può essere uno spyware?

[Duke]

Salve a tutti, visto che l'ultima volta mi avete risolto il problema in modo egregio provo a porvi un altro quesito:

ogni tanto, dopo che mi sono appena connesso a internet, mi appare una finestrina di pop-up che mi dice "cannot create a phone book number", poi mi si disconnette internet!

Secondo voi ho uno spyware?

Logfile of HijackThis v1.99.1
Scan saved at 20.52.16, on 17/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\pc\Desktop\Cristian\Anti dial\ewido anti-spyware 4.0\guard.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\Norton Personal Firewall\NISSERV.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programmi\Norton Personal Firewall\IAMAPP.EXE
C:\WINDOWS\System32\carpserv.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\TEMP\vjmu1.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Norton Personal Firewall\SymProxySvc.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Documents and Settings\pc\Desktop\Cristian\Acceleratore web di libero\SlipStream Web Accelerator\slipaccel.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\DOCUME~1\pc\IMPOST~1\Temp\it_0118.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\pc\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Libero
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5400
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\pc\101718406.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [iamapp] C:\Programmi\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [vjmu1.exe] C:\WINDOWS\TEMP\vjmu1.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Show All Original Images - res://C:\Documents and Settings\pc\Desktop\Cristian\Acceleratore web di libero\SlipStream Web Accelerator\slipaccel.exe/250
O8 - Extra context menu item: Show Original Image - res://C:\Documents and Settings\pc\Desktop\Cristian\Acceleratore web di libero\SlipStream Web Accelerator\slipaccel.exe/227
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{D227337B-DED8-4BAE-A294-3741AA7E9B37}: NameServer = 193.70.192.25 193.70.152.25
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Documents and Settings\pc\Desktop\Cristian\Anti dial\ewido anti-spyware 4.0\guard.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - C:\Programmi\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programmi\Norton Personal Firewall\NISUM.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programmi\Norton Personal Firewall\SymProxySvc.exe
O23 - Service: UpdUoc - Unknown owner - \\?\C:\Programmi\File comuni\System\lpt3.exe (file missing)
O23 - Service: WebLdw - Unknown owner - \\?\C:\Programmi\File comuni\System\com7.exe (file missing)

[Dylan666]

Si per me potrebbe essere uno spyware. Di sicuro queste voci sono molto sospette:

O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\pc\101718406.dll

O4 - HKLM\..\Run: [vjmu1.exe] C:\WINDOWS\TEMP\vjmu1.exe

O23 - Service: UpdUoc - Unknown owner - \\?\C:\Programmi\File comuni\System\lpt3.exe (file missing)

O23 - Service: WebLdw - Unknown owner - \\?\C:\Programmi\File comuni\System\com7.exe (file missing)

Leverei chiavi e file da modalità provvisoria insieme a questo:

C:\DOCUME~1\pc\IMPOST~1\Temp\it_0118.exe

[Luke57]

Ciao, sembra un'infezione da Gromozon.
Scarica questo tool:
http://pcalsicuro.phpsoft.it/FixGrom.exe
eseguilo con l'antivirus disattivato. Al riavvio del computer il programma terminerà la scansione nelle restanti cartelle di windows.
Sarà rilasciato un report della scansione in C:\Gromozon_emoval.log.

Posta il report nel forum.

Inoltre, ancìhe questo della symantec: http://smallbiz.symantec.com/security_r ... 16-4153-99

L´esito viene salvato nel file FixLinkopt.log

Posta il report

[Duke]

Ciao, avevi visto bene,
ho provato a fare una scansione con FixGrom ed ecco il risultato:

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\system32\aaaa.dll
Removed!
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\Temp\vjmu1.exe
>>>Error: File C:\WINDOWS\Temp\vjmu1.exe could not be removed - it will be removed on the next reboot.


Trojan.Gromozon Removed!

In teoria ora dovrebbe essere tutto a posto...

[Dylan666]

beh no, ha tolto solo parte di quello che ti ho segnalato io

[Luke57]

Ciao, avevi visto bene,
ho provato a fare una scansione con FixGrom ed ecco il risultato:

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\system32\aaaa.dll
Removed!
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\Temp\vjmu1.exe
>>>Error: File C:\WINDOWS\Temp\vjmu1.exe could not be removed - it will be removed on the next reboot.


Trojan.Gromozon Removed!

In teoria ora dovrebbe essere tutto a posto...

Ciao, scarica scarica Gmer :
http://www.gmer.net/gmer111.zip
Dopo averlo scompattato, lo avvii, selezioni "Rootkit"
Clicca su "Scan"
Attendi la fine della scansione e clicca su "Copy"
Apri il block notes di windows, clicca su modifica e seleziona incolla

Poi fai una scansione con GMer dalla posizione ''Autostart'', con le stesse procedure del precedente. Incolla il log generato nel suddetto block notes e poi incolla i due log in un post nel forum.

[Duke]

OK, ho fatto quello che mi avete consigliato, il risultato è questo:


GMER 1.0.11.11390 - http://www.gmer.net
Rootkit 2006-10-19 22:09:47
Windows 5.1.2600 Service Pack 1


---- System - GMER 1.0.11 ----

SSDT \??\C:\Documents and Settings\pc\Desktop\old\Anti dial\ewido anti-spyware 4.0\guard.sys ZwOpenProcess
SSDT \??\C:\Documents and Settings\pc\Desktop\old\Anti dial\ewido anti-spyware 4.0\guard.sys ZwTerminateProcess

---- Processes - GMER 1.0.11 ----

Process C:\WINDOWS\service32.exe (*** hidden *** ) 1800

---- Registry - GMER 1.0.11 ----

Reg \Registry\MACHINE\SOFTWARE\45CHL7AM1J
Reg \Registry\MACHINE\SOFTWARE\45CHL7AM1J@45CHL7AM1J 0x01 0x00 0x00 0x38 ...
Reg \Registry\MACHINE\SOFTWARE\45CHL7AM1J@45CHL7AM1J 0x01 0x00 0x00 0x38 ...

---- Files - GMER 1.0.11 ----

ADS C:\Documents and Settings\All Users\Dati applicazioni\TEMP:2A81F9CE
ADS C:\Documents and Settings\pc\Cookies\index.dat:SummaryInformation
ADS C:\Documents and Settings\pc\Cookies\index.dat:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS ...

---- EOF - GMER 1.0.11 ----

------------------------------------------------------------------------------------------------------------------

GMER 1.0.11.11390 - http://www.gmer.net
Autostart 2006-10-19 22:10:55
Windows 5.1.2600 Service Pack 1


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
ewido anti-spyware 4.0 guard /*ewido anti-spyware 4.0 guard*/@ = C:\Documents and Settings\pc\Desktop\old\Anti dial\ewido anti-spyware 4.0\guard.exe
navapsvc /*Servizio Norton AntiVirus Auto-Protect*/@ = C:\Programmi\Norton AntiVirus\navapsvc.exe
NISSERV /*Norton Personal Firewall Service*/@ = C:\Programmi\Norton Personal Firewall\NISSERV.EXE
NVSvc /*NVIDIA Driver Helper Service*/@ = %SystemRoot%\System32\nvsvc32.exe
SBService /*ScriptBlocking Service*/@ = C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
SymProxySvc /*Norton Personal Firewall Proxy Service*/@ = C:\Programmi\Norton Personal Firewall\SymProxySvc.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@C-Media MixerMixer.exe /startup = Mixer.exe /startup
@NAV AgentC:\PROGRA~1\NORTON~1\navapw32.exe = C:\PROGRA~1\NORTON~1\navapw32.exe
@NvCplDaemonRUNDLL32.EXE NvQTwk,NvCplDaemon initialize = RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
@REGSHAVEC:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN = C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
@iamappC:\Programmi\Norton Personal Firewall\IAMAPP.EXE = C:\Programmi\Norton Personal Firewall\IAMAPP.EXE
@CARPServicecarpserv.exe = carpserv.exe
@HP Software UpdateC:\Programmi\HP\HP Software Update\HPWuSchd2.exe = C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run@1 = C:\WINDOWS\service32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run@CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{57B86673-276A-48B2-BAE7-C6DBB3020EB8} = C:\Documents and Settings\pc\Desktop\old\Anti dial\ewido anti-spyware 4.0\shellexecutehook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{BB7DF450-F119-11CD-8465-00AA00425D90} /*Microsoft Access Custom Icon Handler*/C:\Programmi\Microsoft Office\Office\soa800.dll = C:\Programmi\Microsoft Office\Office\soa800.dll
@{59850401-6664-101B-B21C-00AA004BA90B} /*Utilità di separazione di Raccoglitore Office.*/C:\Programmi\Microsoft Office\Office\UNBIND.DLL = C:\Programmi\Microsoft Office\Office\UNBIND.DLL
@{2F25CF20-C569-11D1-B94C-00608CB45480} /*TextPad*/C:\Documents and Settings\pc\Desktop\old\Text Pad\System\shellext.dll = C:\Documents and Settings\pc\Desktop\old\Text Pad\System\shellext.dll
@{1CDB2949-8F65-4355-8456-263E7C208A5D} /*Desktop Explorer*/C:\WINDOWS\System32\nvshell.dll = C:\WINDOWS\System32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A47} /*Desktop Explorer Menu*/C:\WINDOWS\System32\nvshell.dll = C:\WINDOWS\System32\nvshell.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Documents and Settings\pc\Desktop\old\Anti dial\ewido anti-spyware 4.0\context.dll
Symantec.Norton.Antivirus.IEContextMenu@{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programmi\Norton AntiVirus\NavShExt.dll
TextPad@{2F25CF20-C569-11D1-B94C-00608CB45480} = C:\Documents and Settings\pc\Desktop\old\Text Pad\System\shellext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Documents and Settings\pc\Desktop\old\Anti dial\ewido anti-spyware 4.0\context.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\Symantec.Norton.Antivirus.IEContextMenu@{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programmi\Norton AntiVirus\NavShExt.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx = C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
@{53707962-6F74-2D53-2644-206D7942484F}C:\PROGRA~1\SPYBOT~1\SDHelper.dll = C:\PROGRA~1\SPYBOT~1\SDHelper.dll
@{AA58ED58-01DD-4d91-8333-CF10577473F7}c:\programmi\google\googletoolbar2.dll = c:\programmi\google\googletoolbar2.dll
@{BDF3E430-B101-42AD-A544-FADC6B084872}C:\Programmi\Norton AntiVirus\NavShExt.dll = C:\Programmi\Norton AntiVirus\NavShExt.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\System32\logon.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.libero.it = http://www.libero.it
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main@Start Page = http://www.google.it/

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\System32\msvidctl.dll
its@CLSID = C:\WINDOWS\System32\itss.dll
mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\System32\itss.dll
tv@CLSID = C:\WINDOWS\System32\msvidctl.dll
vnd.ms.radio@CLSID = C:\WINDOWS\System32\msdxm.ocx
wia@CLSID = C:\WINDOWS\System32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\ >>>
000000000001@PackedCatalogItem = C:\DOCUME~1\pc\Desktop\old\ACCELE~1\SLIPST~1\sliplsp.dll
000000000002@PackedCatalogItem = C:\DOCUME~1\pc\Desktop\old\ACCELE~1\SLIPST~1\sliplsp.dll
000000000003@PackedCatalogItem = C:\DOCUME~1\pc\Desktop\old\ACCELE~1\SLIPST~1\sliplsp.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000019@PackedCatalogItem = C:\DOCUME~1\pc\Desktop\old\ACCELE~1\SLIPST~1\sliplsp.dll

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
Exif Launcher.lnk = Exif Launcher.lnk
HP Digital Imaging Monitor.lnk = HP Digital Imaging Monitor.lnk

---- EOF - GMER 1.0.11 ----

[Luke57]

Ciao, apri il registro di sistema:
start>esegui>regedit (lo copi nello spazio bianco)>OK
aperto il registro, cliccando sul segno + accanto alle singole voci segui questo percorso
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, doppio click sulla cartella Run, sulla destra appare questo valore
1 = C:\WINDOWS\service32.exe
clik tasto dx e scegli Elimina.

Rendi visibili file e cartelle nascosti:
da risorse del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti (consigliato)"
Click Ok

Cerchi ed elimini i seguenti file (o quelli che ci sono):
C:\WINDOWS\service32.exe
C:\WINDOWS\syst32.dll
C:\WINDOWS\syshost.dll
C:\WINDOWS\iexplorer32.dll
C:\WINDOWS\spoolsvc.exe

Svuoti il cestino

Posta nuovo log di hiajckthis.

[Duke]

Ciao, apri il registro di sistema:
start>esegui>regedit (lo copi nello spazio bianco)>OK
aperto il registro, cliccando sul segno + accanto alle singole voci segui questo percorso
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, doppio click sulla cartella Run, sulla destra appare questo valore
1 = C:\WINDOWS\service32.exe
clik tasto dx e scegli Elimina.

Ciao, sotto policies ho solo la cartella "explorer" e la voce "1 = C:\WINDOWS\service32.exe" non mi appare

Rendi visibili file e cartelle nascosti:
da risorse del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti (consigliato)"
Click Ok

Cerchi ed elimini i seguenti file (o quelli che ci sono):
C:\WINDOWS\service32.exe
C:\WINDOWS\syst32.dll
C:\WINDOWS\syshost.dll
C:\WINDOWS\iexplorer32.dll
C:\WINDOWS\spoolsvc.exe

Svuoti il cestino

Posta nuovo log di hiajckthis.

Ho trovato C:\WINDOWS\service32.exe e C:\WINDOWS\iexplore32.dll che ha una "r" in meno a quello da te elencato....

Grazie per la pazienza

ciao

[Luke57]

Ciao, ce l'hai per forza quella voce nel registro, l'ho vista da Gmer.
Controlla meglio--->Policies\Explorer\Run, doppio click su run

E' vero, il file iexplore32.dll ha una r in meno, errore mio di battitura

Elimina i due file

Fai anche questo controllo
Dal registro di sistema, portati alla voce:
HKEY_LOCAL_MACHINE\SOFTWARE\
e cancella la chiave: 9F65E3H10M (se c'è naturalmente)

Riavvia il PC

Possono esserci anche questi file, che vanno eliminati.

C:\WINDOWS\mdm32.dll
C:\WINDOWS\winsmgr32.dll
C:\Windows\623958248.exe

N.B. devi per prima cosa eliminare service32.exe.

Fai una scansione, poi, con antivirus aggiornato.

[Duke]

[quote="Luke57"]

N.B. devi per prima cosa eliminare service32.exe.

quote]

Ciao, quando provo ad eliminarlo mi appare una finestra con scritto che il file è in uso e non può essere cancellato, in task manager non c'è alcun processo con quel nome e KillBox non me lo elimina...

[Luke57]

Ciao, riprova dal registro di sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run@1 = C:\WINDOWS\service32.exe
questa è la stringa indicata da Gmer, ne senso che sotto Policies hai Explorer, click sul + , appare la cartella Run, click su di essa e sulla destra della finestra appare
1 = C:\WINDOWS\service32.exe
click sulla voce con il tasto dx e scegli Elimina.
Riavvii il computer in mod.provvisoria (per andarci premi ripetutamente il tasto F8 all'accensione del computer, prima che si carichi windows, nella schermata che appare scegli Modalità provvisoria spostandoti con le freccette e premendo Invio), vai a eliminare il file
service32.exe