Stampa la pagina | Chiudi finestra

Errore in explorer.exe

Stampato da: PCPRIMIPASSI.IT
Categoria: SISTEMA OPERATIVO WINDOWS
Nome del Forum: Tutto su Windows
Descrizione del forum: Problemi generali relativi al sistema operativo Windows
URL: Vedi discussione
Data di Stampa: 16/Aprile/2024 alle 19:02

Topic: Errore in explorer.exe
Postato da: Chisciotte
Soggetto: Errore in explorer.exe
Postato in data: 07/Giugno/2005 alle 18:40

Salve a tutti: chiedo a chi vorrà rispondermi una mano per un problema che si è verificato sul PC (fra l'altro, non mio, sigh!). Premetto che non sono un grande esperto, quindi ho particolarmente bisogno d'aiuto.

Dopo aver effettuato una ricerca con il mio antivirus, il programma mi chiedeva di cancellare un Trojan dall'hard disk e diceva che lo avrebbe eliminato solo al riavvio di Windows.

Dopo pochi secondi dalla riaccensione del PC, però, ora mi si apre una finestra d'errore che recita: "Si è verificato un errore in explorer.exe. L'applicazione verrà chiusa".

Chiudo la finestra, ma subito dopo riappare, rendendo il mio computer praticamente inutilizzabile.

Se poi tento di fare operazioni come un Copia e Incolla, immediatamente mi appare un altro pop up che mi segnala un errore in drwtsn32: e a quel punto il PC si imballa del tutto, costringendomi a riavviarlo.

Ho provato anche a fare un ripristino del sistema dal pannello di controllo, ma mi risponde che non è possibile effettuarlo.

Potete dirmi cosa sia successo? Il sistema operativo è un XP, con ambedue i Service Pack installati; considerate che non posseggo il CD di installazione, che non è stata effettuata da me.

Grazie a tutti coloro che vorranno darmi una mano: sono disperato!

Risposte:

Postato da: lucas
Postato in data: 07/Giugno/2005 alle 19:04

ciao e ben arrivata/o scusa che file ti ha fatto cancellare l'antivirus?che antivirus usi?ricordi il nome preciso del trojan?ciao ciao

-------------

Postato da: Chisciotte
Postato in data: 07/Giugno/2005 alle 19:12

Uso l'AVG.

Il nome del Trojan non lo ricordo, però posso dirti che, mentre ero collegato, si è autoinstallato un software "Antivirusgold", prima ancora che potessi bloccarlo. L'ho disinstallato immediatamente, ma ho la sensazione che avesse a che fare con il Trojan scovato dal mio AVG.

Postato da: Yusuke
Postato in data: 07/Giugno/2005 alle 20:23

Senti chisciotte, quindi il computer adesso nn ti funziona affatto?

Hai provato ad avviarlo in modalità provvisoria?

-------------
La notte Ã¨ piÃ¹ bello, si vive meglio, per chi fino alle cinque non conosce sbadiglio e la cittÃ riprende fiato, sembra che dorma e il buio la trasforma e le cambia forma...

Postato da: lucas
Postato in data: 07/Giugno/2005 alle 20:35

si si hai propio ragione e quello il trojan

!!!!!comunque adesso ti posto una guida per postare il log di hijach,la cartella non la devi mettere sulla desktop ma ne ne devi creare una tutta sua,poi mettila dove ti pare in documenti ecc comunque leggiti la guida e capisci meglio di che si tratta!!!!ciao ciao

Hijack lo potete prelevare http://www.merijn.org/files/hijackthis.zip - Da QUI

http://www.h3.dion.ne.jp/%7Esole/Yoghi/Hijackguida/Hijack-guida.html - E in questa mia pagina (kuma) potete leggere una breve guida su Hijack

-------------

Postato da: Chisciotte
Postato in data: 07/Giugno/2005 alle 23:44

1) No, Yusuke, il computer si accende e riesco anche a effettuare alcune operazioni: ma ogni cinque secondi mi appare il pop up di segnalazione dell'errore: in qualche caso (scrittura di un documento, navigazione su Internet) è solo un (grande) fastidio, in altri casi rende impossibili alcune operazioni (non consente il Drag&Drop sul desktop o, se la chiudo, chiude con sé anche le cartelle che ho aperto).

2) lucas, domani, appena entrerò in possesso del computer incriminato, farò la scansione con il programma che mi hai suggerito e poi posterò il log, aspettando fiducioso le vostre indicazioni e augurandomi di non aver compromesso irrimediabilmente il pc.

Grazie a tutti, comunque, per la vostra disponibilità e... speriamo bene!

Postato da: lucas
Postato in data: 07/Giugno/2005 alle 23:50

si fai con comodo ma misa che io domani non ci sono!!!dentista

comunque c'è yusuke nel caso te lo controlla lui!!!comunque leggiti questo che risolvi il problema delle finestre!!!vedi se si riferisce a quello che succede a te ma da come l'hai descritto si,fammi sapere ciao ciao
http://www.microsoft.com/IntlKB/Italy/articles/I283/1/50.htm - MICROSOFT

-------------

Postato da: Chisciotte
Postato in data: 08/Giugno/2005 alle 00:09

Leggerò con attenzione il link che mi hai consigliato, anche se non ho capito se quelle finestre siano il reale problema o solo un suo sintomo... Comunque, domani metterò in pratica i vostri suggerimenti.

Nel frattempo, in bocca al lupo per il dentista, lucas!

Postato da: lucas
Postato in data: 08/Giugno/2005 alle 00:11

tu intanto disattiva quel messagio d'errore cosi potrai lavorare tranquillamente poi se c'è qualcosa di strano dal log si dovrebbe vedere!!crepi il lupo sti dentisti fanno male

ciao ciao a domani

-------------

Postato da: Chisciotte
Postato in data: 08/Giugno/2005 alle 14:35

Ecco qua il log ricavato con Hijack: aspetto con ansia il vostro parere...

