HijackThis: quali righe eliminare?

[lobelis]

Ciao a tutti, sto usando HijackThis per eliminare alcuni adware che mi hanno infettato il PC. Potete consigliarmi quali righe selezionare in modo da eliminare l'adware?
Grazie mille


Logfile of HijackThis v1.99.1
Scan saved at 8.46.45, on 16/06/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\trcboot.exe
C:\OfficeScan NT\ntrtscan.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\pcssfrrx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\OfficeScan NT\OfcPfwSvc.exe
C:\Programmi\Personal Communications\PCS_AGNT.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\OfficeScan NT\pccntmon.exe
C:\WINDOWS\TEMP\RWA625.EXE
C:\OfficeScan NT\pccntupd.exe
C:\Programmi\Microsoft Firewall Client\ISATRAY.EXE
C:\Documents and Settings\Ulss\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1987324.com?301
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = servinfo:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;*.ulssvicenza.intra;servinfo;*.ulssvi;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,pcssfrrx.exe,C:\WINDOWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [MemoREX] "\\Puggioni\D\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [WinVNC] "c:\Programmi\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [oeuai] C:\Documents and Settings\Ulss\Dati applicazioni\tofareraci\systvmrs.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Firewall Client Connectivity Monitor.LNK = C:\Programmi\Microsoft Firewall Client\ISATRAY.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: http://www.adslconnection.name
O15 - Trusted Zone: http://www.sgrunt.biz
O15 - Trusted Zone: http://www.softlab.name
O15 - Trusted Zone: http://www.xxx-content.name
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ulssvicenza.intra
O17 - HKLM\Software\..\Telephony: DomainName = ulssvicenza.intra
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4D1BCF9-D0D1-4201-8327-E2FD7647AA09}: NameServer = 10.1.51.30
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ulssvicenza.intra
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ulssvicenza.intra
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe
O23 - Service: TrcBoot - Unknown owner - C:\WINDOWS\System32\drivers\trcboot.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - c:\Programmi\ORL\VNC\WinVNC.exe" -service (file missing)
O23 - Service: Wiperaser Secure Deletion Service (Wiperaser) - Unknown owner - C:\Programmi\Wiperaser 2004\WiperaserSvc.exe (file missing)

[Luke57]

Ciao, per prima cosa, copia l’eseguibile di hijackthis in una cartella del disco fisso (non desktop) appositamente dedicata, tipo C\HJT, in modo che il programma possa fare il backup delle voci eventualmente rimosse.
Scarica deldomains da qui:
http://www.mvps.org/winhelp2002/DelDomains.inf
e mettilo sul desktop.
Scarica ATFCleaner
http://www.atribune.org/ccount/click.php?id=1
(pulizia file temporanei)

1 - Poi, riavvia in modalità provvisoria
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows.
Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)
2 - Rendi visibili file e cartelle nascosti:
da risorse del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti (consigliato)"
Click Ok
3 - Apri hijackthis , premi “open the misc tools section”, “open process manager”, cerca ed evidenzia questi processi ( se non ci sono, vai avanti lo stesso):
C:\WINDOWS\System32\pcssfrrx.exe
C:\WINDOWS\TEMP\RWA625.EXE
Premi kill process
4- Torni al menu principale con back, premi “scan”, cerca nell'elenco le chiavi seguenti e spunta la casella a lato di ognuna:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1987324.com?301
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,pcssfrrx.exe,C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [oeuai] C:\Documents and Settings\Ulss\Dati applicazioni\tofareraci\systvmrs.exe
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: http://www.adslconnection.name
O15 - Trusted Zone: http://www.sgrunt.biz
O15 - Trusted Zone: http://www.softlab.name
O15 - Trusted Zone: http://www.xxx-content.name
premi fix checked
5- Click con il tasto dx sul file deldomains.inf e scegli Installa (fa tutto da sé)
6- Cerca e cancella i seguenti file:
C:\Documents and Settings\Michele\Dati applicazioni\tofareraci-- > la cartella
C:\WINDOWS\System32\pcssfrrx.exe
7- Avvia ATF cleaner clicca sul menu "main" e poi seleziona la casella "Select All". Adesso clicca sul pulsante "Empty selected" e aspetta il messaggio "Done Cleaning!".
8- vai su pannello di controllo"installazione applicazioni" e rimuovi tutte le applicazioni che non conosci e che non hai installato tu
9- riavvia in modalità normale
10- scansione on line qui:
http://www.bitdefender.com/scan8/ie.html
11 - Posta nuovo log di controllo

[lobelis]

Grazie mille per la rapidissima risposta. La descrizione era chiara e dettagliata.
Ho seguito alla lettera le tue istruzioni, ma sembra che il problema permanga. Ti allego un altro log:

Logfile of HijackThis v1.99.1
Scan saved at 11.37.19, on 16/06/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\OfficeScan NT\pccntmon.exe
C:\WINDOWS\System32\drivers\trcboot.exe
C:\OfficeScan NT\ntrtscan.exe
C:\OfficeScan NT\tmlisten.exe
C:\OfficeScan NT\OfcPfwSvc.exe
C:\WINDOWS\TEMP\SR81F6.EXE
C:\Programmi\Microsoft Firewall Client\ISATRAY.EXE
C:\hijackthis\HijackThis.exe
C:\OfficeScan NT\TSC.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = servinfo:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;*.ulssvicenza.intra;servinfo;*.ulssvi;<local>
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [MemoREX] "\\Puggioni\D\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [WinVNC] "c:\Programmi\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Firewall Client Connectivity Monitor.LNK = C:\Programmi\Microsoft Firewall Client\ISATRAY.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: http://www.sgrunt.biz
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ulssvicenza.intra
O17 - HKLM\Software\..\Telephony: DomainName = ulssvicenza.intra
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4D1BCF9-D0D1-4201-8327-E2FD7647AA09}: NameServer = 10.1.51.30
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ulssvicenza.intra
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ulssvicenza.intra
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe
O23 - Service: TrcBoot - Unknown owner - C:\WINDOWS\System32\drivers\trcboot.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - c:\Programmi\ORL\VNC\WinVNC.exe" -service (file missing)
O23 - Service: Wiperaser Secure Deletion Service (Wiperaser) - Unknown owner - C:\Programmi\Wiperaser 2004\WiperaserSvc.exe (file missing)

[Luke57]

Ciao, va qui:
http://www.francydelorenzi.it/Sicurezza ... illsgrunt/
scarica Killsgrunt (ci sono anche le istruzioni)
Eseguilo sul computer.
Ciao, Scarica KILLBOX da qui
http://www.bleepingcomputer.com/files/s ... illBox.zip
- estrailo sul desktop e apri la cartella che lo contiene e quindi avvialo
- Seleziona l'opzione Delete on Reboot . Nello spazio scrivi il percorso del file da eliminare
C:\WINDOWS\SERVICES.exe (attenzione a non ti confondere con il services.exe che si trova in C:\WINDOWS\System32, file legittimo di sistema)
e clicchi sulla crocetta rossa (il computer si riavvierà)
Al riavvio, riparti in modalità provvisoria ed esegui Deldomains come ti avevo suggerito nel post precedente.
Apri hijackthis , premi “open the misc tools section”, “open process manager”, cerca ed evidenzia questo processo:
C:\WINDOWS\TEMP\SR81F6.EXE
Premi kill process
Torni al menu principale con back, premi “scan”, cerca nell'elenco le chiavi seguenti e spunta la casella a lato di ognuna:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
Le voci 015
Premi fix checked.
Svuota la cartella C:\Windows\Temp
cancella tutti i file temporanei di IE, cronologia, cookies,
Svuota il cestino
Posta nuovo log di controllo

[lobelis]

Grazie mille, ti ringrazio per la tua gentilezza e disponibilità.
Il problema, adesso, sembrerebbe risolto.
Se dovessi avere altri problemi ti disturberò ancora.
Ciao

[Capitan Barbossa]

questo è lo scan d hijackthis di un mio amico un po di applicazioni le ho eliminate io ma per favore controllatelo

Logfile of HijackThis v1.99.1
Scan saved at 16.55.32, on 16/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\BearShare\BearShare.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Servizi in linea\Desidero ricevere informazioni su ulteriori provider di servizi Internet (ISP, Internet Service Provider).exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\ewido anti-malware\SecuritySuite.exe
C:\Documents and Settings\Maddalo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;127.0.0.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Internet Explorer Web Content Catcher - {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} - C:\Programmi\DNS\Catcher.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [BearShare] "C:\Programmi\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Notm] "C:\DOCUME~1\Maddalo\DATIAP~1\SKS~1\mmc.exe" -vt ndrv
O4 - HKCU\..\Run: [DNS] C:\Programmi\File comuni\mc-110-12-0000140.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LG SyncManager.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Backward Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programmi\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {D6C9866A-264D-4899-9471-7E0A0ED8B70F} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} (SAIX) - http://static.zangocash.com/cab/Seekmo/ ... 54b810aed3
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowexec.dll
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\enpql1751.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe



grazie

CB

[Luke57]

Ciao, utilizza questo tool per la rimozione di Look2me:
http://www.simplytech.it/L2MRemover/index_it.htm
Se il primo tool non risolve con look2me, utilizza questo:
http://www.atribune.org/content/view/28/%20target=
Poi collegati qui:
http://www.bitdefender.com/scan8/ie.html
per una scansione on line.
Posta poi nuovo log di hijackthis e rapporto del tool.

[lobelis]

Scusa se ti disturbo ancora, ma il problema è ricomparso. Continua a comparire ancora quel fastidioso messaggio "private internet zone"
e poi "impossibile procedere" con la scritta http://www.1987324.
Sembrano ricomparsi http://www.197324 e sgrunt, che avevo già eliminati (o perlomeno pensavo di avere eliminato).
Puoi aiutarmi ad eliminarli completamente?
Ti ringrazio ancora per la tua disponibilità.
Ciao


Logfile of HijackThis v1.99.1
Scan saved at 8.59.20, on 19/06/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\trcboot.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\Explorer.EXE
C:\OfficeScan NT\tmlisten.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\OfficeScan NT\pccntmon.exe
C:\OfficeScan NT\OfcPfwSvc.exe
C:\WINDOWS\TEMP\UH8D0D.EXE
C:\Programmi\Microsoft Firewall Client\ISATRAY.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Downloaded Program Files\AUTO_301_N.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = servinfo:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;*.ulssvicenza.intra;servinfo;*.ulssvi;<local>
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [MemoREX] "\\Puggioni\D\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [WinVNC] "c:\Programmi\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Firewall Client Connectivity Monitor.LNK = C:\Programmi\Microsoft Firewall Client\ISATRAY.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: http://www.sgrunt.biz
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ulssvicenza.intra
O17 - HKLM\Software\..\Telephony: DomainName = ulssvicenza.intra
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4D1BCF9-D0D1-4201-8327-E2FD7647AA09}: NameServer = 10.1.51.30
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ulssvicenza.intra
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ulssvicenza.intra
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe
O23 - Service: TrcBoot - Unknown owner - C:\WINDOWS\System32\drivers\trcboot.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - c:\Programmi\ORL\VNC\WinVNC.exe" -service (file missing)
O23 - Service: Wiperaser Secure Deletion Service (Wiperaser) - Unknown owner - C:\Programmi\Wiperaser 2004\WiperaserSvc.exe (file missing)

[Luke57]

Ciao, scarica deldomains da qui:
http://www.mvps.org/winhelp2002/DelDomains.inf
e lo metti sul desktop
(per le voci 015)

Scarica ATFCleaner da qui:
http://www.atribune.org/ccount/click.php?id=1
Per eliminare i file temporanei

Riavvia in mod.provvisoria, apri hijackthis, premi "open the misc tools section", "open process manager", cerchi ed evidenzi il seguente processo:
C:\WINDOWS\TEMP\UH8D0D.EXE
premi kill process.

Torna al menu principale con back, premi "scan", cerchi e spunti:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: http://www.sgrunt.biz
premi fix checked


Esegui deldomains con un click con il tasto dx del mouse e scegli Installa (fa tutto da sè)

Avvia ATF cleaner clicca sul menu "main" e poi seleziona la casella "Select All". Adesso clicca sul pulsante "Empty selected" e aspetta il messaggio "Done Cleaning!".

Fai un log di controllo dalla mod.normale e in caso di problemi non risolti postalo nuovamente.

[lobelis]

Questo è il log fatto subito dopo il riavvio, quel maledetto 1987324 mi è ricomparso subito alla pagina iniziale...ecome vedi è ancora lì.
Grazie ancora per l'aiuto

Logfile of HijackThis v1.99.1
Scan saved at 11.07.22, on 19/06/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\trcboot.exe
C:\OfficeScan NT\ntrtscan.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINDOWS\TEMP\HGE44A.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\OfficeScan NT\pccntmon.exe
C:\Programmi\Microsoft Firewall Client\ISATRAY.EXE
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = servinfo:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;*.ulssvicenza.intra;servinfo;*.ulssvi;<local>
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [MemoREX] "\\Puggioni\D\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [WinVNC] "c:\Programmi\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Firewall Client Connectivity Monitor.LNK = C:\Programmi\Microsoft Firewall Client\ISATRAY.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://www.1987324.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ulssvicenza.intra
O17 - HKLM\Software\..\Telephony: DomainName = ulssvicenza.intra
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4D1BCF9-D0D1-4201-8327-E2FD7647AA09}: NameServer = 10.1.51.30
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ulssvicenza.intra
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ulssvicenza.intra
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - (no file)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe
O23 - Service: TrcBoot - Unknown owner - C:\WINDOWS\System32\drivers\trcboot.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - c:\Programmi\ORL\VNC\WinVNC.exe" -service (file missing)
O23 - Service: Wiperaser Secure Deletion Service (Wiperaser) - Unknown owner - (no file)

[Luke57]

Ciao, ti si forma un eseguibile che cambia nome nella cartella windows\temp

Controlla di non avere questi file in C:\Windows
Services.exe (non ti sbagliare con il percorso C\Windows\system32)
svchost16
svchost32
svchost64
services32.dll
services.dll
e se sì cancellali dalla mod.provvisoria

Scarica Cwsredder da qui:
http://www.trendmicro.com/ftp/products/ ... redder.exe
lo metti sul desktop, poi disconnesso da internet, browser e applicazioni chiuse, lo apri e scegli Fix non scan only.

Verifica anche il tuo indirizzo IP così:
start>esegui>cmd (lo copi nello spazio)>ok
entrato nel dos scrivi
ipconfig /all
Invio
Confronta i dati con le voci 017 del log di hijackthis.

Prova a eliminare la voce F2 così:
start>esegui>regedit (lo scrivi nello spazio)>OK
Per sicurezza fai una copia del registro di sistema così:
sull’editor del registro che si apre scegli File>Esporta, assicurati che nella nuova finestra sia selezionata la voce Tutto o tutti i file nell’Intervallo di esportazione, dai un nome al file .reg, tipo “salvataggio registro” e lo salvi nel disco fisso ( ci vorrà qualche minuto, in quanto è un file di almeno 16 MB). In caso di problemi, con un doppio click su tale file, potrà essere ripristinata la situazione del registro prima delle modifiche.
Poi vai alla seguente chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
cliccando sui + accanto alle singole voci, doppio click sulla cartella Winlogon
individui nella finestra di destra USERINIT ed devi eliminare la voce:,C:\WINDOWS\SERVICE.EXE
Non eliminare tutta la chiave, altrimenti il computer non si riavvierà.
Per eliminare la voce infetta:
doppio clic su Userinit, nella finestra “Modifica stringa” che si apre, nello spazio Dati valore troverai evidenziata questa voce:
C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
Devi eliminare
,C:\WINDOWS\SERVICES.EXE (virgola compresa).
Selezioni a questo punto solo la voce da eliminare e scegli Canc, poi OK, chiudere il registro.
Allo stesso modo controllare che la voce non sia presente nella chiave SHELL sempre all’interno della cartella Winlogon. Se alla destra di Shell trovi Explorer.exe da solo, va bene.

[lobelis]

Ciao, ho seguito alla lettera tutte le tue istruzioni, ma non riesco a cancellare la voce F2 dal registro di sistema. Quando seleziono la parte da cancellare, premo canc, clicco su OK e chiudo il registro, ma quando lo riapro rimane tutto invariato. Ho anche provato a riavviare il PC ma non cambia niente.
Ho anche confrontato l'IP e l'indirizzo della voce 17 corrisponde al server DNS e non all'IP.
Ho cancellato i files svchost16,svchost32,svchost64
i files services 32.dll e services.dll non c'erano e il file services.exe non mi permetteva di cancellarlo.

Ti invio un altro log
Grazie ancora e ciao

Logfile of HijackThis v1.99.1
Scan saved at 14.48.29, on 19/06/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\trcboot.exe
C:\OfficeScan NT\ntrtscan.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINDOWS\TEMP\VG1DA4.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\OfficeScan NT\pccntmon.exe
C:\Programmi\Microsoft Firewall Client\ISATRAY.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1987324.com?301
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = servinfo:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;*.ulssvicenza.intra;servinfo;*.ulssvi;<local>
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [MemoREX] "\\Puggioni\D\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [WinVNC] "c:\Programmi\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Firewall Client Connectivity Monitor.LNK = C:\Programmi\Microsoft Firewall Client\ISATRAY.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://www.1987324.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ulssvicenza.intra
O17 - HKLM\Software\..\Telephony: DomainName = ulssvicenza.intra
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4D1BCF9-D0D1-4201-8327-E2FD7647AA09}: NameServer = 10.1.51.30
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ulssvicenza.intra
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ulssvicenza.intra
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - (no file)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe
O23 - Service: TrcBoot - Unknown owner - C:\WINDOWS\System32\drivers\trcboot.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - c:\Programmi\ORL\VNC\WinVNC.exe" -service (file missing)
O23 - Service: Wiperaser Secure Deletion Service (Wiperaser) - Unknown owner - (no file)

[Luke57]

Ciao, riprova con killbox (ovviamente parli del file C:\Windows\Services.exe? Ho sempre paura che sio confonda con quello legittimo in system32).