MegaLab.it

Salve ragazzi, approfitto per la terza volta della vostra disponibilità e della vostra preparazione. Ho un problema davvero strano da qualche tempo... Nella cartella Incoming di emule appaiono (apparentemente dal nulla) più di 1 Gb di archivi .rar tutti di dimensione di 1,90 Mb. I nomi sono quelli di famosi prodotti software, come Norton Antivirus, Panda Antivirus, Adobe e un sacco di altri programmi. In più sono accompagnati da un anonimo file senza estensione chiamato "Paramore" di 0 kb. Ho lanciato una scansione approfondita con il mio Avast Home 4.7 (aggiornato!!) che ha rilevato 22 files infetti, e ha risolto molti problemi (ma nessuno collegato con gli archivi, i più erano falsi allarmi, come dvd salvati sul disco fisso...). Per favore, potete aiutarmi a venire a capo del problema? In tutto internet ho trovato in un forum un solo messaggio che parla di questo problema... Grazie anticipatamente a tutti coloro che mi daranno una mano.
Grazie allo staff di MegaLab per gli ottimi articoli! A presto (spero non per chiedere aiuto! )
Ciao.

zenith ha scritto:Nella cartella Incoming di emule appaiono (apparentemente dal nulla) più di 1 Gb di archivi .rar tutti di dimensione di 1,90 Mb. I nomi sono quelli di famosi prodotti software, come Norton Antivirus, Panda Antivirus, Adobe e un sacco di altri programmi. In più sono accompagnati da un anonimo file senza estensione chiamato "Paramore" di 0 kb. Ho lanciato una scansione approfondita con il mio Avast Home 4.7 (aggiornato!!) che ha rilevato 22 files infetti, e ha risolto molti problemi (ma nessuno collegato con gli archivi, i più erano falsi allarmi, come dvd salvati sul disco fisso...).

Cioè?? Dopo aver rimosso i file con Avast! ne sono rimasti tuttavia alcuni?? Che tipi di virus/falsi allarmi erano (nome)?

Prova a fare piazza pulita dei file rimasti con un simpatico software, unlocker:
http://ccollomb.free.fr/unlocker/

In più controlla con hijackthis e postaci il log qualora fossero files legati ad un qualche malware sul pc.

Ciao.

Ragazzi non ho idea di che files siano rimasti non cancellati, comunque la cosa allarmante che ho scoperto ora è che... spesso si generano automaticamente ogni volta che accedo alla cartella. Se ad esempio la aggiorno, trovo 100 mb in più di files... appena possibile controllerò il log della scansione e provero il test che mi hai suggerito. Intanto tengo d'occhi questo fatto della generazioen automatica.
Teniamoci in contatto su questo forum, grazie mille.
Ciao

Il problema è all'avvio di Windows. La cartella Incoming si riempie di centinaio di archivi tutti della stessa dimensione (1,09 mb) e appena ne cancello un centinaio ne appaiono altri cento e più.
Da solo una settimana avevo tolto il Norton Internet security perché rallentava troppo il pc e ora con Avast sta succedendo il casino... . Dovete capire che sono molto attaccato al mio pc e ogni problema mi sembra un grave problema personale...
Sono ora sicuro di aver preso un virus. Aiuto, per favore!!! Non voglio formattare! E se i dati non backupati fossero infetti? Help!

Prova a spostare da eMule la cartella di destinazione dei download, e cancellare la precedente.

Se ancora non risolvi segui queste istruzioni:

Scarica HijackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Quindi copia il contenuto del blocco note qui sul forum.

zenith ha scritto:Da solo una settimana avevo tolto il Norton Internet security perché rallentava troppo il pc e ora con Avast sta succedendo il casino

(Premetto che non credo sia quella la causa del problema)
Dopo aver disinstallato il norton, il programma lascia diverse "schifezze" del pc e nella peggiore delle ipotesi anche bloccare la rete (a me è successo con Norton 360 °_° ...)
http://www.mydigitallife.info/2007/08/0 ... oval-tool/

zenith ha scritto:Sono ora sicuro di aver preso un virus. Aiuto, per favore!!! Non voglio formattare! E se i dati non backupati fossero infetti? Help!

Prova a fare una scansione completa con Avast!e a fare una scansione con kaspersky online...

Ciao.