Logfile of HijackThis v1.99.0
Scan saved at 14.33.37, on 08/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Windows\system32\gearsec.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Windows\System32\NMSSvc.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Windows\system32\wuauclt.exe
C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
C:\Programmi\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Programmi\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\Windows\system32\PROMon.exe
C:\Program Files\ahead\InCD\InCD.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\iPod\bin\iPodService.exe
C:\Windows\system32\ctfmon.exe
C:\Programmi\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\Client1\IMPOST~1\Temp\Directory temporanea 2 per hijackthis.zip\HijackThis.exe
C:\Windows\explorer.exe
C:\Windows\system32\dwwin.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0410/bl8.asp - http://go.compaq.com/1Q00CDT/0410/bl8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ - http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0410/bl8.asp - http://go.compaq.com/1Q00CDT/0410/bl8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\System32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Programmi\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programmi\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [WCOLOREAL] C:\Programmi\COMPAQ\Coloreal\coloreal.exe
O4 - HKLM\..\Run: [NeroCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\Windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [Intel system tool] C:\Windows\system32\hookdump.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0858E8F8-1901-4E87-BB34-8B6F2D404A9E} (WebCamSetup Object) - http://webcam-stage.tiscali.it/activex/TiscaliWebCamSetup.cab - http://webcam-stage.tiscali.it/activex/TiscaliWebCamSetup.ca b
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab - file://C:\install.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab - http://www.cult3d.com/download/cult.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1408.g.akamai.net/7/1408/9955/20040106/akamai.info.apple.com/iTunes4/WW/win/T019-0123.2040106.PyJht/iTunesSetup.exe - http://a1408.g.akamai.net/7/1408/9955/20040106/akamai.info.a pple.com/iTunes4/WW/win/T019-0123.2040106.PyJht/iTunesSetup. exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096033481546 - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/ en/x86/client/wuweb_site.cab?1096033481546
O16 - DPF: {B24F0664-7DDA-40B6-B38C-A4FD68DE8685} - http://centra70.italdata-asp.it/SiteRoots/main/Install/CentraDownloader.cab - http://centra70.italdata-asp.it/SiteRoots/main/Install/Centr aDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBD6C6B6-11F2-44F1-B432-F 8DCF24E2F9A}: Domain = albacom.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBD6C6B6-11F2-44F1-B432-F 8DCF24E2F9A}: NameServer = 212.17.192.216,212.17.192.56
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Provvedere al Servizio Sicurezza - GEAR Software - C:\Windows\system32\gearsec.exe
O23 - Service: Servizio iPod - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Intel(R) NMS - Intel Corporation - C:\Windows\System32\NMSSvc.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

Postato da: Yusuke
Postato in data: 08/Giugno/2005 alle 15:38

I programmi indicati in questo post, (se non li hai già) puoi scaricarli da questa pagina: (scaricali e aggiornali prima di procedere)

- http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp ?TID=1393&PN=1

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::

In questa pagina - http://www.h3.dion.ne.jp/%7Esole/Yoghi/Hijackguida/Hijack-gu ida.html puoi leggere una breve guida su Hijack

Esegui queste operazioni ------ > (Stampa la pagina)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.
(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disattiva il RIPRISTINO DI CONFIGURAZIONE su tutte le unità
(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo un paio di giorni da questa procedura)

Avvia il sistema in modalità provvisoria

Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

O4 - HKCU\..\Run: [Intel system tool> C:\Windows\system32\hookdump.exe

O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CBD6C6B6-11F2-44F1-B432-F 8DCF24E2F9A}: Domain = albacom.it

O16 - DPF: {B24F0664-7DDA-40B6-B38C-A4FD68DE8685} - http://centra70.italdata-asp.it/SiteRoots/main/Install/Centr aDownloader.cab

HAI INSTALLATO ITUNES?

Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza
(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.

Pulisci il registro con RegSeeker

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione,
rifai il log e mettilo qui per un ultimo controllo

NB___se le voci non compaiono in modalità provvisoria vanno fisate da quella normale.

-------------
La notte Ã¨ piÃ¹ bello, si vive meglio, per chi fino alle cinque non conosce sbadiglio e la cittÃ riprende fiato, sembra che dorma e il buio la trasforma e le cambia forma...

Postato da: Chisciotte
Postato in data: 08/Giugno/2005 alle 17:50

Niente da fare... Ho fatto ciò che mi suggerivi, Yusuke, ma il problema rimane: il messaggio di errore in explorer.exe continua a bloccarmi i programmi.

Posto il nuovo log di hijack:

Logfile of HijackThis v1.99.0
Scan saved at 17.48.19, on 08/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Windows\system32\gearsec.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Windows\System32\NMSSvc.exe
C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
C:\Programmi\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Programmi\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\Windows\system32\PROMon.exe
C:\Program Files\ahead\InCD\InCD.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Windows\system32\ctfmon.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\DOCUME~1\Client1\IMPOST~1\Temp\Directory temporanea 4 per hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0410/bl8.asp - http://go.compaq.com/1Q00CDT/0410/bl8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ - http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0410/bl8.asp - http://go.compaq.com/1Q00CDT/0410/bl8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\System32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Programmi\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programmi\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [WCOLOREAL] C:\Programmi\COMPAQ\Coloreal\coloreal.exe
O4 - HKLM\..\Run: [NeroCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\Windows\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0858E8F8-1901-4E87-BB34-8B6F2D404A9E} (WebCamSetup Object) - http://webcam-stage.tiscali.it/activex/TiscaliWebCamSetup.cab - http://webcam-stage.tiscali.it/activex/TiscaliWebCamSetup.ca b
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab - http://www.cult3d.com/download/cult.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1408.g.akamai.net/7/1408/9955/20040106/akamai.info.apple.com/iTunes4/WW/win/T019-0123.2040106.PyJht/iTunesSetup.exe - http://a1408.g.akamai.net/7/1408/9955/20040106/akamai.info.a pple.com/iTunes4/WW/win/T019-0123.2040106.PyJht/iTunesSetup. exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096033481546 - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/ en/x86/client/wuweb_site.cab?1096033481546
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBD6C6B6-11F2-44F1-B432-F 8DCF24E2F9A}: NameServer = 212.17.192.216,212.17.192.56
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Provvedere al Servizio Sicurezza - GEAR Software - C:\Windows\system32\gearsec.exe
O23 - Service: Servizio iPod - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Intel(R) NMS - Intel Corporation - C:\Windows\System32\NMSSvc.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

Riguardo all'ITUNES, io non l'ho installato, ma devi considerare che non sono l'unico utente che lavora su questo pc.

...aiuto...

Postato da: lucas
Postato in data: 08/Giugno/2005 alle 18:39

allora c'è una voce che richiama un trojan tanto da quello che ho capito te le cavi con il pc quindi:
START>ESEGUI>REGEDIT>OK
Prima di editare la registrazione, dovi fare una copia di riserva. Sul menu 'di registrazione', fai clic su 'file di registrazione di esportazione'. Nel pannello 'di intervallo di esportazione', fai clic su 'tutto', quindi salva la tua registrazione come di riserva. Individua la voce

HKEY_LOCAL_MACHINE: Strumento di sistema

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Intel "sistema \winnook.exe" e lo cancella se esiste. Chiudete l'editor della registrazione.

