Explorer In Esecuzione Con Connessione Di Rete

[POLLICINO37]

ciao , grazie per avermi risposto, provo ad postarti il mio log.

spero di aver eseguito il procedimento corretto, in caso non ti fosse arrivato ti prego spiegami

come si usa il forum correttamente.

comunque torniamo a noi......iero sera ho creato il log, lo salvato, poi ho provato ha lanciare AD-AWARE SE PERSONAL, dopo averlo aggiornato, dopo qualche secondo di scansione, dopo avermi trovato 2 spyware (sotto c:/windows/system32 ) il pc si è resettato, riprovato in modalità provvisoria stesso risultato. Se non faccio la scansione non si resetta!!

non mi era mai successo una cosa simile.

il problema iniziale era: zone allarm mi bloccava 2 programmi che cercavano di andare in eseguzione: EXPLORER - SPOOLVS , cosa sono? e subito dopo apriva la connessione da internet ( ADSL alice 4 mega ) dopo mi apriva un sito ERRORSAFE ????

un bel casino vero ?

se puoi fare qualcosa per salvare il mio PC tene sono grato!!!

grazie anticipatamente

log_16_2_06.txt

[Steve Fox]

Prima di procedere devi scaricarti i seguenti programmi: (installali tutti e quelli che lo richiedono, AGGIORNALI)

Microsoft AntiSpy (Antispy - Real Time)

Spybot 1.4 (Antispy)

Ad_Aware (Antispy)

CwShredder (Protezioni)

SpyWare Blaster (Protezioni)

RegSeeker (Pulizia del Registro)

Ccleaner (pulizia file inutili)

__________________________________________________________________

In questa pagina di Kuma puoi leggere una breve guida su Hijack

Esegui queste operazioni >>> (Stampa la pagina)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disattiva il RIPRISTINO DI CONFIGURAZIONE su tutte le unità (<<< SOLO SE HAI WINDOWS XP)

(NOTA: Questo eliminerà tutti i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo un paio di giorni da questa procedura)

Per disattivare il ripristino di configurazione del sistema:

Da Start/Pannello di controllo/Sistema/vai sulla scheda "ripristino di configurazione di sistema"/metti la spunta nella casella/Applica/Ok

Avvia il sistema in modalità provvisoria

Come avviare in modalità provvisoria:

Dopo aver esegito il passaggio precedente, riavvia il pc, dopo la schermata della RAM premi ripetutamente il tasto F8, attendi qualche secondo e ti uscirà una schermata con delle opzioni, tu dovrai scegliere: "MODALITA' PROVVISORIA"

Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

LISTA VOCI DA RIMUOVERE

O2 - BHO: ATLDistrib Object - {83A5F7B7-DC75-44CE-9195-264F41709FA9} - C:\WINDOWS\system32\gebyw.dll

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe (segui anche questa procedura: http://community.freeaspx.it/emanuele/posts/536.aspx)

O20 - Winlogon Notify: dvd4free - C:\WINDOWS\SYSTEM32\dvd4free.dll Trojan/Spy.Goldun.de.1

O20 - Winlogon Notify: gebyw - C:\WINDOWS\system32\gebyw.dll

Apri il task manager e se trovi questi processi, selezionalo e clicca su "Termina processo":

LISTA PROCESSI DA TERMINARE

gebyw.dll

dvd4free.dll

Trova e se ci sono elimina questi files:

LISTA FILE DA ELIMINARE

gebyw.dll

dvd4free.dll

Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza

(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.

Pulisci il registro con RegSeeker (Guida RegSeeker)

Dai anche una ripulita a Cache e Cookies e file prefetch (XP) con: Ccleaner (Guida Ccleaner)

(non modificare le opzioni)

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione, rifai il log e mettilo qui per un ultimo controllo

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

[POLLICINO37]

ciao STEVE, grazie tanto per l'aiuto, scusa se non ti ho risposto subito ma quando arrivo a casa

(in giornata scrivo dall'ufficio) ho due bimbe piccole che mi impegnano tutta la sera.

si sono addormentate ora, adesso provo, seguendo le tue preziose indicazioni poi ti faccio sapere!

grazie ancora

ciao

[POLLICINO37]

X steve fox

ciao, sono finalmente riuscito a fare ( spero correttamente ), quello che mi hai chiesto.

ho avuto 2 problemi:

1) con task manager sono andato a vedere se nei processi attivi comparivano le due DLL da te

segnalate ( GEBYW.DLL e DVD4FREE.DLL ) e non erano presenti;

in c:/windows/system32 le due DLL erano presenti (ancora adesso) ma non sono riuscito a

eliminarle ( sia in modalità provvisoria che normale ) perchè utilizzate da un altro processo ??? quale !!!

Sono riuscito ad eliminare le chiavi di registro di tali files, sarà servito ?

2) lanciando AD-ware SE, quando comincia la scansione, dopo qualche secondo mi trova la prima

infezione, il pc mi si spegne e si resetta ??????.....

ti allego il nuovo log......

