Kamsoft.exe

Ciao Choppaz. Benvenuto nel Forum

Per cominciare esegui le scansioni con il tuo antivirus aggiornato e un software antispyware aggiornato.
Visto che hai già installato AntiVIR + Spybot ... aggiornali semplicemente.

Puoi anche installare un altro "antispy" per un' ulteriore scansione, ad es. A-Squared free.

Dopo averli installati ed aggiornati devi seguire questo procedimento:

- Riavviare il computer in modalità provvisoria
- Visualizzare le estensioni dei file, i file nascosti e i file di sistema.
- Disattivare il "Ripristino di configurazione di sistema"
- Eseguire la scansione con il tuo antivirus (fancendo una scansione completa di tutti file)
  Tutte le minacce trovate le metti in quarantena o, se non è possibile, le elimini.
  Segnati tutti i malware trovati.
- Eseguire la scansione con l'antispyware
  Tutte le minacce trovate le metti in quarantena o, se non è possibile, le elimini.
  Segnati tutti i malware trovati.
- Fare una pulizia completa con "CCleaner"
- Riavviare il computer in modalità normale
- Eseguire HiJackThis e postare il LOG di quest'ultimo

Questi passaggi li trovi spiegati in questo Topic.

http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=4407 - REGOLA : LEGGERE Prima di postare un LOG

Per qualsiasi dubbio ... chiedi pure.

Ciao.

PS
Per il momento evita di usare chiavette USB o altri dispositivi esterni ...

Grazie di avermi risposto, ora procedo e vi posto il log!!

file:///C:/Documents%20and%20Settings/utente/Desktop/hijackthis.log - file:///C:/Documents%20and%20Settings/utente/Desktop/hijackthis.log

Questo è il log di hijackthis.Una precisazione : con regrun 5 mi era stato consigliato di rinominare kamsoft.exe per terminarlo e io l ho fatto, con il nome cirillo.old.Spero di non crearvi problemi altrimenti lo riporto al vecchio valore.Il bello è che si ricrea anche con questo nome fittizio.
Gli spyware non mi segnalano presenze sospette, solo reanimator/regrun 5 le evidenzia ma non riesce a fixarle.
 
Aspetto con ansia gentile risposta

Riporto anche l'intero log poichè potrebbe non essere corretto postare un link come ho fatto in precedenza:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.21.49, on 08/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\cirillo.old

End of file - 5837 bytes



-------------

Ciao

Segui questi passaggi ...

- Riavvia il computer in modalità provvisoria
- Assicurati che sia disabilitato il "Ripristino di configurazione di sistema"
- Avvia HiJackThis, ma questa volta premi il pulsante "Do a system scan only"
- Dopo la scansione metti la spunta alla seguente riga:

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\cirillo.old

- Premi il tasto "Fix checked"
- Apri Esplora risorse (Start->Risorse del computer)
- Entra nella cartella C:\Windows\System32
- Fai scorrere la lista finchè non individui il file: cirillo.old
- Selezionalo con il tasto sinistro del mouse (mi raccomando un solo clic...)
- Tieni premuto il tasto "Shift" e poi premi il tasto "Canc"
- Alla richiesta di Windows di cancellare il file definitivamente ... rispondi "Si"
- Esegui CCleaner, premi a sinistra la pagina "Registro" e fai una pulizia completa del registro (anche più volte ... finchè non trova più errori)
- Poi passi alla pagina Opzioni, clicca su "Avanzate" e assicurati che sia tolta la spunta su "Cancella file in Windows Temp solo se più vecchi di 48 ore"
-Passa quindi alla pagina "Pulizia" e metti la spunta sull'opzione "Vecchi dati Prefetch" sotto "avanzate".
Mi raccomando che sia spuntata solo quella, se si spuntano le altre opzioni ... toglile.
- Avvia la pulizia
- Riavvia il computer in modalità normale e posta nuovamente il LOG di HiJackThis.

Ciao

PS
Non riabilitare ancora il "Ripristino di configurazione di sistema" ...

Ho fatto tutto quanto descritto, ma non ho trovato dirillo.old in system 32 purtroppo. Ecco il log di Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.33.00, on 08/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\cirillo.old


End of file - 5618 bytes

Dimmi cosa ne pensi...


-------------

Ciao.

La riga è ancora presente nel log ...

