www.MegaLab.it

[coldsilence]

Bella a tutti! Qlc mi controllerebbe gentilmente questo lunghissimo logi di HijackThis. Mi sembra ci siano troppe cose (considerando che ne ho già eliminata qlc che stava anche sulla recensione del programma).... grazie![applauso]

Logfile of HijackThis v1.98.0
Scan saved at 10.34.24, on 09/08/04
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:ProgrammiSygateSPFsmc.exe
C:WINDOWSExplorer.EXE
C:ProgrammiFile comuniRealUpdate_OB ealsched.exe
C:ProgrammiAVPersonalAVGNT.EXE
C:ProgrammiIPMAdslDataWaydslstat.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32dslagent.exe
C:WINDOWSSystem32 undll32.exe
C:documents and settingsadministratorimpostazioni locali empfsg_4104.exe
C:ProgrammiJavaj2re1.4.2_04injusched.exe
C:ProgrammiAVPersonalAVGUARD.EXE
C:ProgrammiRamboosterRambooster.exe
C:ProgrammiAVPersonalAVWUPSRV.EXE
C:WINDOWSsystem32cisvc.exe
C:ProgrammiFile comuniEPSONEBAPISAgent2.exe
C:ProgrammieMuleemule.exe
C:WINDOWSsystem32cidaemon.exe
C:Documents and SettingsAdministratorDesktopHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.it/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = iexplore
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:ProgrammiMyWaymyBar2.binMYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammiAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:ProgrammiNewDotNet
ewdotnet4_85.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: C:WINDOWSlbbho.dll - {74E590C5-9CB2-410F-BAD0-C9E0CA7B310A} - C:WINDOWSlbbho.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:WINDOWSwsem216.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:PROGRA~1STARDO~1SDIEInt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:ProgrammiMyWaymyBar2.binMYBAR.DLL
O4 - HKLM..Run: [CloneCDElbyCDFL] "C:ProgrammiCloneCDElbyCheck.exe" /L ElbyCDFL
O4 - HKLM..Run: [EPSON Stylus C62 Series (Copia 1)] C:WINDOWSSystem32spoolDRIVERSW32X863E_S10IC2.EXE /P33 "EPSON Stylus C62 Series (Copia 1)" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM..Run: [EPSON Stylus C62 Series] C:WINDOWSSystem32spoolDRIVERSW32X863E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM..Run: [TkBellExe] "C:ProgrammiFile comuniRealUpdate_OB ealsched.exe" -osboot
O4 - HKLM..Run: [winregsrv] C:WINDOWSSystem32winregsrv.exe
O4 - HKLM..Run: [Rundil] C:WindowsSystemRundil.exe
O4 - HKLM..Run: [AVGCtrl] "C:ProgrammiAVPersonalAVGNT.EXE" /min
O4 - HKLM..Run: [DSLSTATEXE] C:ProgrammiIPMAdslDataWaydslstat.exe icon
O4 - HKLM..Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM..Run: [avserve2.exe] C:WINDOWSavserve2.exe
O4 - HKLM..Run: [SmcService] C:PROGRA~1SygateSPFsmc.exe -startgui
O4 - HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NewDotNet
ewdotnet4_85.dll,NewDotNetStartup
O4 - HKLM..Run: [Trickler] "c:documents and settingsadministratorimpostazioni locali empfsg_4104.exe"
O4 - HKLM..Run: [SunJavaUpdateSched] C:ProgrammiJavaj2re1.4.2_04injusched.exe
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKCU..Run: [RamBooster] C:ProgrammiRamboosterRambooster.exe
O4 - Startup: PowerReg Scheduler V3.exe
O8 - Extra context menu item: &Download with &DAP - C:PROGRA~1DAPdapextie.htm
O8 - Extra context menu item: Download with Star Downloader - C:ProgrammiStar Downloadersdie.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:WINDOWSSystem32msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:WINDOWSSystem32msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb elated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb elated.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammiMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammiMessengerMSMSGS.EXE
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .mid: C:ProgrammiInternet ExplorerPLUGINS
pqtplugin.dll
O12 - Plugin for .pdf: C:ProgrammiInternet ExplorerPLUGINS
ppdf32.dll
O12 - Plugin for .wav: C:ProgrammiInternet ExplorerPLUGINS
pqtplugin.dll
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.netpaloffers.net/NetpalOffer ... 9tlch5.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... cracks.cab
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - http://www.meadroid.com/scriptx/ScriptX.cab
O16 - DPF: {1EDF25DE-DFB2-40CA-AA83-30AE7DA8C203} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/A ... ngctrl.cab
O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} (ddm_download.ddm_control) - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/crack.CAB
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... owdown.cab
O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} (MultiDist) - http://xbs.climaxbucks.com/internet-opt ... tiDist.CAB
O17 - HKLMSystemCCSServicesTcpip..{AF3A893B-BC0C-4182-B28F-483E59D1BE12}: NameServer = 81.74.225.227 151.99.125.1
O18 - Filter: text/html - {9C1494BE-173E-44B5-B38B-59E6637F04F5} - C:WINDOWSSystem32klgecda.dll
O18 - Filter: text/plain - {9C1494BE-173E-44B5-B38B-59E6637F04F5} - C:WINDOWSSystem32klgecda.dll

