Salve, ho un problema con un trojan sul mio laptop. Posto qui dopo aver provato a seguire i consigli trovati su vari forum e non essere riuscito a risolvere il problema.
La mia configurazione è Windows XP - avast antivirus - zonealarm.

Facendo una scansione all'avvio Avast Antivirus mi ha rilevato un virus: si tratta di Win32:Trojan-gen {other} trovato nel file C:\9468562.
Dopo aver spostato tale file nel cestino di Avast ho provveduto a cancellarlo.

Le anomalie che avevo notato e che mi avevano spinto a fare una scansione all'avvio con l'antivirus sono però rimaste: quando mi collego ad internet Avast Antivirus viene arrestato. Inoltre mi sono accorto ora che se clicco su un file .txt non viene lanciato il notepad per visualizzarlo (appare per un attimo la clessidra al posto del cursore e poi non succede niente).

Non so se possano essere cause o conseguenze, ma i primi problemi che ho notato e mi hanno fatto insospettire sono stati con windows movie maker: subito dopo averlo lanciato mi dava un errore e veniva chiuso. Riprovando, mi è stato segnalato anche un errore di drwtsn32.exe
Può darsi che la causa siano gli ultimi aggiornamenti a windows xp che ho fatto subito dopo: windows media player 11 soprattutto. (visto che ora mi segnala degli aggiornamenti da installare per la protezione proprio di windows media player ma che non ho ancora scaricato per paura che vengano corrotti dal trojan... li devo installare cmq?)

Ho rieseguito una scansione all'avio con Avast Antivirus ma non mi ha rilevato più nulla. Quindi ho cancellato tutta la fuffa temporanea con CCleaner e ATF-Cleaner, ho installato a-Squared (aggiornandolo) ed eseguito una scansione con lo stesso: qui sotto trovate il log generato.

a-squared Free - Version 3.0
Last update: 23/10/2007 1.32.26

Impostazioni scansione:

Oggetti: Memoria, Tracce, Cookies, C:\, E:\
Archivio scansioni: On
Scientifico: On
ADS Scan: On

Scansione avviata: 23/10/2007 1.39.18

Value: HKEY_CLASSES_ROOT\CLSID\{0AF8185C-26D7-4607-A005-7D586B750C38}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
Value: HKEY_CLASSES_ROOT\CLSID\{5BF31631-3D94-4267-B6F4-0CE18B008928}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
Value: HKEY_CLASSES_ROOT\CLSID\{D322CFB6-5195-4EDA-87CA-6D624CCF2751}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0AF8185C-26D7-4607-A005-7D586B750C38}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5BF31631-3D94-4267-B6F4-0CE18B008928}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D322CFB6-5195-4EDA-87CA-6D624CCF2751}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
C:\Programmi\Toshiba Connect\InstID.exe rilevati: Dialer
C:\Programmi\Toshiba Connect\Interdialer.exe rilevati: Dialer



Infine ho fatto una scansione con HiJackThis, di cui allego il risultato.

Ovviamente ho disalibitato il ripristino configurazione di sistema (lo tengo sempre disabilitato).

Che devo fare adesso? qualcuno può darmi una mano?
I problemi di cui parlavo sopra rimangono...

Che danni può causare questo trojan?

Aggiungo qui anche l'analisi dello startup fatto sempre da HiJackThis.


StartupList report, 23/10/2007, 11.55.13
StartupList version: 1.52.2
Started from : C:\Documents and Settings\Edoardo\Desktop\programmi sicurezza\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v7.00 (7.00.6000.16544)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programmi\TOSHIBA\TME3\TMERzCtl.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programmi\Synaptics\SynTP\Toshiba.exe
C:\WINDOWS\system32\thpsrv.exe
C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Roland\VSC32\vsc32cnf.exe
C:\Programmi\Roland\VSC32\vscvol.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\vsnpstd.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programmi\a-squared Free\a2service.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\system32\ThpSrv.exe
C:\Programmi\TOSHIBA\TME3\Tmesrv31.exe
C:\Programmi\TOSHIBA\TME3\TMEEJME.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Documents and Settings\Edoardo\Desktop\programmi sicurezza\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Documents and Settings\Edoardo\Menu Avvio\Programmi\Esecuzione automatica]
*No files*

Shell folders AltStartup:
*Folder not found*

User shell folders Startup:
*Folder not found*

User shell folders AltStartup:
*Folder not found*

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica]
Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

Shell folders Common AltStartup:
*Folder not found*

User shell folders Common Startup:
*Folder not found*

User shell folders Alternate Common Startup:
*Folder not found*

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
*Registry value not found*

[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ATICCC = "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
SynTPEnh = C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
RTHDCPL = RTHDCPL.EXE
Alcmtr = ALCMTR.EXE
AGRSMMSG = AGRSMMSG.exe
THotkey = C:\Programmi\Toshiba\Toshiba Applet\thotkey.exe
TPSMain = TPSMain.exe
TMERzCtl.EXE = C:\Programmi\TOSHIBA\TME3\TMERzCtl.EXE /Service
TFncKy = TFncKy.exe
ThpSrv = c:\WINDOWS\system32\thpsrv /logon
IntelZeroConfig = "C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe"
IntelWireless = "C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
avast! = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
vsc32cnf.exe = C:\Programmi\Roland\VSC32\vsc32cnf.exe
vscvol.exe = C:\Programmi\Roland\VSC32\vscvol.exe
NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe
HPDJ Taskbar Utility = C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
snpstd = C:\WINDOWS\vsnpstd.exe
QuickTime Task = "C:\Programmi\QuickTime\qttask.exe" -atboottime
PCSuiteTrayApplication = C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
ZoneAlarm Client = "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
TOSCDSPD = C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
main = C:\WINDOWS\system32\drivers\system.exe
default = C:\Documents and Settings\Edoardo\winmain.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

sysinit = C:\WINDOWS\system32\drivers\system.exe
winmz = C:\Documents and Settings\Edoardo\winmain.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]
*No values found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*

