credetemi è un virus (o spyreware che sia) veramente rompipalle, consentitemi la volgarità. però non ce la faccio più...è stressante. ogni volta ti vedi comparire quella finestrella che sia apre e poi alcune volte fà partie in automatico l'apertura di pagine web che lui stesso seglie. certe volte ho proprio l'impressione che segua passo passo la mia navigazione (ho proprio quindi la sensazione di esser spiato, e credetemi è brutto) questo perchè mi fa aprire pagine (non sempre) attinenti alla mia navigazione.
bando alle chiacchere...era giusto uno sfogo

il problema è che provo con voi ad eliminarlo, poi se non ci riusciamo, immediatamente sarò costretto a formattare, nella speranza che non si sia insidiato nelle mura della mia casa, pronto a rivenire.

mi dite da dove posso iniziare?
sò anticipatamente che sarà un'avventura, almeno da quanto leggo su alcuni post.

non si potrebbe riepilogare una soluzione valida per tutti, da seguire passo passo ed unica? visto che il virus o syreware è unico e uguale a tutti?

in anticipo vi ringrazio per la gentile collaborazione che presterete.

Ciao e benvenuto,
scarica il tool della Symantec, disabilita il tuo antivirus ed esegui il file FixLinkopt.exe
http://www.suspectfile.com/forum/viewtopic.php?t=269

Verrà rilasciato un file di log che copierai qui nella tua prossima risposta.

Poi scarica sul desktop GMER
scompatta, sempre sul desktop il file gmer.zip.
Esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)

Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)

Copia in questa discussione entrambi i log

Ho lanciato il tool della Symantec. E vi posto subito il risultato:

Symantec Trojan.Linkoptimizer Removal Tool 1.0.2
SeTakeOwnershipPrivilege acquired
Failed to acquire SeDebugPrivilege
service: GNtQHY (logon as: .\YYhpV, passed filters)
service: GNtQHY (file path: C:\Programmi\ssrauTVQ.exe - infected)
file: C:\Programmi\ssrauTVQ.exe (deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\GNtQHY\Security (key deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\GNtQHY\Enum (key deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\GNtQHY (key deleted)
reg: ...\SpecialAccounts\UserList\YYhpV (value deleted)
folder: \\?\C:\Documents and Settings\YYhpV (deleted)
user: YYhpV (deleted)


C:\WINDOWS\12.tmp: (deleted)
C:\WINDOWS\17.tmp: (deleted)
C:\WINDOWS\1C.tmp: (deleted)
C:\WINDOWS\20.tmp: (deleted)
C:\WINDOWS\24.tmp: (deleted)
C:\WINDOWS\28.tmp: (deleted)
C:\WINDOWS\2C.tmp: (deleted)
C:\WINDOWS\30.tmp: (deleted)
C:\WINDOWS\34.tmp: (deleted)
C:\WINDOWS\38.tmp: (deleted)
C:\WINDOWS\3C.tmp: (deleted)
C:\WINDOWS\40.tmp: (deleted)
C:\WINDOWS\42.tmp: (deleted)
C:\WINDOWS\45.tmp: (deleted)
C:\WINDOWS\47.tmp: (deleted)
C:\WINDOWS\49.tmp: (deleted)
C:\WINDOWS\4B.tmp: (deleted)
C:\WINDOWS\4C.tmp: (deleted)
C:\WINDOWS\51.tmp: (deleted)
C:\WINDOWS\53.tmp: (deleted)
C:\WINDOWS\8.tmp: (deleted)
C:\WINDOWS\A.tmp: (deleted)
C:\WINDOWS\C.tmp: (deleted)

registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\LinkOptimizer (key deleted)

Trojan.Linkoptimizer has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 142831
The number of deleted threat files: 24
The number of directories deleted: 1
The number of threat processes terminated: 0
The number of registry entries fixed: 5
The number of threat services removed: 1
The number of accounts disabled: 1

The tool initiated a system reboot.

Non me ne intendo molto di inglese, ma credo che secondo la symantec il problema sia risolto.

Forse non, oppure non del tutto, visto che non posso postarvi il risultato di gmer, poichè quando clicco su quel link che mi avete indicato, mi apre la finestra come se volesse farmi scaricare il file, ma poi mi chiude all'improvviso la pagina del vostro sito.

In attesa di una vostra considerazione, vi ringrazio e al termine di quest'avventura, sperando di risolverla, vi metterò nella home del mio sito http://www.annuncisulweb.it per pubblicizzare apertamente le vostre lodevoli capacità.

Non sò proprio come facciate a combattere questa gente così malvagia. grazie acnhe a nome di tutti coloro che beneficeranno della vostra preparazione e che grazie a voi utilizzeranno il loro tempo per cose utili all'umanità e non per stare dietro questa gentaglia.
Grazieeeeeeeee.

