\4144\SiteAdv.dll
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programmi\Web Accelerator\PBHelper.dll
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\Programmi\Web Accelerator\components\NOWImaging.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programmi\SiteAdvisor\4144\SiteAdv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\Web Accelerator\slipcore.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BMe70f0ad3] Rundll32.exe "C:\WINDOWS\system32\cqxkrybq.dll",s
O4 - HKCU\..\Run: [Eraser] C:\Documents and Settings\utente 1\Documenti\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: SlipStream Web Accelerator.lnk = C:\Programmi\Web Accelerator\slipgui.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - Winlogon Notify: gebbxxy - gebbxxy.dll (file missing)
O20 - Winlogon Notify: winjjq32 - winjjq32.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6121 bytes

bdoriano

Crea un file di testo con le seguenti istruzioni:

light

Prima di fare quello che mi ha detto bdoriano devo dirVi quello che mi è successo. Poi capirete. A parte che ho visto il messaggio di bdoriano dopo aver fatto quello che segue. Scusa bdoriano.
Per capire se il benedetto file cqxkrybq.dll facesse parte di windows xp originale o no, ho preso il cd di W.Xp e l'ho cercato.
Dato che la risposta è stata: file not found, ho preso tutti i file nel cestino di Avast e li ho cancellati.
Ho cancellato anche i file di Combofix messi in quarantena (quelli che si trovavano nella cartella QooBox).
Sono andato a vedere in registro di sistema sia in modalità normale che provvisoria se c'era qualche traccia di questi files. Tutto ok.
Il famoso avvertimento che mi dava il pc ogni volta che lo avviavo o riavviavo (errore durante il caricamento di C:\Windows\system32\cqxkrybq.dll. Impossibile trovare il modulo specificato), non è apparso più. Tutto a posto quindi mi dico hee, e....niente in ordine.
La famosa stampante Hp.
Prendo il cd della stampante Hp originale (della serie comprato!!!), lo avvio, si ferma al 25% dell'installazione dicendomi: ERRORE 1933, devi andare sul sito della hp e contattare....
Ok dico io, forse bisogna disattivare temporaneamente l'antivirus e il firewall (infatti all'avvio del software dice che sarebbe meglio disattivare i vari antivirus...perchè non entrino in conflitto con il software dell'Hp: peccato che quando l'ho installato la prima volta un anno fa e dopo aver fatto la formattazione circa 6 mesi fa non ho dovuto tirare tutti questi numeri).
Avvio l'installazione e la stessa si ferma al 16% dicendomi sempre : ERRORE 1933....
Allora penso di fare il download solo dei driver da internet.
Sorpresa: l'installazione si ferma al 8%.
Bravo light, mi dico, sempre meglio...
Inizio la procedura che mi ha consigliato bdoriano.
Creo il file di testo e lo trascino su Combofix (senza aver disinstallato l'antivirus ect..). Risposta: Expired 08-05-01.3 Current date is 13/05/2008.
This copy of Combofix has expired. Please download an update copy.
Ok penso, forse è scaduto Combofix? (sono passati 8 gg dall primo download..bohhhh). Ma Combofix ha una scadenza? E' standalone e freeware penso...mahhh. Ho forse mi ha dato questa risposta perchè i file scritti nel file di testo non li ha trovati?
Faccio il download di nuovo di Combofix. Quello che avevo l'ho cancellato.
Durante il download (non ancora terminato, all' 85% circa) Avast mi dice che ha trovato nel software di Combofix che sta tirato giù sia da Bleeping Computer che da Geeks to go, il virus dd.cfexe Win32:Rootkit-gen [Rtk].
E' normale che ci sia questo file?
Altra cosa che volevo dire è che usando CCleaner cliccando su Registro, e poi su Trova problemi, il risultato che ne esce sono 71 files praticamente tutti che riguardano la stampante Hp del tipo: DLL condivise mancanti (un gruppo), problema Activex/Com (altro gruppo), problema riferimento a installer (altro gruppo), estensione file non usata e riferimento MUI mancante.
Mi sembra un pò strano questo risultato, perchè una volta disinstallato il software della stampante Hp, sono andato a cancellare sia in mod. normale che provvisoria le tracce rimaste del software stesso e poi ho lanciato CCleaner.
Non ti posto per il momento quello che mi hai detto bdoriano perchè è venuto fuori il problema del virus beccato durante il download stesso. Secondo te come mai?
Adesso che faccio?

chemicalbit · Dio maturo Registrato: 01/04/05 18:59 Messaggi: 18597 Residenza: Milano

I programmi antivirus (o di analisi "a fondo" del sistema) possono essere identificati erroneamente come virus (falsi positivi) dagli altri antivirus.