Mi raccomando ... il file non si chiama "dirillo.old" ma "cirillo.old"

- Hai visualizzato i file nascosti e di sistema ?
- Hai disabilitato il Ripristino di configurazione di sistema ?
- Hai usato HiJackThis in modalità provvisoria, spuntando la riga indicata e premendo il tasto "Fix Checked" ?
- hai pulito con CCleaner (Registro + Pulizia) ?

scusami era un errore di typing ho cercato proprio cirillo.old, quello da me rinominato e nn lo trovo anche se ho visualizzato tutti i file con tutte le estensioni. Sembra nascosto in qualche maniera. Come fare per beccarlo?

Nessun problema ... proviamo così ...
Da Risorse del computer tasto destro su C: e seleziona cerca dal menu a tendina
Assicurati che sotto "Altre opzioni avanzate" siano spuntate le prime tre opzioni:
- Cerca nelle cartelle di sistema
- Cerca nei file e nelle cartelle nascosti
- Cerca nelle sottocartelle
Scrivi nella prima cella "Nome del file": Cirillo.old
Avvia la ricerca

Dimmi solo se Windows riesce ad individuare il file.

Poi verifica un'altra cosa ...
Guarda se sotto C: vedi i seguenti file ...

0w.com
lky.exe
o1.com
whi.com

Scarica poi http://www.gmer.net/gmer.zip - GMer

...decomprimi il file eseguibile su una cartella nel desktop e avvia il programma.
Senza toccare nulla clicca su "Scan"... (dovrebbe essere già impostato all'avvio sulla pagina per la scansione dei rootkits)

Facci sapere se ti ha dato avvisi di presenza rootkits... ed eventuali voci indicate in rosso...
Alla fine della scansione clicca sul tasto "Copy" di GMer e incolla il risultato sul Blocco Note di Windows
Poi postaci il LOG di GMer.

Dicci anche i risultati delle ricerche dei file che ho indicato e se la ricerca con Windows ha individuato il file cirillo.old.

Ti raccomando di mantenere sempre:
-Visualizzazione dei file e cartelle nascoste, visualizzazione file di sistema,visualizzazione estensione dei file
-Disabilitazione del "Ripristino di configurazione di sistema"

Ancora molte grazie per la pazienza...
Non è stato trovato in C: alcun file cirillo.old, da windows. In C: ho solamente un file NTDETECT.COM tra quelli nascosti, per quanto riguarda similarità di estensione con quelli che mi hai elencato.
Il log di Gmer è:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-12-08 19:50:20
Windows 5.1.2600 Service Pack 2








-------------

Scarica nuovamente http://steven.altervista.org/files/tools.html - ComboFix
Dal link che ti ho dato copiati anche le istruzioni per usarlo (solo fino alla generazione del LOG)
Scarica http://swandog46.geekstogo.com/avenger2/download.php - Avenger

Riavvia nuovamente il computer in modalità provvisoria... ed esegui nuovamente solo i passaggi precedenti che sono indicati sotto...




Poi esegui Combofix seguendo le istruzioni del link che ti ho dato per scaricarlo (Disattiva il firewall e l'antivirus momentaneamente)
Segui le istruzioni per usarlo e fermati alle istruzioni che indicano la posizione del LOG (C:\Combofix.txt)
Mi raccomando ... lascialo andare senza fare niente ... finchè non ha finito.

Disabilita nuovamente il ripristino di configurazione di sitema se si è attivato dopo la scansione con ComboFIX

Avvia Avenger e copia e incolla dentro la lista bianca la seguente sequenza di comandi (...le 8 righe qui sotto, nel riquadro):


Files to delete: 
C:\WINDOWS\system32\cirillo.exe
C:\WINDOWS\system32\cirillo.old
C:\WINDOWS\cirillo.exe
C:\WINDOWS\cirillo.old
C:\autorun.inf
Folders to delete:
%temp%



Premi il tasto "Execute" e ti verrà chiesto di riavviare il computer.

Dopo il riavvio (in modalità normale) verrà aperto il Blocco Note con il file LOG di Avenger

Posta il LOG di ComboFIX (C:\Combofix.txt)
Posta il LOG di Avenger
Posta un nuovo LOG di HiJackThis

... e dicci se la precedente scansione con GMer segnava nella lista delle voci in Rosso.

Ciao.

Ecco i tre log, sembra che il Pc sia pulito , ma il mio cirillo.old(vecchio kamsoft.exe) è sempre li.Mi chiedo, sarà solo un moncone di un rootkit ormai inattivo?Intanto grazie mille!