Dimenticavo di dirvi che in pannello di controllo / installazione/ applicazione è ancora presente il programma linkoptimizer, che (vi preciso) non ho mai tentato di rimuovere, poichè avevo letto da qualche parte che tale passo avrebbe complicato la rimozione del trojan.

saluti a tutta la community

ciao e grazie per avere segnalato il nostro sito
ho inviato, alla email presente nel tuo profilo, GMER esegui i due logs e postali poi qui

innanzitutto grazie per la gentile ed estrema collaborazione (ammirevole)

incredibile!! no mi consente di avvicinarmi a quella cartella "gmer" per lanciare l'exe.

volevo fare il furbo nel lanciarlo scrivendo direttamente il percorso ov'è il file sul mio p.c., con start esegui e mettendo lì il percorso completo, ma niente da fare. aspetto vostre info per ovviare l'ostacolo.

N.B. una cosa è sicura, in tutto stò casino, se lui non consente di aprire il sito gmer e non consente di lanciare quel programma, vuol dire che teme questo procedimento e ciò significa che voi siete sulla strada giusta per sconfiggerlo. questa è certezza. a questo punto diventa un principio e vi seguirò passo passo, costi quel che costi.

P.S. per ora non ho inserito il link al vostro sito, ma presto lo farò e rimarrà per un bel pò di tempo.


in attesa di vostre info vi ringrazio sempre e sempre lo farò.

ciao, prova a scaricare questa versione
http://www.gmer.net/gmer111.zip
prima di lanciarlo verifica che in C:\Windows non vi siano questi file, nel caso li elimini e solo dopo lanci questa nuova versione di GMER


gmer.exe
gmer.dll
gmer.txt

poi elimina in C:\Windows\System32\drivers
gmer

Cari amici,

Ho eliminato i tre file;

ho eliminato gmer in driver

ma non riesce a farmi scaricare neanche questa versione che mi avete indicato

P.S. un amico mi ha consigliato di formattare, negativo costi quel che costi ormai vado fino in fondo
alla prossima

scarica
http://www.silentrunners.org/Silent%20Runners.vbs

tieni presente che alcuni antivirus (Norton) lo identifica erroneamente come script dannoso, ovviamente è un falso positivo dell'antivirus.

Esegui il file, clicca su NO ed attenti alcuni secondi il log che poi posterai qui.

Ciao

... e visto che voui fare da cavia vedo se quello a cui sono arrivato è corretto o meno. Però continueremo in pvt, sai gli spioni sono ovunque

ti invio il primo pvt

prova con removal gromozon
http://www.prevx.com/gromozon.asp

ricordati di disabilitare il tuo antivirus, al termine della scasnione viene rilasciato un file di log in C:\ postami il contenuto.
Nota:
non è necessaria l'installazione di PrevX1

scarica
http://www.silentrunners.org/Silent%20Runners.vbs
alcuni antivirus, come il norton, classifica erroneamente questo script come dannoso nel caso disabilita l'antivirus
metti il file all'interno di una cattella sul desktop e lancia lo script.
Attendi alcuni secondi, ti verrà rilasciato un file .txt copialo qui in questa discussione

sempre che il programma non venga bloccato scarica HijackThis (è autoestraente )
http://thespykiller.co.uk/files/HJTsetup.exe
apri hijackthis.exe
ed esegui una scansione cliccando su
"Do a system scan and save a logfile"
posta il log

Grazie

Nel frattempo scarica http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
lo useremo poi