L'hai poi fatta la scansione di combobix con quello script?

light

No, ormai la faccio domani anche perchè quando ho messo il file di testo nel primo combofix tirato giù (da Bleeping Computer), mi ha detto: file corrotto, devi tirare giù una versione originale. Quindi sono andato da Geeks to go.
Durante il download Avast mi dà come unica possibiltà quella di disconnetermi, e disconnettendomi a download non ancora terminato forse non tutto il file è tirato giù complemente. Giusto? Quindi? Devo fare il download disabilitando Avast? Oppure lo disinstallo e metto su il nuovo AVG Free? (Che ho tirato giù due giorni fa?)

light

Allora rieccomi di nuovo dopo numeri con combofix, finalmente l'ho tirato giù senza che il signor Avast se la prenda Smile

, lo disattivato e posso dare una risposta alle direttive di bdoriano.
Risultato di Combofix (dopo aver trascinato il file log dettomi da bdoriano):

ComboFix 08-05-12.1 - utente 1 2008-05-15 22.29.57.6 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.77 [GMT 2:00]
Eseguito da: C:\Documents and Settings\utente 1\Desktop\ComboFix.exe
Command switches used :: C:\Documents and Settings\utente 1\Desktop\CFScript.txt.txt
* Creato nuovo punto di ripristino

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\cqxkrybq.dll
C:\WINDOWS\system32\gebbxxy.dll
C:\WINDOWS\system32\winjjq32.dll
.

((((((((((((((((((((((((( Files Creati Da 2008-04-15 al 2008-05-15 )))))))))))))))))))))))))))))))))))
.

2008-05-13 20:13 . 2005-10-14 22:42 46,592 --a------ C:\WINDOWS\system32\hpzll43a.dll
2008-05-13 20:12 . 2008-05-13 20:12 <DIR> d-------- C:\Program Files
2008-05-10 20:28 . 2008-05-10 20:28 <DIR> d-------- C:\Programmi\Alwil Software
2008-05-10 14:09 . 2007-12-06 14:25 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di stampa
2008-05-10 14:09 . 2007-12-06 14:25 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di rete
2008-05-10 14:09 . 2007-12-06 14:25 <DIR> d-------- C:\Documents and Settings\Administrator\Preferiti
2008-05-10 14:09 . 2007-12-06 13:37 <DIR> d--h----- C:\Documents and Settings\Administrator\Modelli
2008-05-10 14:09 . 2007-12-06 14:25 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Avvio
2008-05-10 14:09 . 2008-05-15 22:30 <DIR> d--h----- C:\Documents and Settings\Administrator\Impostazioni locali
2008-05-10 14:09 . 2007-12-06 14:25 <DIR> d-------- C:\Documents and Settings\Administrator\Documenti
2008-05-10 14:09 . 2007-12-06 14:25 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dati applicazioni
2008-05-10 14:09 . 2008-05-10 14:09 <DIR> d-------- C:\Documents and Settings\Administrator
2008-05-10 14:09 . 2008-05-15 22:29 1,024 --ah----- C:\Documents and Settings\Administrator\NtUser.dat.LOG
2008-05-09 20:49 . 2008-05-09 20:49 250 --a------ C:\WINDOWS\gmer.ini
2008-05-08 23:32 . 2008-05-08 23:32 <DIR> d-------- C:\Programmi\Sophos
2008-05-08 20:00 . 2008-05-08 20:00 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-05-08 19:58 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\000001_.tmp
2008-05-05 23:49 . 2008-05-05 23:49 <DIR> d-------- C:\WINDOWS\system32\xircom
2008-05-05 23:49 . 2008-05-05 23:49 <DIR> d-------- C:\Programmi\microsoft frontpage
2008-05-05 23:46 . 2008-05-15 22:29 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
2008-05-05 22:08 . 2008-05-05 22:08 <DIR> d-------- C:\Programmi\CCleaner
2008-04-29 10:56 . 2008-05-15 22:24 <DIR> d-------- C:\Programmi\RegCleaner
2008-04-26 23:51 . 2008-04-26 23:51 127 --a------ C:\WINDOWS\system32\MRT.INI
2008-04-25 20:22 . 2008-04-29 21:45 109,814 --a------ C:\WINDOWS\BMe70f0ad3.xml
2008-04-15 12:58 . 2008-02-20 07:33 148,992 --------- C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-04-15 12:58 . 2008-02-20 07:33 45,568 --------- C:\WINDOWS\system32\dllcache\dnsrslvr.dll

