command.exe & company

[max89]

Ciao a tutti, ho provato ad eliminare il file command.exe e tutto ciò che hijackthis segna come sospetto nel mio computer; command.exe riesco ad eliminarlo dopo il riavvio del computer ma il problema è che, una volta spento e riacceso il computer, mi si crea nuovamente la sua cartella e tutti quei file e processi che rompono tanto i c....oni e che avevo già cancellato. Ho anche tentato di smanettare con regedit e qualcosa sono riuscito a toglierlo del tutto ma non vorrei fare casini.
Un altro problema (che probabilmente dipende da command.exe etc..) è il fatto delle pubblicità che si aprono di continuo nel browser...
L'ultimo problema (non so se dipende sempre da questo) è che, come si può vedere dal file di log, ho più di un rundll32.exe aperto e ogni volta che spengo il computer, mi viene una finestra che mi chiede di terminare rundll32.exe perchè ha eseguito un'operazione non valida (o qualcosa di simile)

Questo è il logfile di hijackthis:

PS:la cartella di windows si chiama XP nel mio computer, non chiedetemi perchè... sarebbe troppo lungo e complicato da spiegare...

Logfile of HijackThis v1.99.1
Scan saved at 22.01.23, on 25/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\XP\System32\smss.exe
C:\XP\system32\winlogon.exe
C:\XP\system32\services.exe
C:\XP\system32\lsass.exe
C:\XP\system32\svchost.exe
C:\XP\System32\svchost.exe
C:\XP\system32\spoolsv.exe
C:\XP\system32\rundll32.exe
C:\XP\Explorer.EXE
C:\XP\system32\rundll32.exe
C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\XP\system32\rundll32.exe
C:\XP\system32\ctfmon.exe
C:\Documents and Settings\Massimiliano\Desktop\HijackThis.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\XP\TWFzc2ltaWxpYW5vIFByaW9y\command.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\XP\System32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [WinDLL (umrxmgr.dll)] rundll32.exe C:\XP\System32\umrxmgr.dll,start
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\XP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\XP\system32\ctfmon.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Documents and Settings\Massimiliano\Desktop\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3552542843
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SideBySide - C:\XP\system32\lv4809hue.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\XP\TWFzc2ltaWxpYW5vIFByaW9y\command.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Programmi\Intel\NCS\Sync\NetSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

[andorra24]

Ciao, prima di tutto ti consiglio di lanciare questo tool perche' vedo che sei infetto dall'adware look2me: http://www.atribune.org/content/view/28/ Segui attentamente le istruzioni del link.

Veniamo adesso al tuo log. Apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua la voce indicata sotto e premi ''kill process'':

C:\XP\TWFzc2ltaWxpYW5vIFByaW9y\command.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alle voci indicate sotto e premi ''fix checked'' :

O4 - HKLM\..\Run: [WinDLL (umrxmgr.dll)] rundll32.exe C:\XP\System32\umrxmgr.dll,start
O20 - Winlogon Notify: SideBySide - C:\XP\system32\lv4809hue.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\XP\TWFzc2ltaWxpYW5vIFByaW9y\command.exe

Scarica killbox da qui:
http://www.bleepingcomputer.com/files/killbox.php
con killbox assicurati di eliminare i seguenti files:
C:\XP\TWFzc2ltaWxpYW5vIFByaW9y\command.exe (dopo aver eliminato il file exe elimina la cartella che lo conteneva)
C:\XP\System32\umrxmgr.dll
C:\XP\system32\lv4809hue.dll

[max89]

look2me destroyer è la seconda volta che l'ho dovuto usare e guardando il suo logfile ho potuto vedere che ha funzionato.

il processo command.exe non riesco a chiuderlo xkè sia killbox che hijackthis lo considerano un processo protetto o di windows. Devo provare a cancellarlo dopo il reboot?