Poi
Eliminare la registrazione di file toolbar.dll

START>ESEGUI>OK
inserisci questa stringa fai il copia incolla da http://www.symantec.com/avcenter/venc/data/spyware.isearch.html - qui

Segue del testo riportato...

poi start>pannelo di controllo>installazione applicazioni vedi se è presente questo iSearch Toolbar 1.0 e disinstallalo poi portati sulle chiavi di registro cerca queste chiavi se ci sono cancellaleHKEY_CLASSES_ROOT\CLSID\{1C78AB3F-A857-482E-80C0-3A1E5238A56 5} HKEY_CLASSES_ROOT\Software\Microsoft\Windows\CurrentVersio n\Explorer\Browser Helper Objects\{1C78AB3F-A857-482E-80C0-3A1E5238A565} HKEY_LOCAL_MACHINE\CLSID\{1C78AB3F-A857-482E-80C0-3A1E5238 A565} HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{1C78AB3F-A857-4 82E-80C0-3A1E5238A565} HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{1C78AB3F-A857-482E-80C0-3A1E5238A565} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersi on\Explorer\Browser Helper Objects\{1C78AB3F-A857-482E-80C0-3A1E5238A565} HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Uninst all\iSearch Toolbar_is1 HKEY_CLASSES_ROOT\iSearch.Object HKEY_CLASSES_ROOT\iSearch.Object.1 HKEY_CLASSES_ROOT\TypeLib\{6D3F5DE4-E980-4407-A10F-9AC771A BAAE6} HKEY_CURRENT_USER\Software\iSearch HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{1C78AB3F-A857-482E-80C0-3A1E523 8A565} HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\UR LSearchHooks\{1C78AB3F-A857-482E-80C0-3A1E5238A565} HKEY_CU RRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\&am p;am p;am p;am p;iSearch The Web poi portati su questa stringa HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersio n\Policies\Explorer trova queste chiavi "Btn_Search"="0x00000000"

"NoDriveTypeAutoRun"="0x00000000"

"SpecifyDefaultButtons"="0x00000000"

se ci sono modifica il valore facendo rimanere solo uno 0 naturalemnte fai un back up delle chiavi
finito questo

trova e rimuovi i seguenti file si dovrebbero trovare qui:C:\Windows\System32 (Windows XP).(%System%)
o qui C:\Windows(%Windir% )

%Windir%\unins000.exe
%Windir%\unins000.dat
%System%\toolbar.dll
%System%\version.txt

Fine testo riportato...

-------------

Postato da: Yusuke
Postato in data: 08/Giugno/2005 alle 18:44

GRANDE LUCAS!

-------------
La notte Ã¨ piÃ¹ bello, si vive meglio, per chi fino alle cinque non conosce sbadiglio e la cittÃ riprende fiato, sembra che dorma e il buio la trasforma e le cambia forma...

Postato da: Chisciotte
Postato in data: 08/Giugno/2005 alle 19:48

Bentrovato, lucas: mi auguro che il tuo dentista ti abbia fatto ritrovare il sorriso, perché io, invece, comincio proprio a disperare...

Delle operazioni che mi hai indicato, l'unica che sono riuscito a portare a termine è stata la modifica del valore di "NoDriveTypeAutoRun" da 91 a 0.

Per il resto, non ho trovato nessuna delle chiavi che mi hai indicato né dei file che mi suggerivi di rimuovere.

Che faccio, prenoto per Lourdes?

Postato da: Yusuke
Postato in data: 08/Giugno/2005 alle 20:48

LUCAS HA SCRITTO:

trova e rimuovi i seguenti file si dovrebbero trovare qui:C:\Windows\System32 (Windows XP).(%System%)
o qui C:\Windows(%Windir% )

    * %Windir%\unins000.exe
    * %Windir%\unins000.dat
    * %System%\toolbar.dll
    * %System%\version.txt

IN VERITà DEVI CERCARE:

    Windir\unins000.exe
    Windir\unins000.dat
    System\toolbar.dll
    System\version.txt

QUINDI SU TROVA SCRIVI SOLTANTO I NOMI FINALI:

unins000.exe
unins000.dat
toolbar.dll
version.txt

-------------
La notte Ã¨ piÃ¹ bello, si vive meglio, per chi fino alle cinque non conosce sbadiglio e la cittÃ riprende fiato, sembra che dorma e il buio la trasforma e le cambia forma...

Postato da: Yusuke
Postato in data: 08/Giugno/2005 alle 20:51

X LUCAS, DEVI TOGLIERLE LE PERCENTUALI QUANDO FAI IL COPIA E INCOLLA ALTRIMENTI GLI ALTRI UTENTI SI POSSONO SBAGLIARE

è SOLO UN CONSIGLIO.

-------------
La notte Ã¨ piÃ¹ bello, si vive meglio, per chi fino alle cinque non conosce sbadiglio e la cittÃ riprende fiato, sembra che dorma e il buio la trasforma e le cambia forma...

Postato da: lucas
Postato in data: 08/Giugno/2005 alle 20:55

yusuke ma veramente saresti l'ultimo che deve parlare hai controllato il log ed hai sbagliato e non ho detto niente io ho solo tradotto le procedure di rimozione!!!!hai fatto finta di non vedere che c'erano virus gli errori si fanno ma se stavolta gli ho fatti reclama alla symantec!!!!!!ciao ciao

6. To delete any related files, if they exist
Using Windows Explorer, navigate to and delete the following files:

%Windir%\unins000.exe
%Windir%\unins000.dat
%System%\toolbar.dll
%System%\version.txt

Notes:

%System% is a variable that refers to the System folder. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
%Windir% is a variable that refers to the Windows installation folder. By default, this is C:\Windows (Windows 95/98/Me/XP) or C:\Winnt (Windows NT/2000).

@chisciotte

tornando al discorso controlla piu volte queste voci stampa la pagina e disattiva il ripristino di configurazione di sistema e poi vai in modalita provvisoria!!!!!
controlla piu volte per quello che riguarda i file metti le opzioni di ricerca visualizza file e cartelle nascoste ed anche quelle di sistema ciao ciao

-------------

Postato da: yoda84
Postato in data: 08/Giugno/2005 alle 21:00

Per favore ragazzi, è diritto di tutti esprimere un giudizio e credo non sia carino criticare o dirsele in faccia pubblicamente. Se ci sono dei problemi suggerisco di chiarirli in privato..

