Problemi Con La Connessione

tonirenda · January 13, 2010

dopo aver seguito alcune conversazioni sul vostro forum, penso che possiate aiutarmi solo voi, perchè con le mie sole forze e la mia poca conoscenza in merito non so più cosa fare.

il mio problema principale è (perlomeno sino a quando questo pomeriggio non ho scaricato un antidialer) la disconnessione, se da un lato alice mi risulta disconnessa dall'altro la rete lan no,ora seguendo alcune discussioni sui vari forum del web e seguendo un po l'istinto sono andato alla ricerca dei driver di connes. alla rete lan,(e questi sono: RODll.dll,CnxTrApp.dll,CnxTrLan.sys), purtroppo penso di essere incappato in qualcosa che bypassi la mia connessione connettendosi con numeri a pagamento(spero di no perchè se fosse anche solo per spiegarvi la mia situazione mi sta costando parecchio), in quanto l'antidialer mi dice che il numero non è tra quelli ammessi dalla normale connessione, ma io nel frattempo sono qui che parlo con voi.

seguendo qualche vostro consiglio che avete dato in casi simili al mio ho scaricato hijack, ma non ne capisco bene il funzionamento, di suo non fa di antivirus, vero?, mi permetto di postare qui i suoi risultati...

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 6.17.55, on 01/01/2000

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Spyware Terminator\SpywareTerminatorUpdate.exe

C:\Programmi\Digisoft AntiDialer\AntiDialer.exe

C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe

C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe

C:\Programmi\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\Alice ti aiuta\bin\mpbtn.exe

C:\Programmi\Mozilla Firefox\firefox.exe

C:\Documents and Settings\BRODINO\Documenti\Download\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.a...&tbid=60347

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60347

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60347

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60347

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60347

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programmi\Crawler\Toolbar\ctbr.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programmi\Crawler\Toolbar\ctbr.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O3 - Toolbar: Toolbar &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programmi\Crawler\Toolbar\ctbr.dll

O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Aethra\ADSL EB1070 USB\CnxTrApp.dll",AppEntry -REG "Aethra\ADSL EB1070 USB"

O4 - HKLM\..\Run: [spywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spywareTerminatorUpdate] "C:\Programmi\Spyware Terminator\SpywareTerminatorUpdate.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe

O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programmi\Crawler\Toolbar\ctbr.dll

O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

--

End of file - 4814 bytes

Oltre tutto sto scaricando Kaspersky, oltre il mio normale antivirus, che non mi sagnala alcun problema, ma il download è terribbilmente lento, è possibile che i problemi siano legati uno all'altro;come il fatto che da un paio di giorni mi spuntino delle finestre X durante la connessione;spero che mi possiate aiutare...io non so propio che fare .

grazie per quello che fate in questo come in altri forum.

Luna75 · January 13, 2010

Ciao, scarica combofix come spiegato in questa guida: http://forum.wininizio.it/index.php?showtopic=98188

scaricalo sul desktop, prima di lanciarlo disconnettiti dal web, disattiva av e firewall e segui le indicazioni per il tuo sistema operativo.

Allega anche un report di www.malwarebytes.org (completo).

pike · January 13, 2010

Aggiungo una banalità... se non hai un modem analogico (non adsl, non cellulare) sul tuo computer, sei libero da possibili problemi economici causati dall'ipotetico dialer.

Se invece l'hai, scollega da questo il cavo telefonico. Al massimo cercherà di fare E.T. senza tutta la sua attrezzatura.

Nel tuo log di HijackThis mi sembra che hai una Adsl Telecom italia. Quindi, se l'unico cavo telefonico nei dintorni è collegato al modem di alice, lascialo pure dov'è.

Il modem ADSL non può comporre numeri telefonici

tonirenda · January 14, 2010

ok, grazie. ora comincio e vediamo come va...

tonirenda · January 14, 2010

quetsi sono i risultati di comboFix ma ancora il problema persiste...

ComboFix 10-01-13.0B - BRODINO 14/01/2010 12.53.46.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.831.531 [GMT 1:00]

Eseguito da: c:\documents and settings\BRODINO\Desktop\ComboFix.exe

AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!