Risultato di hijackthis (l'ho dovuto rilanciare mentre sono on line perchè andando a cercarlo nella sua cartella non lo più trovato; forse preso da systemscam?Ditemi se va bene lo stesso):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.50.03, on 15/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Web Accelerator\slipcore.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Documents and Settings\utente 1\Documenti\Eraser\eraser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\Web Accelerator\slipgui.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\utente 1\Documenti\Documenti p\hijackthis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5400
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programmi\SiteAdvisor\4144\SiteAdv.dll
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programmi\Web Accelerator\PBHelper.dll
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\Programmi\Web Accelerator\components\NOWImaging.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programmi\SiteAdvisor\4144\SiteAdv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\Web Accelerator\slipcore.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Eraser] C:\Documents and Settings\utente 1\Documenti\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: SlipStream Web Accelerator.lnk = C:\Programmi\Web Accelerator\slipgui.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Mostra immagine originale - res://C:\Programmi\Web Accelerator\gui_resource.dll/328
O8 - Extra context menu item: Mostra tutte le immagini originali - res://C:\Programmi\Web Accelerator\gui_resource.dll/327
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{31BB7DD2-86DC-41F0-969A-426268A09575}: NameServer = 208.67.222.222
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6664 bytes

Risultato di SystemScan postato su FreeFileHosting, quindi risultato di FreeFileHosting:

15_05_2008_23_26_report.zip

In più, se può servire o meno, spero di si, prima di iniziare la procedura di analisi del sistema lanciando combofix...come dettomi da bdoriano, ho lanciato Ccleaner, selezionando la voce Registro,Trova Problemi e mi ha dato questo risultato.
Premetto che ho disinstallato il sofware della HP e cancellato tutto quello che e' rimasto nel registro di sistema (Della Serie la Stampante Hp Non Vuole Saperne Di Installarsi):