-------------
yoda84--Provare no! Fare! O non fare! Non c'è provare!

Postato da: Yusuke
Postato in data: 08/Giugno/2005 alle 21:03

Ma io infatti nn ho criticato nessuno, il mio era solo un consiglio, giusto o sbagliato che sia stato...

Per me nn c'è problema

-------------
La notte Ã¨ piÃ¹ bello, si vive meglio, per chi fino alle cinque non conosce sbadiglio e la cittÃ riprende fiato, sembra che dorma e il buio la trasforma e le cambia forma...

Postato da: lucas
Postato in data: 08/Giugno/2005 alle 21:10

ma yusuke a me sembrava piu che altro una critica io ho scritto quello che ho letto poi che non sappia leggere bene quello lo puoi mettere in dubbio ma comunque per me nessun problema solo che la prossima volta me lo dici in privato oppure cosa migliore vai sul sito che ha quella procedura te lo leggi te lo traduci e poi vedi se ho riportato bene le cose dato che penso che quel file non era da tradurre ma riportare

Per cancellare qualsiasi file collegato, se essi esistono utilizzando Windows Explorer, navigate a e cancellate i seguenti file:

%System% è una variabile che riferisce della cartella di sistemi. Per default, questo è C: \Windows\System (Windows 95/98/Me), C: \Winnt\System32 (Windows NT/2000) o C: \Windows\System32 (Windows XP). * %Windir% è una variabile che riferisce della cartella di installazioni Windows. Per default, questo è C: \Windows (Windows 95/98/Me/XP) o C: \Winnt (Windows NT/2000).

-------------

Postato da: Chisciotte
Postato in data: 08/Giugno/2005 alle 21:54

Mammamia, questo virus dev'essere davvero potentissimo, se ha scatenato cotanta guerra civile...

Comunque, grazie, ragazzi: avevo capito che i nomi dei file fra %...% erano riferiti alle cartelle.

Domattina, quando tornerò sul luogo del delitto, proverò a guardare ancora: effettivamente, non ho cercato in modalità provvisoria, ma in quella normale: sarà per questo motivo che i cattivoni mi sono sfuggiti? Considerate che il popup maledetto mi chiude o blocca ogni finestra e devo essere velocissimo a verificare che nelle opzioni sia vistata l'opzione per visualizzare i file nascosti.

Vi terrò informati.

Vi chiedo, però, se devo recuperare il backup di hijack, visto che mi sembra di aver capito che i file "fixati" non erano quelli bacati. Non mi sembra, in ogni caso, che abbiano ulteriormente compromesso il sistema.

Ciao a tutti e... incrocio le dita!

Postato da: lucas
Postato in data: 08/Giugno/2005 alle 22:01

no lascia stare i back up poi quando hai finito di fare tutto lo riposti in modalita normale e li diamo una controllatina,mi raccomando per cancellare quei file devi essere su internet almeno così mi è sembrato di capire,quando li cerchi metti tutte le opzioni avanzate,tranne distinzione maiuscole e minuscole!!!!ciao ciao

Segue del testo riportato...

Per cancellare qualsiasi file collegato, se essi esistono utilizzando Windows Explorer, navigate a e cancellate i seguenti file

Fine testo riportato...

-------------

Postato da: Chisciotte
Postato in data: 09/Giugno/2005 alle 09:38

RAGAZZI, AIUTOOO!

Stamattina, dopo aver settato la visualizzazione di tutti i file, nascosti e di sistema, e annullato i punti di ripristino, mi accingevo a fare la ricerca dei file che mi ha indicato lucas, ma il computer si è definitivamente imballato, anche quando lo avvio in modalità provvisoria.

Non riesco ad accedere più ad alcun programma o cartella: dopo un po' mi compare anche il messaggio di errore in drwtsn32, che prima appariva solo per alcune operazioni.

Vi prego, ditemi cosa posso fare!

Postato da: Chisciotte
Postato in data: 09/Giugno/2005 alle 09:44

No, scusate, falso allarme: pur sempre con il solito problema, ma ora il pc almeno mi risponde.

Scusatemi per l'insistenza e il trabocco d'ansia, ma sono davvero molto preoccupato per questo pasticcio.

Ora procederò con la ricerca: speriamo bene...

Postato da: Chisciotte
Postato in data: 09/Giugno/2005 alle 12:30

Dunque dunque, la telenovela continua...

Ho cercato nelle chiavi, ma non ho trovato nulla, idem per quanto riguarda i file in Windows e in System32.

Però, facendo un'altra scansione con l'antivirus (AntiVirus Guard) in modalità provvisoria, ho ricevuto qualche messaggio d'allarme e ho scovato un certo "PMS/Processor.20". L'antivirus non mi ha però consentito di eliminarlo, in quanto file compresso.

Per maggiore precisione, posto qui il log del report:

Start of scan: giovedì 9 giugno 2005 11:14

Memory test         &n bsp;         &n bsp;      OK
Master boot record of hard disk HD0   OK
Boot record of drive C:         &nbs p; OK

C:\
pagefile.sys
      Access denied! Error during file opening!
      This is a Windows swap file. This file is locked by Windows.
      Error code: 0x000D
      WARNING! Access error/file locked!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery
DSOExploit.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit1.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit10.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit11.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit12.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit13.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit14.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit15.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit16.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit17.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit18.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit19.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit2.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit20.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit21.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit22.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit23.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit24.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit25.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit26.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit27.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit28.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit29.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit3.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit4.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit5.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit6.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit7.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit8.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
DSOExploit9.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
SpyHunter.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
C:\Documents and Settings\Client1\Desktop
HSFix.zip
ArchiveType: ZIP
    --> HSFix\Process.exe
        [DETECTION] Contains code of the PMS/Processor.20 virus
C:\Documents and Settings\Client1\Desktop\Nokia2
Pack 1 Game.zip
ArchiveType: ZIP
      NOTE! The whole archive is password protected
Error! Could not change directory: System Volume Information
C:\WINDOWS\system32\config
DEFAULT
      Access denied! Error during file opening!
      Error code: 0x000D
      WARNING! Access error/file locked!
SAM
      Access denied! Error during file opening!
      Error code: 0x000D
      WARNING! Access error/file locked!
SECURITY
      Access denied! Error during file opening!
      Error code: 0x000D
      WARNING! Access error/file locked!
SOFTWARE
      Access denied! Error during file opening!
      Error code: 0x000D
      WARNING! Access error/file locked!
SYSTEM
      Access denied! Error during file opening!
      Error code: 0x000D
      WARNING! Access error/file locked!