silent runners và

ecco il log

"Silent Runners.vbs", revision 48, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"msnmsgr" = ""C:\Programmi\MSN Messenger\msnmsgr.exe" /background" [MS]
"NBJ" = ""C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe"" ["Ahead Software AG"]
"Skype" = ""C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"lanmon" = ""c:\windows\lanmon.exe"" [null data]
"lanjet" = ""c:\windows\lanjet.exe"" [null data]
"ibmset" = ""c:\windows\ibmset.exe"" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"QuickTime Task" = ""C:\Programmi\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"hrbh2.exe" = "C:\WINDOWS\Temp\hrbh2.exe" [file not found]
"snpstd" = "C:\WINDOWS\vsnpstd.exe" [empty string]
"HP Software Update" = "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe" ["Hewlett-Packard Co."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{03B808B0-E8BB-A04F-B90D-83FBB01BB094}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Class"
\InProcServer32\(Default) = "C:\WINDOWS\hipth1.dll" [file not found]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{2815D94A-1FBD-17CD-C3B2-F602C2A85EAA}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Class"
\InProcServer32\(Default) = "C:\WINDOWS\hipth1.dll" [file not found]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programmi\google\googletoolbar2.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Estensione panoramica video del Pannello di controllo"
-> {HKLM...CLSID} = "Estensione panoramica video del Pannello di controllo"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Estensione di icona di HyperTerminal"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programmi\Microsoft Office\Office10\msohev.dll" [MS]
"{AF32DAFE-1358-4F35-A673-FB123BC6303F}" = "Cutter 4.1 Shell Extension"
-> {HKLM...CLSID} = "Cutter 4.1 Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\CUTTER~1\cutt4cm.dll" ["M.Dev Software"]
"{310A0C95-EA11-42AE-A8E4-53E69E650310}" = "ZipGenius Zip Drop handler"
-> {HKLM...CLSID} = "ZG 5.5 Drag and Drop handler"
\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\DROPHA~1.DLL" ["M.Dev Software"]
"{3E307794-57B9-473A-98CC-4A039255063F}" = "OpenOffice.org/ZipGenius Shell Extension"
-> {HKLM...CLSID} = "Openoffice.org/ZipGenius 5 Zip Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\oodll.dll" ["M.Dev Software"]
"{FE8D01BF-610A-4261-9C6E-32D65A42C907}" = "ZipGenius 5.5 DnD Extract handler"
-> {HKLM...CLSID} = "Delphi Context Menu Shell Extension Example"
\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\ZGDRAG~1.DLL" ["M.Dev Software"]
"{C169E5F0-E2B3-41F3-B81A-7BA529CBE193}" = "ZipGenius Shell Extension"
-> {HKLM...CLSID} = "ZipGenius 5 Zip Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\contmenu.dll" ["M.Dev Software"]
"{2E5AC2E0-406D-11D4-86B3-FA5861508E25}" = "ZipGenius Zip InfoTip"
-> {HKLM...CLSID} = "ZipGenius 5 Zip InfoTip"
\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\zgtips.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programmi\WinRAR\rarext.dll" [null data]
"{40950107-FEA6-4d53-A65F-B2DCBA57DD58}" = "Nokia Phone Browser"
-> {HKLM...CLSID} = "Nokia Phone Browser"
\InProcServer32\(Default) = "C:\Programmi\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{FBFE7864-D495-41f0-B7DC-4BB601CC295E}" = "Contact View"
-> {HKLM...CLSID} = "Contact View"
\InProcServer32\(Default) = "C:\Programmi\Nokia\Nokia PC Suite 6\ContactView.dll" ["Nokia"]
"{C0C4375A-5B72-4efe-929D-3B848C3A1E91}" = "Message View"
-> {HKLM...CLSID} = "Message View"
\InProcServer32\(Default) = "C:\Programmi\Nokia\Nokia PC Suite 6\MessageView.dll" ["Nokia"]
"{00020000-0000-1011-8004-0000C06B5161}" = "WIBU-SYSTEMS Shell Extension"
-> {HKLM...CLSID} = "WIBU-SYSTEMS Shell Extension"
\InProcServer32\(Default) = "C:\Programmi\WIBU-SYSTEMS\System\WibuShellExt.dll" ["WIBU-SYSTEMS AG"]
"{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places"
-> {HKLM...CLSID} = "Risorse di rete Bluetooth"
\InProcServer32\(Default) = "C:\WINDOWS\system32\btneighborhood.dll" ["WIDCOMM, Inc."]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "Userinit" = "c:\windows\system32\userinit.exe,,c:\windows\__p9hepqkbj.exe,"c:\windows\lanmon.exe","c:\windows\lanjet.exe","c:\windows\ibmset.exe","c:\windows\mcafee-lan.exe"," [MS], [file not found], [null data], [null data], [null data], [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
INFECTION WARNING! debugg\DLLName = "debugg.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{00020000-0000-1011-8004-0000C06B5161}\(Default) = (no title provided)
-> {HKLM...CLSID} = "WIBU-SYSTEMS Shell Extension"
\InProcServer32\(Default) = "C:\Programmi\WIBU-SYSTEMS\System\WibuShellExt.dll" ["WIBU-SYSTEMS AG"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Cutter4.1\(Default) = "{AF32DAFE-1358-4F35-A673-FB123BC6303F}"
-> {HKLM...CLSID} = "Cutter 4.1 Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\CUTTER~1\cutt4cm.dll" ["M.Dev Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programmi\WinRAR\rarext.dll" [null data]
ZipGenius 5\(Default) = "{C169E5F0-E2B3-41F3-B81A-7BA529CBE193}"
-> {HKLM...CLSID} = "ZipGenius 5 Zip Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\contmenu.dll" ["M.Dev Software"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programmi\WinRAR\rarext.dll" [null data]
ZipGenius 5\(Default) = "{C169E5F0-E2B3-41F3-B81A-7BA529CBE193}"
-> {HKLM...CLSID} = "ZipGenius 5 Zip Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\contmenu.dll" ["M.Dev Software"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programmi\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Startup items in "Pasquale" & "All Users" startup folders:
----------------------------------------------------------