Questo è il risultato della scansione.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.03.57, on 28/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programmi\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE
C:\Programmi\Wireless-G USB Network Adapter with RangeBooster\WLService.exe
C:\Programmi\Wireless-G USB Network Adapter with RangeBooster\WUSB54GR.exe
C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\CyberLink\PowerCinema\PCMService.exe
C:\Programmi\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe
C:\Programmi\HP\HP Software Update\HPwuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\HDD Thermometer\HDD Thermometer.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\eMule\emule.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE= ... pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE= ... pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE= ... pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [HPHUPD08] c:\Programmi\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Programmi\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Synchronization Agent] C:\Programmi\Sync Manager\agent\syncagent.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programmi\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe
O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - S-1-5-18 Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?965ab66728e14eb38fdd558a2d319bef
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?965ab66728e14eb38fdd558a2d319bef
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Guida alla connessione - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\con=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Guida alla connessione - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\con=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 7743387359
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://zenith90.spaces.live.com/PhotoUp ... nPUpld.cab
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (MediaBar) - http://sib1.pvw.od2.com/common/musicman ... Plugin.CAB
O16 - DPF: {C9386579-3C0F-4713-82C6-5BA8088C7C8D} (Windows Live SkyDrive Upload Tool) - http://shared.live.com/0AWo70tq93pEHO1W ... Upload.cab
O20 - AppInit_DLLs: WIKI.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programmi\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE
O23 - Service: WUSB54GR - GEMTEKS - C:\Programmi\Wireless-G USB Network Adapter with RangeBooster\WLService.exe

--
End of file - 11234 bytes


Sapete dirmi di che si tratta? C'è una soluzione?
I files dell'hdd potrebbero essere infetti? Non sono esperto di software (un po' più di hardware...) ma spero di no. Potrei trasmettere il problema ad altri pc ad es. com e-ail o messenger? Teniamoci in contatto. Grazie a tutti.

che brutti questi nomi.......
O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe
O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
controlla se i file sono presenti nel tuo pc e prova a caricarli sul sito www.virustotal.com
Se sono infetti, li elimini con killbox o unlocker e cancelli le righe con hijackthis

Usi wikipedia offline?
O20 - AppInit_DLLs: WIKI.DLL

O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe
O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe

Ok ragazzi li ho trovati. Si annidavano in Windows/System32, i maledetti. Sono stati analizzati e risultavano infetti in quasi tutti i casi (guarda un po' in Avast! no ). Li tengo sotto controllo e mi accingo a cancellarli... Se non doversse bastare il classico CANC+SHIFT, cosa mi consigliate di fare?
Ci sono altri problemi nel log?
Siete formidabili! Confido in una risoluzione positiva. Grazie.

Seleziona le voci incriminate e premi fix checked.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il flag su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C.\WINDOWS\System32\WinSecure.exe
C:\WINDOWS\System32\NTSpool.exe

Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Accidenti ragazzi... Li ho cancellati con il classico canc+shift!! Pensavo che non avrebbe funzionato! Dovrei riavviare il pc e vedere se ci sono ancora o che fare?

riavvia e controlla se si riformano.

Ciao ragazzi, ho appena riavviato il pc. NON CI POSSO CREDERE!!! Non sono riapparsi! Non ho parole per ringraziarvi... Grazie mille!!! Siete fantastici... Grazie grazie grazie grazie grazie!!
W MegaLab, W il megaforum!
Grazie a tutti coloro che mi hanno aiutato. Ci becchiamo tra gli articoli sul sito! Ciao.
Daniele

Buongiorno a tutti.
Ho lo stesso problema di zenith.
Ho fatto una scansione con Avast, ha trovato un virus, pensavo che tutto fosse a posto. Ho riavviato, apro la cartella incoming di emule, e....mille file RAR.
Ho fatto la scansione con hijack, ecco il mio file, vi prego, aiutatemi!
(sono un disastro informatico)
Cosa devo cancellare?
Grazie mille, davvero
Otto
--------------------
Logfile of HijackThis v1.99.1
Scan saved at 15.25.25, on 02/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Avast4\aswUpdSv.exe
C:\Programmi\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\CTHELPER.EXE
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Programmi\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Portrait Displays\Pivot

Software\wpctrl.exe
C:\Programmi\Creative\Prodikeys\Prodload.exe
C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmi\Microsoft ActiveSync\Wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbar

Notifier.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmi\NETGEAR\WG111T Configuration

Utility\wlan111t.exe
C:\Programmi\Portrait Displays\Pivot

Software\floater.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Programmi\File comuni\Portrait