End of scan: giovedì 9 giugno 2005 12:02
Time taken: 48:00 min

4341 directories were scanned
76819 files were scanned
   6 warning messages were issued
   0 files were deleted
   0 files were repaired
   1 detection

Ora vi chiedo se debba provare a eliminare manualmente i file, se sì quali e in quale modalità, normale o provvisoria. Non ci ho voluto provare perché ormai la fifa di sconquassare definitivamente il sistema mi paralizza.

Postato da: Yusuke
Postato in data: 09/Giugno/2005 alle 12:41

Potresti provarlo si ad eliminare manualmente ma chi ti dice che si trattam di un virus? adesso faccio una ricerca, cmq provaci da quella provvisoria.

Si è proprio uno spyware. Eliminalo dalla provvisoria

-------------
La notte Ã¨ piÃ¹ bello, si vive meglio, per chi fino alle cinque non conosce sbadiglio e la cittÃ riprende fiato, sembra che dorma e il buio la trasforma e le cambia forma...

Postato da: lucas
Postato in data: 09/Giugno/2005 alle 13:12

ciao comunque la cosa che piu noto e questa DSOExploit che appare in piu punti te lo rileva come minaccia essendo una falla di spybot che con la nuova versione e stata pachata comunque per i file compressi mi sembra strano il fatto che non li disinfetti a me lo disinfetta tranquillamente,in teoria dovrebbe essere il contrario cioè che se un virus viene compresso bene(con certi programmi)l'antivirus non rileva l'eseguibile infetto,comunque per eliminarlo dovresti farlo manualmente,oppure togli la pass( The whole archive is password protected)a tutti i programmi zippati e vedi che lo disinfetta(almeno credo)facci sapere ciao ciao

-------------

Postato da: Chisciotte
Postato in data: 09/Giugno/2005 alle 13:22

lucas, mi consigli di eliminare anche i DSOexploit?

Postato da: lucas
Postato in data: 09/Giugno/2005 alle 13:37

Un exploit è un termine usato in infomatica per identificare un metodo che, sfruttando un bug o una vulnerabilità, porta all'acquisizione di privilegi o al denial of service di un computer.Ci sono diversi modi per classificare gli exploit. Il più comune è una classificazione a seconda del modo in cui l'exploit contatta l'applicazione vulnerabile. Un exploit remoto è compiuto attraverso la rete e sfrutta la vulnerabilità senza precedenti accessi al sistema. Un exploit localerichiede un preventivo accesso al sistema e solitamente fa aumentare i privilegi dell'utente oltre a quelli settati dall'amministratore.

in poche parole per eliminare questo problema il pc deve essere pachato,che versione hai di spybot?se fai una scansione con spybot ti segna questi exploit?ciao ciao

-------------

Postato da: Chisciotte
Postato in data: 09/Giugno/2005 alle 13:50

La versione del mio Spybot è la 1.3.

Facendo una scansione, anche in modalità provvisoria, non mi segnala alcuna voce.

Postato da: lucas
Postato in data: 09/Giugno/2005 alle 13:55

controlla tramite windows update di avre tutte le pacht(aggiornamenti consigliati)poi disinstalla la vecchia versione di spybot e installa la nuova
SpyBot Search And Destroy v 1.4 ( http://www.download.com/3001-8022_4-10401314.html - http://www.download.com/3001-8022_4-10401314.html ) quando installi la nuova finito di fare tutto vai sul'opzione ignora prodotti se c'è qualche spunta levala(controlla tutte le schede)quando l'installerai ci vuole un po di tempo devi fare 4/5 passaggi finito tutto vedi che ti rileva ciao ciao

-------------

Postato da: Chisciotte
Postato in data: 09/Giugno/2005 alle 15:02

Allora, lucas: ho installato la nuova versione di SpyBot, ma continua a non rilevarmi alcunché. Le cartelle DSOExploit sono ancora al loro posto.

E, naturalmente, il popup continua a bloccarmi il pc...

Postato da: lucas
Postato in data: 09/Giugno/2005 alle 15:23

allora facciamo cosi per farti stare piu tranquillo vai su questa pagina che ti linko scaricati quel programma segui le istruzioni(se la falla non c'è te lo dira ma non succede niente)eccoti il link
http://www.aiutamici.com/software/descrizione.asp?CodSw=1159 - CLICCA
fammi sapere ciao ciao!!

-------------

Postato da: Chisciotte
Postato in data: 09/Giugno/2005 alle 15:36

Fatto, ho corretto il problema che mi segnalava il programma.

Ma l'errore in explorer.exe non se ne vuole andare...

Postato da: lucas
Postato in data: 09/Giugno/2005 alle 15:45

apposto un problema è risolto!!!quindi avevi quella falla?hai provato a fare quella soluzione della microsoft?se non l'hai provata provala!!!finito questo fai una scansione on-line o con http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm - PANDA o http://it.trendmicro-europe.com/enterprise/products/housecall_launch.php - TREND MICRO fammi sapere cosa dicono le scansioni se ci sono eventuali problemi scriviti quali e il percorso ciao ciao(modalita normale)

-------------

Postato da: Chisciotte
Postato in data: 09/Giugno/2005 alle 15:58

lucas, con il prompt dei comandi non ho molta dimestichezza: mi appare C:\ Documents and Settings\Client1> digito la stringa CD %SystemRoot%\SysWow64, ma mi risponde che è impossibile trovare il percorso specificato.

Che devo fare?

Postato da: lucas
Postato in data: 09/Giugno/2005 alle 16:07

si è impossibile perchè si riferisce ai 64bit perdon ho sbagliato io mi puoi fare una foto alla schermata che ti appare e me la riporti qui?grazie ciao ciao

-------------

Postato da: Chisciotte
Postato in data: 09/Giugno/2005 alle 16:11

Scusa, del prompt o del popup?

Postato da: lucas
Postato in data: 09/Giugno/2005 alle 16:24

del messagio che ti compare quello del prompt non funziona perchè non e a 64bit quindi la foto del pop-up per sapere come fare la foto http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=2377&PN=1&FID=2&PR=3 - LEGGI QUI
falla in modo che si aben visibile ciao ciao

-------------

Postato da: Chisciotte
Postato in data: 09/Giugno/2005 alle 16:34

Ecco qua, ci provo...

http://www.imageshack.us">

Postato da: lucas
Postato in data: 09/Giugno/2005 alle 16:50

allora fai cosi start>pannelo di controllo>strumenti di amministrazione>visualizzatore eventi clicca vai su applicazione e devi vedere l'ora in cui si e verificato ci dovrebbe essere una croce con lo sfondo rosso e di fianco c'è scritto errore,se corrisponde al tuo errore evidenzialo e con il testo destro del mouse selezioni propieta e se vuoi riporta la foto o scrivi l'errore.
comunque explorer.exe non e riferito all'applicazione del browser altrimenti era così iexplore invece il tuo si riferisce alle finestre e pop up di windows!!!ciao ciao

-------------

Postato da: Chisciotte
Postato in data: 09/Giugno/2005 alle 17:42

In effetti, non riuscivo a capire come mai mi chiedessi di cercare toolbar e iSearch, visto che il problema è di Explorer.