DLL condivise mancanti C:\Programmi\HP\Digital Imaging\bin\hpqcob08.dll HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
DLL condivise mancanti C:\Programmi\HP\Digital Imaging\bin\prdinf08.ini HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
DLL condivise mancanti C:\Programmi\HP\Digital Imaging\bin\hpqtap08.dll HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
DLL condivise mancanti C:\Programmi\HP\Digital Imaging\bin\hpqtax08.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
DLL condivise mancanti C:\Programmi\HP\Digital Imaging\Help\hpqtdb01.dll HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
DLL condivise mancanti C:\Programmi\HP\Digital Imaging\bin\hpqcxm08.dll HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
DLL condivise mancanti C:\Programmi\HP\Digital Imaging\help\UT_fax.dll HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
DLL condivise mancanti C:\Programmi\File comuni\HP\Digital Imaging\bin\hpqd.dll HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
DLL condivise mancanti C:\Programmi\File comuni\HP\Digital Imaging\bin\hpqcc3.dll HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
DLL condivise mancanti C:\Programmi\File comuni\HP\Digital Imaging\bin\hpqiml01.dll HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
DLL condivise mancanti C:\Programmi\File comuni\HP\Digital Imaging\Bin\hpqpsb01.dll HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
DLL condivise mancanti C:\Programmi\File comuni\HP\Digital Imaging\Bin\hpqfmt02.dll HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Estensione file non usata .cgi HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cgi
Estensione file non usata .diz HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.diz
Estensione file non usata .docx HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.docx
Estensione file non usata .h HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.h
Estensione file non usata OpenWithList HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\OpenWithList
Problema ActiveX/COM HPAiO.RunString - {B97E9079-53EB-4895-9441-8DD4181772B9} HKCR\HPAiO.RunString
Problema ActiveX/COM HPAiO.RunString.1 - {B97E9079-53EB-4895-9441-8DD4181772B9} HKCR\HPAiO.RunString.1
Problema ActiveX/COM HPAiO.RunStringCOB - {D35E4537-3D54-4731-876A-7BEC087B73FA} HKCR\HPAiO.RunStringCOB
Problema ActiveX/COM HPAiO.RunStringCOB.1 - {D35E4537-3D54-4731-876A-7BEC087B73FA} HKCR\HPAiO.RunStringCOB.1
Problema ActiveX/COM HPAiO.RunStrings - {A577C78B-2724-4C2B-BDE3-EBF239F06B84} HKCR\HPAiO.RunStrings
Problema ActiveX/COM HPAiO.RunStrings.1 - {A577C78B-2724-4C2B-BDE3-EBF239F06B84} HKCR\HPAiO.RunStrings.1
Problema ActiveX/COM HPAiO.RunStringsCOB - {6C464B87-4DD9-4F8F-8CF1-C04D610494C5} HKCR\HPAiO.RunStringsCOB
Problema ActiveX/COM HPAiO.RunStringsCOB.1 - {6C464B87-4DD9-4F8F-8CF1-C04D610494C5} HKCR\HPAiO.RunStringsCOB.1
Problema ActiveX/COM HPCUE.Collector - {697F4201-0494-11D6-A2B0-0060B0FBD872} HKCR\HPCUE.Collector
Problema ActiveX/COM HPCUE.Collector.1 - {697F4201-0494-11D6-A2B0-0060B0FBD872} HKCR\HPCUE.Collector.1
Problema ActiveX/COM HPCUE.ComObjInit - {697F4202-0494-11D6-A2B0-0060B0FBD872} HKCR\HPCUE.ComObjInit
Problema ActiveX/COM HPCUE.ComObjInit.1 - {697F4202-0494-11D6-A2B0-0060B0FBD872} HKCR\HPCUE.ComObjInit.1
Problema ActiveX/COM HPCUE.CtxDesc - {42C73969-3FA5-4D29-8985-C0F0B0BB231A} HKCR\HPCUE.CtxDesc
Problema ActiveX/COM HPCUE.CtxDesc.1 - {42C73969-3FA5-4D29-8985-C0F0B0BB231A} HKCR\HPCUE.CtxDesc.1
Problema ActiveX/COM HPCUE.CtxDescs - {742C8E77-C4D2-45F4-B379-13CC8E9A467F} HKCR\HPCUE.CtxDescs
Problema ActiveX/COM HPCUE.CtxDescs.1 - {742C8E77-C4D2-45F4-B379-13CC8E9A467F} HKCR\HPCUE.CtxDescs.1
Problema ActiveX/COM HPCUE.CtxMgr - {68961B23-E3E2-4D7C-9072-6363436C1B25} HKCR\HPCUE.CtxMgr
Problema ActiveX/COM HPCUE.CtxMgr.1 - {68961B23-E3E2-4D7C-9072-6363436C1B25} HKCR\HPCUE.CtxMgr.1