PS: chiedo scusa ma prima probabilmente non avevo tutti i processi dei vari "rompiscatole" xkè ne avevo chiusi alcuni

Il logfile allo stato attuale (tutti i processi aperti, look2tome cancellato e command.exe dopo il tentativo di cancellamento):

Logfile of HijackThis v1.99.1
Scan saved at 22.41.46, on 25/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\XP\System32\smss.exe
C:\XP\system32\csrss.exe
C:\XP\system32\winlogon.exe
C:\XP\system32\services.exe
C:\XP\system32\lsass.exe
C:\XP\system32\svchost.exe
C:\XP\system32\svchost.exe
C:\XP\System32\svchost.exe
C:\XP\System32\svchost.exe
C:\XP\System32\svchost.exe
C:\XP\Explorer.EXE
C:\XP\system32\spoolsv.exe
C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\XP\system32\rundll32.exe
C:\nwnmef_7.exe
C:\kybrdef_7.exe
C:\dfndref_7.exe
C:\XP\system32\ctfmon.exe
C:\Documents and Settings\Massimiliano\Desktop\HijackThis.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\XP\system32\svchost.exe
C:\XP\TWFzc2ltaWxpYW5vIFByaW9y\command.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\XP\System32\svchost.exe
C:\XP\System32\alg.exe
C:\XP\system32\wscntfy.exe
C:\XP\system32\wuauclt.exe
C:\XP\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programmi\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\XP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [newname] C:\\nwnmef_7.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdef_7.exe
O4 - HKLM\..\Run: [defender] C:\\dfndref_7.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\XP\system32\ctfmon.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Documents and Settings\Massimiliano\Desktop\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [uwom] C:\Programmi\File comuni\uwom\uwomm.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3552542843
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\XP\TWFzc2ltaWxpYW5vIFByaW9y\command.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Programmi\Intel\NCS\Sync\NetSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

[andorra24]

Apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua le voci indicate sotto e premi ''kill process'':

C:\nwnmef_7.exe
C:\kybrdef_7.exe
C:\dfndref_7.exe
C:\XP\TWFzc2ltaWxpYW5vIFByaW9y\command.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alle voci indicate sotto e premi ''fix checked'' :

O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programmi\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [newname] C:\\nwnmef_7.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdef_7.exe
O4 - HKLM\..\Run: [defender] C:\\dfndref_7.exe
O4 - HKCU\..\Run: [uwom] C:\Programmi\File comuni\uwom\uwomm.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\XP\TWFzc2ltaWxpYW5vIFByaW9y\command.exe

Vai nel Pannello di controllo/installazione applicazioni e controlla se c'e' una voce ''TheSearchAccelerator'' e la disinstalli.

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.

Scarica unlocker:
http://ccollomb.free.fr/unlocker/ oppure delete doctor:
http://www.megalab.it/articoli.php?id=652
Con uno di questi tool elimina i seguenti files:
C:\nwnmef_7.[color=red]exe
C:\[/color]kybrdef_7.exe
C:\dfndref_7.exe
C:\XP\TWFzc2ltaWxpYW5vIFByaW9y\command.exe
C:\Programmi\TheSearchAccelerator\UCMTSAIE.dll (dopo aver eliminato il file elimina anche la cartella che lo conteneva)
C:\Programmi\File comuni\uwom\uwomm.exe

Fai un paio di scansioni:

http://www.grisoft.cz/softw/70/filedir/ ... 0.172b.exe
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

[andorra24]

Cerca anche di stoppare il seguente servizio:

O23 - Service: Command Service (cmdService) - Unknown owner - C:\XP\TWFzc2ltaWxpYW5vIFByaW9y\command.exe

Vai su start/esegui e digita services.msc, cerca il servizio che si chiama cmdService e lo arresti e poi lo imposti su tipo di avvio ''disabilitato''

[max89]

L'ho disabilitato e ho trovato un impostazione che gli impedisce di interagire con il desktop (non so se serva ma l'ho spuntata), in compenso l'opzione "arresta" non è accessibile.

[andorra24]

Fai anche questa operazione:

start>esegui>sc stop cmdService>OK
start>esegui>sc delete cmdService>OK

[max89]

penso che abbia funzionato. i processi evidenziati nel seguente logfile mi insospettiscono abbastanza... sbaglio? quando normalmente chiudo il processo e poi li cancello, al primo riavvio del computer si ripresentano...