--------------------------------------------------

File association entry for .EXE:
HKEY_CLASSES_ROOT\exefile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .COM:
HKEY_CLASSES_ROOT\comfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .BAT:
HKEY_CLASSES_ROOT\batfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .PIF:
HKEY_CLASSES_ROOT\piffile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .SCR:
HKEY_CLASSES_ROOT\scrfile\shell\open\command

(Default) = "%1" /S

--------------------------------------------------

File association entry for .HTA:
HKEY_CLASSES_ROOT\htafile\shell\open\command

(Default) = C:\WINDOWS\system32\mshta.exe "%1" %*

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command

*Registry value not found*

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}] *
StubPath = C:\WINDOWS\system32\ieudinit.exe

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig

[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] *
StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] *
StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

[{5945c046-1e7d-11d1-bc44-00c04fd912be}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser

[{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp11.inf,PerUserStub

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = C:\WINDOWS\system32\ie4uinit.exe -BaseSettings

[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *
StubPath = C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

--------------------------------------------------

Enumerating ICQ Agent Autostart apps:
HKCU\Software\Mirabilis\ICQ\Agent\Apps

*Registry key not found*

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*
run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present
C:\WINDOWS\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Verifying REGEDIT.EXE integrity:

- Regedit.exe found in C:\WINDOWS
- .reg open command is normal (regedit.exe %1)
- Company name OK: 'Microsoft Corporation'
- Original filename OK: 'REGEDIT.EXE'
- File description: 'Editor del Registro di sistema'

Registry check passed

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - (no file) - {7E853D72-626A-48EC-A868-BA8D5E23E045}

--------------------------------------------------

Enumerating Task Scheduler jobs:

*No jobs found*

--------------------------------------------------

Enumerating Download Program Files:

[Checkers Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\msgrchkr.dll
CODEBASE = http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

[CMediaMix Object]
InProcServer32 = C:\WINDOWS\system32\MediaLogic.dll
CODEBASE = http://musicmix.messenger.msn.com/Medialogic.CAB

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\system32\wuweb.dll
CODEBASE = http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164133755093

[Java Plug-in 1.5.0_04]
InProcServer32 = C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab

[MessengerStatsClient Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll
CODEBASE = http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

[Java Plug-in 1.5.0_04]
InProcServer32 = C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx
CODEBASE = http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab

[Minesweeper Flags Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\MineSweeper.dll
CODEBASE = http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #1: C:\WINDOWS\System32\mswsock.dll
NameSpace #2: C:\WINDOWS\System32\winrnr.dll
NameSpace #3: C:\WINDOWS\System32\mswsock.dll
Protocol #1: C:\WINDOWS\system32\mswsock.dll
Protocol #2: C:\WINDOWS\system32\mswsock.dll
Protocol #3: C:\WINDOWS\system32\mswsock.dll
Protocol #4: C:\WINDOWS\system32\mswsock.dll
Protocol #5: C:\WINDOWS\system32\rsvpsp.dll
Protocol #6: C:\WINDOWS\system32\rsvpsp.dll
Protocol #7: C:\WINDOWS\system32\mswsock.dll
Protocol #8: C:\WINDOWS\system32\mswsock.dll
Protocol #9: C:\WINDOWS\system32\mswsock.dll
Protocol #10: C:\WINDOWS\system32\mswsock.dll
Protocol #11: C:\WINDOWS\system32\mswsock.dll
Protocol #12: C:\WINDOWS\system32\mswsock.dll
Protocol #13: C:\WINDOWS\system32\mswsock.dll
Protocol #14: C:\WINDOWS\system32\mswsock.dll
Protocol #15: C:\WINDOWS\system32\mswsock.dll
Protocol #16: C:\WINDOWS\system32\mswsock.dll
Protocol #17: C:\WINDOWS\system32\mswsock.dll
Protocol #18: C:\WINDOWS\system32\mswsock.dll
Protocol #19: C:\WINDOWS\system32\mswsock.dll
Protocol #20: C:\WINDOWS\system32\mswsock.dll
Protocol #21: C:\WINDOWS\system32\mswsock.dll
Protocol #22: C:\WINDOWS\system32\mswsock.dll