Logfile of HijackThis v1.99.1

Scan saved at 1.08.56, on 20/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Programmi\Network Associates\VirusScan\Avsynmgr.exe

C:\WINDOWS\System32\cisvc.exe

C:\Programmi\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\System32\WISPTIS.EXE

C:\Programmi\Network Associates\VirusScan\VsStat.exe

C:\Programmi\Network Associates\VirusScan\Vshwin32.exe

C:\Programmi\File comuni\Network Associates\McShield\Mcshield.exe

C:\Programmi\Network Associates\VirusScan\Avconsol.exe

C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: ATLDistrib Object - {83A5F7B7-DC75-44CE-9195-264F41709FA9} - C:\WINDOWS\system32\gebyw.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll

O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe

O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar3.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar3.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar3.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar3.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar3.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar3.dll/cmtrans.html

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{E2319CD8-82F7-46AA-8980-41CE682290B5}: NameServer = 85.37.17.8 85.38.28.73

O20 - Winlogon Notify: gebyw - C:\WINDOWS\system32\gebyw.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programmi\Network Associates\VirusScan\Avsynmgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe

O23 - Service: McShield - Unknown owner - C:\Programmi\File comuni\Network Associates\McShield\Mcshield.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Spero che tu mi possa aiutare..............

GRAZIE.........

[Kuma]

Ciao Pollicino... visto che sono online ti rispondo io

1. scarica KILLBOX

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

(e tienilo sul desktop)

2. avvia in modalità provvisoria , poi avvia nuovamente Hijack e fissa nuovamente queste voci:

O2 - BHO: ATLDistrib Object - {83A5F7B7-DC75-44CE-9195-264F41709FA9} - C:\WINDOWS\system32\gebyw.dll

O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe

O20 - Winlogon Notify: gebyw - C:\WINDOWS\system32\gebyw.dll

3. da START\ESEGUI digita > services.msc

individua la voce msnchecker.exe e impostala su "disabilitato" (nel caso ci fosse)

4. Avvia KILLBOX, in Full Path inserisci il percorso completo del file da eliminare

poi seleziona DELETE ON REBOOT

e clicca sulla X rotonda a destra

(ripeti anche con l'altro file, anche in modalità normale)

Riposta un log di Hijack aggiornato

NB: è probabile che dopo questa operazione riceverai un messaggio d'errore al prossimo riavvio (il file xxx.xxx non è stato trovato), questo significa che è stato eliminato con successo, quindi solo nel caso ricevi tale messaggio, ti indicheremo l'ulteriore pulizia (del registro) da seguire...

[POLLICINO37]

ciao KUMA, per il momento ti ringrazio anticipatamente per il tuo intervento, stasera provo ( bimbe permettendo sperando che si addormentano infretta) e ti faccio sapere.

ancora grazie ciao

[POLLICINO37]

ciao KUMA, sono riuscito a fare le prove che mi hai chiesto:

- delle 3 chiavi da fixare la seconda (04 HKCu\..\RunServce.....) non c'era.

non era presente neanche sotto " SERVICES.MSC ".

- ho lanciato il programma KILLBOX, dato il percorso (c:/windows/system32/gebyw.dll ), settato "delete on reboot", e cliccato il pallino rosso con la crocetta, dopo qualche secondo mi si è aperta una finestra windows con

" PendingFileRenameOperations registry Data has been Removed byExternal Process !," ( che significa????)

con il secondo file ( dvd4free.dll ) dopo qualche secondo il pc si è resettato, senza darmi alcun errore.

sono andato a vedere, ed il "MALEFICO" gebiw.dll è ancora li.

ti mostro il nuovo log.

Logfile of HijackThis v1.99.1

Scan saved at 23.56.05, on 21/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Programmi\Network Associates\VirusScan\Avsynmgr.exe

C:\WINDOWS\System32\cisvc.exe

C:\Programmi\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Programmi\Network Associates\VirusScan\VsStat.exe

C:\Programmi\Network Associates\VirusScan\Vshwin32.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe

C:\Programmi\Network Associates\VirusScan\Avconsol.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Programmi\File comuni\Network Associates\McShield\Mcshield.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programmi\ewido anti-malware\SecuritySuite.exe

C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: ATLDistrib Object - {83A5F7B7-DC75-44CE-9195-264F41709FA9} - C:\WINDOWS\system32\gebyw.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll

O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe

O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar3.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar3.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar3.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar3.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar3.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar3.dll/cmtrans.html

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O20 - Winlogon Notify: gebyw - C:\WINDOWS\system32\gebyw.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programmi\Network Associates\VirusScan\Avsynmgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe

O23 - Service: McShield - Unknown owner - C:\Programmi\File comuni\Network Associates\McShield\Mcshield.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

grazie ancora spero che mi puoi ancora aiutare, sono costretto a F********E

[Kuma]

Scarica questo tool

Avvia il Pc in Modalità provvisoria

Stacca il cavo telefonico

e tenendo tutte le applicazioni chiuse il tool di rimozione appena scaricato

poi, avvia Hijack

Quindi fissa nuovamente queste voci:

O2 - BHO: ATLDistrib Object - {83A5F7B7-DC75-44CE-9195-264F41709FA9} - C:\WINDOWS\system32\gebyw.dll

O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe

O20 - Winlogon Notify: gebyw - C:\WINDOWS\system32\gebyw.dll

Quindi... con la funzione "Cerca" di windows, inserisci la parola msnchecker (nel disco C:\)

la ricerca dovrebbe trovare i seguenti file (msnchecker.exe-0b827551.pf e msnchecker.exe-1033A64D.pf) o qualcosa di simile (situati nella cartella c:\windows\prefetch) , l'importante che inizia con msnchecker. Selezionateli e digitate il pulsante canc della tastiera (o tasto destra e la voce elimina) A questo punto i file sono stati eliminati.

Procedura di Eliminazioni chiavi di registro

start-> esegui-> regedit

Seleziona la prima voce (risorse del computer),

poi premi CTRL+F ed inserisci il nome delle chiavi che vuoi eliminare

Elimina la chiave trovata, quindi premi F3 per passare alla successiva... continua così fino alla fine ed elimina tutto quello che riguarda msnchecker

Poi....

1. Inserisci il CD di Windows XP nell'unità CD-ROM, quindi riavvia il computer.

(Se richiesto, fare clic per selezionare qualsiasi opzione necessaria per avviare il computer dall'unità CD-ROM.)

2. Quando viene visualizzata la schermata "Installazione", premi R per avviare la Console di ripristino di emergenza.

3. Nel caso di un sistema ad avvio multiplo, seleziona l'installazione a cui vuoi accedere dalla Console di ripristino di emergenza.(se hai solo un SO scegli quello)

4. Digita la password di amministratore, quando richiesto. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.

5. Al prompt dei comandi della Console di ripristino di emergenza digitare le righe riportate di seguito premendo INVIO dopo ciascuna riga:

cd\

cd Windows

cd system32

del gebyw.dll

del dvd4free.dll

Exit

Al riavvio, dai una ripulita con Ccleaner

ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a :

Rifai il log e vdiamo se qualcosa si è risolto

[POLLICINO37]

ciao KUMA, ringraziandoti sempre per il tempo che mi dedichi, ti posto il nuovo log.

grazie a te sono riuscito a cancellare queste due maledette DLL..... ,

secondo te è finita la mia odissea, e i hai quindi salvato il PC ? ............o c'è dell'alro !!!

secondo te posso disinstallare tutti quei programmi intallati per curare il pc ?

quale programma mi consigli di tenere come protezione ?

Logfile of HijackThis v1.99.1

Scan saved at 1.47.19, on 24/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Programmi\Network Associates\VirusScan\Avsynmgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\cisvc.exe

C:\Programmi\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Programmi\Network Associates\VirusScan\VsStat.exe

C:\Programmi\Network Associates\VirusScan\Vshwin32.exe

C:\Programmi\Network Associates\VirusScan\Avconsol.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Programmi\File comuni\Network Associates\McShield\Mcshield.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\cidaemon.exe

C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll

O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar3.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar3.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar3.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar3.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar3.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar3.dll/cmtrans.html

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{E2319CD8-82F7-46AA-8980-41CE682290B5}: NameServer = 85.37.17.8 85.38.28.73

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programmi\Network Associates\VirusScan\Avsynmgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe

O23 - Service: McShield - Unknown owner - C:\Programmi\File comuni\Network Associates\McShield\Mcshield.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

GRAZIE ANCORE DI TUTTO !!

[Kuma]

ciao KUMA, ringraziandoti sempre per il tempo che mi dedichi, ti posto il nuovo log.

grazie a te sono riuscito a cancellare queste due maledette DLL..... ,

secondo te è finita la mia odissea, e i hai quindi salvato il PC ? ............o c'è dell'alro !!!

secondo te posso disinstallare tutti quei programmi intallati per curare il pc ?

quale programma mi consigli di tenere come protezione ?

Ciao... figurati... per così poco

Per quello che riguarda i programma,il mio consiglio è di tenerli tutti, non occupano risorse e potrebbero servirti per la manutenzione futura...

Sopratutto Spybot e AdAware, aggiornali ed usali frequentemente per controllare di non avere Spyware,

invece Ccleaner e Regseker puoi usarli con frequenza mensile per ripulire il Pc da quelle voci obsolete o inutili.

Per quello che riguarda il log:

Complimenti ....POLLICINO37....!

Il tuo log è stato analizzato e giudicato pulito!

Ottimo lavoro

[POLLICINO37]

ciao KUMA, sono contento che sia finita GRAZIE ad il tuo prezioso aiuto,

spero un domani di poterti essere d'aiuto,anche se non ne hai bisogno.

Mi fa piacere sapere che c'e ' ancora gente disposta ad aiutare gli altri solo per il piacere di dare una mano .

a risentirci e .......GRAAAAZIEEEE mille di tutto.

SEI MITICOOOOOOOOOOOOOOOO !