C:\Documents and Settings\Pasquale\Menu Avvio\Programmi\Esecuzione automatica
"FreePOPs" -> shortcut to: "C:\Programmi\FreePOPs\freepopsd.exe" [null data]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica
"BTTray" -> shortcut to: "C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe" ["WIDCOMM, Inc."]
"freepopsd" -> shortcut to: "C:\Programmi\FreePOPs\freepopsd.exe" [null data]
"GN-WIKG Utility" -> shortcut to: "C:\Programmi\Gigabyte\Gigabyte GN-WIKG 802.11g WLan\GbConfig.exe" ["GIGABYTE TECHNOLOGY CO., LTD."]
"TMMonitor" -> shortcut to: "C:\Programmi\ArcSoft\TotalMedia\TMMonitor.exe" ["ArcSoft, Inc."]


Enabled Scheduled Tasks:
------------------------

"XoftSpy" -> launches: "C:\Programmi\XoftSpy\XoftSpy.exe -t" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programmi\google\googletoolbar2.dll" ["Google Inc."]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programmi\google\googletoolbar2.dll" ["Google Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programmi\google\googletoolbar2.dll" ["Google Inc."]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{2DDBC1F4-F5F6-EDFC-D005-CD2357ACE3CE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "JavaScript console"
\InProcServer32\(Default) = "C:\WINDOWS\hipth1.dll" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{9455301C-CF6B-11D3-A266-00C04F689C50}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Organizzatore ricerche"
\InProcServer32\(Default) = "C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
-> {HKLM...CLSID} = "Web Browser Applet Control"
\InProcServer32\(Default) = "C:\WINDOWS\system32\msjava.dll" [MS]

{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{9455301C-CF6B-11D3-A266-00C04F689C50}\
"ButtonText" = "Organizzatore ricerche"

{B205A35E-1FC4-4CE3-818B-899DBBB3388C}\

{CCA281CA-C863-46EF-9331-5C8D4460577F}\
"ButtonText" = "@btrez.dll,-4015"
"MenuText" = "@btrez.dll,-4017"
"Script" = "C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm" [null data]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programmi\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Bluetooth Service, btwdins, "C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe" ["WIDCOMM, Inc."]
Machine Debug Manager, MDM, ""C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\system32\HPZipm12.exe" ["HP"]
SSL HTTP, HTTPFilter, "C:\WINDOWS\System32\svchost.exe -k HTTPFilter" {"C:\WINDOWS\System32\w3ssl.dll" [MS]}


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
HP Standard TCP/IP Port\Driver = "HpTcpMon.dll" ["Hewlett Packard"]
hpzlnt12\Driver = "hpzlnt12.dll" ["HP"]
Porta stampante Bluetooth\Driver = "bthcrp.dll" ["WIDCOMM, Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 220 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 6 seconds.
---------- (total run time: 266 seconds)


HijackThis negativo. non mi consente di avvicinarmi alla cartella che potrebbe contenere l'eseguibile (non sono neanche sicuro che ci sia, visto che se clicco due volte per aprire la cartella, mi chiude tutte le cartelle che ho aperto)

alla prossima
grazie

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in rosso


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Una volta riavviato il pc,collegati e posta il contenuto del file C:\Avenger.txt

Clicca su start>nella casellina digita regedit e clicca su Ok
Ti si apre il registro di sistema,aiutandoti con i + portati fino alla chiave segnata i blu
HKEY_LOCAL_MACHINE\ clicca sul +
Software\ clicca sul +
Microsoft\ clicca sul +
Windows NT\ clicca sul +
CurrentVersion\ clicca sul +
Winlogon\ clicca sul +
Userinit
Clicca sulla cartellina segnata in blu(Userinit)
Nel pannello di destra vedrai il valore Shell
Selezionalo,clicca su modifica, nella casellina Dati Valori cancella i valori c:\windows\__p9hepqkbj.exe,"c:\windows\lanmon.exe","c:\windows\lanjet.exe","c:\windows\ibmset.exe","c:\windows\mcafee-lan.exe",
devi lasciare solo il valore c:\windows\system32\userinit.exe,(virgola alla fine compresa)
Clicca su OK
Chiudi il registro

Riavvia il pc
Posta un nuovo log di Hijackthis e di silentrunners

Ciao