Comunque:

Ho fatto la scansione con Panda e TrendMicro: nessun risultato. L'unica cosa strana è che, mentre caricavo Panda, mi è apparso un messaggio d'allarme del mio Antivirus che mi segnalava un virus nella cartella System32. Non ho fatto in tempo a vedere altro, perché il solito popup ha fatto saltare tutto.
Ho guardato nel Visualizzatore eventi: il primo (della lunghissima serie) degli errori ha queste proprietà:

http://img7.echo.cx/my.php?image=senzatitolo23qz.jpg -

http://www.imageshack.us"> http://img7.echo.cx/my.php?image=senzatitolo23qz.jpg -

Se possono servirti ecco i dati in Byte:

0000: 41 70 70 6c 69 63 61 74 Applicat

0008: 69 6f 6e 20 46 61 69 6c ion Fail

0010: 75 72 65 20 20 65 78 70 ure exp

0018: 6c 6f 72 65 72 2e 65 78 lorer.ex

0020: 65 20 36 2e 30 2e 32 39 e 6.0.29

0028: 30 30 2e 32 31 38 30 20 00.2180

0030: 69 6e 20 75 6e 6b 6e 6f in unkno

0038: 77 6e 20 30 2e 30 2e 30 wn 0.0.0

0040: 2e 30 20 61 74 20 6f 66 .0 at of

0048: 66 73 65 74 20 30 30 30 fset 000

0050: 30 30 30 30 30 0d 0a 00000..

e in words:

0000: 6c707041 74616369 206e6f69 6c696146

0010: 20657275 70786520 65726f6c 78652e72

0020: 2e362065 39322e30 322e3030 20303831

0030: 75206e69 6f6e6b6e 30206e77 302e302e

0040: 6120302e 666f2074 74657366 30303020

0050: 30303030 0a0d30

Grazie ancora per l'aiuto, davvero.

Postato da: Chisciotte
Postato in data: 09/Giugno/2005 alle 17:52

Sono anche in grado di dirti che il virus che è stato identificato e dalla cui eliminazione è dipeso tutto (o credo) era TR/to*antiSpyware.M e si trovava nel file KCBP.EXE, nella cartella Temp.

(scusatemi, ho provato ad editare più volte il messaggio, ma mi dà sempre un asterisco nel nome del virus: provo a scriverlo staccato, ma il nome è senza spazi TR / Top Anti Spyware.M)

Postato da: lucas
Postato in data: 09/Giugno/2005 alle 17:56

Svuota i file temporanei e i cookie poi con cclener metti la spunta su file temporanei di internet e cookie e file temporanei del sistema e cancella tutto penso che il problema si risolva e svuota il cestino

ciao ciao fammi sapere!!!!!
quello che mi hai riportato dovrebbe essere scritto in assembler ed io non lo conosco quel linguaggio di programmazione

se qualcuno nel forum lo conosce ti spieghera cosa significa!

-------------

Postato da: Chisciotte
Postato in data: 09/Giugno/2005 alle 19:00

Ho cancellato i cookies, i file temporanei di internet, ho usato ccleaner e anche cleanup.

Ho svuotato persino il cestino...

NIENTE!

Postato da: lucas
Postato in data: 09/Giugno/2005 alle 19:09

mo lo freghimo a sto bastardo che non vuole uscire allora leggiti questa pagina segui tutte le procedure inizia a leggere da qui:

Istruzioni per chi non ha installato sul PC l'antivirus PC Cillin

http://home.datacomm.ch/winzozzz/tsc.htm - CLICCA
mi raccomando leggi ed esegui solo quello per chi non ha l'antivirus trend micro altrimenti potrebbe andare male basta che scorri sotto e trovi quel titolo che ti ho messo sopra fammi sapere!!!!!ciao ciao

NB:Scarica i patter aggiornati(il piu recente possibile)li c'è scritto tutto per come eseguire l'aggiornamento dei patter!!!!

-------------

Postato da: Chisciotte
Postato in data: 09/Giugno/2005 alle 19:29

Mi sa che non sopravviverò io a tutte 'ste operazioni da fare!

Comunque, a questo punto, devo abbandonare il luogo del delitto: come nei migliori gialli, la suspence ce la terremo fino a domani. Nel frattempo, mi stampo le pagine che mi hai linkato e me le studio a casuccia per benino.

Solo che prima io mi sono fatto la scansione online proprio con TrendMicro, come mi avevi consigliato: non pregiudicherà l'esito dell'operazione? (ma da quanto ho letto credo di no)

E poi: dopo aver prelevato il file.com, il pattern zippato che devo prendere è solo quello più aggiornato (l'ultimo link, per intenderci), a quel punto il primo link con il pattern è superfluo, giusto? E devo fare la scansione da modalità provvisoria o non è necessario?

Ciao e... a domani!

Postato da: lucas
Postato in data: 09/Giugno/2005 alle 21:12

praticamente dice che se vuoi puoi scaricare i patter aggiornati,poi di da il sito e da li puoi scaricarlo,poi dice di disabilitare l'antivirus perchè potrebbe creare conflitto penso che non serva la modalita provvisoria dato che entra automaticamente in modalita dos,poi dipende da te,nel senso che scaricando i patter aggiornati si è piu sicuri che non ci siano virus nuovi!!!decidi tu e fammi sapere ciao ciao!!!!!

-------------

Postato da: Chisciotte
Postato in data: 10/Giugno/2005 alle 16:26

lucas, l'antivirus che mi hai consigliato non ha trovato niente.

Ma quello che mi preoccupa è che, durante la scansione, il programma ha segnalato tutta una serie di messaggi d'errore per accesso negato ad alcuni file (circa un centinaio).