[crazy.cat]

Questi sono spyware,Scaricati spybot e adware, aggiornali e fai pulizia.
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:ProgrammiMyWaymyBar2.binMYBAR.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:ProgrammiNewDotNet
ewdotnet4_85.dll
O2 - BHO: C:WINDOWSlbbho.dll - {74E590C5-9CB2-410F-BAD0-C9E0CA7B310A} - C:WINDOWSlbbho.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:WINDOWSwsem216.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:ProgrammiMyWaymyBar2.binMYBAR.DLL
O4 - HKLM..Run: [winregsrv] C:WINDOWSSystem32winregsrv.exe
O4 - HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NewDotNet
ewdotnet4_85.dll,NewDotNetStartup
O4 - HKLM..Run: [Trickler] "c:documents and settingsadministratorimpostazioni locali empfsg_4104.exe"
O4 - Startup: PowerReg Scheduler V3.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.netpaloffers.net/NetpalOffer ... 9tlch5.cab
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... cracks.cab
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - http://www.meadroid.com/scriptx/ScriptX.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab

Queste due sono sospette,non ci sono notizie
O18 - Filter: text/html - {9C1494BE-173E-44B5-B38B-59E6637F04F5} - C:WINDOWSSystem32klgecda.dll
O18 - Filter: text/plain - {9C1494BE-173E-44B5-B38B-59E6637F04F5} - C:WINDOWSSystem32klgecda.dll

Due probabili virus,dovrebbe bastarti un controllo con Stinger dalla modalità provvisoria
http://www.trendmicro.com/vinfo/virusen ... GI&VSect=T
O4 - HKLM..Run: [Rundil] C:WindowsSystemRundil.exe

http://it.mcafee.com/virusInfo/default. ... s_k=125008
O4 - HKLM..Run: [avserve2.exe] C:WINDOWSavserve2.exe

Alla fine di tutti i controlli e pulizia, rifai la scansione con hijackthis,controlla se qualche voce è ancora presente e "fixala" con hijackthis. (ricordati di cancellare i file temporanei di internet)

[glicine]

salve, inserisco questo messaggio qui per non aprire un nuovo topic, ritenendo il mio problema attinente.
ho notato che nel mio pc, al percorso C:/Programmi c'è NewDotNet, il quale mi sembra molto sospetto per vaghissimi ricordi. facendo la scansione con ad-aware e spybot mi escono come file infetti solo quelli inerenti a NDN e ho notato che crazycat, tra le altre, ha consigliato a coldsilence di cancellare anche le voci di NDN dal log di hijackthis. la cosa strana però è che, come noterete dal mio log, non ci sono voci riguardanti newdotnet. ora io, non sapendo di cosa si tratta, e avendo scaricato programmini e trucchetti vari a iosa da zane zane in questi giorni, non sono del tutto sicuro che sia qualcosa di nocivo e che quindi, andando a cancellare, andrei a disabilitare qualche trucchetto scaricato qui. voi cosa mi consigliate?
questo è il log di HJT. se c'è qualcosa altro di sospetto, fatemi sapere per favore
grazie


C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:ProgrammiSygateSPFsmc.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:ProgrammiFile comuniEPSONEBAPISAgent2.exe
C:ProgrammiFile comuniMicrosoft SharedVS7DEBUGMDM.EXE
C:WINDOWSSystem32GSICON.EXE
C:WINDOWSSystem32dslagent.exe
C:ProgrammiJavaj2re1.4.2_05injusched.exe
C:ProgrammiRealRealPlayerRealPlay.exe
C:ProgrammiWeb_RebatesWebRebates1.exe
C:ProgrammiWeb_RebatesWebRebates0.exe
C:ProgrammiPower DVDPowerDVDPowerDVD.exe
C:ProgrammiCyberLink DVD SolutionPowerProducerProducer.exe
C:ProgrammiWin DVD 4WinDVD4WinDVD.exe
C:ProgrammiMozillaMozilla FireFox 0.9.3firefox.exe
C:Programmi

[glicine]

maledizione. stesso discorso per Web_Rebates...

[crazy.cat]

Il NewDotNet magari lo avevi preso in precedenza e non ti ha cancellato la cartella, se te lo lascia fare eliminale pure.
Ti direi di reinstallare il firewall (perché non mi sembra attivo) e spybot perché ci sono dei file missing nel log.
Queste sono le voci da eliminare,scansiona con Adware o spybot e vedi se spariscono, altrimenti fixale con hijackthis

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = about:blank
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = about:blank
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll (file missing)
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:ProgrammiQuickSearchQuickSearchBar1_27.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:ProgrammiQuickSearchQuickSearchBar1_27.dll
O4 - HKLM..Run: [WebRebates0] "C:ProgrammiWeb_RebatesWebRebates0.exe"
O8 - Extra context menu item: Web Rebates - file://C:ProgrammiWeb_RebatesSy1150Tp1150scri1150a.htm
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:ProgrammiAgnitumOutpost FirewallTRASH.EXE (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:ProgrammiAgnitumOutpost FirewallTRASH.EXE (file missing) (HKCU)

Controlla nel tuo pc dove hai il file explorer.exe
O4 - HKLM..Run: [mswspl] C:WINDOWSsystem32explorer.exe -go -c9 -w
se ne trovi uno in c:windows e uno in c:windowssystem32 controlla che abbiano la stessa dimensione,data perché quello in c:windowssystem32 non dovrebbe esserci e per me sarebbe da eliminare come la voce che ti indico sopra.

[glicine]

non credo che il mio firewall non sia attivo: i file missing riguardano outpost che ho disinstallato, avendo lasciato il solo Sygate (ho seguito alla lettera le istruzioni nella guida linkata in zanezane, sto avendo i problemi di cui si discute qua: firewall scarso o cosa?). in merito a spybot, non saprei dire, è strano, comunque ho disinstallato ereinstallato come mi hai detto tu. la cosa che non capisco è come due delle voci sospette siano legate all'update di windows e a panda activescan. è normale? inoltre ho messo il digisoft antidialer e ho una connessione adsl: inutile?
per quanto riguarda explorer.exe, devo dire che non ho trovato il file in C:/Windows/System32, però -non so se può essere utile- c'è in C:/Windows/Prefetch il file "EXPLORER.EXE-082F38A9.pf", che mi risulta come "applicazione sconosciuta": cancello stesso?
ad ogni modo, ecco il nuovo log

C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:ProgrammiSygateSPFsmc.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:ProgrammiFile comuniEPSONEBAPISAgent2.exe
C:ProgrammiFile comuniMicrosoft SharedVS7DEBUGMDM.EXE
C:WINDOWSSystem32GSICON.EXE
C:WINDOWSSystem32dslagent.exe
C:ProgrammiJavaj2re1.4.2_05injusched.exe
C:ProgrammiRealRealPlayerRealPlay.exe
C:programmidivxdivx pro codecgain_trickler_3202.exe
C:Programmi

[crazy.cat]

Se ti riferisci a queste sono dei plugin che vengono installati quando fai l'update o lo scan online (sono buone voci)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3730887512
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
Non è che tutto quello che mostra la scansione sia da buttare o pericoloso.
I dialer non attaccano le linee adsl quindi il programma è inutile.
X il firewall hai ragione mi era sfuggito il sygate
Cancella solo queste due righe
O4 - HKLM..Run: [mswspl] C:WINDOWSsystem32explorer.exe -go -c9 -w
O4 - HKLM..Run: [Trickler] "c:programmidivxdivx pro codecgain_trickler_3202.exe"

[glicine]

temo di aver combinato un guaio! avevo le finestre del browser col tuo mex e quella di hijack aperte "a metà" e non mi sono accorto che il mex che stavo leggendo nella finestra del browser era il mio con i log di hijack. risultato: ho cancellato alcune voci del log che non mi hai indicato (da lì l'equivoco su win update e pandascan, che infatti nn mi hai segnalato come nocive). dovrebbe essere questo l'elenco delle voci cancellate erroneamente:

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:WINDOWSSystem32msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:WINDOWSSystem32msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3730887512
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLMSystemCCSServicesTcpip..{6C1D211A-2777-4E1B-B0A4-A1CE51F53D2F}: NameServer = 80.21.163.20 151.99.125.1

strano che quest'ultima voce si è "riprodotta" al riavvio. comunque è grave questa cancellazione? non c'è modo di rimediare?

come mai mi fai cancellare anche la stringa di explorer nonostante abbia trovato un file relativo? e soprattutto l'altro del divx? non è normale? non è sfiducia, ci mancherebbe[prego] è solo che attraverso i problemi, cerco anche di imparare qualcosina nei limiti del possibile, cioè quando non è troppo complicato fornire spiegazioni. non credo di andare in OT se ti chiedo dove posso vedere i risultati della scansione con Stinger, visto che lo hai consigliato a coldsilence.

[crazy.cat]

n caso si eliminasse qualche voce di troppo basta portarsi su "Config – Backups" e troverete la lista di quello che avete eliminato, premete "Restore" e ritornerà al suo posto.
Tue parole
"devo dire che non ho trovato il file in C:/Windows/System32"
L'altro che hai trovato è una cosa diversa.
Questo è uno spyware che devi aver installato adesso perché nel log prima non c'era.
O4 - HKLM..Run: [Trickler] "c:programmidivxdivx pro codecgain_trickler_3202.exe"
Fai la scansione con stinger e alla fine ti mostra cosa ha trovato.
L'ultima voce che si è "riprodotta" sono gli indirizzi del tuo provider.

[glicine]

questo è il log attuale, spero sia finalmente pulito. comunque è normale che con sygate abbia potuto avere questi problemi. dimmi se devo cambiare topic per questo

C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:ProgrammiSygateSPFsmc.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:ProgrammiFile comuniEPSONEBAPISAgent2.exe
C:ProgrammiFile comuniMicrosoft SharedVS7DEBUGMDM.EXE
C:WINDOWSSystem32GSICON.EXE
C:WINDOWSSystem32dslagent.exe
C:ProgrammiJavaj2re1.4.2_05injusched.exe
C:programmidivxdivx pro codecgain_trickler_3202.exe
C:ProgrammiMozillaMozilla FireFox 0.9.3firefox.exe
C:ProgrammiMSN Messengermsnmsgr.exe
C:ProgrammiMozillaMozilla Thunderbird hunderbird.exe
C:ProgrammiMozillaMozilla Thunderbird hundertray hundertray08 hundertray.exe
C:Programmi

[crazy.cat]

Non è tanto un problema di firewall il beccare gli spyware, ho sygate anche io e va bene.
Con spybot c'è la funzione immunizza devi usare quella per bloccare il ritorno di tantissimi spyware.
Stessa cosa c'è in spywaresblster (enable all protection), funzionano bene tutte e due e riducono di parecchio il numero delle reinfezioni.