--------------------------------------------------

Enumerating Windows NT/2000/XP services

a-squared Free Service: "C:\Programmi\a-squared Free\a2service.exe" (autostart)
Driver ACPI Microsoft: system32\DRIVERS\ACPI.sys (system)
Driver del controller integrato Microsoft: system32\DRIVERS\ACPIEC.sys (system)
Eliminatore di eco acustico del kernel Microsoft: system32\drivers\aec.sys (manual start)
AEGIS Protocol (IEEE 802.1x) v3.4.9.0: system32\DRIVERS\AegisP.sys (autostart)
AFD: \SystemRoot\System32\drivers\afd.sys (system)
TOSHIBA V92 Software Modem: system32\DRIVERS\AGRSM.sys (manual start)
Avvisi: %SystemRoot%\system32\svchost.exe -k LocalService (disabled)
Servizio Gateway di livello applicazione: %SystemRoot%\System32\alg.exe (manual start)
Gestione applicazione: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
Atheros Wireless Network Adapter Service: system32\DRIVERS\ar5211.sys (manual start)
Protocollo client ARP 1394: system32\DRIVERS\arp1394.sys (manual start)
Servizio stato di ASP.NET: %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (manual start)
avast! iAVS4 Control Service: "C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe" (autostart)
Driver per supporti asincroni RAS: system32\DRIVERS\asyncmac.sys (manual start)
Controller disco rigido IDE/ESDI standard: system32\DRIVERS\atapi.sys (system)
Ati HotKey Poller: %SystemRoot%\system32\Ati2evxx.exe (autostart)
ati2mtag: system32\DRIVERS\ati2mtag.sys (manual start)
Protocollo client ARP ATM: system32\DRIVERS\atmarpc.sys (manual start)
Audio Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Driver stub audio: system32\DRIVERS\audstub.sys (manual start)
avast! Antivirus: "C:\Programmi\Alwil Software\Avast4\ashServ.exe" (autostart)
avast! Mail Scanner: "C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (manual start)
avast! Web Scanner: "C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (manual start)
Servizio trasferimento intelligente in background: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
Browser di computer: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Decoder sottotitoli codificati: system32\DRIVERS\CCDECODE.sys (manual start)
Driver del CD-ROM: system32\DRIVERS\cdrom.sys (system)
Servizio di indicizzazione: %SystemRoot%\system32\cisvc.exe (manual start)
ClipBook: %SystemRoot%\system32\clipsrv.exe (disabled)
.NET Runtime Optimization Service v2.0.50727_X86: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (manual start)
Driver scheda AC Microsoft: system32\DRIVERS\CmBatt.sys (manual start)
Driver della batteria composita Microsoft: system32\DRIVERS\compbatt.sys (system)
Applicazione di sistema COM+: C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start)
Servizi di crittografia: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Utilità di avvio processo server DCOM: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)
Client DHCP: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Driver del disco: system32\DRIVERS\disk.sys (system)
Servizio amministrativo di Gestione disco logico: %SystemRoot%\System32\dmadmin.exe /com (manual start)
dmboot: System32\drivers\dmboot.sys (disabled)
Driver Gestione dischi logici: System32\drivers\dmio.sys (system)
dmload: System32\drivers\dmload.sys (system)
Gestione dischi logici: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Sintetizzatore DLS Microsoft Kernel: system32\drivers\DMusic.sys (manual start)
Client DNS: %SystemRoot%\system32\svchost.exe -k NetworkService (autostart)
Decodificatore audio DRM del kernel Microsoft: system32\drivers\drmkaud.sys (manual start)
DVB-T USB adapter firmware: system32\DRIVERS\dtvfw.sys (manual start)
Intel(R) PRO/1000 PCI Express Network Connection Driver: system32\DRIVERS\e1e5132.sys (manual start)
Servizio di segnalazione errori: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Registro eventi: %SystemRoot%\system32\services.exe (autostart)
Sistema di eventi COM+: C:\WINDOWS\system32\svchost.exe -k netsvcs (manual start)
Intel(R) PROSet/Wireless Event Log: C:\Programmi\Intel\Wireless\Bin\EvtEng.exe (autostart)
Compatibilità di Cambio rapido utente: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
FltMgr: system32\DRIVERS\fltMgr.sys (system)
Driver archiviazione volumi: system32\DRIVERS\ftdisk.sys (system)
Utilità di classificazione pacchetti generica: system32\DRIVERS\msgpc.sys (manual start)
Microsoft UAA Bus Driver for High Definition Audio: system32\DRIVERS\HDAudBus.sys (manual start)
Guida in linea e supporto tecnico: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
HID Input Service: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Driver di classe HID Microsoft: system32\DRIVERS\hidusb.sys (manual start)
HTTP: System32\Drivers\HTTP.sys (manual start)
SSL HTTP: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start)
Driver di porta mouse PS/2 e tastiera i8042: system32\DRIVERS\i8042prt.sys (system)
InstallDriver Table Manager: "C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe" (manual start)
Driver filtro masterizzazione CD: system32\DRIVERS\imapi.sys (system)
Servizio COM di masterizzazione CD IMAPI: C:\WINDOWS\system32\imapi.exe (manual start)
Service for Realtek HD Audio (WDM): system32\drivers\RtkHDAud.sys (manual start)
Driver processore Intel: system32\DRIVERS\intelppm.sys (system)
Driver Windows Firewall IPv6: system32\DRIVERS\Ip6Fw.sys (manual start)
Driver filtro traffico IP: system32\DRIVERS\ipfltdrv.sys (manual start)
Driver tunnel IP in IP: system32\DRIVERS\ipinip.sys (manual start)
Traduttore indirizzi di rete IP: system32\DRIVERS\ipnat.sys (manual start)
Driver IPSEC: system32\DRIVERS\ipsec.sys (system)
Protocollo IrDA: system32\DRIVERS\irda.sys (autostart)
Servizio enumeratore infrarossi: system32\DRIVERS\irenum.sys (manual start)
Monitor infrarossi: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Driver bus PnP ISA/EISA: system32\DRIVERS\isapnp.sys (system)