Displays\Shared\DTSRVC.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\Programmi\Avast4\ashMaiSv.exe
C:\Programmi\Avast4\ashWebSv.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\File

comuni\Ahead\Lib\NMIndexingService.exe
C:\Documents and

Settings\user\Desktop\Applicazioni\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet

Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader

- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programmi\File

comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-

206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-

D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03

\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-

8333-CF10577473F7} -

c:\programmi\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58

-4638-B6FA-CE66B5AD205D} -

C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164

\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-

009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SplashDisplayer]

C:\WINDOWS\system32\ISTHTB.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB

Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched]

"C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4

\ashDisp.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File

comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe"

-Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4]

"C:\Programmi\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File

comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher]

"C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HPWVTOOLBOX] C:\Programmi\HP\HP

Photosmart Pro B8300 series\Toolbox\HPWVTBX.exe "-i"
O4 - HKLM\..\Run: [HP Software Update]

C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PivotSoftware]

"C:\Programmi\Portrait Displays\Pivot

Software\wpctrl.exe"
O4 - HKLM\..\Run: [ProdikeysAutorun]

C:\Programmi\Creative\Prodikeys\Prodload.exe
O4 - HKCU\..\Run: [Creative Detector]

C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe

/R
O4 - HKCU\..\Run: [H/PC Connection Agent]

"C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32

\ctfmon.exe
O4 - HKCU\..\Run: [swg]

C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbar

Notifier.exe
O4 - Global Startup: Acrobat Assistant.lnk =

C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk =

?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-

AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03

\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-

070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3

\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-

9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti

portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -

C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE

-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11

\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616}

(DivXBrowserPlugin Object) -

http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D}

(HpProductDetection Class) -

http://h20270.www2.hp.com/ediags/gmn2/install/HPProduct

Detection.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{728E9581-ED09

-44B3-8D16-030C91ABCC89}: NameServer = 192.168.0.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-

00C04F8EC294} - C:\Programmi\File comuni\Microsoft

Shared\Help\hxds.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32

\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-

95D7-94D524869DB5} - C:\WINDOWS\system32

\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv)

- ALWIL Software - C:\Programmi\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner -

C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner -

C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software -

C:\Programmi\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner -

C:\Programmi\Avast4\ashMaiSv.exe" /service (file

missing)
O23 - Service: avast! Web Scanner - Unknown owner -

C:\Programmi\Avast4\ashWebSv.exe" /service (file

missing)
O23 - Service: Canon Camera Access Library 8 (CCALib8)

- Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access -

Creative Technology Ltd - C:\WINDOWS\system32

\CTSvcCDA.EXE
O23 - Service: Portrait Displays Display Tune Service

(DTSRVC) - Unknown owner - C:\Programmi\File

comuni\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: Google Updater Service (gusvc) - Google

- C:\Programmi\Google\Common\Google

Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling

Service (LightScribeService) - Hewlett-Packard Company

- C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG -

C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG -

C:\Programmi\File

comuni\Ahead\Lib\NMIndexingService.exe

Il log è pulito.

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

Grazie mille.
Ho fatto quanto indicato
I° passaggio, caricato file 1, ecco il link
http://www.freefilehosting.net/download/3d1gb
II°passaggio, caricato file 2, ecco il link
http://www.freefilehosting.net/download/3d1gh

Grazie ancora e complimenti per l'avatar :-)

Otto

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il flag su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C.\WINDOWS\System32\WinSecure.exe
C:\WINDOWS\System32\NTSpool.exe

Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Ciao e grazie
Credo che avenger abbia una nuova versione
Non c'è nessuna lente
Ho messo il file da "copy from clipboard", e mi copia perfettamente il tuo testo.
Però viene fuori il messaggio:
Error: invalid script. A valid script must begin with a command directive.
Aborting execution.
Cos'ho fatto di male???
:-(((((((((((
Mi spiace...
otto

Correggo:
ho riprovato varie volte e ci sono riuscito (ho messo i due punti dopo il primo C, nel tuo mess. ce n'era uno solo).
Ecco il blocco note

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\System32\WinSecure.exe" deleted successfully.
File "C:\WINDOWS\System32\NTSpool.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Ho riaperto poi la cartella incoming di emule ed è vuota :-))))
Se così è tutto a posto, ribgrazio infinitamente.
(solo quando si è riavviato il pc è apparso un messaggio inquietante che diceva che non trovava windows. L'ho chiuso e tutto è andato bene).
E' dunque tutto a posto?

Grazie davvero anche per la celerità delle risposte.
otto

Sembra tutto a posto