.

((((((((((((((((((((((((( Files Creati Da 2009-12-14 al 2010-01-14 )))))))))))))))))))))))))))))))))))

.

2010-01-13 22:01 . 2010-01-13 22:01 80400 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\fssync.dll

2010-01-13 22:01 . 2010-01-13 22:01 109072 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\mzvkbd3.dll

2010-01-13 22:01 . 2010-01-13 22:01 315408 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\sys\i386\5.1\klif.sys

2010-01-13 22:01 . 2010-01-13 22:01 80400 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\fssync.dll

2010-01-13 22:01 . 2010-01-13 22:01 109072 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\mzvkbd3.dll

2010-01-13 22:01 . 2010-01-13 22:01 315408 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\sys\i386\5.1\klif.sys

2009-12-23 09:47 . 2000-01-01 02:24 -------- d-----w- c:\programmi\CodeStuff

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-01-14 12:05 . 2000-01-01 08:11 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab

2010-01-14 00:32 . 1999-12-31 23:51 -------- d-----w- c:\programmi\WinClamAVShield

2009-12-03 01:31 . 2004-08-19 12:00 48790 ----a-w- c:\windows\system32\perfc010.dat

2009-12-03 01:31 . 2004-08-19 12:00 348238 ----a-w- c:\windows\system32\perfh010.dat

2009-10-23 14:17 . 2009-10-23 14:17 64072 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 2010 9.0.0.736\Italian\setup.exe

2009-10-20 19:34 . 2009-10-20 19:34 219664 ----a-w- c:\windows\system32\klogon.dll

.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Nota* i valori vuoti & legittimi/default non sono visualizzati.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpywareTerminatorUpdate"="c:\programmi\Spyware Terminator\SpywareTerminatorUpdate.exe" [1999-12-31 3055616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CnxTrApp"="c:\programmi\Aethra\ADSL EB1070 USB\CnxTrApp.dll" [2004-04-20 247296]

"SpywareTerminator"="c:\progra~1\SPYWAR~1\SpywareTerminatorShield.exe" [1999-12-31 2166784]

"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]

"AVP"="c:\programmi\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe" [2009-10-20 340456]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\

Alice ti aiuta.lnk - c:\programmi\Alice ti aiuta\bin\matcli.exe [2000-1-1 212992]

Digisoft AntiDialer.lnk - c:\programmi\Digisoft AntiDialer\AntiDialer.exe [2003-8-19 730112]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programmi\\Spyware Terminator\\SpywareTerminatorUpdate.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14/10/2009 21.18.34 36880]

R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [01/01/2000 0.46.10 142592]

R2 Network WanMiniport First Position;Network WanMiniport First Position;c:\programmi\Telecom Italia\WanMiniport1st\srvany.exe [01/01/2000 0.26.47 8192]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14/09/2009 14.42.46 32272]

R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02/10/2009 19.39.44 19472]

.

------- Scansione supplementare -------

.

uInternet Settings,ProxyOverride = 127.0.0.1

IE: Crawler Search - tbr:iemenu

IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\programmi\Crawler\Toolbar\ctbr.dll

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\BRODINO\Dati applicazioni\Mozilla\Firefox\Profiles\7vtpkfuf.default\

FF - component: c:\programmi\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-14 13:05

Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo

Files nascosti: 0

**************************************************************************

.

------------------------ Altri processi in esecuzione ------------------------

.

c:\programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe

c:\programmi\Spyware Terminator\sp_rsser.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\rundll32.exe

c:\programmi\Alice ti aiuta\bin\mpbtn.exe

.

**************************************************************************

.

