[problema iexplore.exe]

[Allspark]

salve a tutti... (sono nuovo e se sbaglio qualcosa nel postare la mia domanda scusatemi in anticipo)... da qualche tempo ho notato che il mio computer risulta essere molto più lento che in passato... pensando sia un problema dovuto alle troppe applicazioni in esecuzione ho aperto task manager... mi è saltato subito all'occhio l'esecuzione di 3/4 iexplore.exe ke complessivamente mi occupavano circa 60.000 kb di memoria (a volte anche 100.000kb)... il fatto si presenta anche se non navigo in internet e ogni volta che accendo il pc queste applicazioni si avviano in automatico...infatti mi rallenta anche ad esempio l'esecuzione di giochi tipo PES 2009 e lo fa andare a "scatti" (cosa che ad esempio 5 mesetti fa non succedeva)... ho letto parecchie discussioni su problemi simili ma non ci capisco niente... vi allego un file creato con hijackthis... spero riusciate ad aiutarmi...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.14.24, on 16/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Google\Update\GoogleUpdate.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\System32\hphmon05.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Documents and Settings\Proprietario\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Documents and Settings\Proprietario\Menu Avvio\Programmi\Esecuzione automatica\userinit.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\dumprep.exe
C:\WINDOWS\system32\dumprep.exe
C:\Documents and Settings\Proprietario\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Advertising Your Business with Yahoo! Search Marketing
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Advertising Your Business with Yahoo! Search Marketing
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Advertising Your Business with Yahoo! Search Marketing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Advertising Your Business with Yahoo! Search Marketing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = Advertising Your Business with Yahoo! Search Marketing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Advertising Your Business with Yahoo! Search Marketing
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\drivers\services.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programmi\Real\RealPlayer\rpbrowserrecordplugin .dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\nnnlkhee.dll
O2 - BHO: (no name) - {8A555E0E-6240-DD93-198D-45F571D4FD9B} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programmi\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SYSTRAY_UPDATE] C:\WINDOWS\TEMP\systray.exe
O4 - HKLM\..\Run: [RUNDLL32] C:\WINDOWS\TEMP\rundll32.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Stupid Data Dart Wave] C:\Documents and Settings\All Users\Dati applicazioni\flag ace stupid data\Bin Audio.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Language_Shortcut] C:\WINDOWS\TEMP\IEXPLORE.EXE
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Proprietario\svchost.exe
O4 - HKLM\..\Run: [Windows System Update] C:\WINDOWS\TEMP\CSRSS.EXE
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Proprietario\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [FindAmen] C:\DOCUME~1\PROPRI~1\DATIAP~1\SEEKRE~1\global stupid.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EA Core] "C:\Programmi\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [bewan] "c:\documents and settings\proprietario\impostazioni locali\dati applicazioni\bewan.exe" bewan
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Proprietario\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - Startup: userinit.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: iifcyxxW - iifcyxxW.dll (file missing)
O20 - Winlogon Notify: nnnlkhee - C:\WINDOWS\SYSTEM32\nnnlkhee.dll
O20 - Winlogon Notify: urqPiFUk - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1ca54cc7468ba44) (gupdate1ca54cc7468ba44) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Utilità di pianificazione (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\services.exe

--
End of file - 8404 bytes

[gahan]

Per prima cosa:

start --> esegui --> digita msconfig --> invio

alla schermata che si apre vai su "avvio" e posta uno screen con gli elemente elencati;

Poi, sul desktop crea una cartella e chiamala "Hijackthis" e sposta all'interno il programma hijackthis che hai sul desktop (l'eseguibile deve stare in una cartella affinchè possa creare i backup);
Intanto hai un bel pò di voci da eliminare da hijackthis:

1 - Chiudi tutte le applicazioni (se ne hai di aperte);
2 - Apri hijackthis --> do a system scan only

seleziona le seguenti voci:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\nnnlkhee.dll
O2 - BHO: (no name) - {8A555E0E-6240-DD93-198D-45F571D4FD9B} - (no file)

O4 - HKLM\..\Run: [RUNDLL32] C:\WINDOWS\TEMP\rundll32.exe
O4 - HKLM\..\Run: [Stupid Data Dart Wave] C:\Documents and Settings\All Users\Dati applicazioni\flag ace stupid data\Bin Audio.exe
O4 - HKLM\..\Run: [Windows System Update] C:\WINDOWS\TEMP\CSRSS.EXE
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Proprietario\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [bewan] "c:\documents and settings\proprietario\impostazioni locali\dati applicazioni\bewan.exe" bewan
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O20 - Winlogon Notify: iifcyxxW - iifcyxxW.dll (file missing)
O20 - Winlogon Notify: nnnlkhee - C:\WINDOWS\SYSTEM32\nnnlkhee.dll
O20 - Winlogon Notify: urqPiFUk - C:\WINDOWS\

Clicca su Fix Checked:

Non mi è chiara questa voce "O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Proprietario\svchost.exe" ma per il momento non la toccare;

una volta fixate le voci, rifai la scansione con Hijackthis e riposta il log.

