Virus Linkoptimizer Irremovibile!

robur73 · November 12, 2006

Questo è il risultato....

STATUS: FINISHEDComplete scanning result of "McAfeeWord.exe", received in VirusTotal at 11.12.2006, 17:44:08 (CET).

Antivirus Version Update Result

AntiVir 7.2.0.39 11.10.2006 no virus found

Authentium 4.93.8 11.10.2006 no virus found

Avast 4.7.892.0 11.09.2006 no virus found

AVG 386 11.11.2006 no virus found

BitDefender 7.2 11.12.2006 no virus found

CAT-QuickHeal 8.00 11.11.2006 no virus found

ClamAV devel-20060426 11.11.2006 no virus found

DrWeb 4.33 11.12.2006 no virus found

eTrust-InoculateIT 23.73.52 11.11.2006 no virus found

eTrust-Vet 30.3.3186 11.10.2006 no virus found

Ewido 4.0 11.12.2006 no virus found

Fortinet 2.82.0.0 11.12.2006 no virus found

F-Prot 3.16f 11.10.2006 no virus found

F-Prot4 4.2.1.29 11.10.2006 no virus found

Ikarus 0.2.65.0 11.10.2006 no virus found

Kaspersky 4.0.2.24 11.12.2006 no virus found

McAfee 4893 11.10.2006 no virus found

Microsoft 1.1609 11.12.2006 no virus found

NOD32v2 1862 11.10.2006 no virus found

Norman 5.80.02 11.10.2006 no virus found

Panda 9.0.0.4 11.12.2006 no virus found

Sophos 4.11.0 11.07.2006 no virus found

TheHacker 6.0.1.117 11.12.2006 no virus found

UNA 1.83 11.10.2006 no virus found

VBA32 3.11.1 11.10.2006 no virus found

VirusBuster 4.3.15:9 11.11.2006 no virus found

Aditional Information

File size: 0 bytes

MD5: d41d8cd98f00b204e9800998ecf8427e

SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.

GmG · November 12, 2006

Esegui Start -> Regedit

Cerca questa chiave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Seleziona Winlogon e nella finestra di destra fai doppio click sulla chiave Userinit

Copia e posta il contenuto della chiave.

robur73 · November 12, 2006

Eccola

d:\windows\system32\userinit.exe,"d:\windows\mcafeeword.exe",

$angelique!? · November 12, 2006

ciao robur73

prova a vedere nel task manager se ti compare questo processo: googleword.exe

se così fosse prova a terminarlo e poi vedi se cosi riesci ad aprire hijack.

Steve75 · November 12, 2006

Ciao ,

fai un backup della chiave userinit e poi prova a modificarla in questo modo....

elimina la voce "d:\windows\mcafeeword.exe", nella chiave userinit

ATTENZIONE a non eliminare tutta la chiave altrimenti il computer non sarà piu in grado di avviarsi

In poche parole la chiave dopo la modifica deve rimanere cosi :d:\windows\system32\userinit.exe,

Dopo questa modifica chiudi il registro e riprova ad utilizzare hijackthis ....

robur73 · November 12, 2006

Nel task manager non c'è la voce googleword.exe.

Ho provato a eliminare d:\windows\mcafeeword.exe, ma hijackthis non parte e neanche la ricerca su google sui virus....

Questo Pc non è infetto è indemoniato!Ci manca solo che mi faccia il vecchio gesto dell'ombrello con pernacchia poi sono a posto....

Steve75 · November 12, 2006

proviamo a vedere se con questo script si riesce a scovare qualcosa in piu .....

* Scarica SilentRunners

- Decoprimi l'archivio zip e avvia il file Silentrunners.vbs

- Fallo con tutte le applicazioni chiuse e disconnesso da internet

- Attendi la fine,clicca su OK all'avviso di fine scansione il quale ti indica anche il percorso dove è stato salvato il log

- copialo o allegalo in un post di risposta

robur73 · November 13, 2006

Ho cliccato su SilentRunners e sono ritornato al desktop chiudendomi tutte le pagine internet aperte....

Meglio sicuramente di prima che se c'era qualche link che non li piaceva mi riavviava il Pc....