Vorrei postarti il log, ma non mi consente né di salvarlo né di copiarne il contenuto. Ti posto una foto di una (piccola) porzione della lista.

http://img208.echo.cx/my.php?image=senzatitolo27qr.jpg -

http://img208.echo.cx/my.php?image=senzatitolo27qr.jpg - http://img291.echo.cx/my.php?image=senzatitolo17sg.jpg -

http://img183.echo.cx/my.php?image=senzatitolo25sf.jpg -

http://www.imageshack.us">

Ti segnalo, proprio in questa schermata, fra l'altro, nella casella Prefetch, un file associato a "antivirusgold", il programma che si era autoinstallato a tradimento proprio all'inizio di tutta la storia.

Che ne dici?

Postato da: lucas
Postato in data: 10/Giugno/2005 alle 16:30

dico che è un bel problema l'antivirus non l'ha potuto nemmeno scansionare accesso negato controlla in installazione applicazione che non ci sia "antivirus gold"o simili se c'è disinstallalo stessa cosa con la funzione cerca "visualizza file e cartelle nascoste"file di sistema" prova un po e fammi sapere ciao ciao!!!!!

-------------

Postato da: Chisciotte
Postato in data: 10/Giugno/2005 alle 16:46

In "Installazione applicazioni" non c'è nulla.

"Cerca" segnala quel file "ANTIVIRUSGOLD.EXE-0F16D0A4.pf" in C:\Windows\Prefetch.

Lo elimino (sempre che mi consenta di farlo)?

Postato da: lucas
Postato in data: 10/Giugno/2005 alle 16:50

eh si eliminalo poi tu avrai sicuramente tutto il rapporto salvato controlla li se non ci siano altre voci che lo richiamano(c'è anche il percorso)quindi e facile cercarlo!!fammi sapere ciao ciao

-------------

Postato da: Chisciotte
Postato in data: 10/Giugno/2005 alle 17:39

Ho eliminato quel file (e un altro paio, tipo uno che aveva il nome del file che l'antivirus associava al trojan, KCBP.EXE), ma il problema rimane.

Ora ho rilanciato nuovamente l'antivirus, magari riesco a postarti il log per intero.

Ma comincio davvero a disperare...

Postato da: lucas
Postato in data: 10/Giugno/2005 alle 17:58

prova a fare cosi,tu sai come andare in mod provvisoria?si allora sai che ti esce una schermata su come scegliere tu invece di scegliere avvio in modalita provvisoria clicca su avvia in modalita provvisoria con rete!!collegati e vedi se ti fa la stessa cosa ciao ciao

-------------

Postato da: Chisciotte
Postato in data: 10/Giugno/2005 alle 18:09

Scusami ma non ho capito: so come collegarmi in modalità provvisoria con rete, ma non ho capito cosa devo fare. Lanciare l'antivirus o semplicemente collegarmi a Internet?

Postato da: lucas
Postato in data: 10/Giugno/2005 alle 18:21

devi solo collegarti in modalita provvisoria con rete per vedere se quelle finestre escono ancora ciao ciao

-------------

Postato da: Chisciotte
Postato in data: 10/Giugno/2005 alle 18:37

Sì, il problema rimane, in modalità provvisoria con rete e senza rete.

Postato da: lucas
Postato in data: 10/Giugno/2005 alle 18:54

prova un attimo questa cosa apri il task manager(control+alt+can)
vedi se c'è questo processo explorer.exe vedi quanto consuma e vedi se c'è un altro processo uguale,la cosa che mi sembra molto strana e che nel visualizzatore eventi mette unknow come posizione dell'errore e di solito viene visualizzato il tipo di errore e dove e che applicazione

-------------

Postato da: Chisciotte
Postato in data: 10/Giugno/2005 alle 19:04

Lo farò appena finisco la scansione che sto effettuando con AntiVir: mi ha trovato un TR/DLDR.DELF.PA associato al file q3667156_disk.dll. Lo eliminerà al riavvio di Windows, terminata la scansione, ma spero che non peggiori la situazione...

Postato da: Chisciotte
Postato in data: 10/Giugno/2005 alle 19:56

Alla riaccensione del PC il popup NON COMPARE PIU'!!!

Mi sembra tutto tornato alla normalità...

Sto sbirciando con ansia il mio desktop, con il timore che prima o poi risbuchi fuori quel maledetto.

Solo che ora devo andar via e non riaccenderò il computer prima di lunedì-martedì, quindi non ho il tempo per fare un po' di prove.

Ma se questa situazione dura, allora... lucas, ti farò un monumento per la pazienza e la disponibilità che mi hai mostrato!

Postato da: lucas
Postato in data: 10/Giugno/2005 alle 21:04

sono contento per te!!!!!nessun monumento mi ha fatto piacere aiutarti

eppure la pazienza non è il mio forte ma con te non c'è ne è voluta dato che il pc lo sai usare quindi spero che il problema sia risolto definitivamente nel caso no proveremo altri modi ciao ciao e tienimi aggiornato!!!!

-------------

Postato da: Chisciotte
Postato in data: 14/Giugno/2005 alle 16:37

Dopo un lungo weekend di paura, eccomi tornato sul luogo del delitto.

Come avevo avuto modo di notare venerdì, il messaggio infame non c'è più. E' probabilmente sparito insieme al virus.

A 'sto punto, come promesso, comincerò la costruzione del monumento...

Grazie davvero, lucas, per il tuo aiuto. Se, come dici, me la cavo davvero con il pc (opinione davvero personale), ora però ho la voglia di un auto-upgrade e qualche curiosità di capire alcune cose e ti chiedo:

che razza di bestia mi si era infilata fra i byte e come mai è stata invisibile non solo alle precedenti scansioni con altri antivirus, ma anche a quelle dello stesso antivirus che poi l'ha scovata? Forse i file che ho eliminato a un certo punto servivano, in qualche modo, a schermare il virus vero e proprio?
come posso essere davvero sicuro che l'ospite indesiderato se ne sia andato? E quali operazioni dovrei compiere sull'ex campo di battaglia (immunizzazioni, riattivazione delle funzioni di ripristino, ecc.)?

Nel frattempo, ti saluto e ne approfitto per scusarmi con tutto il forum, poiché solo dopo aver postato la mia discussione mi sono reso conto di essere decisamente OT in questo thread. Purtroppo, all'inizio del lungo calvario non pensavo che il problema dipendesse da un virus, bensì da un problema interno a Windows.

Ciao a tutti, allora!