ComboFix 08-12-07.04 - utente 2008-12-09 17.07.46.2 - NTFSx86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1040.18.1783 [GMT 1:00]
Eseguito da: c:\documents and settings\utente\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((   Files Creati Da 2008-11-09 al 2008-12-09  )))))))))))))))))))))))))))))))))))


160    --- E O F ---    2008-12-05 23:15:08



Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opexxd successfully.
Script file read successfully.

Backups directory opexxd successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\WINDOWS\system32\cirillo.exe" not found!
Deletion of file "C:\WINDOWS\system32\cirillo.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\cirillo.old" not found!
Deletion of file "C:\WINDOWS\system32\cirillo.old" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\cirillo.exe" not found!
Deletion of file "C:\WINDOWS\cirillo.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\cirillo.old" not found!
Deletion of file "C:\WINDOWS\cirillo.old" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error: "C:\autorun.inf" is a folder, not a file!
Deletion of file "C:\autorun.inf" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
  --> use "Folders to delete:" instead of "Files to delete:" to delete a directory

Folder "C:\DOCUME~1\utente\IMPOST~1\Temp" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.24.25, on 09/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal


O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\cirillo.old


--
End of file - 5619 bytes



-------------

Non so se sia un semplice rimasuglio del malware ... il fatto che non riusciamo a togliero dal registro ...e/o che questo sia dovuto alla modifica fatta con "Regrun"... e poi c'è un'altra cosa saltata fuori dai log.

Ho notato che in C: hai una cartella "Autorun.inf" ... mi aspettavo che ci fosse un file.
Ora ... non so se hai creato tu questa cartella oppure hai usato qualche programma che l'ha creata.
Creare una cartella "AutoRun.inf" in C: è anche un sistema che può aiutarti a proteggere il SO da questo tipo di infezione...

Ascolta .. ti posto la procedura completa per la rimozione manuale di questo Trojan/Backdoor.
'E comprensiva di alcune varianti del file ... che probabilmente non avrai ... ma è meglio "abbondare"
Ti aggiungo anche un'altro tool di rimozione da scaricare (che forse hai già installato, ho visto delle tracce del programma ...)

Non usare ancora chiavette USB e altri dispositivi esterni... perchè potrebbero essere infette.
Poi vediamo come controllarle ...

Cominciamo:

Scarica http://www.malwarebytes.org/mbam.php - Malwarebytes Anti-Malware (... se non l'hai già fatto), installalo e aggiorna la definizione del database.

Per scaricarlo premi il tasto Download (verde) dal link che ti ho dato.
(... la differenza principale tra il programma gratuito e quello a pagamento è la mancanza del controllo in realtime)

Segui i soliti passaggi:

- Riavvio del computer in "Modalità provvisoria" (... tasto F8 dopo l'avvio)
- Verifica che sia disabilitato il "Ripristino di configurazione di sistema"
  Deve essere presente la spunta su "Disattiva Ripristino configurazione di sistema"
  'E importante che sia disabilitato ... altrimenti "HiJackThis" potrebbe non avere effetto.
- Avvia "HiJackThis" e premi il tasto "Do a system scan only"
  Dopo la scansione metti la spunta alle seguenti voci (... sempre se esistono):

    O4 - HKCU\..\Run: [ckvo] c:\windows\system32\ckvo.exe
    O4 - HKCU\..\Run: [avp] c:\WINDOWS\system32\avp.exe
    O4 - HKCU\..\Run: [amva] c:\WINDOWS\system32\amvo.exe
    O4 - HKCU\..\Run: [kxva] c:\WINDOWS\system32\kxvo.exe
    O4 - HKCU\..\Run: [kava] c:\WINDOWS\system32\kavo.exe
    O4 - HKCU\..\Run: [tava] c:\WINDOWS\system32\tavo.exe
    O4 - HKCU\..\Run: [TaskMonitor] c:\WINDOWS\system32\TaskMonitor.exe
    O4 - HKCU\..\Run: [Realshade] c:\WINDOWS\system32\realshade.exe
    O4 - HKCU\..\Run: [cftmonn] c:\WINDOWS\system32\cftmonn.exe
    O4 - HKCU\..\Run: [kamsoft] c:\WINDOWS\system32\kamsoft.exe
    O4 - HKCU\..\Run: [kamsoft] c:\WINDOWS\system32\cirillo.old

- Premi il tasto "Fix checked".
- Avvia "Malwarebytes Anti-Malware" e dalla pagina principale "Scansione" seleziona l'opzione "Effettua una scansione completa"
- Premi il pulsante "Scansiona".
  Attendi che venga completata la scansione e metti in Quarantena tutti gli oggetti malevoli rilevati.
- Salva sul harddisk il report finale che verrà aperto a fine scansione.
- Avvia "CCleaner" e fai la Correzione completa del registro + Pulizia (come ti avevo indicato nei post precedenti)
- Avvia "Avenger" e copia al suo interno queste righe...