Scusami se ora non ti potrò rispondere perchè vado al lavoro.

robur73 · November 13, 2006

SillentRunners l'ho scaricato a lavoro ma quando ho provato metterlo nel mio Pc non c'è stato niente da fare....

Credo che la situazione stia peggiorando, il Pc è diventato lentissimo e mi invia strani rumori...

Tana464 · November 14, 2006

Caro amico se ti può essere di consolazione ho lo stesso problema daq diversi giorni e non riesco ad eliminarlo.

Teniamoci in contatto in caso di risoluzione. Ciao!

robur73 · November 14, 2006

Ciao Tana,

Ho paura che per noi non ci siano grosse soluzioni se non quella di portare (nel mio caso..)il mio povero Pc dal dottore...

Credo che abbiamo beccato l'ultima evoluzione del virus Link Optimizer ma finche c'è vita (finchè il Pc gira...)c'è speranza....

$angelique!? · November 14, 2006

ciao robur73, ciao Tana464,

stiamo cercando di fare il possibile per aiutarvi.

@ Tana464

se hai bisogno, apri pure una discussione tutta tua. ;-)

@ robur73

dovresti dirmi precisamente quale voce è presente in questa chiave

Start>esegui>regedit

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

se riesci fammi un cattura immagine con questo programma.

http://www.wininizio.it/ccount/click.php?id=3

robur73 · November 14, 2006

Ciao Angelique,

Secondo me avete fatto anche troppo per aiutarmi e per questo vi ringrazio di cuore!

Ho scaricato la foto del regedit ma non mi riesce postalla sul forum dal desktop....

$angelique!? · November 14, 2006

Hai provato con il tasto sfoglia???...(foto)

se non riesci prova a scrivere pari pari il contenuto della chiave.

robur73 · November 14, 2006

Spero si veda....

Kuma · November 14, 2006

OK il problema lo abbiamo individuato... (grazie ad Angelique )

Scarica KILLBOX

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Inserisci il percorso completo in Full Path: --> d:\windows\mcafeeword.exe

poi seleziona DELETE ON REBOOT

e clicca sulla X rotonda a destra

Riferisci se quando riavvii ricevi un messaggio del tipo "File non trovato..."

ci penseremo comunque dopo a correggerlo...

Prova quindi se adesso i tools che non si avviavano si avviano normalmente

robur73 · November 14, 2006

Ciao Kuma,

Purtroppo non era quello il file incriminato...L'ho eliminato e ho provato ad avviare i programmi che mi bloccava, ma niente da fare non partono.Ho provato anche a fare le ricerche su google su antivirus ma continua a chiudermi le pagine...Al riavvio non mi ha dato nessun ti po di errore sul file non trovato credo che l'abbia eliminato senza problemi.

Questo è il nuovo log senza la voce d:\windows\mcafeeword.exe

che ho eliminato.

Kuma · November 14, 2006

prova a dare una ripassata con Gromozon Rootkit Removal Tool (http://www.prevx.com/gromozon.asp)

Linkoptimizer Removal Tool (http://securityresponse.symantec.com/avcenter/FixLinkopt.exe)

e anche a fare un'ulteriore scansione con VIRIT aggiornato in modalità provvisoria... seguita da una seconda in modalità normale

http://www.tgsoft.it/italy/download.htm (Sito Alternativo http://www.mytempdir.com/1040787 )

Scusa richiederà un po' di tempo... so che le hai già fatte, ma magari nel frattempo le firme sono state aggiornate

Ricorda quindi di aggiornarlo prima di procedere... le due scansioni servono perchè la prima disabilita il rootkit, la seconda lo rimuove

robur73 · November 14, 2006

Scusa Kuma ma ho notato che la voce d:\windows\mcafeeword.exe

che sono sicuro di aver eliminato con Killbox mi è riapparsa in Windows..

Esiste un'altro metodo per eliminarla o fa parte del sistema operativo?

Kuma · November 14, 2006

Prova ad editare la stringa nel registro in modo che non carichi il file (quindi non eliminarlo visto che si ricrea)

ATTENZIONE CHE la modifica a tale chiave è piuttosto delicata...

Se sbagli il pc non si avvia più neppure in modalità provvisoria...