IVI ASPI Shell: system32\drivers\iviaspi.sys (manual start)
Driver classe tastiera: system32\DRIVERS\kbdclass.sys (system)
Driver di tastiera HID: system32\DRIVERS\kbdhid.sys (system)
Mixer wave audio del kernel Microsoft: system32\drivers\kmixer.sys (manual start)
Server: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Workstation: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Helper NetBIOS di TCP/IP: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
Messenger: %SystemRoot%\system32\svchost.exe -k netsvcs (disabled)
Condivisione desktop remoto di NetMeeting: C:\WINDOWS\system32\mnmsrvc.exe (manual start)
Driver classe mouse: system32\DRIVERS\mouclass.sys (system)
Driver di mouse HID: system32\DRIVERS\mouhid.sys (manual start)
BDA MPE Filter: system32\DRIVERS\MPE.sys (manual start)
Redirector del client WebDav: system32\DRIVERS\mrxdav.sys (manual start)
MRXSMB: system32\DRIVERS\mrxsmb.sys (system)
Distributed Transaction Coordinator: C:\WINDOWS\system32\msdtc.exe (manual start)
Microsoft IR Communications Driver: system32\DRIVERS\MSIRCOMM.sys (manual start)
Windows Installer: C:\WINDOWS\system32\msiexec.exe /V (manual start)
Proxy di servizio di flusso Microsoft: system32\drivers\MSKSSRV.sys (manual start)
Proxy clock di flusso Microsoft: system32\drivers\MSPCLOCK.sys (manual start)
Proxy di gestione qualità di flusso Microsoft: system32\drivers\MSPQM.sys (manual start)
Driver BIOS Microsoft System Management: system32\DRIVERS\mssmbios.sys (manual start)
Convertitore a T/Sito a sito per flusso Microsoft: system32\drivers\MSTEE.sys (manual start)
NABTS/FEC VBI Codec: system32\DRIVERS\NABTSFEC.sys (manual start)
Connesione TV/Video Microsoft: system32\DRIVERS\NdisIP.sys (manual start)
Driver TAPI NDIS di accesso remoto: system32\DRIVERS\ndistapi.sys (manual start)
Protocollo I/O modalità utente su NDIS: system32\DRIVERS\ndisuio.sys (manual start)
Driver WAN NDIS di accesso remoto: system32\DRIVERS\ndiswan.sys (manual start)
Interfaccia NetBIOS: system32\DRIVERS\netbios.sys (system)
NetBios su Tcpip: system32\DRIVERS\netbt.sys (system)
DDE di rete: %SystemRoot%\system32\netdde.exe (disabled)
DDE DSDM di rete: %SystemRoot%\system32\netdde.exe (disabled)
Accesso rete: %SystemRoot%\system32\lsass.exe (manual start)
Connessioni di rete: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
1394 Net Driver: system32\DRIVERS\nic1394.sys (manual start)
NLA (Network Location Awareness): %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
Provider supporto protezione LM NT: %SystemRoot%\system32\lsass.exe (manual start)
Archivi rimovibili: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
Driver filtro traffico IPX: system32\DRIVERS\nwlnkflt.sys (manual start)
Driver inoltratore traffico IPX: system32\DRIVERS\nwlnkfwd.sys (manual start)
Controller host Texas Instruments IEEE 1394 compatibile OHCI: system32\DRIVERS\ohci1394.sys (system)
Office Source Engine: "C:\Programmi\File comuni\Microsoft Shared\Source Engine\OSE.EXE" (manual start)
Driver della porta parallela: system32\DRIVERS\parport.sys (manual start)
Driver bus PCI: system32\DRIVERS\pci.sys (system)
PCIIde: system32\DRIVERS\pciide.sys (system)
Pcmcia: system32\DRIVERS\pcmcia.sys (system)
Padus ASPI Shell: system32\drivers\pfc.sys (manual start)
Plug and Play: %SystemRoot%\system32\services.exe (autostart)
Servizi IPSEC: %SystemRoot%\system32\lsass.exe (autostart)
WAN Miniport (PPTP): system32\DRIVERS\raspptp.sys (manual start)
Archiviazione protetta: %SystemRoot%\system32\lsass.exe (autostart)
Utilità di pianificazione pacchetti QoS: system32\DRIVERS\psched.sys (manual start)
Driver Direct Parallel Link: system32\DRIVERS\ptilink.sys (manual start)
PxHelp20: System32\Drivers\PxHelp20.sys (system)
Driver connessione automatica Accesso remoto: system32\DRIVERS\rasacd.sys (system)
Auto Connection Manager di Accesso remoto: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
WAN Miniport (IrDA): system32\DRIVERS\rasirda.sys (manual start)
WAN Miniport (L2TP): system32\DRIVERS\rasl2tp.sys (manual start)
Connection Manager di Accesso remoto: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
Driver PPPOE di accesso remoto: system32\DRIVERS\raspppoe.sys (manual start)
Direct Parallel: system32\DRIVERS\raspti.sys (manual start)
Rdbss: system32\DRIVERS\rdbss.sys (system)
RDPCDD: System32\DRIVERS\RDPCDD.sys (system)
Driver redirector periferica Terminal Server: system32\DRIVERS\rdpdr.sys (manual start)
Gestione sessione di assistenza mediante desktop remoto: C:\WINDOWS\system32\sessmgr.exe (manual start)
Driver filtro riproduzione CD-ROM audio digitale: system32\DRIVERS\redbook.sys (system)
Intel(R) PROSet/Wireless Registry Service: C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe (autostart)
Routing e Accesso remoto: %SystemRoot%\system32\svchost.exe -k netsvcs (disabled)
Registro di sistema remoto: %SystemRoot%\system32\svchost.exe -k LocalService (disabled)
RPC Locator: %SystemRoot%\system32\locator.exe (manual start)
RPC (Remote Procedure Call): %SystemRoot%\system32\svchost -k rpcss (autostart)
QoS RSVP: %SystemRoot%\system32\rsvp.exe (manual start)
Intel(R) PROSet/Wireless Service: C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe (autostart)
Trasporto WLAN: system32\DRIVERS\s24trans.sys (autostart)
Gestione account di protezione (SAM): %SystemRoot%\system32\lsass.exe (autostart)
smart card: %SystemRoot%\System32\SCardSvr.exe (manual start)
Utilità di pianificazione: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
sdbus: system32\DRIVERS\sdbus.sys (manual start)
Secdrv: system32\DRIVERS\secdrv.sys (manual start)
Accesso secondario: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Notifica eventi di sistema: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Driver filtro Serenum: system32\DRIVERS\serenum.sys (manual start)
Driver della porta seriale: system32\DRIVERS\serial.sys (system)