Ciao

[Luke57]

Ciao, esegui pure le operazioi suggerite, ma è prsente anche un'infezione da trojan vundo che difficilmente si elimina per via manuale

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
disattiva l'antivirus
Doppio click su combofix.exe (comparirà una videata.)
premi Invio e segui le indicazioni (rispondi no alla proposta di installare la recovry console, non fare nulla durante la scansione, se sparisccono le icone dal desktop è normale)
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.

[gahan]

ma è prsente anche un'infezione da trojan vundo che difficilmente si elimina per via manuale

Credo si tratti di "wowfx.dll"

[Allspark]

Per prima cosa:

start --> esegui --> digita msconfig --> invio

alla schermata che si apre vai su "avvio" e posta uno screen con gli elemente elencati;

Poi, sul desktop crea una cartella e chiamala "Hijackthis" e sposta all'interno il programma hijackthis che hai sul desktop (l'eseguibile deve stare in una cartella affinchè possa creare i backup);
Intanto hai un bel pò di voci da eliminare da hijackthis:

1 - Chiudi tutte le applicazioni (se ne hai di aperte);
2 - Apri hijackthis --> do a system scan only

seleziona le seguenti voci:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\nnnlkhee.dll
O2 - BHO: (no name) - {8A555E0E-6240-DD93-198D-45F571D4FD9B} - (no file)

O4 - HKLM\..\Run: [RUNDLL32] C:\WINDOWS\TEMP\rundll32.exe
O4 - HKLM\..\Run: [Stupid Data Dart Wave] C:\Documents and Settings\All Users\Dati applicazioni\flag ace stupid data\Bin Audio.exe
O4 - HKLM\..\Run: [Windows System Update] C:\WINDOWS\TEMP\CSRSS.EXE
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Proprietario\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [bewan] "c:\documents and settings\proprietario\impostazioni locali\dati applicazioni\bewan.exe" bewan
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O20 - Winlogon Notify: iifcyxxW - iifcyxxW.dll (file missing)
O20 - Winlogon Notify: nnnlkhee - C:\WINDOWS\SYSTEM32\nnnlkhee.dll
O20 - Winlogon Notify: urqPiFUk - C:\WINDOWS\

Clicca su Fix Checked:

Non mi è chiara questa voce "O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Proprietario\svchost.exe" ma per il momento non la toccare;

una volta fixate le voci, rifai la scansione con Hijackthis e riposta il log.

Ciao

grazie... proverò subito questi passaggi... ti farò sapere se risolvo il problema... comunque gli screen li ho fatti ma non so come inserirli dal desktop nella mia domanda...

[Luke57]

Ciao, esegui combofix come ti ho suggerito, con hijackthis puoi eliminare le voci di registro ma se non elimini anche i file collegati risolvi poco.

[Allspark]

Ciao, esegui combofix come ti ho suggerito, con hijackthis puoi eliminare le voci di registro ma se non elimini anche i file collegati risolvi poco.

ciao, posto qui insieme i risultatti del tuo procedimento e di HijackThis dopo le istruzioni eseguite...

ComboFix 09-11-16.05 - Proprietario 16/11/2009 13.06.59..1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.767.516 [GMT 1:00]
Eseguito da: C:\Documents and Settings\Proprietario\Documenti\Download\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Proprietario\Impostazioni locali\Dati applicazioni\bewan.dat
C:\Documents and Settings\Proprietario\Impostazioni locali\Dati applicazioni\bewan_nav.dat
C:\Documents and Settings\Proprietario\Impostazioni locali\Dati applicazioni\bewan_navps.dat
C:\Documents and Settings\Proprietario\Menu Avvio\Programmi\Esecuzione automatica\userinit.exe
C:\Programmi\altcmd
C:\Programmi\altcmd\altcmd.inf
C:\Programmi\altcmd\uninstall.bat
C:\userinit.exe
C:\WINDOWS\system32\lsprst7.dll
C:\WINDOWS\system32\muzapp.exe
C:\WINDOWS\system32\nnNLkhee.dll
C:\WINDOWS\system32\ps2.bat
C:\WINDOWS\system32\snapapi32.dll
C:\WINDOWS\system32\ssprs.dll
D:\resycled
D:\resycled\ntldr.com
E:\Autorun.inf

C:\WINDOWS\System32\Drivers\imagedrv.sys . . . è infetto!!

