- Home
- Categorie
- Gli Off Topic
- Tutti i Software
- [Risolto] ancora virtumonde
- 
							
							
							
							
							
manca mezzo log (e' tagliato) 
 
- 
							
							
							
							
							
Per quanto riguarda avenger, ha eliminato con successo il file. 
 L'errore di file not found è capitato poichè ho ripetuto lo script due volte per lo stesso file ma con comandi diversi in modo che se il primo falliva probabilmente il secondo avrebbe avuto effetto;)Per quanto riguarda hijackthis il log è completo, fixa queste voci: 
 O2 - BHO: (no name) - {42BFABD3-B070-4053-9485-30D7E000D3D3} - C:\WINDOWS\system32\nnnlmjGw.dll (file missing)
 O20 - Winlogon Notify: nnnlmjGw - nnnlmjGw.dll (file missing)
 Poi dovresti essere a posto:)
 
- 
							
							
							
							
							
ok fixato! 
 questo è il log. confermo che no esce più l'avviso di presenza virtumonde, poi domani magari rifaccio una scansione con nod.
 grazie tante !! , direi che sono a posto con virtumonde no?Logfile of Trend Micro HijackThis v2.0.2
 Scan saved at 23.22.29, on 02/09/2008
 Platform: Windows XP SP2 (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 Boot mode: Normal
 Running processes:
 C:\WINDOWS\system32\csrss.exe
 C:\WINDOWS\system32\winlogon.exe
 C:\WINDOWS\system32\services.exe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.exe
 C:\WINDOWS\system32\svchost.exe
 C:\WINDOWS\System32\svchost.exe
 C:\WINDOWS\system32\svchost.exe
 C:\WINDOWS\system32\svchost.exe
 C:\WINDOWS\system32\spoolsv.exe
 C:\WINDOWS\Explorer.EXE
 C:\Programmi\Eset\nod32kui.exe
 C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
 C:\Programmi\Messenger\msmsgs.exe
 C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe
 C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
 C:\Programmi\Eset\nod32krn.exe
 C:\Programmi\CyberLink\Shared files\RichVideo.exe
 C:\WINDOWS\system32\svchost.exe
 C:\WINDOWS\system32\wdfmgr.exe
 C:\WINDOWS\System32\alg.exe
 C:\Programmi\Internet Explorer\IEXPLORE.EXE
 C:\WINDOWS\system32\wbem\wmiprvse.exe
 C:\Documents and Settings\user\Desktop\logs\HiJackThis.exe
 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
 O4 - HKLM..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
 O4 - HKLM..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
 O4 - HKLM..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
 O4 - HKLM..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
 O4 - HKLM..\Run: [C:\WINDOWS\system32\kdzyc.exe] C:\WINDOWS\system32\kdzyc.exe
 O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
 O4 - HKCU..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
 O4 - HKCU..\Run: [CTSyncU.exe] "C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe"
 O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
 O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
 O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
 O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
 O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
 O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
 O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
 O17 - HKLM\System\CCS\Services\Tcpip..{6CE55B15-B60B-4DFA-ACCF-0C55F2B1ADC3}: NameServer = 85.37.17.46 85.38.28.84
 O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
 O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exeEnd of file - 3473 bytes 
 
- 
							
							
							
							
							
Direi che è tutto a posto. 
 Grazie ad avenger abbiamo rimosso virtumonde;)
 Se vuoi per sicurezza effettua una scansione con nod e se trova qualcosa facci sapere:)
 
- 
							
							
							
							
							
come suggerito ho fatto la scansione che vi allego: non ho capito se è rimasto un "tentativo" di reinstallarsi su System Volume information. secondo voi ? posto anche Hijack Logfile of Trend Micro HijackThis v2.0.2
 Scan saved at 18.44.36, on 03/09/2008
 Platform: Windows XP SP2 (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 Boot mode: Normal
 Running processes:
 C:\WINDOWS\system32\csrss.exe
 C:\WINDOWS\system32\winlogon.exe
 C:\WINDOWS\system32\services.exe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.exe
 C:\WINDOWS\system32\svchost.exe
 C:\WINDOWS\System32\svchost.exe
 C:\WINDOWS\system32\svchost.exe
 C:\WINDOWS\system32\svchost.exe
 C:\WINDOWS\Explorer.EXE
 C:\WINDOWS\system32\spoolsv.exe
 C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
 C:\WINDOWS\system32\rundll32.exe
 C:\WINDOWS\system32\Rundll32.exe
 C:\Programmi\Messenger\msmsgs.exe
 C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe
 C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
 C:\Programmi\Eset\nod32krn.exe
 C:\Programmi\CyberLink\Shared files\RichVideo.exe
 C:\WINDOWS\system32\svchost.exe
 C:\WINDOWS\system32\wdfmgr.exe
 C:\WINDOWS\System32\alg.exe
 C:\Programmi\Internet Explorer\IEXPLORE.EXE
 C:\Programmi\Internet Explorer\IEXPLORE.EXE
 C:\Programmi\ESET\nod32kui.exe
 C:\Programmi\ESET\nod32.exe
 C:\Programmi\Internet Explorer\IEXPLORE.EXE
 C:\Documents and Settings\user\Desktop\logs\HiJackThis.exe
 C:\WINDOWS\system32\wbem\wmiprvse.exe
 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
 O4 - HKLM..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
 O4 - HKLM..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
 O4 - HKLM..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
 O4 - HKLM..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
 O4 - HKLM..\Run: [C:\WINDOWS\system32\kdzyc.exe] C:\WINDOWS\system32\kdzyc.exe
 O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
 O4 - HKLM..\Run: [68c35433] rundll32.exe "C:\WINDOWS\system32\asdpjrqd.dll",b
 O4 - HKLM..\Run: [BM6bf067af] Rundll32.exe "C:\WINDOWS\system32\hxkferxv.dll",s
 O4 - HKCU..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
 O4 - HKCU..\Run: [CTSyncU.exe] "C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe"
 O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
 O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
 O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
 O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
 O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
 O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
 O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
 O17 - HKLM\System\CCS\Services\Tcpip..{6CE55B15-B60B-4DFA-ACCF-0C55F2B1ADC3}: NameServer = 85.37.17.46 85.38.28.84
 O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
 O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exeEnd of file - 3710 bytes non riesco ad allegare il messaggio del nod. provo dopo 
 
- 
							
							
							
							
							
Si è rinfettato:? 
 Da hijackthis fixa:
 O4 - HKLM..\Run: [68c35433] rundll32.exe "C:\WINDOWS\system32\asdpjrqd.dll",b
 O4 - HKLM..\Run: [BM6bf067af] Rundll32.exe "C:\WINDOWS\system32\hxkferxv.dll",sCon avenger esegui questo script: 
 **
 Files to delete:
 C:\WINDOWS\system32\asdpjrqd.dll
 C:\WINDOWS\system32\hxkferxv.dll**Premi execute, fai riavviare il pc e salva il log. Poi scarica combofix http://subs.geekstogo.com/ComboFix.exe disconnettiti da internet e chiudi tutte le applicazioni disattivando l'antivirus (attenzione Nod potrebbe rilevare Combofix come infetto, è un errore) 
 Avvia combofix, segui le istruzioni a video e fagli cominciare la scansione (non preoccuparti se durante la scansione succedono cose strane)..
 Alla fine posta il log avenger che hai salvato in precedenza, il log di combofix e un nuovo log hijackthis creato dopo aver utilizzato combofix.
 Fai i passaggi in ordine.
 
- 
							
							
							
							
							
Ok Giò grazie! eseguito tutto come indicato: non ho capito granchè, ma ComboFix mi sembra veramente una BOMBA!! ecco i log : Logfile of The Avenger Version 2.0, (c) by Swandog46 
 Platform: Windows XP
 Script file opened successfully. 
 Script file read successfully.
 Backups directory opened successfully at C:\Avenger
 Beginning to process script file: 
 Rootkit scan active.
 No rootkits found!
 File "C:\WINDOWS\system32\nnnlmjGw.dll" deleted successfully.
 Error: file "C:\WINDOWS\system32\nnnlmjGw.dll" not found!
 Replacement with dummy of file "C:\WINDOWS\system32\nnnlmjGw.dll" failed!
 Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 --> the object does not existCompleted script processing. 
 Finished! Terminate. Logfile of The Avenger Version 2.0, (c) by Swandog46 
 Platform: Windows XP
 Error: Script file not found! 
 Could not open script file! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 --> the object does not exist
 Abort!Logfile of The Avenger Version 2.0, (c) by Swandog46 
 Platform: Windows XP
 Script file opened successfully. 
 Script file read successfully.
 Backups directory opened successfully at C:\Avenger
 Beginning to process script file: 
 Rootkit scan active.
 No rootkits found!
 File "C:\WINDOWS\system32\asdpjrqd.dll" deleted successfully.
 File "C:\WINDOWS\system32\hxkferxv.dll" deleted successfully.
 Completed script processing.
 Finished! Terminate. 
 e
 ComboFix 08-09-01.05 - user 2008-09-03 23.17.24.1 - NTFSx86
 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.607 [GMT 2:00]
 Eseguito da: C:\Documents and Settings\user\Desktop\logs\ComboFix.exe- Creato nuovo punto di ripristino
- Resident AV is active
 ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !! 
 .
 /wow section non completata
 ((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
 .
 C:\Documents and Settings\user\file.exe
 C:\WINDOWS\BM6bf067af.txt
 C:\WINDOWS\BM6bf067af.xml
 C:\WINDOWS\cookies.ini
 C:\WINDOWS\pskt.ini
 C:\WINDOWS\system32\awtrQjkj.dll
 C:\WINDOWS\system32\awtrQkKD.dll
 C:\WINDOWS\system32\awtsQICT.dll
 C:\WINDOWS\system32\awtsRlIx.dll
 C:\WINDOWS\system32\cbXnmLDU.dll
 C:\WINDOWS\system32\cbXOIbya.dll
 C:\WINDOWS\system32\cbXRJBuV.dll
 C:\WINDOWS\system32\cmvfoyrb.dll
 C:\WINDOWS\system32\ddcARiHx.dll
 C:\WINDOWS\system32\ddcawxXo.dll
 C:\WINDOWS\system32\ddcCVMfd.dll
 C:\WINDOWS\system32\ddcDvsSk.dll
 C:\WINDOWS\system32\ddcyyvuv.dll
 C:\WINDOWS\system32\dftukojm.dll
 C:\WINDOWS\system32\dqrjpdsa.ini
 C:\WINDOWS\system32\drivers\svchost.exe
 C:\WINDOWS\system32\efcaWMda.dll
 C:\WINDOWS\system32\fabdhqpc.ini
 C:\WINDOWS\system32\fccawvtQ.dll
 C:\WINDOWS\system32\fccaXpNf.dll
 C:\WINDOWS\system32\fccbXnNe.dll
 C:\WINDOWS\system32\fccccabY.dll
 C:\WINDOWS\system32\fznyjb.dll
 C:\WINDOWS\system32\geBqPGYs.dll
 C:\WINDOWS\system32\geBqRife.dll
 C:\WINDOWS\system32\geBRhggE.dll
 C:\WINDOWS\system32\geBrpnND.dll
 C:\WINDOWS\system32\geBsrOFx.dll
 C:\WINDOWS\system32\geBssRLf.dll
 C:\WINDOWS\system32\geBtUMEV.dll
 C:\WINDOWS\system32\geBuVOHx.dll
 C:\WINDOWS\system32\goauleqb.dll
 C:\WINDOWS\system32\hgGwWnMD.dll
 C:\WINDOWS\system32\hgGxWqpO.dll
 C:\WINDOWS\system32\hoasjf.dll
 C:\WINDOWS\system32\iifecaAp.dll
 C:\WINDOWS\system32\iiffgFxV.dll
 C:\WINDOWS\system32\iifGwtRK.dll
 C:\WINDOWS\system32\iyghilwc.dll
 C:\WINDOWS\system32\jkkKayVL.dll
 C:\WINDOWS\system32\kdzyc.exe
 C:\WINDOWS\system32\khfCvSLf.dll
 C:\WINDOWS\system32\khfEXrOg.dll
 C:\WINDOWS\system32\khfGaxxU.dll
 C:\WINDOWS\system32\kjesadac.dll
 C:\WINDOWS\system32\litmfgqt.dll
 C:\WINDOWS\system32\ljJARkLd.dll
 C:\WINDOWS\system32\ljJATnon.dll
 C:\WINDOWS\system32\ljJBUmkj.dll
 C:\WINDOWS\system32\ljJCsttt.dll
 C:\WINDOWS\system32\ljJCvWmn.dll
 C:\WINDOWS\system32\ljJDSLDV.dll
 C:\WINDOWS\system32\ljJYOhIY.dll
 C:\WINDOWS\system32\mcrh.tmp
 C:\WINDOWS\system32\mlJBSkjj.dll
 C:\WINDOWS\system32\mlJYomKE.dll
 C:\WINDOWS\system32\mlJYpnLf.dll
 C:\WINDOWS\system32\nnnkhiGx.dll
 C:\WINDOWS\system32\nnnkIbaw.dll
 C:\WINDOWS\system32\nnnljkHA.dll
 C:\WINDOWS\system32\nnnMcDTL.dll
 C:\WINDOWS\system32\nnnoOiHX.dll
 C:\WINDOWS\system32\nnnoPHXp.dll
 C:\WINDOWS\system32\nonTAJjl.ini
 C:\WINDOWS\system32\nonTAJjl.ini2
 C:\WINDOWS\system32\omicxsur.ini
 C:\WINDOWS\system32\opnlJYsp.dll
 C:\WINDOWS\system32\opnnklmn.dll
 C:\WINDOWS\system32\pmnkIyWQ.dll
 C:\WINDOWS\system32\pmnliiHY.dll
 C:\WINDOWS\system32\pmnnOghe.dll
 C:\WINDOWS\system32\ptdxnesl.dll
 C:\WINDOWS\system32\qoMcaaAR.dll
 C:\WINDOWS\system32\qoMcayVL.dll
 C:\WINDOWS\system32\qoMeBssr.dll
 C:\WINDOWS\system32\qoMeEVpm.dll
 C:\WINDOWS\system32\rqRIaxVo.dll
 C:\WINDOWS\system32\rqRJDuSk.dll
 C:\WINDOWS\system32\rqRKETmN.dll
 C:\WINDOWS\system32\ssqNdeFv.dll
 C:\WINDOWS\system32\ssqNfDVN.dll
 C:\WINDOWS\system32\ssqPjHAp.dll
 C:\WINDOWS\system32\tuvVLdeb.dll
 C:\WINDOWS\system32\tuvVPGvU.dll
 C:\WINDOWS\system32\twclrehd.ini
 C:\WINDOWS\system32\urqoNHAq.dll
 C:\WINDOWS\system32\urqPiIab.dll
 C:\WINDOWS\system32\urqQgefd.dll
 C:\WINDOWS\system32\urqRKAPF.dll
 C:\WINDOWS\system32\vtUmNdDS.dll
 C:\WINDOWS\system32\wiqqosto.dll
 C:\WINDOWS\system32\wvUnMGXq.dll
 C:\WINDOWS\system32\xxyaaXQk.dll
 C:\WINDOWS\system32\xxyayXqo.dll
 C:\WINDOWS\system32\xxyvvUKa.dll
 C:\WINDOWS\system32\xxywVnom.dll
 C:\WINDOWS\system32\xxyyYQKB.dll
 C:\WINDOWS\system32\yadKnnnn.ini
 C:\WINDOWS\system32\yadKnnnn.ini2
 C:\WINDOWS\system32\yayvWMFU.dll
 C:\WINDOWS\system32\yayxvVmj.dll
 C:\WINDOWS\system32\yayxvVNG.dll
 C:\WINDOWS\system32\ymchqxsp.ini
 C:\WINDOWS\winupdt.exe
 .
 ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
 .
 -------\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780}
 -------\Service_{DEF85C80-216A-43ab-AF70-1665EDBE2780}((((((((((((((((((((((((( Files Creati Da 2008-08-03 al 2008-09-03 ))))))))))))))))))))))))))))))))))) 
 .
 2008-09-03 11:23 . 2008-09-03 11:23 <DIR> d-------- C:\Program Files
 2008-08-26 20:50 . 2008-08-26 20:50 <DIR> d-------- C:\Documents and Settings\user\Contacts
 2008-08-26 18:31 . 2008-08-26 18:31 268 --ah----- C:\sqmdata10.sqm
 2008-08-26 18:31 . 2008-08-26 18:31 244 --ah----- C:\sqmnoopt10.sqm
 2008-08-22 01:04 . 2008-08-22 01:04 <DIR> d-------- C:\Documents and Settings\user\DoctorWeb
 2008-08-19 23:50 . 2008-08-19 23:50 <DIR> d-------- C:\Programmi\CCleaner
 2008-08-19 14:28 . 2008-08-19 14:28 <DIR> d-------- C:\Documents and Settings\user\Dati applicazioni\Apple Computer
 2008-08-18 22:56 . 2008-08-19 15:26 <DIR> d-------- C:\Programmi\Winamp
 2008-08-18 22:56 . 2008-08-19 15:14 <DIR> d-------- C:\Documents and Settings\user\Dati applicazioni\Winamp
 2008-08-18 20:08 . 2008-08-18 22:55 <DIR> d-------- C:\Documents and Settings\user\Dati applicazioni\Winamp(3)
 2008-08-17 12:42 . 2008-08-17 12:43 1,501,522 ---hs---- C:\WINDOWS\system32\ndvfmyva.tmp
 2008-08-12 22:39 . 2008-08-18 22:56 <DIR> d-------- C:\Programmi\Winamp(2)
 2008-08-12 22:39 . 2008-08-18 22:56 <DIR> d-------- C:\Documents and Settings\user\Dati applicazioni\Winamp(2)
 2008-08-09 17:23 . 2008-08-18 22:58 <DIR> d-------- C:\Programmi\iPhoto Plus 4
 2008-08-06 17:54 . 2008-08-06 17:54 268 --ah----- C:\sqmdata09.sqm
 2008-08-06 17:54 . 2008-08-06 17:54 244 --ah----- C:\sqmnoopt09.sqm
 .
 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
 .
 2008-09-02 20:10 --------- d-----w C:\Programmi\ESET
 2008-09-02 19:01 --------- d-----w C:\Programmi\eMule
 2008-08-20 10:35 6,952 ----a-w C:\WINDOWS\Sysvxd.exe
 2008-08-18 20:57 --------- d-----w C:\Programmi\SlySoft
 2008-08-18 20:57 --------- d-----w C:\Programmi\Elaborate Bytes
 2008-08-18 20:54 --------- d-----w C:\Programmi\CyberLink
 2008-07-28 17:08 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\GRETECH
 2008-07-28 17:07 --------- d-----w C:\Programmi\GRETECH
 2008-07-28 17:07 --------- d-----w C:\Documents and Settings\user\Dati applicazioni\GRETECH
 2008-07-28 15:48 --------- d-----w C:\Documents and Settings\user\Dati applicazioni\DivX
 2008-07-27 17:49 --------- d-----w C:\Documents and Settings\user\Dati applicazioni\Creative
 2008-07-27 17:47 --------- d--h--w C:\Programmi\InstallShield Installation Information
 2008-07-27 14:31 --------- d-----w C:\Programmi\Creative
 2008-07-27 14:27 --------- d-----w C:\Programmi\File comuni\InstallShield
 2008-07-27 14:05 --------- d-----w C:\Documents and Settings\user\Dati applicazioni\Nero
 2008-07-27 13:39 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Elaborate Bytes
 2008-07-27 13:38 --------- d-----w C:\Documents and Settings\user\Dati applicazioni\CyberLink
 2008-07-27 13:38 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\CyberLink
 2008-07-27 13:35 --------- d-----w C:\Programmi\epson
 2008-07-27 13:24 --------- d-----w C:\Programmi\Motive
 2008-07-27 13:24 --------- d-----w C:\Programmi\File comuni\Motive
 2008-07-27 13:24 --------- d-----w C:\Programmi\Common Files
 2008-07-27 13:24 --------- d-----w C:\Programmi\Alice ti aiuta
 2008-07-27 13:24 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Motive
 2008-07-27 13:23 155,995 ----a-w C:\WINDOWS\java\Packages\DJH3VVRR.ZIP
 2008-07-27 13:22 --------- d-----w C:\Programmi\Telecom Italia
 2008-07-25 15:26 --------- d-----w C:\Programmi\RegCleaner
 2008-07-25 15:16 --------- d-----w C:\Programmi\Microsoft.NET
 2008-07-25 15:15 --------- d-----w C:\Programmi\File comuni\Adobe
 2008-07-25 15:14 --------- d-----w C:\Programmi\Nero
 2008-07-25 15:14 --------- d-----w C:\Programmi\File comuni\Nero
 2008-07-25 15:14 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Nero
 2008-07-25 15:13 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\SlySoft
 2008-07-25 15:12 512,096 ----a-w C:\WINDOWS\system32\drivers\amon.sys
 2008-07-25 15:12 15,424 ----a-w C:\WINDOWS\system32\drivers\nod32drv.sys
 2008-07-25 15:12 --------- d-----w C:\Programmi\Windows Live
 2008-07-25 15:12 --------- d-----w C:\Programmi\Java
 2008-07-25 15:12 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\DBC3FDEC-D5F4-439C-9A18-EF454A74E3DE
 2008-07-25 15:11 --------- d-----w C:\Programmi\Xvid
 2008-07-25 15:11 --------- d-----w C:\Programmi\Real Alternative
 2008-07-25 15:11 --------- d-----w C:\Programmi\QuickTime
 2008-07-25 15:11 --------- d-----w C:\Programmi\File comuni\Java
 2008-07-25 15:10 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Apple Computer
 2008-07-25 15:04 --------- d-----w C:\Programmi\DivX
 2008-07-25 15:03 --------- d-----w C:\Programmi\AC3Filter
 2008-07-25 13:51 --------- d-----w C:\Programmi\microsoft frontpage
 2008-07-25 13:50 --------- d-----w C:\Programmi\Windows Media Connect
 2008-07-25 13:47 --------- d-----w C:\Programmi\Windows Journal Viewer
 2008-07-25 13:47 --------- d-----w C:\Programmi\HighMAT CD Writing Wizard
 2008-07-25 13:43 --------- d-----w C:\Programmi\Servizi in linea
 .
 ((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
 .
 .
 Nota i valori vuoti & legittimi/default non sono visualizzati.
 REGEDIT4
 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "MSMSGS"="C:\Programmi\Messenger\msmsgs.exe" [2005-02-13 1694208]
 "CTSyncU.exe"="C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-09-28 700416]
 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "nod32kui"="C:\Programmi\Eset\nod32kui.exe" [2008-07-25 949376]
 "Motive SmartBridge"="C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe" [2006-04-21 438359]
 "EPSON Stylus DX4200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE" [2005-03-07 98304]
 "QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2008-05-27 413696]
 [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
 "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15360]
 C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica
 Alice ti aiuta.lnk - C:\Programmi\Alice ti aiuta\bin\matcli.exe [2008-07-27 217088]
 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
 "msacm.ac3filter"= ac3filter.acm
 "msacm.divxa32"= msaud32_divx.acm
 [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
 "EnableFirewall"= 0 (0x0)
 [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
 "%windir%\system32\sessmgr.exe"=
 "C:\Programmi\CyberLink\PowerDVD\PowerDVD.exe"=
 "C:\Programmi\Windows Live\Messenger\msnmsgr.exe"=
 "C:\Programmi\Windows Live\Messenger\livecall.exe"=
 "C:\Programmi\eMule\emule.exe"=
 R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-17 9216]
 R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-10-18 17920]
 R3 S3GIGP;S3GIGP;C:\WINDOWS\system32\DRIVERS\S3gIGPm.sys [2007-07-11 714240]
 S2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};C:\Programmi\CyberLink\PowerDVD*0*00.fcl [ ]
 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{0695f23c-5e20-11dd-b0c6-00e04d529329}]
 \shell\verb1\command - desktop.exe
 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{7e9cc744-5e32-11dd-b0c7-00e04d529329}]
 \Shell\AutoRun\command - G:\LaunchU3.exe -a
 .- 
- 
- 
- ORFÇOS REMOVIDOS - - - -
 HKLM-Run-C:\WINDOWS\system32\kdzyc.exe - C:\WINDOWS\system32\kdzyc.exe
 HKLM-Run-BM6bf067af - C:\WINDOWS\system32\hxkferxv.dll
 
- ORFÇOS REMOVIDOS - - - -
 
- 
 
- 
 . 
 ------- Supplementary Scan -------
 .
 R0 -: HKCU-Main,Start Page = hxxp://.google.it/
 R1 -: HKCU-Internet Settings,ProxyOverride = 127.0.0.1
 O8 -: E&sporta in Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
 O16 -: Microsoft XML Parser for Java -C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd 
 .
 catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, 
 Rootkit scan 2008-09-03 23:39:41
 Windows 5.1.2600 Service Pack 2 NTFS
 scansione processi nascosti ...
 scansione entrate autostart nascoste ...
 Scansione files nascosti ...
 Scansione completata con successo
 Files nascosti: 0
 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
 "C:\WINDOWS\system32\kdzyc.exe"="C:\WINDOWS\system32\kdzyc.exe"
 [HKEY_LOCAL_MACHINE\System\ControlSet001\Services{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
 "ImagePath"="??\C:\Programmi\CyberLink\PowerDVD*0*00.fcl"
 .
 --------------------- DLLs Carregadas Sob os Processos em Execu‡Æo ---------------------
 PROCESS: C:\WINDOWS\system32\lsass.exe
 -> C:\Programmi\Eset\pr_imon.dll
 .
 ------------------------ Other Running Processes ------------------------
 .
 C:\Programmi\ESET\nod32krn.exe
 C:\Programmi\CyberLink\Shared files\RichVideo.exe
 C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
 C:\WINDOWS\system32\wdfmgr.exe
 C:\WINDOWS\system32\wscntfy.exe
 .
 .
 Ora fine scansione: 2008-09-03 23:40:53 - machine was rebooted
 ComboFix-quarantined-files.txt 2008-09-03 21:40:50
 Pre-Run: 73,993,883,648 byte disponibili
 Post-Run: 74,904,076,288 byte disponibili
 278
 e
 Logfile of Trend Micro HijackThis v2.0.2
 Scan saved at 23.43.52, on 03/09/2008
 Platform: Windows XP SP2 (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 Boot mode: Normal
 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.exe
 C:\WINDOWS\system32\services.exe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.exe
 C:\WINDOWS\System32\svchost.exe
 C:\WINDOWS\system32\spoolsv.exe
 C:\Programmi\Eset\nod32krn.exe
 C:\Programmi\Eset\nod32kui.exe
 C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
 C:\Programmi\Messenger\msmsgs.exe
 C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe
 C:\Programmi\CyberLink\Shared files\RichVideo.exe
 C:\WINDOWS\system32\svchost.exe
 C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
 C:\WINDOWS\system32\wscntfy.exe
 C:\WINDOWS\explorer.exe
 C:\Documents and Settings\user\Desktop\logs\HiJackThis.exe
 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
 O4 - HKLM..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
 O4 - HKLM..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
 O4 - HKLM..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
 O4 - HKLM..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
 O4 - HKCU..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
 O4 - HKCU..\Run: [CTSyncU.exe] "C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe"
 O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
 O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
 O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
 O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
 O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
 O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
 O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
 O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
 O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exeEnd of file - 3434 bytes 
 grazie davvero, sono curioso di capire nel limite delle mie infime conoscenze , che kakkio ha pulito.
 
- 
							
							
							
							
							
Direi che adesso il pc è realmente pulito, avevi un mucchio di virus che non si vedevano con hijackthis e che combofix ha eliminato. 
 (tutti i file eliminati li vedi nel log alla voce altre eliminazioni).
 Se vuoi un ulteriore controllo scarica systemscan www.suspectfile.com/systemscan avvialo accetta il contratto disattiva AV (che anche in questo caso potrebbe rilevartelo come infetto) e inizia la scansione del sistema assicurandoti che tutte le caselle siano selezionate.
 Alla fine postaci il report facendo l'upload su www.sendmefile.com e dandoci il lin che comparirà.
 Altrimenti se non vuoi usare systemscan per me sei a posto (è solo per un ulteriore controllo)
 
- 
							
							
							
							
							
grazie infinite giò! ora il pc viaggia alla grande !!! 
 una cosa volevo chiederti cioè dopo la cura..la prevenzione: questo pc viene usato al 80% da una ragazzina di 13 anni che potete immaginare che tipo di navigazione faccia : scaricare filmati da Utube, frequentazioni blogspot di cantanti , scaricare foto cantanti, msn.. insomma il meglio del peggio, ed infatti i risultati sono stati quelli che sono stati. Ora, non potendo/volendo impedirle di fare tutto ciò e temendo una prossima infezione, volevo sapere
 1)se il Nod e CCleaner bastano per una difesa "normale"
 2) se ,all' occorenza posso rilanciare, brutalmente, Combofix soprattutto per non disturbarvi più di tanto.
 3) sono costretto a chiedervi aiuto.
 grazie ancora !!file link: sendmefile.com/00646951 aggiungo l'ultimo log HJ in cui compare all'ultima riga un file di un programma che rimosso (file missing). Ho provato a fixarlo,ma rimane. E' il caso di cancellarlo (con Avenger ?) oppure può stare lì? Logfile of Trend Micro HijackThis v2.0.2
 Scan saved at 16.33.54, on 04/09/2008
 Platform: Windows XP SP2 (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 Boot mode: Normal
 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.exe
 C:\WINDOWS\system32\services.exe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.exe
 C:\WINDOWS\System32\svchost.exe
 C:\WINDOWS\Explorer.EXE
 C:\WINDOWS\system32\spoolsv.exe
 C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
 C:\Programmi\Messenger\msmsgs.exe
 C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe
 C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
 C:\Programmi\Eset\nod32krn.exe
 C:\WINDOWS\system32\svchost.exe
 C:\WINDOWS\system32\wuauclt.exe
 C:\Programmi\Windows Live\Messenger\usnsvc.exe
 C:\Programmi\ESET\nod32kui.exe
 C:\Documents and Settings\user\Desktop\logs\HiJackThis.exe
 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
 O4 - HKLM..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
 O4 - HKLM..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
 O4 - HKLM..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
 O4 - HKLM..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
 O4 - HKCU..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
 O4 - HKCU..\Run: [CTSyncU.exe] "C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe"
 O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
 O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
 O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
 O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
 O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
 O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
 O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
 O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
 O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe (file missing)End of file - 3446 bytes 
 
- 
							
							
							
							
							
L'ultima voce lasciala stare, è di un servizio e hijackthis non può eliminarla. 
 Per velocizzare ulteriormente l'avvio fixa queste voci:O4 - HKLM..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe 
 O4 - HKLM..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
 O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
 O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
 O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
 O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
 O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
 Poi disinstalla alice ti aiuta.Nod32 è un buon AntiVirus, visto che l'hai pagato tienilo; quando scadrà la licenza puoi installare AntiVir www.free-av.com gratis e migliore unico aspetto negativo è che è in inglese ma facile. 
 Poi da subito installa dei software antispyware:
 SUPERAntispyware: www.superantispyware.com (versione free)
 Malwarebyte's Antimalware www.malwarebytes.org
 Installali entrambi ed effettua periodicamente scansioni con essi:)Se hai altre domande sono qui. ps: io di anni ne ho 15:D e faccio anche di peggio col PC solo che so uscirne fuori:D 
 
- 
							
							
							
							
							
Ok Giò! installato quello che hai scritto e fixato i programmi di cui sopra. Ma veramente hai 15 anni???? azz sei un genioooooo !!! io non arriverei al tuo livello manco se nascessi un'altra volta  Inoltre mi risponderesti al mio punto 2, cioè se all'occorrenza posso usare Combofix o magari è un'operazione pesante da fare sol ose realmente necessario? 
 Ti dico questo perchè dopo tutto ciò che abbiamo fatto stamattina al caricamento di Xp è apparsa una scritta che si era perso il profilo utente e quindi mi ha aperto con un profilo creato da lui (??) in cui chiaramente non vedeva il desktop originario e tutto l'ambaradan ecc. Poi ho risolto con un punto di riprsitino di ieri sera ed è tornato originale.
 Che si fa in questi casi?
 
- 
							
							
							
							
							
@gibson3 said: Ok Giò! installato quello che hai scritto e fixato i programmi di cui sopra. Ma veramente hai 15 anni???? azz sei un genioooooo !!! io non arriverei al tuo livello manco se nascessi un'altra volta  Inoltre mi risponderesti al mio punto 2, cioè se all'occorrenza posso usare Combofix o magari è un'operazione pesante da fare sol ose realmente necessario? 
 Ti dico questo perchè dopo tutto ciò che abbiamo fatto stamattina al caricamento di Xp è apparsa una scritta che si era perso il profilo utente e quindi mi ha aperto con un profilo creato da lui (??) in cui chiaramente non vedeva il desktop originario e tutto l'ambaradan ecc. Poi ho risolto con un punto di riprsitino di ieri sera ed è tornato originale.
 Che si fa in questi casi?
 Ciao, scusa per il ritardo.
 Combofix lo puoi usare all'occorrenza ma potrebbe in rari casi eliminare qualche file legittimo.
 Io direi che se hai problemi chiedi sempre prima nel forum, in fondo a questo serve;)PS: Si, ho veramente quindici anni fatti ieri:D 
 
- 
							
							
							
							
							
Ok perfetto !! accolgo la vostra accoglienza e se avrò bisogno chiederò. e... auguri vivissimi Giò!!