ServiceLayer: "C:\Programmi\PC Connectivity Solution\ServiceLayer.exe" (manual start)
Windows Firewall / Condivisione connessione Internet (ICS): %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Rilevamento hardware shell: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
BDA Slip De-Framer: system32\DRIVERS\SLIP.sys (manual start)
SMSC IrCC Miniport Device Driver: system32\DRIVERS\smcirda.sys (manual start)
TRUST 120 SPACEC@M: system32\DRIVERS\snpstd.sys (manual start)
Driver filtro USB Sony (SONYPVU1): system32\DRIVERS\SONYPVU1.SYS (manual start)
Splitcam, WDM Camera Stream Splitter: system32\DRIVERS\splitcam.sys (manual start)
Frazionatore audio del kernel Microsoft: system32\drivers\splitter.sys (manual start)
Spooler di stampa: %SystemRoot%\system32\spoolsv.exe (autostart)
Driver filtro Ripristino configurazione di sistema: \SystemRoot\system32\DRIVERS\sr.sys (disabled)
srescan: system32\ZoneLabs\srescan.sys (system)
Servizio Ripristino configurazione di sistema: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Srv: system32\DRIVERS\srv.sys (manual start)
Servizio di rilevamento SSDP: %SystemRoot%\system32\svchost.exe -k LocalService (manual start)
Acquisizione di immagini di Windows (WIA): %SystemRoot%\system32\svchost.exe -k imgsvc (autostart)
BDA IPSink: system32\DRIVERS\StreamIP.sys (manual start)
Driver bus software: system32\DRIVERS\swenum.sys (manual start)
Sintetizzatore Wavetable GS kernel Microsoft: system32\drivers\swmidi.sys (manual start)
MS Software Shadow Copy Provider: C:\WINDOWS\system32\dllhost.exe /Processid:{5CD51E31-8D6B-4747-BB01-125A1C02EBE7} (manual start)
Synaptics TouchPad Driver: system32\DRIVERS\SynTP.sys (manual start)
Periferica audio di sistema Microsoft Kernel: system32\drivers\sysaudio.sys (manual start)
Avvisi e registri di prestazioni: %SystemRoot%\system32\smlogsvc.exe (manual start)
Telefonia: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
TOSHIBA Application Service: "C:\Programmi\Toshiba\TOSHIBA Applet\TAPPSRV.exe" (autostart)
Driver protocollo TCP/IP: system32\DRIVERS\tcpip.sys (system)
Driver della periferica terminale: system32\DRIVERS\termdd.sys (system)
Servizi terminal: %SystemRoot%\System32\svchost -k DComLaunch (manual start)
Temi: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
TOSHIBA HDD Protection Driver: system32\DRIVERS\thpdrv.sys (system)
TOSHIBA HDD Protection - Shock Sensor Driver: system32\DRIVERS\Thpevm.SYS (system)
TOSHIBA HDD Protection: C:\WINDOWS\system32\ThpSrv.exe (autostart)
tifm21: system32\drivers\tifm21.sys (manual start)
Telnet: C:\WINDOWS\system32\tlntsvr.exe (disabled)
TMEI3E: System32\Drivers\TMEI3E.SYS (system)
Tmesrv3: C:\Programmi\TOSHIBA\TME3\Tmesrv31.exe /Service (autostart)
Bluetooth ACPI from TOSHIBA: system32\DRIVERS\tosrfec.sys (manual start)
Manutenzione collegamenti distribuiti client: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Toshiba Mobile PC Service: system32\DRIVERS\NBSMI.sys (manual start)
Toshiba Value Added Logical and General Purpose Device Driver: system32\DRIVERS\TVALG.SYS (system)
Driver aggiornamento microcodice: system32\DRIVERS\update.sys (manual start)
Host di periferiche Plug and Play universali: %SystemRoot%\system32\svchost.exe -k LocalService (manual start)
Gruppo di continuità: %SystemRoot%\System32\ups.exe (manual start)
Driver principale generico USB Microsoft: system32\DRIVERS\usbccgp.sys (manual start)
DVB-T TV Tuner: System32\Drivers\usbdtv.sys (manual start)
Driver Miniport controller enhanced host USB 2.0 Microsoft: system32\DRIVERS\usbehci.sys (manual start)
Hub abilitato USB2: system32\DRIVERS\usbhub.sys (manual start)
Driver scanner USB: system32\DRIVERS\usbscan.sys (manual start)
Driver archiviazione di massa USB: system32\DRIVERS\USBSTOR.SYS (manual start)
Driver Miniport Controller Universal Host USB Microsoft: system32\DRIVERS\usbuhci.sys (manual start)
Servizio Messenger Sharing Folders USN Journal Reader: "C:\Programmi\MSN Messenger\usnsvc.exe" (manual start)
VgaSave: \SystemRoot\System32\drivers\vga.sys (system)
Virtual Sound Canvas 3.2: system32\DRIVERS\vsc.sys (manual start)
vsdatant: System32\vsdatant.sys (system)
TrueVector Internet Monitor: C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service (autostart)
Copia replicata del volume: %SystemRoot%\System32\vssvc.exe (manual start)
Ora di Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Intel(R) PRO/Wireless 3945ABG Adapter Driver: system32\DRIVERS\w39n51.sys (manual start)
Driver ARP IP di accesso remoto: system32\DRIVERS\wanarp.sys (manual start)
Driver di compatibilità audio Microsoft WINMM WDM: system32\drivers\wdmaud.sys (manual start)
WebClient: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
Strumentazione gestione Windows: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Servizio Numero di serie per dispositivi multimediali portatili: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Estensioni driver di Strumentazione gestione Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Scheda WMI Performance: C:\WINDOWS\system32\wbem\wmiapsrv.exe (manual start)
Servizio di condivisione in rete Windows Media Player: "C:\Programmi\Windows Media Player\WMPNetwk.exe" (manual start)
Centro sicurezza PC: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Codec World Standard Teletext: system32\DRIVERS\WSTCODEC.SYS (manual start)
Aggiornamenti automatici: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Windows Driver Foundation - User-mode Driver Framework Platform Driver: system32\DRIVERS\WudfPf.sys (manual start)
Windows Driver Foundation - User-mode Driver Framework Reflector: system32\DRIVERS\wudfrd.sys (manual start)
Windows Driver Foundation - User-mode Driver Framework: %SystemRoot%\system32\svchost.exe -k WudfServiceGroup (manual start)
Zero Configuration reti senza fili: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Servizio Provisioning di rete: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)