Problema ActiveX/COM HPCUE.CtxString - {418C8BEB-A434-41C9-AD83-D229CBEA6DE6} HKCR\HPCUE.CtxString
Problema ActiveX/COM HPCUE.CtxString.1 - {418C8BEB-A434-41C9-AD83-D229CBEA6DE6} HKCR\HPCUE.CtxString.1
Problema ActiveX/COM HPCUE.CtxStrings - {100DD7EC-D48F-4B0F-AD83-145E63AA3E0F} HKCR\HPCUE.CtxStrings
Problema ActiveX/COM HPCUE.CtxStrings.1 - {100DD7EC-D48F-4B0F-AD83-145E63AA3E0F} HKCR\HPCUE.CtxStrings.1
Problema ActiveX/COM HPCUE.DriveMapper - {15CE91BB-B4D7-45A9-82F6-8C1F921E0ABC} HKCR\HPCUE.DriveMapper
Problema ActiveX/COM HPCUE.DriveMapper.1 - {15CE91BB-B4D7-45A9-82F6-8C1F921E0ABC} HKCR\HPCUE.DriveMapper.1
Problema ActiveX/COM Hpgscnsv.HPScnMgr - {15757976-7A4B-4B7D-B1CA-7B902927CB97} HKCR\Hpgscnsv.HPScnMgr
Problema ActiveX/COM Hpgscnsv.HPScnMgr.1 - {15757976-7A4B-4B7D-B1CA-7B902927CB97} HKCR\Hpgscnsv.HPScnMgr.1
Problema ActiveX/COM hpqcc3.ActivePreview - {C5FD31BF-4606-41C5-A948-CE4461B46F99} HKCR\hpqcc3.ActivePreview
Problema ActiveX/COM hpqcc3.ActivePreview.1 - {C5FD31BF-4606-41C5-A948-CE4461B46F99} HKCR\hpqcc3.ActivePreview.1
Problema ActiveX/COM hpqcc3.HPBtnControl - {C8627ED5-1DA5-4E76-879A-6782A8676218} HKCR\hpqcc3.HPBtnControl
Problema ActiveX/COM hpqcc3.HPBtnControl.1 - {C8627ED5-1DA5-4E76-879A-6782A8676218} HKCR\hpqcc3.HPBtnControl.1
Problema ActiveX/COM hpqcc3.HPFourBtnControl - {97C13CEC-FC07-4F36-9056-782535E83902} HKCR\hpqcc3.HPFourBtnControl
Problema ActiveX/COM hpqcc3.HPFourBtnControl.1 - {97C13CEC-FC07-4F36-9056-782535E83902} HKCR\hpqcc3.HPFourBtnControl.1
Problema ActiveX/COM hpqcc3.HPPictureBox - {2680D571-DB72-44E2-B287-F69A8C66857E} HKCR\hpqcc3.HPPictureBox
Problema ActiveX/COM hpqcc3.HPPictureBox.1 - {2680D571-DB72-44E2-B287-F69A8C66857E} HKCR\hpqcc3.HPPictureBox.1
Problema ActiveX/COM hpqcc3.HPPrintCountControlEx - {6D476BBE-4051-426F-A99D-FFC046CB6C9C} HKCR\hpqcc3.HPPrintCountControlEx
Problema ActiveX/COM hpqcc3.HPPrintCountControlEx.1 - {6D476BBE-4051-426F-A99D-FFC046CB6C9C} HKCR\hpqcc3.HPPrintCountControlEx.1
Problema ActiveX/COM hpqcc3.HPPrintDialog - {A8BA64A7-2267-4A8A-B885-BB72DFCCC80A} HKCR\hpqcc3.HPPrintDialog
Problema ActiveX/COM hpqcc3.HPPrintDialog.1 - {A8BA64A7-2267-4A8A-B885-BB72DFCCC80A} HKCR\hpqcc3.HPPrintDialog.1
Problema ActiveX/COM hpqcc3.HPProgressBar - {D1426E47-B5AA-4D35-9CE7-3C41A580EBDF} HKCR\hpqcc3.HPProgressBar
Problema ActiveX/COM hpqcc3.HPProgressBar.1 - {D1426E47-B5AA-4D35-9CE7-3C41A580EBDF} HKCR\hpqcc3.HPProgressBar.1
Problema ActiveX/COM hpqcc3.HPThumbnailView - {613E47FE-256D-4E2C-B307-EDF25EDBC1C4} HKCR\hpqcc3.HPThumbnailView
Problema ActiveX/COM hpqcc3.HPThumbnailView.1 - {613E47FE-256D-4E2C-B307-EDF25EDBC1C4} HKCR\hpqcc3.HPThumbnailView.1
Problema ActiveX/COM hpqpsb01.PrintServices - {BB278942-E3C2-4155-8DE0-AC87801FC542} HKCR\hpqpsb01.PrintServices
Problema ActiveX/COM hpqpsb01.PrintServices.1 - {BB278942-E3C2-4155-8DE0-AC87801FC542} HKCR\hpqpsb01.PrintServices.1
Problema ActiveX/COM hpqpsb01.PrintSettings - {227F9AB9-FA3C-41AE-AA08-A6812400BE73} HKCR\hpqpsb01.PrintSettings
Problema ActiveX/COM hpqpsb01.PrintSettings.1 - {227F9AB9-FA3C-41AE-AA08-A6812400BE73} HKCR\hpqpsb01.PrintSettings.1
Problema Percorso Applicazione yourapp.Exe - C:\Program Files\HP\Non Driver CIO Components\yourapp.Exe HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\yourapp.Exe
Problema Riferimento a Installer C:\Programmi\HP\Digital Imaging\bin HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders
Problema Riferimento a Installer C:\Programmi\File comuni\HP\Digital Imaging\bin HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders
Problema Riferimento a Installer C:\Programmi\File comuni\HP\Digital Imaging HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders
Problema Riferimento a Installer C:\Programmi\File comuni\HP HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders
Chiave di Software Obsoleto Wget HKCU\Software\Wget