Eccoti comunque le istruzioni dettagliate:

Portarsi all seguente chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

individuare nella finestra di destra USERINIT ed eliminare la voce:

"d:\windows\mcafeeword.exe"

(compresa le virgolette)

ATTENZIONE a non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi

In pratica la chiave, dopo l'eliminazione della voce infetta, dovrà presentarsi in questo modo:

Per eliminare solo la voce infetta:

doppio clic sul nome della chiave:

Nelle finestra che si apre evidenziare la voce ,d:\windows\mcafeeword.exe (virgolette comprese)

(nell'esempio sopra è indicato un altra voce...

tu devi selezionare: "d:\windows\mcafeeword.exe")

A questo punto premere il taso di cancellazione (Back Space)

e quindi OK.

robur73 · November 14, 2006

Dev'essere sicuramente questo il file infettato!

Ho fatto e rifatto come hai detto ma "d:\windows\mcafeeword.exe" ritorna sempre!

Steve75 · November 14, 2006

Dev'essere sicuramente questo il file infettato!

Ho fatto e rifatto come hai detto ma "d:\windows\mcafeeword.exe" ritorna sempre!

ed al 99% è anche quello che blocca hijackthis , perchè in molti altri computer con hijackthis bloccato , dopo aver editato esattamente la chiave userinit o shell , e dopo aver eliminato il file maligno, HJT è sempre tornato a funzionare ....

Per eliminarlo basta seguire i consigli che ti sono stati dati sopra ...

Ricapitolando:

- Disconnettiti completamente da internet (spegni il modem o tira il cavetto)

- Elimina il file in questione o con KillBox o manualmente da mod.provvisoria

- Portati nel registro ed modifica correttamente la chiave userinit come spiegato sopra...

- Al limite espandi la ricerca di mcafeeword.exe anche a queste chiavi :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

o addirittura a tutto il registro e vedi se esce fuori qualche altro suo collegamento

PS__nel registro attenzione a quello che fai , e con molta CAUTELA , altrimenti fai prima un backup di quest'ultimo

robur73 · November 14, 2006

:wub: :thumbup: :anna: :ops: :angry: :angry: :angry: :whip: :whip:

SIETE UNICI!!!NON SO DAVVERO COME RINGRAZIARVI DI TUTTO E PER LA VOSTRA PAZIENZA!!!

Quando ho visto ripartire hijackthis mi sono quasi commosso,l'unico neo è che il file non vuole andare via da Windows sia con Killbox e sia in modalità provvisoria ma l'importante è che mi faccia navigare tranquillo e senza problemi e QUESTO E' SOLO MERITO VOSTRO!!!Vi posto con soddisfazione la prima scansione con hijackthis per eliminarlo da qui...GRAZIE DAVVERO A TUTTI!!!!

Logfile of HijackThis v1.99.1

Scan saved at 17.44.20, on 03/01/2002

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\ZoneLabs\vsmon.exe

D:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe

D:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe

D:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Programmi\AntiVir PersonalEdition Classic\sched.exe

D:\Programmi\AntiVir PersonalEdition Classic\avguard.exe

D:\Programmi\Symantec AntiVirus\DefWatch.exe

D:\Programmi\Eset\nod32krn.exe

D:\Programmi\CyberLink\Shared Files\RichVideo.exe

D:\Programmi\Symantec AntiVirus\Rtvscan.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\Explorer.EXE

C:\VEXPLITE\viritsvc.exe

D:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe

D:\programmi\DAP\DAP.EXE

D:\WINDOWS\system32\WgaTray.exe

D:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe

C:\controllo RAM\RAM Idle LE\RAM_XP.exe

D:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

D:\Programmi\ATI Technologies\ATI.ACE\cli.exe

C:\VEXPLITE\MONLITE.EXE

D:\Programmi\File comuni\Symantec Shared\ccApp.exe

D:\PROGRA~2\SYMANT~1\VPTray.exe

D:\Programmi\Eset\nod32kui.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Programmi\ATI Technologies\ATI.ACE\cli.exe

D:\Programmi\Internet Explorer\iexplore.exe

D:\Documents and Settings\puppi 2\Desktop\ggg.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {23C5407E-E475-0312-853E-FF9F9071B5ED} - D:\WINDOWS\wmqvi1.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programmi\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programmi\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [avgnt] "D:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DownloadAccelerator] "D:\programmi\DAP\DAP.EXE" /STARTUP