Postato da: lucas
Postato in data: 14/Giugno/2005 alle 18:32

ciao chisciotte sono contento per te!!alle tue domande non so rispondere certe volte si va a tentativi quando non capisci il problema evidentemente dopo quei tanti tentativi uno è andato a buon fine(il difficile è capire quale)purtroppo gli antivirus non rilevano tutti gli stessi virus,puo darsi che un antivirus te l'abbia trovato è tolto ed un altro invece no(gli antivirus hanno un database è in base a quello riconoscono i virus secondo la frequenza dei byte che sono presenti nei virus in base a quello ti segnalano il virus ma se nel database non c'è il virus non viene segnalato)secondo me l'ospite se ne andato dato che il problema non c'è piu!!!

le cose che devi compiere è aggiornare tutti i programmi di sicurezza che hai e almeno una volta alla settimana ripetere tutte le scansioni!!!!!!!!!!ciao ciao

-------------

Postato da: wolverine_x2
Postato in data: 02/Luglio/2005 alle 13:40

Ciaooo sono nuovo appena registrato ho un problema anch'io di Explorer.exe vi prego aiutatemi, ho già eliminato il virus e il trojan con il mio antivirus!!!

Adesso questo è il log con Hijackthis ditemi cosa devo eliminare?

Logfile of HijackThis v1.99.1
Scan saved at 13.19.20, on 02/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmi\MSN Apps\Updater\01.03.0000.1005\en-us\msnappau.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\rmctrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\dwwin.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [msnappau] "C:\Programmi\MSN Apps\Updater\01.03.0000.1005\en-us\msnappau.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HDAudio Driver] C:\WINDOWS\System32\qrvc.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ATI Technologies] C:\windows\ATI Technologies.exe
O4 - HKCU\..\Run: [Alcatel] C:\windows\Alcatel.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D17080C-66F9-4684-8FFE-4 2CBB2D5F72D}: NameServer = 193.70.152.15 193.70.152.25
O20 - Winlogon Notify: style2 - C:\WINDOWS\q43928718_disk.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Vi prego aiutatemi sono disperato!!! Qualcuno risponda urgentemente grazie!!!

Postato da: Yusuke
Postato in data: 02/Luglio/2005 alle 14:10

I programmi indicati in questo post, (se non li hai già) puoi scaricarli da forum_posts.asp?TID=2795 - questa mia miniguida (scaricali e aggiornali prima di procedere)

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::

http://www.h3.dion.ne.jp/%7Esole/Yoghi/Hijackguida/Hijack-guida.html - In questa pagina c'è una breve guida su Hijack

Esegui queste operazioni ------ > (Stampa la pagina)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disattiva il RIPRISTINO DI CONFIGURAZIONE su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo un paio di giorni da questa procedura)

Avvia il sistema in modalità provvisoria

Avvia Hijack e clicca su ?do a system scan only?

Metti la spunta a queste voci e clicca su ?fix checked?

O20 - Winlogon Notify: style2 - C:\WINDOWS\q43928718_disk.dll <--- se sai di cosa si tratta non eliminarlo

O4 - HKCU\..\Run: [Alcatel] C:\windows\Alcatel.exe <--- penso sia un dialer, se lo hai installato tu non eliminarlo

O4 - HKLM\..\Run: [HDAudio Driver] C:\WINDOWS\System32\qrvc.exe <--- applicazione sconosciuta, se sai di cosa si tratta non elimarlo

Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza

(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.

Pulisci il registro con RegSeeker

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione,
rifai il log e mettilo qui per un ultimo controllo

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

CHE PROBLEMI HAI CON INTERNET EXPLORER?

-------------
La notte Ã¨ piÃ¹ bello, si vive meglio, per chi fino alle cinque non conosce sbadiglio e la cittÃ riprende fiato, sembra che dorma e il buio la trasforma e le cambia forma...

Postato da: Yusuke
Postato in data: 02/Luglio/2005 alle 14:13

I programmi indicati in questo post, (se non li hai già) puoi scaricarli da forum_posts.asp?TID=2795 - questa mia miniguida (scaricali e aggiornali prima di procedere)

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::

http://www.h3.dion.ne.jp/%7Esole/Yoghi/Hijackguida/Hijack-guida.html - In questa pagina c'è una breve guida su Hijack

Esegui queste operazioni ------ > (Stampa la pagina)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disattiva il RIPRISTINO DI CONFIGURAZIONE su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo un paio di giorni da questa procedura)

Avvia il sistema in modalità provvisoria

Avvia Hijack e clicca su ?do a system scan only?

Metti la spunta a queste voci e clicca su ?fix checked?

O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

Non hai un firewall installato?

-------------
La notte Ã¨ piÃ¹ bello, si vive meglio, per chi fino alle cinque non conosce sbadiglio e la cittÃ riprende fiato, sembra che dorma e il buio la trasforma e le cambia forma...

Postato da: wolverine_x2
Postato in data: 02/Luglio/2005 alle 14:15

Ciao grazie di avermi risposto, allora con internet explorer, niente da problemi solo explorer.exe, cmq da quella pagina spy ware blaster non si scarica...!!!

Postato da: wolverine_x2
Postato in data: 02/Luglio/2005 alle 14:19

Corrego lo sto scaricando e anche Regseeker!!!

Postato da: Yusuke
Postato in data: 02/Luglio/2005 alle 14:41

Mi potresti spiegare meglio il problema?

-------------
La notte Ã¨ piÃ¹ bello, si vive meglio, per chi fino alle cinque non conosce sbadiglio e la cittÃ riprende fiato, sembra che dorma e il buio la trasforma e le cambia forma...

Postato da: wolverine_x2
Postato in data: 02/Luglio/2005 alle 14:46

Mi da la finestra di errore explorer.exe, il virus e il trojan li ho tolti!!! Devo togliere questo problema di explorer.exe e basta!!! E' davvero fastidioso!!! Io ho tolto quello che mi hai detto te con Hijackthis, ho pulito il registro del sistema facendo clean, poi ho visto dei registri con una scritta rossa sotto alla fine della pulizia!!! Poi con spy ware blaster non mi trova niente!!! Il virus e il trojan l'ho tolti!!!

Il logo di ora è questo

Logfile of HijackThis v1.99.1
Scan saved at 14.44.55, on 02/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmi\MSN Apps\Updater\01.03.0000.1005\en-us\msnappau.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\rmctrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\dwwin.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [msnappau] "C:\Programmi\MSN Apps\Updater\01.03.0000.1005\en-us\msnappau.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ATI Technologies] C:\windows\ATI Technologies.exe
O4 - HKCU\..\Run: [Alcatel] C:\windows\Alcatel.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D17080C-66F9-4684-8FFE-4 2CBB2D5F72D}: NameServer = 193.70.152.15 193.70.152.25
O20 - Winlogon Notify: style2 - C:\WINDOWS\q43928718_disk.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE