MegaLab.it

ciao crazy cat!

mi dai un'occhiata a questi risultati di HijackThis?
grazie

Logfile of HijackThis v1.99.1
Scan saved at 12.24.55, on 27/04/2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\PCTVOICE.EXE
C:\PROGRAMMI\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMMI\SPYWARE TERMINATOR\SPYWARETERMINATORSHIELD.EXE
C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMMI\NIKON\PICTUREPROJECT\NKBMONITOR.EXE
C:\PROGRAMMI\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMMI\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\EID.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\WINDOWS\SYSTEM\ITUNESFF.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMI\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://it.rd.yahoo.com/customize/ycomp/ ... o/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMMI\YAHOO!\COMPANION\INSTALLS\CPN1\YT.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRAMMI\SPYWARE TERMINATOR\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\SYSTEM\itunesff.exe -go -c95 -w
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O4 - Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.it
O15 - Trusted Zone: *.p0rt2.com
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.c ... urrent.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://www.mps.it/CertEnroll/CertContr ... enroll.dll
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl95.cab
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab

Un paio di vermetti da eliminare, disabilita il ripristino della configurazione, riavvia il pc e cancella gli exe che trovi qui sotto meglio se dalla modalità provvisoria, cancella anche queste righe.

C:\WINDOWS\SYSTEM\EID.EXE
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\SYSTEM\itunesff.exe -go -c95 -w
O15 - Trusted Zone: *.p0rt2.com
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl95.cab
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab

Scansione dalla modalità provvisoria con scangui o ssclean è consigliata.

aspetta... mi traduci un attimo alcune cose...

crazy.cat ha scritto: disabilita il ripristino della configurazione, .

che vuol dire? come si fa?

crazy.cat ha scritto: cancella gli exe che trovi qui sotto meglio se dalla modalità provvisoria,.

come li cancello? con doctor delete? l'altra volta ho usato questo programma!
come faccio a cancellarli dalla modalità provvisoria?

crazy.cat ha scritto: Scansione dalla modalità provvisoria con scangui o ssclean è consigliata.

cioè?


intanto ora provo a eliminare i file con doctor delete ...

MARCO79 ha scritto:aspetta... mi traduci un attimo alcune cose...
che vuol dire? come si fa?

http://www.MegaLab.it/2330

Codice: Seleziona tutto

come li cancello? con doctor delete? l'altra volta ho usato questo programma!
come faccio a cancellarli dalla modalità provvisoria?

Come avviare in modalità provvisoria
http://www.MegaLab.it/2556
e poi cerchi i file e li cancelli. (oppure delete doctor che va sempre bene)

crazy.cat ha scritto: Scansione dalla modalità provvisoria con scangui o ssclean è consigliata.

http://www.MegaLab.it/2333
http://www.MegaLab.it/2349

Fai sopratutto il punto 1, ho visto dal tuo vecchio log che uno dei virus ti è ritornato nello stesso modo.

(cambiare antivirus?)

ok, fatto grazie!

ora sto cercando di eliminare i file che mi hai detto con delete doctor e cioè...

C:\WINDOWS\SYSTEM\EID.EXE
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\SYSTEM\itunesff.exe -go -c95 -w
O15 - Trusted Zone: *.p0rt2.com
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl95.cab
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab

il primo .exe (EID.EXE ) l'ho trovato e tolto con delete doctor, il secondo (itunesff.exe) non l'ho trovato scritto come sopra, ho trovato solo itunesff.exe...è uguale?

per quanto riguarda gli altri sotto non sono riuscito a trovarli... ma anche questi devo eliminarli con delete doctor o questi si eliminano flaggando la casella con HijackThis?

E solo itunesff.exe le altre sono opzioni di avvio.

Le ultime righe le cancelli con hijackthis

fatto...

ecco il risultato... vedi altri nemici all'orizzonte?


Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\PCTVOICE.EXE
C:\PROGRAMMI\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\SPYWARE TERMINATOR\SPYWARETERMINATORSHIELD.EXE
C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMMI\NIKON\PICTUREPROJECT\NKBMONITOR.EXE
C:\PROGRAMMI\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMMI\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://it.rd.yahoo.com/customize/ycomp/ ... o/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMMI\YAHOO!\COMPANION\INSTALLS\CPN1\YT.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRAMMI\SPYWARE TERMINATOR\SpywareTerminatorShield.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O4 - Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.it
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.c ... urrent.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://www.mps.it/CertEnroll/CertContr ... enroll.dll

Per adesso no, ma hai fatto il controllo dei virus dalla modalità provvisoria?

dalla modalità provvisoria ho eliminato quei due file exe che mi hai detto, facendo proprio elimina col tasto destro del mouse... poi ho anche svuotato il cestino! così va bene?

comunque, ho notato che qualche bastardello c'è ancora ...infatti ogni volta che apro il computer, se vado a connettermi, mi crea sempre una nuova connsessione lui, con un nome utente e una password diversi, nonostante che ogni volta elimino dal pannello di controllo quella farlocca! anche l'altra connsessione che ho creato, quella corretta, vedo che mi modifica la password ...così ogni volta devo andare a risistemarla ed aggiustarla, o devo andare ad eliminare quella farlocca!

è opera sua, sono sicuro ... ma come faccio ad eliminarlo?

inoltre volevo dirti anche questa cosa: ogni giorno mi parte lo Spywere twrminator che avevo installato tempo fa su tuo consiglio... a parte il fatto che ongi giorno mi segnala che c'è un cookie che non va, e nonostante ogni volta lo rimuovo facendo "remove" non se ne va e sta sempre lì... e poi oggi mi ha segnalato la presenza di itunesff.exe ooltre all'altro cookie che mi viene a trovare ogni giorno... come faccio ad eliminarli, visto che se anche faccio remove mi ritornano?

grazie ancora!

E' lui itunesff.exe il dialer che ti crea le connessioni fasulle.

Hai un firewall installato?

Non mi rispondi se hai fatto la scansione dei virus con scangui?

ah...scusami!
no, non l'ho fatta la scansione con scangui!
la faccio?
con questa scansione in modalità provvisoria lo eliminerei?

perché non riesco a levarlo facendo con doctor delete ? l'altra volta c'ero riuscito a levarlo lo stesso file...!

il firewall non penso di averlo perché non sò neanche cosa sia!

Questo è un firewall
http://www.MegaLab.it/2383
lo installi e vedrai che dopo aver fatto una buona pulizia dei virus con scangui, dovresti riuscire a vivere più tranquillo e vedere meno ritorni indesiderati.

intanto sto provando a seguire le istruzioni per l'installazione di scangui... ho problemi pure li!!

seguendo il tuo articolo, ho fatto il comando esegui come c'è scritto, ed ho messo " /e" finale come c'è scritto, ma non succede nulla!!
è normale? vado avanti con la scansione in mod provvisoria o dovrebbe succedere qualcosa?
può essere che non succede niente perché la cartella non l'ho messa in C:\SCANGUI ma in un percorso diverso?


in ogni caso...grazie!!!

sei veramente un grande e sempre molto disponibile!!

Prova con questo sistema allora.
http://www.MegaLab.it/2349

buongiorno crazy cat!

ho fatto la scansione con sysclean e dopo quasi mezz'ora di scansione quando ho finito ho premuto "VIEW LOG" mi è comparsa una finestrella con scrittto "NO LOG TO VIEW!!
che vuol dire, che non ha trovato niente o cosa?

però il bas***do c'è ancora perché continua a rompermi le scatole con la connessione!!

che faccio?

Mi pare strano che con i due antivirus non esca nessun risultato, o sbagli qualcosa o c'è un altro ospite nascosto che li blocca.
Soluzioni:
1) carica il file exe che già conosci sul sito www.virustotal.com e vedi di che virus si tratta di preciso
2) http://www.kaspersky.com/virusscanner e ti fai uno scan online e vediamo cosa c'è di nascosto.
3) cambi antivirus e passi ad uno più serio.
4) Hai il disco formattato in fat32 o ntfs?
Se è in fat32 puoi usare questo sistema per fare una scansione
http://www.MegaLab.it/2398
più o meno è il sistema di scangui trasferito su cd rom di boot.

Se anche questo non funziona, non so più che dirti.

non ci sto capendo più niente...

ora riprovo a fare la scansione con sysclean dalla modalità provvisoria (prima nn l'ho fatto da lì...forse è quello il problema!)
dimmi una cosa... la scansione deve essere di una cartella in particolare o va bene anche la scansione di tutto il disco fisso?

inoltre...mi hai detto di controllare il nome del file .exe su virus total... quale file? itunesff.exe ?? in realtà dopo averli eliminati l'altra volta dalla modalità provvisoria sembra non ci siano più nella cartella dove era prima!
nè lui nè l'amichetto suo (EID.EXE )!
comunque sia, controllando itunesff.exe su virus total mi dice NO VIRUS FOUND, non è stato trovato virus in nessun antivirus...cioè tutti dicono la stessa cosa!!


non riesco più a trovarlo!

infine, come fqaccio a sapere se ho il disco formattato in fat32 o ntfs?

scusa, ma come vedi sto a zero col computer... se puoi , abbi pazienza con me!

ho il report di kasperski!!!!
mi ha trovato 6 virus e 11 file infetti!!
te lo metto qui sotto!



Saturday, April 29, 2006 7:49:07 PM
Operating System: Microsoft Windows Millennium Edition
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 29/04/2006
Kaspersky Anti-Virus database records: 179140


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
a:\
c:\
d:\
e:\

Scan Statistics
Total number of scanned objects 28906
Number of viruses found 6
Number of infected objects 11
Number of suspicious objects 0
Duration of the scan process 01:14:15

Infected Object Name Virus Name Last Action
c:\WINDOWS\TEMP\ICD1.tmp\eied_s7_c_95.exe Infected: Trojan-Downloader.Win32.Mediket.ci skipped

c:\WINDOWS\Application Data\Identities\{756B04B8-D717-4838-898A-7F9F418FE08E}\Microsoft\Outlook Express\posta di Marco (1).dbx/[From Gloria ][Date Sun, 2 Dec 2001 17:07:22 +0100]/UNNAMED/un’abitudineo.com Infected: Email-Worm.Win32.Magistr.b skipped

c:\WINDOWS\Application Data\Identities\{756B04B8-D717-4838-898A-7F9F418FE08E}\Microsoft\Outlook Express\posta di Marco (1).dbx/[From Gloria ][Date Sun, 2 Dec 2001 17:07:22 +0100]/UNNAMED Infected: Email-Worm.Win32.Magistr.b skipped

c:\WINDOWS\Application Data\Identities\{756B04B8-D717-4838-898A-7F9F418FE08E}\Microsoft\Outlook Express\posta di Marco (1).dbx Mail MS Outlook 5: infected - 2 skipped

c:\WINDOWS\Application Data\Identities\{756B04B8-D717-4838-898A-7F9F418FE08E}\Microsoft\Outlook Express\cristina rm 68.dbx/[From "Maria Cristina Vespa" ][Date Sat, 6 Apr 2002 17:03:00 +0200]/UNNAMED/Betty.exe Infected: not-virus:BadJoke.Win32.Zappa skipped

c:\WINDOWS\Application Data\Identities\{756B04B8-D717-4838-898A-7F9F418FE08E}\Microsoft\Outlook Express\cristina rm 68.dbx/[From "Maria Cristina Vespa" ][Date Sat, 6 Apr 2002 17:03:00 +0200]/UNNAMED Infected: not-virus:BadJoke.Win32.Zappa skipped

c:\WINDOWS\Application Data\Identities\{756B04B8-D717-4838-898A-7F9F418FE08E}\Microsoft\Outlook Express\cristina rm 68.dbx Mail MS Outlook 5: infected - 2 skipped

c:\WINDOWS\Temporary Internet Files\Content.IE5\SP630LM5\eied_s7[1].chm/eied_s7.htm Infected: Trojan-Downloader.JS.Psyme.bs skipped

c:\WINDOWS\Temporary Internet Files\Content.IE5\SP630LM5\eied_s7[1].chm CHM: infected - 1 skipped

c:\WINDOWS\internt.exe Infected: Trojan.Win32.Dialer.mw skipped

c:\RECYCLED\Q330995.exe Infected: Trojan.Win32.Small.af skipped

Scan process completed.



che dici? come li distruggo??