--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\WINDOWS\temp\Perflib_Perfdata_604.dat||C:\WINDOWS\temp\ZLT0451c.TMP||C:\WINDOWS\temp\ZLT05be1.TMP||C:\Documents and Settings\Edoardo\Impostazioni locali\temp\~DFA0A0.tmp


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll
WPDShServiceObj: C:\WINDOWS\system32\WPDShServiceObj.dll

--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

End of report, 39.288 bytes
Report generated in 0,156 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Avast non è un gran che come AV . Potresti provare a cambiarlo con Antivir Pe Classic

Oppure se non vuoi cambiare AV prova una scansione online tipo quella di Kaspersky

Ciao

1) posta ancora un thread in sezione sbagliata e ti rifilo 3 iorni di sospensione!

2) scarica ed esegui ESET ADS REVEALER -> http://www.nod32.it/getfile.php?tool=adsr
correggi tutti i problemi che evidenzia

3) scarica ed esegui -> http://www.zonavirus.com/datos/descargas/78/elistara.asp
corri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ElistarA per scaricare il Tool (per comodità, posizionalo su Desktop)

4) scarica ed esegui ASQUARED FREE: http://download5.emsisoft.com/a2FreeSetup.exe

5) scarica ed esegui PANDA AntiRootKit : http://research.pandasoftware.com/blogs/images/AntiRootkit.zip

6) usa questo per fare il log -> http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip



Note per l'esecuzione:
Disabilita il ripristino di sistema poi provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

Come eseguire ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log), uppalo qui nel forum tramite la funzione gestisci allegati
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita


Il log prodotto da HiJackThis uppalo su http://www.zshare.net/ e posta il link, in questo modo manteniamo il server più leggero e la discussione rimane più fruibile.

Ah, mi scuso per aver postato nella sezione sbagliata.

Allora, oltre alle operazioni già descritte nei miei due post precedenti, ho eseguito le seguenti cose da voi consigliatemi e ora mi trovo ancora di più nella cacca (scrivo da un altro pc):

1) eseguito ESET ADS REVEALER e ripulito qualche file (penso niente che riguardasse il problema attuale, erano per lo più file grafici e cmq pochi)

2) NON ho eseguito ElistarA perché avast antivirus ha trovato il trojan Win32:Small-CPR nel file d'installazione

3) A-squared free lo avevo già lanciato prima di iniziare questo thread (nel primo post trovate i risultati che mi ha dato - pochi -)

4) ho eseguito Panda anti-rootkit e mi ha trovato 4 rootkit UNKNOWN nei seguenti file:
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll
C:\WINDOWS\system32\wsnpoem\0001175B.uf
C:\WINDOWS\system32\ntos.exe
quindi ho dato il comando per rimuovere i rootkit.

Ho riavviato e... sorpresa! dopo aver digitato la password di utente windows per l'avvio, mi avvia windows per una frazione di secondo dopodiché lo richiude immediatamente in modo automatico.
Stessa cosa in modalità provvisoria...

Quindi adesso non posso entrare in windows (e ovviamente non posso lanciare hijackthis, che cmq avevo già lanciato prima di iniziare questo thread ed avevo anche postato i risultati nei primi due post).
E ora?????

nessuno sa aiutarmi???
help!

Ho riavviato e... sorpresa! dopo aver digitato la password di utente windows per l'avvio, mi avvia windows per una frazione di secondo dopodiché lo richiude immediatamente in modo automatico.
Stessa cosa in modalità provvisoria...


Che vuoi dire "mi avvia windows per una frazione di secondo"?


Spiegati bene, descrivi bene la situazione!

hai provato ad entrare con l'account administrator da modalità provvisoria?

dopo aver digitato la password di utente windows per l'avvio, mi avvia windows per una frazione di secondo (mi compare per un attimo lo sfondo desktop) dopodiché mi disconnette subito in modo automatico.
Stessa cosa in modalità provvisoria (anche entrando con administrator)...

Tramite Ultimate Boot CD che mi sono creato da un altro pc, ho recuperato e rimesso al loro posto i file ntos.exe e quelli della cartella wsnpoem, sperando che almeno così mi facesse entrare in windows... ma niente!

AIUTOOOOOOOOOOO!

pure te!:muro:

Ok, dopo una nottata in bianco sono riuscito a risolvere parte dei problemi.

Ho capito che panda anti-rootkit (sua madre...) aveva eliminato delle chiavi di registro, per quello windows mi disconnetteva appena loggato. Le ho ripristinate accedendo al registro da Ultimate boot cd e ora per lo meno windows va.

quindi ho fixato le seguenti voci con hijackthis:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [main] C:\WINDOWS\system32\drivers\system.exe
O4 - HKCU\..\Run: [default] C:\Documents and Settings\Edoardo\winmain.exe
O4 - HKCU\..\RunOnce: [sysinit] C:\WINDOWS\system32\drivers\system.exe
O4 - HKCU\..\RunOnce: [winmz] C:\Documents and Settings\Edoardo\winmain.exe

adesso sto eseguendo una scansione con kaspersky online... vi terrò aggiornati. Per adesso grazie

scansione con Kaspersky online eseguita.
Il log della scansione è disponibile a questo indirizzo: http://www.zshare.net/download/4417038071726a/
La maggior parte sono email infette nella mia casella di posta spam, quindi niente di preoccupante. Per il resto sapete dirmi o consigliarmi qualcosa? E che significa "object is locked"? (è 'na cosa "buona" o "cattiva"?)

Al seguente indirizzo invece trovate l'ultima scansione fatta con HiJackThis:
http://www.zshare.net/download/4417005a038d6e/
che mi dite di questo?

Avendo disinstallato Avast Antivirus, quale antivirus free mi consigliereste? E devo disinstallare Kaspersky Online prima di installare un antivirus o non ci sono problemi di conflitto?

O4 - HKCU\..\Run: [default] C:\Documents and Settings\Edoardo\winmain.exe
è il trojan Trojan.Kondeli, quindi non dare retta a un antivirus scadente come Avast e lancia ElistarA.

ADS REVEALER è servito per annullare i metadati che potevano essere presenti su alcuni files visto che è una delle tecniche per nascondere files nocivi all'occhio dell'utente e di windows. :)

..... ultima scansione fatta con HiJackThis: ........ che mi dite di questo?

Disattiva il Ripristino configurazione di sistema e fixa questa voci:

O4 - HKCU\..\Run: [main] C:\WINDOWS\system32\drivers\system.exe

O4 - HKCU\..\Run: [default] C:\Documents and Settings\Edoardo\winmain.exe

O4 - HKCU\..\RunOnce: [sysinit] C:\WINDOWS\system32\drivers\system.exe

O4 - HKCU\..\RunOnce: [winmz] C:\Documents and Settings\Edoardo\winmain.exe

devi aggiornare JAVASUN (non lo aggiorni praticamente da due anni):
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al suo Pannello di controllo
● clicca sulla scheda Aggiornamento e poi sul pulsante Aggiorna adesso

Tutti i log che hai pubblicato non servono a molto; intanto sostituisci l’antivirus:

ANTIVIR PERSONAL EDITION FREE: clicca qui per il download (http://www.free-av.com/down/windows/antivir_workstation_win7u_en_h.exe)
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.
qui trovi la Guida di configurazione per Antivir (http://www.hwupgrade.it/forum/showthread.php?t=1514684) pubblicata da Juninho (leggi, attentamente, i primi tre post), ed altre cose importanti ed interessanti in relazione ad Antivir.
Se necessiti di informazioni o spiegazioni, posta, in quella discussione.

Scarica questi software e tool per eseguire una pulizia:

SPYWARE TERMINATOR: clicca qui per il download (http://dnl.spywareterminator.com/Dnl/config/298/SpywareTerminatorSetup.exe)
Questo software, ti consente, inoltre, di eseguire scansioni anche parziali del sistema, di pianificare scansioni automatiche, e cosa più importante, garantisce una protezione in tempo reale.
Altri suggerimenti ed info in relazione a Spyware Terminator li puoi trovare nel Thread ufficiale (http://www.hwupgrade.it/forum/showthread.php?t=1246338)

ELISTARTA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/78/elistara.asp)
per scaricare il tool scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA
● per comodità, posizionalo su Desktop
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt
● clicca su Risorse del Computer, poi su Disco Locale C:
●trovi il log e lo alleghi alla discussione
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

SYSCLEAN TRENDMICRO: clicca qui per il download (http://it.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua e rimuove gli eventuali virus worm e malware presenti nella memoria del P.C., nel file di registro di Windows, nelle cartelle di sistema e in qualsiasi altra ubicazione del disco locale.
● devi creare, una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean
● scarica le definizioni dei virus (vengono aggiornate, quotidianamente): clicca qui per il download (http://it.trendmicro-europe.com/enterprise/support/pattern.php)
● scompatta, all’interno della cartella creata, il file zippato contenente le definizioni
● disabilita in Ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● esegui Sysclean attendi il responso finale
● pubblica, il log che verrà rilasciato

Quoto riverside ed aggiungo di far fare anche un giro a questo

http://www.prevxresearch.com/unransomme.exe
Purtroppo ti sei beccato un trojan,backdoor,dialer un pò fetente però lo sradichiamo tranquillo..fai il tutto poi alla fine nuovo log di hijackthis

Grazie della pazienza e delle indicazioni ragazzi.

Allora, Javasun non me lo fa aggiornare (dalla sua scheda non ci sono comandi per l'aggiornamento)... magari lo disinstallo e installo l'ultima versione.

Avevo già installato Antivir PE con cui ho messo in quarantena i file winmain.exe, system.exe e anche un file C:\info.exe... li posso eliminare tranquillamente?

Ho installato Spyware Terminator a cui ho fatto fare la scansione completa e di cui vi posto il log: http://www.zshare.net/download/4443268ca1d811/

Ho fatto fare la scansione a Elistarta ed ecco il log: http://www.zshare.net/download/4443449d115fe7/
(com'è che ha trovato un keylogger in SPTCONTMENU.DLL di Spyware Terminator???)

Poi ho fatto fare la scansione (dalla modalità provvisoria) a Sysclean ed ecco il log: http://www.zshare.net/download/444356517755db/
(http://www.zshare.net/download/444356517755db/)

ed infine una nuova passata con Hijackthis ed ecco il risultato:
http://www.zshare.net/download/44436180f0a36f/

che ne dite?

il file C:\WINDOWS\system32\drivers\system.exe viene richiamato diverse volte nel registro di windows, è normale?

Tra l'altro, ho visto che è anche in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.txt\OpenWithList e ultimamente se clicco due volte su un file .txt per aprirlo (come accadeva normalmente prima) con notepad non succede niente (compare per un attimo la clessidra e poi niente)... c'entra il fatto che ci sia anche questo system.exe tra i valori di questa chiave?

che devo fare? cancellare tutte le chiavi del registro che riguardano questo system.exe o è un file di sistema e lo devo lasciar stare?

il file C:\WINDOWS\system32\drivers\system.exe viene richiamato diverse volte nel registro di windows, è normale?

Tra l'altro, ho visto che è anche in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.txt\OpenWithList e ultimamente se clicco due volte su un file .txt per aprirlo (come accadeva normalmente prima) con notepad non succede niente (compare per un attimo la clessidra e poi niente)... c'entra il fatto che ci sia anche questo system.exe tra i valori di questa chiave?

che devo fare? cancellare tutte le chiavi del registro che riguardano questo system.exe o è un file di sistema e lo devo lasciar stare?

fai girare anche questo http://www.prevxresearch.com/unransomme.exe che è specifico per ntos.exe eppoi nuovo log hijackthis
Fai anche un altra cosa naviga sempre in regedit in questo percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon doppio click sulla chiave in neretto e nella parte destra trova la chiaveUserinit cliccaci sopra due volte e riporta quanto scritto in "dati valori"...così vediamo se la chiave è stata corretta....però lascia tutto come è non toccare nulla per il momento.

ho fatto girare unransomme.exe ma mi dice che mi manca qualche file e praticamente non esegue nessuna scansione...

Per quanto riguarda la chiave di registro che mi hai chiesto, era già stata ripulita da panda anti-rootkit (anche TROPPO ripulita, visto che aveva cancellato il valore sottostante e non mi si avviava più windows...), cmq winlogon ha il seguente valore:
C:\WINDOWS\system32\userinit.exe,

sapete dirmi qualcosa a riguardo del file system.exe di cui chiedevo nel post precedente? posso cancellarlo o è un file di sistema?

penso che sia maligno,posta un log di gmer

lo penso anche io..per miglior identificazione e sicurezza fallo analizzare QUI (http://www.virustotal.com/en/indexf.html)