Poi ho fatto un giro anche con Reg Cleaner
questo è il risultato selezionando nella barra degli strumenti che appare in alto le voci Strumenti/Pulizia del Registro/Eseguili tutti:

RegCleaner 4.3 by Jouni Vuorio, translation by Cataldo78 (cataldo_78@hotmail.com)
Questi valori sono inutili e possono essere cancellati con sicurezza
[syntax: Radice, Chiave, Nome del valore, Valore, Ultima modifica ]

HKEY_CLASSES_ROOT, TypeLib\{683F19D3-B817-4794-A70C-82EAF89E2921}, {KEY}, {KEY}, N/D
HKEY_CLASSES_ROOT, TypeLib\{D4A97F76-D472-4D9E-B9D9-3DD4537A52FC}, {KEY}, {KEY}, N/D
HKEY_USERS, S-1-5-21-839522115-879983540-682003330-1003\Software\SlySoft\AnyDVD\Settings, AdvObjDest, C:\Documents and Settings\utente 1\Documenti\AnyDVDHD, 05/15/2008 03.15 PM
HKEY_USERS, S-1-5-21-839522115-879983540-682003330-1003\Software\SlySoft\AnyDVD\Settings, AdvObjTemp, C:\DOCUME~1\UTENTE~1\IMPOST~1\Temp\AnyDVDHD, 05/15/2008 03.15 PM

Questo risultato l'ho messo perchè mi appare da un bel po' questo AdvObj. Una volta cancellato con Reg Cleaner, lo lancio di nuovo e torna fuori. I misteri del pc. Ogni tanto mi sembra di essere nel film Matrix, non so voi....

light

Sembra dico sembra, in teoria, che sia tutto a posto , lo scanner funziona anche se una volta installato il software dell' Hp, al riavvio del pc mi chiede di inserire il cd originale, e me lo installa in inglese. Comunque funziona. Lo tengo in inglese. Virus..bohh dovrebbero essere spariti anche grazie a bdoriano e chemicalbit.
Vi posto il risultato di hijackthis, secondo voi ci sono stati dei miglioramenti?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.21.13, on 21/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Web Accelerator\slipcore.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Documents and Settings\utente 1\Documenti\Eraser\eraser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\Web Accelerator\slipgui.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\utente 1\Documenti\Documenti p\hijackthis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programmi\SiteAdvisor\4144\SiteAdv.dll
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programmi\Web Accelerator\PBHelper.dll
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\Programmi\Web Accelerator\components\NOWImaging.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programmi\SiteAdvisor\4144\SiteAdv.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\Web Accelerator\slipcore.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Eraser] C:\Documents and Settings\utente 1\Documenti\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: SlipStream Web Accelerator.lnk = C:\Programmi\Web Accelerator\slipgui.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6168 bytes