Rallentamento pc e strani messaggi in chiusura (virus?)

[Coliandro20]

Salve a tutti. Da un pò di tempo, circa un mese, ho registrato sul mio pc un rallentamento progressivo, soprattutto durante la navigazione internet e la lettura di documenti .pdf che consulto spesso per lavoro e studio. Ma il segnale più allarmante è la frequente comparsa, durante la chiusura del computer, di alcuni messaggi relativi ad operazioni ancora in corso dal nome un pò sospetto. Tra queste in particolare WidgiBho, S3timer.exe e altre qualificate con indecifrabili caratteri nipponici...
Ho Windows XP, SP2. Come sistemi di protezione attivi, ho avast antivirus, sygate firewall, spybotS&D, e di recente ho installato un programmino, TrojanKiller, che alla prima scansione, qualche giorno fa, ha individuato e rimosso diverse componenti sospette. Devo anzi dire che dopo questa scansione, alcuni messaggi di chiusura sembrano essersi diradati, soprattutto quelli relativi a WidgiBho, ma permane il rallentamento generale (soprattutto quando tengo aperti ebook in pdf, sembra che stia scaricando un reggimento di fanteria) e saltuariamente compaiono in chiusura messaggi di operazione in corso dagli improponibili nomi in giapponese (o cinese?)
Ho effettuato poco fa una scansione con HijackThis, e se non vi dispiace posterei il log così che possiate darmi qualche suggerimento sul da farsi. Vi ringrazio da subito.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11.20.40, on 16/07/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\Programmi\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVAST Software\Avast\avastUI.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Anti-Malware\a2service.exe
C:\Programmi\Application Updater\ApplicationUpdater.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\Programmi\Microsoft Office\Office\Winword.exe
C:\Programmi\Hijack\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= ... =CT2530241
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
R3 - URLSearchHook: (no name) - {bd0e4d83-654e-4213-965b-fcbe887061f4} - (no file)
R3 - URLSearchHook: Softonic-IT Toolbar - {e3393495-8103-46a0-8181-270273eddd60} - C:\Programmi\Softonic-IT\prxtbSof0.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\prxConduitEngine.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\Alwil Software\Avast5\aswWebRepIE.dll (file missing)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PrintMe - {97387E2B-B2FA-4E4A-A607-F3B5C134F71C} - C:\Programmi\EFI\PrintMeToolbar\htpmcap.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Softonic-IT - {e3393495-8103-46a0-8181-270273eddd60} - C:\Programmi\Softonic-IT\prxtbSof0.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: (no name) - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - (no file)
O3 - Toolbar: (no name) - {70DE7956-479D-4eb7-8641-2B45774C350E} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: (no name) - {bd0e4d83-654e-4213-965b-fcbe887061f4} - (no file)
O3 - Toolbar: PrintMe - {97387E2B-B2FA-4E4A-A607-F3B5C134F71C} - C:\Programmi\EFI\PrintMeToolbar\htpmcap.dll
O3 - Toolbar: Softonic-IT Toolbar - {e3393495-8103-46a0-8181-270273eddd60} - C:\Programmi\Softonic-IT\prxtbSof0.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\prxConduitEngine.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\Alwil Software\Avast5\aswWebRepIE.dll (file missing)
O3 - Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O4 - HKLM\..\Run: [avast] "C:\Programmi\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: Add to AMV Converter... - C:\Programmi\MP3 Player Utilities 4.09\AMVConverter\grab.html
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?7a1b41b59e374a309f82afd44b0cb382
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?7a1b41b59e374a309f82afd44b0cb382
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 4.00\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programmi\a-squared Anti-Malware\a2service.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Programmi\Application Updater\ApplicationUpdater.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Programmi\AVAST Software\Avast\AvastSvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

--
End of file - 8616 bytes

[Murdekai]

Ciao, il tuo pc è un pò incasinato

Avvia HiJackThis e:
● clicca sul pulsante Do a system scan only/Scan
● metti la spunta accanto ad ogni singola voce indicata sotto
● spuntate le voci, termina tutti i programmi attivi, comprese le pagine Internet
● clicca, in basso a sinistra, sul pulsante Fix checked; potrebbe comparire un'ulteriore finestra durante il fix delle voci: clicca su Sì
Queste sono le voci da fixare:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= ... =CT2530241
R3 - URLSearchHook: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
R3 - URLSearchHook: (no name) - {bd0e4d83-654e-4213-965b-fcbe887061f4} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\Alwil Software\Avast5\aswWebRepIE.dll (file missing)
O2 - BHO: (no name) - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - (no file)
O3 - Toolbar: (no name) - {70DE7956-479D-4eb7-8641-2B45774C350E} - (no file)
O3 - Toolbar: (no name) - {bd0e4d83-654e-4213-965b-fcbe887061f4} - (no file)
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\Alwil Software\Avast5\aswWebRepIE.dll (file missing)
O3 - Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O4 - Global Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe

Start, esegui e digita:
sc delete iPod Service
premi invio

Disinstalla questi programmi superflui e addirittura dannosi per il PC (troppi software di sicurezza fanno male):
Spybot - Search & Destroy
a-squared Anti-Malware

Inoltre, ci sarebbero queste toolbar da disinstallare:
Windows Live Toolbar
PrintMe
Softonic-IT Toolbar
Conduit Engine

Riavvia il sistema e:

Scarica Malwarebytes' Anti-Malware - Free Edition: http://www.malwarebytes.org
● doppio click su mbam-setup.exe per avviare il setup
● in fase di installazione, lascia la spunta alle voci b]Aggiorna Malwarebytes' Anti-Malware[/b] e Avvia Malwarebytes' Anti-Malware

Una volta eseguiti i passaggi indicati sopra:
● collega tutte le periferiche esterne che possiedi ( Chiavette USB, HDD Esterni, Lettori MP3... )
● verrà mostrata la schermata principale del tool: al messaggio che appare, clicca sul pulsante No
● clicca sul pulsante Scansione completa, e conferma cliccando il pulsante Scansione
● verrà richiesto quali drive scansionare; selezionali tutti, e clicca nuovamente su Scansione
● attendi pazientemente il termine della scansione
● una volta terminata, clicca sul pulsante OK e Mostra Risultati per visionare il Report
● verrà rilasciato automaticamente un file di testo: salvalo sul Desktop ed allegalo
● assicurati che tutte le voci siano selezionate, e clicca sul pulsante Rimuovi selezionati, in basso a sinistra
● il log può essere visionati cliccando sul tab Log dall'interfaccia principale del programma

Nota - riguardo al programma:
● se MalwareBytes incontrasse delle difficoltà nel rimuovere alcuni file, verranno mostrate delle finestre aggiuntive: clicca sul pulsante OK ad entrambi i messaggi, e lascia procedere il programma alla disinfezione. Se MalwareBytes chiedesse di riavviare il sistema, fallo immediatamente.

Infine:

Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
● posiziona il file scaricato sul Desktop
● disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
● disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix con un doppio click
● segui le istruzioni che verranno rilasciate per eseguire la scansione
● in caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● potrebbero comparire alcuni file sul Desktop, e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:
● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
● sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato da te dopo l'utilizzo del software stesso.
Lo stesso vale per me; questo tool non è un giocattolo e non è destinato all'utilizzo quotidiano. Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto
● ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, sarai costretto ad avviarla dalle Risorse del computer. Una precauzione in più, una possibile minaccia in meno

Al termine, allega il log aggiornato di Hijackthis, quello di MalwareBytes e infine quello di ComboFix.
Ciao e buon lavoro!

[Coliandro20]

Farò come mi suggerisci. Mi auguro di non combinare troppi pasticci!
Ti tengo aggiornato...
Grazie!

[Coliandro20]

Carissimo, ho trovato un intoppo già alle prime mosse. Non riesco infatti a cancellare le seguenti toolbar:

windowslive toolbar
e
pdfforge toolbar

perché non risultano presenti sul pc i pacchetti .msi
Come fare?

[Murdekai]

Ciao. Per il momento, lasciale stare e prosegui con le altre indicazioni; se sarà necessario, le elimineremo più tardi.
Attendo i log, ciao!

[Coliandro20]

Caro Murdekai,
anche se con un pò di ritardo (settimana molto pesante), ho effettuato le operazioni di scansione che mi hai suggerito. E pare già che il pc sia più alleggerito.
Ti allego i file log aggiornati delle 3 applicazioni:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14.12.18, on 21/07/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\Programmi\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVAST Software\Avast\avastUI.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\Programmi\Hijack\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avast] "C:\Programmi\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: Add to AMV Converter... - C:\Programmi\MP3 Player Utilities 4.09\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 4.00\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre6\bin\jp2iexp.dll
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Unknown owner - C:\Programmi\a-squared Anti-Malware\a2service.exe (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Programmi\AVAST Software\Avast\AvastSvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

--
End of file - 4399 bytes

Questo è quello di Malwarebytes:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Versione database: 7209

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

20/07/2011 11.52.55
mbam-log-2011-07-20 (11-52-54).txt

Tipo di scansione: Scansione completa (C:\|D:\|G:\|)
Elementi esaminati: 249078
Tempo impiegato: 1 ore, 30 minuti, 15 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 1
Cartelle infette: 0
File infetti: 1

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\programmi\file comuni\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> No action taken.

... E infine ComboFix:

ComboFix 11-07-20.05 - ok 21/07/2011 15.14.59.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.958.487 [GMT 2:00]
Eseguito da: c:\documents and settings\ok\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Sygate Personal Firewall *Disabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
* Creato nuovo punto di ripristino
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\ok\Dati applicazioni\PriceGong
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\1.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\a.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\b.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\c.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\d.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\e.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\f.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\g.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\h.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\i.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\J.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\k.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\l.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\m.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\mru.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\n.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\o.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\p.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\q.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\r.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\s.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\t.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\u.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\v.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\w.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\x.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\y.xml
c:\documents and settings\ok\Dati applicazioni\PriceGong\Data\z.xml
c:\documents and settings\ok\Desktop\Internet Explorer.lnk
c:\documents and settings\ok\WINDOWS
c:\windows\IsUn0410.exe
c:\windows\system32\dbexpmysql.dll
c:\windows\unin0410.exe
.
.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NPF
.
.
((((((((((((((((((((((((( Files Creati Da 2011-06-21 al 2011-07-21 )))))))))))))))))))))))))))))))))))
.
.
2030-08-29 13:22 . 2030-08-29 13:22 56832 -c--a-w- c:\windows\system32\iyvu9_32.dll
2030-08-29 13:22 . 2030-08-29 13:22 143872 -c--a-w- c:\windows\system32\iacenc.dll
2011-07-20 23:31 . 2011-07-20 23:31 -------- d-----w- c:\documents and settings\ok\.fontconfig
2011-07-15 07:54 . 2011-07-15 07:54 -------- d-----w- c:\documents and settings\ok\Dati applicazioni\Malwarebytes
2011-07-15 07:54 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-15 07:54 . 2011-07-15 07:54 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2011-07-15 07:54 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-15 07:54 . 2011-07-15 07:54 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2011-07-13 06:40 . 2004-10-15 16:32 14568 ----a-w- c:\windows\system32\drivers\wg6n.sys
2011-07-13 06:40 . 2004-10-15 16:32 14568 ----a-w- c:\windows\system32\drivers\wg5n.sys
2011-07-13 06:40 . 2004-10-15 16:32 14568 ----a-w- c:\windows\system32\drivers\wg4n.sys
2011-07-13 06:40 . 2004-10-15 16:32 14568 ----a-w- c:\windows\system32\drivers\wg3n.sys
2011-07-13 06:40 . 2004-10-15 16:17 60496 ----a-w- c:\windows\system32\drivers\Teefer.sys
2011-07-13 06:40 . 2004-10-15 16:18 21075 ----a-w- c:\windows\system32\drivers\wpsdrvnt.sys
2011-07-13 06:40 . 2004-10-15 16:32 83096 ----a-w- c:\windows\system32\SSSensor.dll
2011-07-13 06:40 . 2011-07-13 06:40 -------- d-----w- c:\programmi\Sygate
2011-07-13 06:37 . 2011-07-04 11:32 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-07-13 06:37 . 2011-07-04 11:36 309848 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-07-13 06:37 . 2011-07-04 11:32 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-07-13 06:37 . 2011-07-04 11:36 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-07-13 06:37 . 2011-07-04 11:35 43608 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-07-13 06:37 . 2011-07-04 11:35 102616 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-07-13 06:37 . 2011-07-04 11:35 96344 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-07-13 06:37 . 2011-07-04 11:32 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-07-13 06:36 . 2011-07-04 11:43 40112 ----a-w- c:\windows\avastSS.scr
2011-07-13 06:36 . 2011-07-04 11:43 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-07-13 06:35 . 2011-07-13 06:35 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\AVAST Software
2011-07-13 06:35 . 2011-07-13 06:35 -------- d-----w- c:\programmi\AVAST Software
2011-07-10 14:50 . 2011-07-10 14:50 2106216 ----a-w- c:\programmi\Mozilla Firefox\D3DCompiler_43.dll
2011-07-10 14:50 . 2011-07-10 14:50 1998168 ----a-w- c:\programmi\Mozilla Firefox\d3dx9_43.dll
2011-07-09 22:33 . 2011-07-09 22:33 388096 ----a-r- c:\documents and settings\ok\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-07-09 22:33 . 2011-07-09 22:33 -------- d-----w- c:\programmi\Hijack
2011-07-09 22:05 . 2011-07-09 23:22 -------- d-----w- c:\programmi\GridinSoft Trojan Killer
2011-06-29 18:13 . 2011-06-29 18:13 -------- d-----w- c:\documents and settings\ok\Dati applicazioni\adma
2011-06-29 10:00 . 2011-06-29 18:07 -------- d-----w- c:\windows\system32\XPSViewer
2011-06-29 10:00 . 2011-06-29 10:00 -------- d-----w- c:\programmi\MSBuild
2011-06-29 10:00 . 2011-06-29 10:00 -------- d-----w- c:\programmi\Reference Assemblies
2011-06-29 09:59 . 2008-07-06 12:06 89088 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2011-06-29 09:57 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2011-06-29 09:57 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2011-06-29 09:57 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2011-06-29 09:57 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2011-06-29 09:51 . 2011-06-29 09:51 -------- d-----w- c:\programmi\MSXML 6.0
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-23 18:14 . 2011-05-23 18:14 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-10 14:50 . 2011-05-30 15:11 142296 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-07-04 11:43 122512 ----a-w- c:\programmi\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast"="c:\programmi\AVAST Software\Avast\avastUI.exe" [2011-07-04 3493720]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-10-15 2577632]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\AdunanzA\\eMule_AdnzA.exe"=
"c:\\Programmi\\VideoLAN\\VLC\\vlc.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programmi\\WM Recorder 10\\WMR90.exe"=
"c:\\Programmi\\Microsoft Office\\Office\\WINWORD.EXE"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\File comuni\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [13/07/2011 8.37.54 441176]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [13/07/2011 8.37.57 309848]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [13/07/2011 8.37.58 19544]
S2 a2AntiMalware;a-squared Anti-Malware Service;c:\programmi\a-squared Anti-Malware\a2service.exe --> c:\programmi\a-squared Anti-Malware\a2service.exe [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 14.16.28 130384]
S3 a2acc;a2acc;\??\c:\programmi\MAMUTU\a2accx86.sys --> c:\programmi\MAMUTU\a2accx86.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 14.16.28 753504]
S4 Application Updater;Application Updater;"c:\programmi\Application Updater\ApplicationUpdater.exe" --> c:\programmi\Application Updater\ApplicationUpdater.exe [?]
.
Contenuto della cartella 'Scheduled Tasks'
.
2009-08-08 c:\windows\Tasks\NSSstub.job
- c:\windows\system32\Adobe\Shockwave 11\nssstub.exe [2009-07-19 21:12]
.
.
------- Scansione supplementare -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: Add to AMV Convert Tool... - c:\programmi\MP3 Player Utilities 4.00\AMVConverter\grab.html
IE: Add to AMV Converter... - c:\programmi\MP3 Player Utilities 4.09\AMVConverter\grab.html
IE: MediaManager tool grab multimedia file - c:\programmi\MP3 Player Utilities 4.00\MediaManager\grab.html
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\ok\Dati applicazioni\Mozilla\Firefox\Profiles\qregsu5c.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/webhp?rls=ig
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.as ... 2452477&q=
.
.
------- Associazioni dei file -------
.
.scr=AutoCADScriptFile
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
AddRemove-Adobe Acrobat 4.0 - c:\windows\ISUN0410.EXE
AddRemove-Adobe PhotoDeluxe Home Edition 4.0 - c:\windows\IsUn0410.exe
AddRemove-Autodesk DWF Viewer - c:\progra~1\Autodesk\AUTODE~1\Setup.exe
AddRemove-EPSON Scan! II - c:\windows\unin0410.exe
AddRemove-Français pour toi - F:\setup.exe
AddRemove-Indeo® software - c:\windows\IsUn0410.exe
AddRemove-ShockwaveFlash - c:\windows\system32\Macromed\Flash\FlashUtil9b.exe
AddRemove-TLG Workplace - d:\thesaurus linguae graecae\DeIsL1.isu
AddRemove-Uniblue RegistryBooster 2009 - c:\documents and settings\All Users\Dati applicazioni\{81D4BDA8-1F33-4633-B176-8A7E942ABDE1}\Uniblue RegistryBooster.exe
AddRemove-WinLiveSuite_Wave3 - c:\programmi\Windows Live\Installer\wlarp.exe
AddRemove-WM_Recorder_9.1B - c:\windows\iun6002.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-21 15:31
Windows 5.1.2600 Service Pack 2 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(584)
c:\programmi\File comuni\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
- - - - - - - > 'explorer.exe'(2460)
c:\programmi\File comuni\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\AVAST Software\Avast\AvastSvc.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Ora fine scansione: 2011-07-21 15:36:14 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2011-07-21 13:36
.
Pre-Run: 14.243.295.232 byte disponibili
Post-Run: 14.012.809.216 byte disponibili
.
- - End Of File - - 89113C30F98261CF3B2EE8C20060A455

Qual è la diagnosi?

[Murdekai]

Ciao carissimo,
hai eliminato le due infezioni trovate da MalwareBytes?

Iniziamo coi lavori.. ;
Scarica Security Check: http://screen317.spywareinfoforum.org/SecurityCheck.exe
● salva il tool sul Desktop
● esegui il programma e premi un tasto qualsiasi
● attendi la fine della scansione
● allega il log che si aprirà automaticamente

Poi:
Clicca sul pulsante Start, scegli la voce Esegui, e digita nello spazio bianco:
sc delete iPod Service
Comparirà una schermata DOS: scomparirà subito; non preoccuparti!

Stessa procedura, questa volta la stringa da inserire è:
sc delete a2AntiMalware

Poi:
Avvia HiJackThis e:
● clicca sul pulsante Do a system scan only/Scan
● metti la spunta accanto ad ogni singola voce indicata sotto
● spuntate le voci, termina tutti i programmi attivi, comprese le pagine Internet
● clicca, in basso a sinistra, sul pulsante Fix checked; potrebbe comparire un'ulteriore finestra durante il fix delle voci: clicca su Sì
Queste sono le voci da fixare:
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

Infine:
Script personalizzato di ComboFix

Avviso: non eseguire ComboFix di tua iniziativa; questo tool non è un giocattolo e non è adatto ad un uso quotidiano.

Apri il Block Note: Start> Tutti i programmi> Accessori> Blocco note
● all'interno del nuovo documento di testo, copia ed incolla le seguenti righe:

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000000

Folder::
c:\programmi\Application Updater
c:\programmi\GridinSoft Trojan Killer
c:\programmi\a-squared Anti-Malware
c:\programmi\file comuni\Spigot
c:\programmi\Spigot

File::
c:\programmi\a-squared Anti-Malware\a2service.exe
c:\programmi\Application Updater\ApplicationUpdater.exe
c:\programmi\MAMUTU\a2accx86.sys

Driver::
Application Updater
a2acc
a2AntiMalware

Firefox::
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms}
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.as ... 2452477&q=


● chiama questo file CFScript.txt, e posizionalo sul Desktop

Molto importante! Disabilita temporaneamente il tuo antivirus e firewall prima di seguire la procedura indicata. Potrebbero infatti interferire con ComboFix o rimuovere alcuni dei suoi file incorporati che possono portare a risultati imprevedibili.
Facendo riferimento all'immagine presente qui sotto, trascina con il puntatore del mouse CFScript.txt sull'icona di ComboFix
ComboFix ora eseguirà una scansione del tuo sistema. Una volta terminata, potrebbe riavviare automaticamente il sistema: in caso contrario, procedi tu manualmente.
A questo punto, il programma produrrà un Report. Copia ed incolla il log nel tuo prossimo post.

Nota - riguardo alla procedura:
● non toccare assolutamente il mouse e la tastiera durante la scansione: potrebbe interrompersi. Se dovesse succedere, apri il Task Manager (Ctrl + Alt + Canc), clicca sul tab Processi e termina tutti i processi findstr, find, sed o swreg. In tal modo ComboFix dovrebbe avviarsi correttamente
● se dovesse succedere ciò, vorrei sapere cortesemente quale processo hai dovuto terminare

Al termine, allega il log di Hijackthis, quello di Security Check e quello di ComboFix.

Buon lavoro, amico!

P.S. I log, sarebbe meglio caricarli su Questo sito:

Carica un file su Wikisend: http://www.wikisend.com

Procedura per Windows XP:
● accedi al sito indicato sopra
● clicca sul bottone Sfoglia...
● individua il file: C:\Programmi\Trend Micro\HiJackThis\hijackthis.txt
● clicca sul pulsante Apri
● clicca sul bottone blu Upload file
● copia il Forum link in un post sul forum

[Coliandro20]

Sei impeccabile! Grazie mille per l'assistenza che mi stai offrendo. Procedo e ti aggiorno

[Coliandro20]

Gentilissimo, ho fatto le operazioni che mi consigliavi nell'ultimo post (SecurityCheck, Hjack e Combo). Dicevi che devo postare i log altrove? tutti su Wikisend? E tu hai modo di accedervi poi?
Una buona giornata!

[Murdekai]

Si, basta che posti qui il forum link


Ciao!

[Coliandro20]

Ecco i link ai tre logs:

http://wikisend.com/download/797370/hijackthis.log

http://wikisend.com/download/435422/checkup.txt

http://wikisend.com/download/377632/logCombo.txt

Nel frattempo ti segnalo che mentre gli strani messaggi in chiusura sono progressivamente scomparsi, firefox spesso e volentieri mi occupa anche fino a 500 mb di paging! e mi provoca rallentamenti a tutte le operazioni
Grazie come sempre

[Murdekai]

Ciao. Qualcosa, con lo script, è andato storto.

Ripeti la stessa operazione precedente, questa volta il testo da inserire in un nuovo documento di NotePad (WordPad) è il seguente:

Codice: Seleziona tutto

File::
c:\programmi\MAMUTU\a2accx86.sys
c:\programmi\Application Updater\ApplicationUpdater.exe

Driver::
a2acc
Application Updater

Firefox::
FF - ProfilePath - c:\documents and settings\ok\Dati applicazioni\Mozilla\Firefox\Profiles\qregsu5c.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2452477&SearchSource=3&q={searchTerms}
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2452477&q=


Salva il documento di testo come prima (CFScript.txt) e trascinalo con il puntatore del mouse sull'icona di ComboFix; partirà una nuova scansione, allega il nuovo report risultante.

Installa il Service Pack 3:
http://windows.microsoft.com/IT-IT/wind ... pack-3-sp3