1) Cambia antivirus, passa ad avast

Cerca i vari file indicati ed eliminali a mano, non dovrebbe servirti Delete doctor, ma in caso puoi usarlo.
Svuota anche il cestino di windows.

c:\WINDOWS\TEMP\ICD1.tmp\eied_s7_c_95.exe
c:\WINDOWS\Temporary Internet Files\Content.IE5\SP630LM5\eied_s7[1].chm/eied_s7.htm
c:\WINDOWS\Temporary Internet Files\Content.IE5\SP630LM5\eied_s7[1].chm
c:\WINDOWS\internt.exe
c:\RECYCLED\Q330995.exe


Questi sono allegati alle mail, dovresti identificare le mail ed eliminarle.

c:\WINDOWS\Application Data\Identities\{756B04B8-D717-4838-898A-7F9F418FE08E}\Microsoft\Outlook Express\posta di Marco (1).dbx/[From Gloria ][Date Sun, 2 Dec 2001 17:07:22 +0100]/UNNAMED/un’abitudineo.com Infected: Email-Worm.Win32.Magistr.b skipped

c:\WINDOWS\Application Data\Identities\{756B04B8-D717-4838-898A-7F9F418FE08E}\Microsoft\Outlook Express\posta di Marco (1).dbx/[From Gloria ][Date Sun, 2 Dec 2001 17:07:22 +0100]/UNNAMED Infected: Email-Worm.Win32.Magistr.b skipped

c:\WINDOWS\Application Data\Identities\{756B04B8-D717-4838-898A-7F9F418FE08E}\Microsoft\Outlook Express\posta di Marco (1).dbx Mail MS Outlook 5: infected - 2 skipped

c:\WINDOWS\Application Data\Identities\{756B04B8-D717-4838-898A-7F9F418FE08E}\Microsoft\Outlook Express\cristina rm 68.dbx/[From "Maria Cristina Vespa" ][Date Sat, 6 Apr 2002 17:03:00 +0200]/UNNAMED/Betty.exe Infected: not-virus:BadJoke.Win32.Zappa skipped

c:\WINDOWS\Application Data\Identities\{756B04B8-D717-4838-898A-7F9F418FE08E}\Microsoft\Outlook Express\cristina rm 68.dbx/[From "Maria Cristina Vespa" ][Date Sat, 6 Apr 2002 17:03:00 +0200]/UNNAMED Infected: not-virus:BadJoke.Win32.Zappa skipped

c:\WINDOWS\Application Data\Identities\{756B04B8-D717-4838-898A-7F9F418FE08E}\Microsoft\Outlook Express\cristina rm 68.dbx Mail MS Outlook 5: infected - 2 skipped

perfetto!

grazie, ho eliminato i file che mi hai detto, sembra se ne siano andati!

volevo chiederti una cosa sulle mail :

in questo caso...
c:\WINDOWS\Application Data\Identities\{756B04B8-D717-4838-898A-7F9F418FE08E}\Microsoft\Outlook Express\posta di Marco (1).dbx Mail MS Outlook 5: infected - 2 skipped

questa mail è la stessa dove è stato identificato l'allegato infetto. ma perché me l'ha segnalata due volte?io per tagliare la testa al toro ho eliminato direttamente la mail, va bene o con questo msg qui sopra dovrei fare altro?

ora mi installo il firewall che mi hai detto e avast... a proposito, hai le istruzioni x la sua installazione?

grazie e buona festa