O4 - HKLM\..\Run: [Easy-PrintToolBox] D:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [NVMixerTray] "D:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [RAM Idle Professional] C:\controllo RAM\RAM Idle LE\RAM_XP.exe

O4 - HKLM\..\Run: [ATIPTA] D:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "D:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE

O4 - HKLM\..\Run: [TrojanScanner] D:\Programmi\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [ccApp] "D:\Programmi\File comuni\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] D:\PROGRA~2\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [nod32kui] "D:\Programmi\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Anti-Virus&Trojan.lnk = D:\programmi\Anti-Virus&Trojan\Anti-Virus&Trojan.exe

O4 - Global Startup: WinZip Quick Pick.lnk.disabled

O8 - Extra context menu item: &Clean Traces - D:\programmi\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - D:\programmi\DAP\dapextie.htm

O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://D:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Anteprima Easy-WebPrint - res://D:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Download &all with DAP - D:\programmi\DAP\dapextie2.htm

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://D:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Stampa Easy-WebPrint - res://D:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~2\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF:

â‘|ðá -

O17 - HKLM\System\CCS\Services\Tcpip\..\{0A61AF05-AA3C-45CD-A117-7D16D4E1B653}: NameServer = 62.211.69.150 212.48.4.15

O17 - HKLM\System\CS2\Services\Tcpip\..\{0A61AF05-AA3C-45CD-A117-7D16D4E1B653}: NameServer = 62.211.69.150 212.48.4.15

O20 - AppInit_DLLs: prova.dll

O20 - Winlogon Notify: NavLogon - D:\WINDOWS\system32\NavLogon.dll

O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programmi\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programmi\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - D:\Programmi\Symantec AntiVirus\DefWatch.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LiveUpdate - Symantec Corporation - D:\PROGRA~2\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programmi\Eset\nod32krn.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - D:\Programmi\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe

O23 - Service: SAVRoam (SavRoam) - symantec - D:\Programmi\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - D:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - D:\Programmi\Symantec AntiVirus\Rtvscan.exe

O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

Steve75 · November 14, 2006

Finalmente ! ! ! !

comunque nel log c'è qualcosina ancora da eliminare , fai cosi :

In Primis ti consiglierei di disinstallare il DAP (veicolo di spyware)

Poi:

* Scarica ATF Cleaner

- Avvia ATF Cleaner.exe con un doppio click

- clicca sul menu main

- seleziona la casella Select All

- clicca sul pulsante Empty selected

- aspetta l'avviso Done Cleaning.

(se non vuoi eliminare le password togli la spunta)

(se usi opera o firefox,spunta anche le loro sezioni)

* Assicurati di avere accesso a file e cartelle nascosti

(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)

1) metti la spunta su: Visualizza file e cartelle nascoste

2) Disattiva: nascondi file protetti di sistema

* disattiva il ripristino configurazione di sistema

* Avvia in modalità provvisoria

* Avvia hijackthis , clicca su Do a System Scan Only metti la spunta alle voci che andro ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {23C5407E-E475-0312-853E-FF9F9071B5ED} - D:\WINDOWS\wmqvi1.dll (file missing)

O4 - Global Startup: Anti-Virus&Trojan.lnk = D:\programmi\Anti-Virus&Trojan\Anti-Virus&Trojan.exe

O4 - Global Startup: WinZip Quick Pick.lnk.disabled

O16 - DPF:

O20 - AppInit_DLLs: prova.dll

* Cerca ed elimina :(potrebbero non esserci tutti)

D:\Documents and Settings\puppi 2\Desktop\ggg.exe

D:\programmi\Anti-Virus&Trojan -> cartella (solo se non lo hai installato tu)

* Al limite rifai uno scan in modalità provvisoria con i programmi che hai per la sicurezza

* Ritorna in modalità normale e postaci un log hijackthis aggiornato

* Fai anche quest'operazione ;

Apri hijackthis , vai su Open the Misc tool Section ,quindi su Open uninstall manager .

Clicca su Save list e salva il file di testo sul desktop.