Logfile of HijackThis v1.99.1
Scan saved at 23.23.17, on 25/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\XP\System32\smss.exe
C:\XP\system32\csrss.exe
C:\XP\system32\winlogon.exe
C:\XP\system32\services.exe
C:\XP\system32\lsass.exe
C:\XP\system32\svchost.exe
C:\XP\system32\svchost.exe
C:\XP\System32\svchost.exe
C:\XP\System32\svchost.exe
C:\XP\System32\svchost.exe
C:\XP\Explorer.EXE
C:\XP\system32\spoolsv.exe
C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\XP\system32\rundll32.exe
C:\nwnmef_7.exe
C:\kybrdef_7.exe
C:\dfndref_7.exe
C:\XP\system32\ctfmon.exe
C:\Documents and Settings\Massimiliano\Desktop\HijackThis.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\XP\system32\svchost.exe
C:\XP\TWFzc2ltaWxpYW5vIFByaW9y\command.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\XP\System32\svchost.exe
C:\XP\System32\alg.exe
C:\XP\system32\wscntfy.exe
C:\XP\system32\wuauclt.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\Programmi\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programmi\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\XP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\XP\system32\ctfmon.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Documents and Settings\Massimiliano\Desktop\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3552542843
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Programmi\Intel\NCS\Sync\NetSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

[andorra24]

Apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua le voci indicate sotto e premi ''kill process'':

C:\nwnmef_7.exe
C:\kybrdef_7.exe
C:\dfndref_7.exe
C:\XP\TWFzc2ltaWxpYW5vIFByaW9y\command.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alle voci indicate sotto e premi ''fix checked'' :

O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programmi\TheSearchAccelerator\UCMTSAIE.dll

Devi assolutamente eliminare i seguenti files, se non riesci ad eliminarli con unlocker o delete doctor prova ad eliminarli in modalita' provvisoria:
C:\nwnmef_7.exe
C:\kybrdef_7.exe
C:\dfndref_7.exe
C:\XP\TWFzc2ltaWxpYW5vIFByaW9y\command.exe
(prima elimina il file exe e poi la sua cartella)
C:\Programmi\TheSearchAccelerator\UCMTSAIE.dll (prima elimina il file dll e poi la cartella che lo contiene)

ESEGUI LE SCANSIONI CHE TI HO LINKATO NEL POST PRECEDENTE.

[Luke57]

Ciao, siccome command service è un "osso duro", in questo link Dinop suggerisce addirittura due tool per la rimozione, con annesse spiegazioni d'uso:
http://forum.wininizio.it/index.php?showtopic=33498

[max89]

chiedo scusa, ieri sera non avevo visto il post in cui mi dicevi delle scansioni. ad ogni modo qualcosa (non ho idea di cosa) deve aver funzionato.ho provato anche quello che consigliava luke (grazie).
finalmente sono riuscito a rimuovere command.exe e a rimuovere la sua cartella, ho rimosso anche i vari processi e dopo il riavvio non si sono riaperti. grazie mille per tutto l'aiuto!!!

questo è il log fatto dopo la scansione con ewido:

Logfile of HijackThis v1.99.1
Scan saved at 13.35.58, on 26/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\XP\System32\smss.exe
C:\XP\system32\winlogon.exe
C:\XP\system32\services.exe
C:\XP\system32\lsass.exe
C:\XP\system32\svchost.exe
C:\XP\System32\svchost.exe
C:\XP\system32\spoolsv.exe
C:\XP\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\XP\system32\rundll32.exe
C:\XP\system32\ctfmon.exe
C:\Documents and Settings\Massimiliano\Desktop\HijackThis.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\XP\System32\svchost.exe
C:\XP\system32\wscntfy.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\XP\system32\wuauclt.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\XP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\XP\system32\ctfmon.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Documents and Settings\Massimiliano\Desktop\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3552542843
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Programmi\Intel\NCS\Sync\NetSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

[andorra24]

Il log adesso e' bello pulito.

[max89]

grazie ancora *__________* siete dei grandi