Files to delete:
c:\windows\system32\ckvo.exe
c:\windows\system32\ckvo0.dll
c:\WINDOWS\system32\avp.exe
c:\WINDOWS\system32\amvo.exe
c:\WINDOWS\system32\kxvo.exe
c:\WINDOWS\system32\kavo.exe
c:\WINDOWS\system32\tavo.exe
c:\WINDOWS\system32\SCVVHSOT.exe
c:\WINDOWS\system32\TaskMonitor.exe
c:\WINDOWS\system32\realshade.exe
c:\WINDOWS\system32\cftmonn.exe
c:\WINDOWS\system32\wincab.sys
c:\windows\system32\gasretyw0.dll
c:\windows\system32\kamsoft.exe
c:\WINDOWS\system32\cirillo.old
C:\autorun.inf
Folders to delete:
C:\autorun.inf
%temp%



- Premi il tasto "Execute" per iniziare la procedura.Accetta le richieste di conferma e il PC verrà riavviato ...
- Dopo il riavvio esegui un'altra scansione Con "GMer", e verifica se alla fine ci sono delle voci in rosso.

Alla fine posta:

- Un nuovo LOG di "HiJackThis"
- Il LOG di "Malwarebytes Anti-Malware"
- Dicci soltanto se "Gmer" a rilevato voci in rosso e, se si, quali ... (... non serve che posti il log di GMer per il momento)
- Verifica se sotto c: esiste (...o si è rigenerato) un file e/o una directory con il nome "Autorun.inf"

Ciao.

PS
Abbi pazienza se posso sembrarti ripetitivo su alcuni passaggi ... ma sono necessari ...

OOk, la cartella è autorun.inf è stata cancellata, ma era stata creata da regrun 5. Per quanto riguarda i logs eccoli:

Malwarebytes' Anti-Malware 1.31
Versione del database: 1482
Windows 5.1.2600 Service Pack 2

10/12/2008 17.58.56


Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.09.49, on 10/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\cirillo.old

--
End of file - 5632 bytes


In autorun mi segnalava protezione dai dispositivi flash-drive.La ripristino?Gmer non trova nulla che non va. Mi rimetto al vostro giudizio, questo malware è debellato secondo voi?



-------------

Ciao Choppaz

Riattiva pure la funzione di "Regrun" se è stato lui a creare la cartella "Autorun.inf" (... io non conosco "Regrun" però, come ti dicevo nel post precedente, creare questa cartella è anche un sistema per proteggersi da questo tipo di malware).

Vorrei dare un'occhiata ad una porzione del registro di Windows che dovrebbe contenere la chiave che non riusciamo a cancellare.

Fai così:
Start->Esegui...-> ...e nella casella apri digita "regedit" (senza virgolette) e premi il pulsante "Ok"
Si avvierà l'editor di registro di sistema.

Sulla parte sinistra dell'editor di registro apri le seguenti cartelle:

HKEY_CURRENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> Run

Cliccando sull' ultima cartella "Run" a destra dovrebbero comparire una serie di nomi di file, tra cui anche il nostro "Kamsoft".

Seleziona la cartella "Run" in modo che sia evidenziata, clicca sopra con il tasto destro del mouse e dal menu a tendina seleziona "Esporta"
Ti verrà chiesto di dare un nome al file da salvare e dove salvarlo.
Salvalo sul desktop e dagli ad esempio il nome "Backup" (oppure un nome che vuoi tu).
Dopo averlo salvato chiudi l'editor di registro per il momento.

Sul desktop dovresti avere un file con estensione .reg.
Premi con il tasto destro del mouse sopra il file e dal menu seleziona "Modifica"
Si aprirà il blocco note di Windows con all'interno le voci di quella parte del registro.
Copia e incolla il contenuto nel prossimo post.

Ciao.

PS
' E buona cosa che GMer non abbia indicato niente ... quello che vorrei capire è se non riusciamo a cancellare quella chiave per questione di privilegi/permessi oppure se c'è qualcosa che la sta rigenerando.