Ora fine scansione: 2010-01-14 13:10:24 - Il pc è stato riavviato

ComboFix-quarantined-files.txt 2010-01-14 12:10

Pre-Run: 28.394.668.032 byte disponibili

Post-Run: 28.368.760.832 byte disponibili

- - End Of File - - 06D186B2A771595EA0F6CB8C980EDF45

...

tonirenda · January 15, 2010

salve ragazzi, purtroppo sono nella stassa situazione, forse anzi devo dirvi che peggiora, ,

oggi il pc si è impallato(bloccato) diverse volte, e non solo nella apertura di file in rete o nel loro downlaod,

ma anche nell'accensione, così ho scaricato code stuff per impedire avviamento di una serie di programmi e connessioni inutili, guardando un pò petr curiosità le applicazioni che venivano aperte all'avvio di Windows in questo modo mi sono imbattuto in un paio di loro che mi sono sembrate strane:

CnxTrApp:Rundll32.exe "C:\programmi\aethra\adsl EB1070USB (che a me suona strano anche perchè è uno dei driver della rete lan, che poi è quella che io non riesco a chiudere se non disabilitandola)

Ctfmon.exeC:\WINDOWS\system32\ctfmon.exe(che oggi credo sia stata cancellata da combofix credo in quanto era posta sotto la voce default=Ctfmon.exe....)

l'altra è la stessa soltanto scritta in maiuscolo CTFMON.EXE:C.\.....

e vari processi sotto nome svchost.exe

ma la voceche più mi ha stranito va posta sotto servizi

SERVER Nome(lanmanserver)Avvio(automatico)Processo(condiviso"che significa?"e da chi è condiviso")Eseguibile(C:\WINDOWS\system32\svchost.exe -k netsvcs) quetsa abbilita l'avvio di processi con credenziali alternative. Se il servizio è stato arrestato, questo tipo di accesso non sarà disponibile. Se il servizio è disabilitato, i servizi da esso dipendenti non verra avviati.Poi continua con Log come (local system) Controllo errore (ignora).

e ci sono anche degli altri servizi legati a questo svchost.exe come la voce Telefonia, e WebClient...

sapete dirmi qualcosa su queste applicazioni sono benigne o maleware?

gli anti-maleware non me li evidenziano gli antivirus sono obsoleti...

se qualcuno mi puo aiutare, anche a saperne di più...

Luna75 · January 16, 2010

Ciao Tonirenda, ci sono tracce di Kaspersky av 9, dovresti aggiornare sia questo, sia il sistema operativo, sia il web browser, perchè così sicuramente il pc è vulnerabile. Non vedo partire all'avvio nessun software antivirus, mi confermi?

tonirenda · January 18, 2010

ciao luna, come antivrus in realtà io non uso il kasper. ma terminetor(lo conosci?), e siccome mi entrava in conflitto con quest'ultimo ho deciso di disistallarlo, l'avevo scaricato in quanto pensavo che sarebbe riusciuto ad eliminare il mio problema o quanto meno rintracciarlo, ma purtroppo niente di fatto. Ho fatto come mi hai consiglito di aggiornare il browser e così sono andato a scaricare l'ultima versione di firefox 3.5.7, così comunque da avere più protezione quanto meno di qua in avanti...mi chiedevi se all'avvio ci fossero o meno degli av, si ho solo mensionato quei processi che mi sebrano un pò sospetti... grazie per la tua attenzione, vedo come si evolvono le cose e terrò aggiornata la discussione anche perchè possa servire anche di rifermento per altri

tonirenda · January 18, 2010

nuovo aggiornamento....ho due cartelle che fanno capo ad "alice adsl", una scritta in grande una in piccolo...che faccio?

tonirenda · January 19, 2010

ho fatto delle piccole ricerche sui processi che mi sembravano sospetti, il problema principale è che anche se so c'è sempre un dubbio di "initerpretazione"...date un'occhiata

...

127.0.0.1 localhost....(numero da evidenziare come sospetto di dislocamento della connessione)

C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe

C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe(auto run che si trovano in una delle due cartelle di adsl alice)"io ho cominciato a leggere i documenti che avete messo a disposizione su hijack è come interpretare le stringhe, e mi sebra che questo numero sia anche lì citato, questo processo host l'ho rintracciato sempre con hijack.

srvany.exe:(srvany.exe è un'applicazione supplementare di Microsoft Windows che permette che un eseguibile sia fatto funzionare come un service. Questo programma è un processo non indispensabile del sistema, ma non dovrebbe essere terminato a meno che ritenuto sospetto causare i problemi.Raccomandazione

srvany.exe se sia disabled, richiesto per le applicazioni essenziali per funzionare correttamente.. Altamente è suggerito a ottimizzare automaticamente memoria, regolazioni del Internet e del CPU.)

svchost.exe:Inabiliti e rimuova svchost.exe IMMEDIATAMENTE. Questo processo è più probabile un virus o un Trojan. Altamente è suggerito a ottimizzare automaticamente memoria, regolazioni del Internet e del CPU. svchost.exe è un process che è registrato come Trojan. Questo Trojan permette che gli attaccanti accedano al vostro calcolatore dalle posizioni a distanza, rubanti le parole d'accesso, le attività bancarie del Internet ed i dati personali. Questo processo è un rischio per la sicurezza e dovrebbe essere rimosso dal vostro sistema.(svchost.exe è un'appartenenza trattata del sistema al Microsoft Windows Operating System)sembra ok, ma non capisco il perchè sia legato a così tanti processi, e soprattutto ai processi di rete.

Ctfmon.exe:Inabiliti e rimuova ctfmon.exe IMMEDIATAMENTE. Questo processo è più probabile un virus o un Trojan. Altamente è suggerito a ottimizzare automaticamente memoria, regolazioni del Internet e del CPU(controllare destinazione d'uso è anche un processo di microsoft office)questo mi sta dando non pochi problemi, non riesco ad eliminarlo definitivamente ho provato sia con terminetor (che da questo punto di vista non mi aveva dato mai problemi ha sempre terminato le operazioni che anche con altri av non riuscivo ad eliminare)sia con hijack(compreso di ravviamento).

smss.exe:smss.exe è un processo che è una parte del Microsoft Windows Operating System,Session Manager Subsystem(ma è anche segnalato come un trojan ... "%system%\\smss.exe")ma a me sembra che non dia alcun problema.

da controllare:

winlogon.exe:Microsoft Windows Logon Process

RODlL.dll:telecom frace...telecon frace????!!=?

CnxTrApp.dll: non ci sono informazioni al riguardo

lsass.exe:Microsoft Windows Operating System

msmsgs.exe is the main process relating to the MSN Messenger Internet chat(ma...msmsgs.exe is a process which belongs to the W32.Alcarys.B@mm virus. If found on your system make sure that you have downloaded the latest update for your antivirus application.\r This process is a security risk and should be removed from your system.\r )

O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll(probablile maleware)The file ONBTTNIE.DLL is a legitimate component of Microsoft OneNote. The file size is 604000 with the MD5 signature of 80C412B3E7304FE87C9CDB1836F0160A.This file is not a security threat but the product has been associated with the following known vulnerabilities which have been used to compromise machines.(il file sembra ok)

refiebar.dll - refiebar - DLL Information

DLL Name: Microsoft Office Research Assistant Module

services.exe:Windows Service Controller

Explorer.EXE:Microsoft Windows Operating System,%windir%\explorer.exe(ma anche trojan:trojan.w32.ZAPCHAST,%system%\explorer.exe)non mi sebra sia un trojan.

GR99D3~1.dll is related to Microsoft Office Groove(è ok)...

qui di seguito posto il log di hijack non essendo ancora capace di interpretarlo: (o almeno del tutto)

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 0.27.53, on 01/01/2000

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe

C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe

C:\Programmi\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Windows Media Player\wmplayer.exe

C:\Programmi\Mozilla Firefox\firefox.exe

C:\Programmi\Adobe\Reader 9.0\Reader\AcroRd32.exe

C:\HiJackThis\HijackThis.exe

C:\WINDOWS\notepad.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60347

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60347

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programmi\Crawler\Toolbar\ctbr.dll

O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programmi\Crawler\Toolbar\ctbr.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O3 - Toolbar: Toolbar &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programmi\Crawler\Toolbar\ctbr.dll

O4 - HKLM\..\Run: [spywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"