.
((((((((((((((((((((((((( Files Creati Da 2009-10-16 al 2009-11-16 )))))))))))))))))))))))))))))))))))
.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.54.45, on 16/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre6\bin\jqs.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\System32\hphmon05.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\Google\Update\GoogleUpdate.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Documents and Settings\Proprietario\Menu Avvio\Programmi\Esecuzione automatica\userinit.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mspaint.exe
C:\Documents and Settings\Proprietario\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qit10.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qit10.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-qit10.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qit10.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qit10.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-qit10.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programmi\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\nnnlkhee.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programmi\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SYSTRAY_UPDATE] C:\WINDOWS\TEMP\systray.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Language_Shortcut] C:\WINDOWS\TEMP\IEXPLORE.EXE
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Proprietario\svchost.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [FindAmen] C:\DOCUME~1\PROPRI~1\DATIAP~1\SEEKRE~1\global stupid.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EA Core] "C:\Programmi\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Proprietario\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - Startup: userinit.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: nnnlkhee - C:\WINDOWS\SYSTEM32\nnnlkhee.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1ca54cc7468ba44) (gupdate1ca54cc7468ba44) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Utilità di pianificazione (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\services.exe

--
End of file - 7360 bytes

[gahan]

Sembra tutto ok...
Comunque scrivi qui gli elementi in avvio:

start --> esegui --> msconfig --> avvio

PS - noti qualche miglioramento?

[Allspark]

Sembra tutto ok...
Comunque scrivi qui gli elementi in avvio:

start --> esegui --> msconfig --> avvio

PS - noti qualche miglioramento?

gli elementi in avvio sono...

hpsysdrv
hpudp05
hphmon05
KBD
sgtray
RECGUARD
VTTimer
ps2
ALCXMNTR
CLIstart
realshed
NeroCheck
Daemon
jushed
Reader_sl
AdobeARM
mbam
spazio bianco
msnmsgr
globalstupid
NMBgMonitor
Core
spazio bianco
SUPERAntispyware
HP Digital Imaging Monitor


ho notato 3 cose con i vostri suggerimenti...
1) tra queste opeazioni in avvio non compare più iexplore.exe (avevo tentato manualmente qualche giorno fa di rimuoverlo dagli avvii automatici ma ricompariva al riavvio del computer)

2) sul task manager è ancora presente iexplore.exe(con la relativa occupazione di memoria 60.000kb)

3) comunque sia il computer è più veloce rispetto a prima che vi chiedessi aiuto...(carica le pagine web più velocemente... apre le cartelle nel pc più velocemente... pes2009 non va più a scatti ecc...)

[gahan]

Hai molti processi obsoleti che rallentano il PC:

hpsysdrv --> rimuovilo
hpudp05 --> rimuovilo
hphmon05 -->rimuovilo

KBD --> icona in basso a destra vicino all'orologio (serve per configurare tasti multimedali della tastiera)...se non usi questa funzionalità rimuovilo

sgtray --> rimuovilo
RECGUARD
VTTimer
ps2 --> come "KBD"
ALCXMNTR --> rimuovilo
CLIstart --> rimuovilo
realshed --> rimuovilo
NeroCheck --> rimuovilo
Daemon --> rimuovilo (quando devi usarlo o apri manualmente)
jushed --> rimuovilo
Reader_sl --> rimuovilo
AdobeARM --> rimuovilo
mbam
spazio bianco
msnmsgr --> da MSN --> opzioni -->generale --> avvia messengere all'avvio del sistema (fatto questo dovrebbe togliersi)
globalstupid --> rimuovilo
NMBgMonitor --> rimuovilo
Core
spazio bianco
SUPERAntispyware
HP Digital Imaging Monitor --> rimuovilo

Togli la spunta a quelli indicati e riavvia il sistema.

[Allspark]

Hai molti processi obsoleti che rallentano il PC:

hpsysdrv --> rimuovilo
hpudp05 --> rimuovilo
hphmon05 -->rimuovilo

KBD --> icona in basso a destra vicino all'orologio (serve per configurare tasti multimedali della tastiera)...se non usi questa funzionalità rimuovilo

sgtray --> rimuovilo
RECGUARD
VTTimer
ps2 --> come "KBD"
ALCXMNTR --> rimuovilo
CLIstart --> rimuovilo
realshed --> rimuovilo
NeroCheck --> rimuovilo
Daemon --> rimuovilo (quando devi usarlo o apri manualmente)
jushed --> rimuovilo
Reader_sl --> rimuovilo
AdobeARM --> rimuovilo
mbam
spazio bianco
msnmsgr --> da MSN --> opzioni -->generale --> avvia messengere all'avvio del sistema (fatto questo dovrebbe togliersi)
globalstupid --> rimuovilo
NMBgMonitor --> rimuovilo
Core
spazio bianco
SUPERAntispyware
HP Digital Imaging Monitor --> rimuovilo

Togli la spunta a quelli indicati e riavvia il sistema.

perfetto... ora nel task manager non è più presente la voce iexplore.exe e noto un netto miglioramento nella velocità... grazie 1000 a tutti e due... vorrei farvi una statua!!!!!!!!!!!!!
solo un ultima domanda... come posso far si che ciò non accada più??? ovvero che non si presenti di nuovo lo stesso problema...

[Luke57]

Ciao, guarda che sei ancora infetto, ad es.
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Proprietario\svchost.exe
(svchost.exe legittimo si trova nella certella system 32)

Posta il report di combofix ma completo di tutte le voci (tutto il file C:\combofix.txt) , non solo delle eliminazioni effettuate dal programma.

[gahan]

Ciao, guarda che sei ancora infetto, ad es.
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Proprietario\svchost.exe
(svchost.exe legittimo si trova nella certella system 32)

Posta il report di combofix ma completo di tutte le voci (tutto il file C:\combofix.txt) , non solo delle eliminazioni effettuate dal programma.

era l'unica voce infatti su cui avevo dubbi

[Allspark]

Ciao, guarda che sei ancora infetto, ad es.
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Proprietario\svchost.exe
(svchost.exe legittimo si trova nella certella system 32)

Posta il report di combofix ma completo di tutte le voci (tutto il file C:\combofix.txt) , non solo delle eliminazioni effettuate dal programma.

era l'unica voce infatti su cui avevo dubbi

come non detto... iexplore.exe al riavvio è comparso... comunque... il file.txt di combofix non so qual'e... sulla cartellaC:\Combofix\ ce ne sono molti tutti con scritte diverse...quello che ho postato era C:\Combofix\combofix.txt sapete dirmi qual'è il titolo? cosi posto subito quello giusto...

[gahan]

Chiudi tutte le applicazioni

Fixa:

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\nnnlkhee.dll


Scarica http://swandog46.geekstogo.com/avenger.zip

clicca su input script manually e poi sulla lente di ingrandimento.
nello spazio bianco inserisci con copia incolla queste righe in grassetto:


files to delete:
C:\WINDOWS\system32\wowfx.dll (vedi se è rimasto)
C:\WINDOWS\system32\nnnlkhee.dll

clicca su done.
poi sul semaforo con luce verde
due volte si, il pc si riavviera' e al ritorno posta il log di avenger (C:/avenger.txt).

Ciao

[gahan]

files to delete:
C:\WINDOWS\system32\wowfx.dll (vedi se è rimasto)
C:\WINDOWS\system32\nnnlkhee.dll

non copiare "(vedi se è rimasto)"

[Allspark]

files to delete:
C:\WINDOWS\system32\wowfx.dll (vedi se è rimasto)
C:\WINDOWS\system32\nnnlkhee.dll

non copiare "(vedi se è rimasto)"

viene scritto che lo script non è valido di immetterne uno valido... (comunque non c'è una lente di ingrandimento)...

[gahan]

allora...apri avenger ed incolla

files to delete:
C:\WINDOWS\system32\nnnlkhee.dll

copia tutto anche "files to delete" e prosegui con execute

[Allspark]

allora...apri avenger ed incolla

files to delete:
C:\WINDOWS\system32\nnnlkhee.dll

copia tutto anche "files to delete" e prosegui con execute

ecco il risultato...
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Nov 16 20:34:16 2009

20:34:16: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Nov 16 20:34:39 2009

20:34:39: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Nov 16 20:35:05 2009

20:35:05: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Nov 16 20:35:14 2009

20:35:14: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

[gahan]

Mi sorge un dubbio. Hai estratto l'archivio zip "avenger" una volta scaricato oppure hai aperto il programma direttamente da dentro l'archivio?

Il programma deve essere estratto sul desktop ed essere eseguito. Per quanto riguarda i comandi questi dovrebbero essere giusti:

files to delete:
C:\WINDOWS\system32\wowfx.dll
C:\WINDOWS\system32\nnnlkhee.dll

Inoltre fixiamo con hijackthis alcune voci prima lasciate in sospeso:

apri hijackthis --> do a system scan only

O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Proprietario\svchost.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Proprietario\svchost.exe
O23 - Service: Utilità di pianificazione (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\services.exe

Per quanto riguarda ComboFix il log si trova in C:\ComboFix.txt