Okkei tutto fatto:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programmi\\Spybot - Search & Destroy\\TeaTimer.exe"
"kamsoft"="C:\\WINDOWS\\system32\\cirillo.old"

Avevo un esame e nn ho risposto subito, scusate.

Attendo risposta grazie mille.

Ciao Choppaz ... nessun problema...

Ho modificato il file .reg ... eseguendolo dovrebbe cancellarti le righe contenute in quella porzione di registro.
In quella porzione di registro non hai servizi essenziali al sistema.
Poi con un'altro file .reg ricreiamo la parte buona del registro.

Fai così:
In modalità normale apri il Blocco Note di Windows.
Copia e incolla le righe contenute nel riquadro qui sotto:



Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"kamsoft"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]



Verifica che siano esattamente come nel riquadro sopra, poi salva il file sul Desktop (dagli un nome che vuoi, ad esempio Rimozione.reg)
Mi raccomando di specificare l'estensione finale .reg ... (che deve essere messa al posto di *.txt)
Salvato il file, chiudi il Blocco Note ... sul desktop dovresti avere il file "Rimozione.reg"

Assicurati che il Ripristino di configurazione di sistema sia disattivato.

Esegui il file con un doppio clic sx del mouse.
L' Editor di Registro di sistema ti chiederà se vuoi aggiungere i dati contenuti in quel file.
Premi "Si" e le modifiche verranno effettuate.

Riavvia il computer.

Posta il nuovo LOG di HiJackThis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.06.23, on 17/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal


O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\cirillo.old


--
End of file - 5907 bytes

Ecco fatto, sono nelle tue mani ora, ho esaurito le idee francamente... a presto.


-------------

... va beh ...la riga c'è ancora .
... e che non volevo farti modificare direttamente il Registro di Windows.
A questo punto farei un ultimo tentativo di cancellazione manuale ... se te la senti.

Avvia nuovamente l'editor di registro.
Sulla parte sinistra dell'editor di registro apri le seguenti cartelle:

HKEY_CURRENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> Run

Cliccando sull' ultima cartella "Run" a destra dovrebbero comparire la chiave "Kamsoft"... che dovrebbe essere l'unica rimasta.

Sulla parte destra seleziona "Kamsoft" con il tasto sinistro del mouse, premi il tasto Canc e ti verrà chiesto se vuoi eliminare il valore selezionato. Conferma la cancellazione.
Chiudi l'editor di registro, poi riavvialo nuovamente e verifica che non si sia già riformata la chiave.

Riavvia il computer.

Apri nuovamente l'Editor di registro di Windows e verifica nuovamente se si è riformata la chiave.

Facci sapere come è andata.

Sparito! Alla fine ce l'avete fatta!Grazie mille questo forum mi è stato di grandissimo aiuto!Buone feste a tutti!!!

Ottimo ...  ... sono contento che hai risolto.
Alla fine si è rilevata solo una questione di privilegi.

Ora ci sarebbe da ripristinare i servizi buoni che abbiamo rimosso da quella porzione di registro (anche se, come ti dicevo, non sono servizi essenziali).

Fai così (...stesso procedimento di prima):
In modalità normale apri il Blocco Note di Windows.
Copia e incolla le righe contenute nel riquadro qui sotto:



Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programmi\\Spybot - Search & Destroy\\TeaTimer.exe"



Verifica che siano esattamente come nel riquadro sopra, poi salva il file sul Desktop (dagli un nome che vuoi, ad esempio Ripristino.reg)
Mi raccomando di specificare l'estensione finale .reg ... (che deve essere messa al posto di *.txt)
Salvato il file, chiudi il Blocco Note ... sul desktop dovresti avere il file "Ripristino.reg"

Esegui il file con un doppio clic sx del mouse.
L'Editor di Registro di sistema ti chiederà se vuoi aggiungere i dati contenuti in quel file.
Premi "Si" e le modifiche verranno effettuate.

Riavvia il computer.

Verifica nel LOG di "HiJackThis" se sono presenti le due voci che hai ripristinato (... ormai hai imparato ad usarlo ), oppure verifica nell'Editor di Registro di Windows, sempre sullo stesso percorso...

HKEY_CURRENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> Run

...se sono presenti le due voci.

Alla fine ricordati di riabilitare il "Ripristino di Configurazione di Sistema" (... sempre se vuoi riabilitarlo)

Penso sia tutto.

Ciao e grazie per avere risposto.
Buone Feste anche a te !!!