Copia insieme agli altri log il contenuto del file .txt

_____________________________________________

Alla fine delle procedure di pulizia è fondamentale :

1) ri-nascondere i file e le cartelle di sistema

2) Riattivare il ripristino configurazione di sistema (XP / ME)

3) Creare un nuovo punto di ripristino

:wub:

robur73 · November 14, 2006

Eccoli e GRAZIE ANCORA DI TUTTO!!!

Aggiornamento per Windows XP (KB916595)

Aggiornamento rapido per Windows XP - KB873339

Aggiornamento rapido per Windows XP - KB885835

Aggiornamento rapido per Windows XP - KB885836

Aggiornamento rapido per Windows XP - KB886185

Aggiornamento rapido per Windows XP - KB887472

Aggiornamento rapido per Windows XP - KB888113

Aggiornamento rapido per Windows XP - KB888302

Aggiornamento rapido per Windows XP - KB890859

Aggiornamento rapido per Windows XP - KB891781

Anti-Virus&Trojan 7.40

AsusUpdate

ATI - Software Uninstall Utility

ATI Catalyst Control Center

ATI Control Panel

ATI Display Driver

ATI HydraVision

Avira AntiVir PersonalEdition Classic

AviSynth 2.5

CadStd

Call of Juarez

Canon iP4200

Canon Setup Utility 2.0

Canon Utilities Easy-PhotoPrint

Canon Utilities Easy-PrintToolBox

CCleaner (remove only)

CD-LabelPrint

Commandos 3 - Destination Berlin

ConvertXtoDVD 2.0.17

DivX Codec

DivX Player

DkZ Studio

Draw Poker Gold Edition

Easy-WebPrint

eSSeBi Soft® 7 e Mezzo

eSSeBi Soft® 7 e Mezzo (D:\Programmi\eSSeBi Soft® 7 e Mezzo\)

eSSeBi Soft® 7 e Mezzo (D:\Programmi\eSSeBi Soft® 7 e Mezzo\) #3

Everest Poker (Remove Only)

Evolution GT

FAST Defrag Freeware 2.3

FEAR

HijackThis 1.99.1

L&H Power Translator Pro 7.0

LiveUpdate 3.0 (Symantec Corporation)

Microsoft .NET Framework 2.0

Microsoft Office Professional Edition 2003

MissionRisk

Nero 6

Nero Digital

Net Blitz II

NOD32 antivirus system

NVIDIA Drivers

NvMixer

Paint.NET v2.70

PeerGuardian 2.0

PowerArchiver 2006 v9.63

Prey

RAM Idle LE

Sage Video Poker Shareware

SecurityShield

Serif PhotoPlus 6.0

SiSoftware Sandra Lite 2005.SR2a (Win64/32/CE)

Spybot - Search & Destroy 1.3

SpywareBlaster v3.5.1

Symantec AntiVirus

Windows Installer 3.1 (KB893803)

WinRAR archiver

WinZip

ZoneAlarm

---------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 18.33.47, on 03/01/2002

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\ZoneLabs\vsmon.exe

D:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe

D:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe

D:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Programmi\AntiVir PersonalEdition Classic\sched.exe

D:\Programmi\AntiVir PersonalEdition Classic\avguard.exe

D:\Programmi\Symantec AntiVirus\DefWatch.exe

D:\Programmi\Eset\nod32krn.exe

D:\Programmi\CyberLink\Shared Files\RichVideo.exe

D:\Programmi\Symantec AntiVirus\Rtvscan.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\Explorer.EXE

C:\VEXPLITE\viritsvc.exe

D:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe

D:\WINDOWS\system32\WgaTray.exe

D:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe

C:\controllo RAM\RAM Idle LE\RAM_XP.exe

D:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

D:\Programmi\ATI Technologies\ATI.ACE\cli.exe

C:\VEXPLITE\MONLITE.EXE

D:\Programmi\File comuni\Symantec Shared\ccApp.exe

D:\PROGRA~2\SYMANT~1\VPTray.exe

D:\Programmi\Eset\nod32kui.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Programmi\ATI Technologies\ATI.ACE\cli.exe

D:\Programmi\Internet Explorer\iexplore.exe

D:\WINDOWS\system32\notepad.exe