penso di aver grazie a combofix. provo ancora e poi domani ti posto con sicurezza il risultato. intanto allego il txt. in effetti temevo che il problema fosse nato scaricando webmediaplayer. intanto grazie 1000.
ecco il log

ComboFix 09-03-15.01 - _Marco_ 2009-03-17 20.53.51.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1040.18.1535.740 [GMT 1:00]
Eseguito da: c:\documents and settings\_Marco_\Desktop\Nuova cartella (4)\ComboFix.exe
AV: F-Secure Anti-Virus Client Security 6.03 *On-access scanning enabled* (Updated)
AV: Panda Antivirus Platinum 7 *On-access scanning disabled* (Outdated)
FW: F-Secure Anti-Virus Client Security 6.03 *enabled*
FW: Panda Antivirus Platinum 7 *disabled*
* Creato nuovo punto di ripristino
* Resident AV is active

.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\_Marco_\Impostazioni locali\Dati applicazioni\cwmagcg.dat
c:\documents and settings\_Marco_\Impostazioni locali\Dati applicazioni\cwmagcg.exe
c:\documents and settings\_Marco_\Impostazioni locali\Dati applicazioni\cwmagcg_nav.dat
c:\documents and settings\_Marco_\Impostazioni locali\Dati applicazioni\cwmagcg_navps.dat
c:\documents and settings\All Users.WINDOWS\Menu Avvio\Programmi\WebMediaPlayer
c:\documents and settings\All Users.WINDOWS\Menu Avvio\Programmi\WebMediaPlayer\Condizioni generali.url
c:\documents and settings\All Users.WINDOWS\Menu Avvio\Programmi\WebMediaPlayer\Disinstalla.lnk
c:\documents and settings\All Users.WINDOWS\Menu Avvio\Programmi\WebMediaPlayer\Riservatezza.url
c:\documents and settings\All Users.WINDOWS\Menu Avvio\Programmi\WebMediaPlayer\WebMediaPlayer.lnk
c:\documents and settings\All Users.WINDOWS\Menu Avvio\Programmi\WebMediaPlayer\Website.url
c:\windows\system32\msmapi32.exe
c:\windows\system32\smartdrv.exe

.
((((((((((((((((((((((((( Files Creati Da 2009-02-17 al 2009-03-17 )))))))))))))))))))))))))))))))))))
.

2009-03-12 21:06 . 2009-03-12 21:06 <DIR> d-------- c:\windows\system32\it-it
2009-03-12 21:06 . 2009-03-12 21:06 <DIR> d-------- c:\windows\system32\it
2009-03-12 21:06 . 2009-03-12 21:06 <DIR> d-------- c:\windows\system32\bits
2009-03-12 21:06 . 2009-03-12 21:06 <DIR> d-------- c:\windows\l2schemas
2009-03-12 21:03 . 2009-03-12 21:03 <DIR> d-------- c:\windows\ServicePackFiles
2009-03-12 20:59 . 2009-03-12 21:23 1,374 --a------ c:\windows\imsins.BAK
2009-03-12 20:56 . 2009-03-12 20:56 <DIR> d-------- c:\windows\EHome
2009-03-12 18:57 . 2009-03-16 21:38 <DIR> dr-h----- c:\documents and settings\_Marco_\Recent
2009-03-12 16:03 . 2009-03-12 18:35 <DIR> d-------- c:\programmi\Spyware Terminator
2009-03-12 16:03 . 2009-03-12 16:30 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Spyware Terminator
2009-03-12 16:03 . 2009-03-12 18:35 <DIR> d-------- c:\documents and settings\_Marco_\Dati applicazioni\Spyware Terminator
2009-03-12 16:03 . 2009-03-12 16:03 142,592 --a------ c:\windows\system32\drivers\sp_rsdrv2.sys
2009-03-12 15:58 . 2009-03-12 15:58 <DIR> d-------- c:\documents and settings\_Marco_\Dati applicazioni\Malwarebytes
2009-03-12 15:58 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-12 15:58 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-12 15:57 . 2009-03-12 15:58 <DIR> d-------- c:\programmi\Malwarebytes' Anti-Malware
2009-03-12 15:57 . 2009-03-12 15:57 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Malwarebytes
2009-03-10 21:20 . 2009-03-10 21:33 <DIR> d-------- c:\programmi\World Racing 2
2009-03-07 14:57 . 2009-03-07 14:57 <DIR> d-------- c:\programmi\Activision
2009-03-07 14:57 . 2009-03-07 14:57 <DIR> d-------- C:\help
2009-03-06 21:26 . 2009-03-06 21:26 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\wmp
2009-03-02 01:34 . 2009-03-02 01:34 54,156 --ah----- c:\windows\QTFont.qfn
2009-03-02 01:34 . 2009-03-02 01:34 1,409 --a------ c:\windows\QTFont.for
2009-02-18 20:33 . 2009-02-18 20:33 <DIR> d-------- c:\programmi\Microsoft Silverlight

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-17 19:43 --------- d---a-w c:\documents and settings\All Users.WINDOWS\Dati applicazioni\TEMP
2009-03-15 18:17 --------- d-----w c:\programmi\Spybot - Search & Destroy
2009-03-07 13:59 --------- d--h--w c:\programmi\InstallShield Installation Information
2009-02-28 22:50 --------- d-----w c:\programmi\Pinocchio the Game
2009-02-09 14:04 1,846,784 ----a-w c:\windows\system32\win32k.sys
2009-02-08 21:43 --------- d-----w c:\documents and settings\_Marco_\Dati applicazioni\LimeWire
2007-03-14 21:36 20,744 ----a-w c:\documents and settings\_Marco_\Dati applicazioni\GDIPFONTCACHEV1.DAT
2003-10-23 16:52 40,960 ----a-w c:\programmi\Uninstall_CDS.exe
.

((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 860,672 2002-11-12 10:02:08 c:\programmi\Alcatel\SpeedTouch USB\bak\Dragdiag.exe

----a-w 143,360 2003-05-05 07:57:30 c:\programmi\Analog Devices\SoundMAX\bak\SMTray.exe

----a-w 122,929 2005-10-26 01:51:58 c:\programmi\F-Secure\common\bak\FSM32.EXE
----a-w 122,929 2005-10-26 01:51:58 c:\programmi\F-Secure\common\FSM32.EXE

----a-w 684,032 2004-05-27 08:57:00 c:\programmi\F-Secure\TNB\bak\TNBUtil.exe
----a-w 684,032 2004-05-27 08:57:00 c:\programmi\F-Secure\TNB\tnbutil.exe

----a-w 83,608 2007-03-14 01:43:44 c:\programmi\Java\jre1.6.0_01\bin\bak\jusched.exe

----a-w 15,360 2004-08-19 12:00:00 c:\windows\system32\bak\ctfmon.exe
----a-w 15,360 2008-04-14 02:14:03 c:\windows\system32\ctfmon.exe

----a-w 155,648 2001-07-09 00:50:42 c:\windows\system32\bak\NeroCheck.exe

.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Yahoo! Pager"="c:\programmi\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 4670704]
"cwmagcg"="c:\documents and settings\_marco_\impostazioni locali\dati applicazioni\cwmagcg.exe" [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"F-Secure Manager"="c:\programmi\F-Secure\Common\FSM32.EXE" [2005-10-26 122929]
"F-Secure TNB"="c:\programmi\F-Secure\TNB\TNBUtil.exe" [2004-05-27 684032]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" [2003-07-15 34880]

c:\documents and settings\All Users.WINDOWS\Menu Avvio\Programmi\Esecuzione automatica\
F-Secure Automatic Update.lnk - c:\programmi\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe [2007-10-25 32807]
Microsoft Office.lnk - c:\programmi\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.JPEG"= jpegCode.dll
"VIDC.MJPG"= jpegCode.dll

[HKLM\~\startupfolder\C:^Documents and Settings^_Marco_^Menu Avvio^Programmi^Esecuzione automatica^PowerReg Scheduler V3.exe]
path=c:\documents and settings\_Marco_\Menu Avvio\Programmi\Esecuzione automatica\PowerReg Scheduler V3.exe
backup=c:\windows\pss\PowerReg Scheduler V3.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ClamWin]
--a------ 2007-08-21 20:05 73728 c:\programmi\ClamWin\bin\ClamTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cwmagcg]
c:\documents and settings\_marco_\impostazioni locali\dati applicazioni\cwmagcg.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DownloadAccelerator]
--a------ 2007-06-29 20:41 4376328 c:\programmi\DAP\DAP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2004-09-13 15:49 49152 c:\programmi\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
---hs---- 2008-04-14 03:14 1695232 c:\programmi\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-02-27 20:30 180269 c:\programmi\File comuni\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
--a------ 2006-11-03 18:20 866584 c:\programmi\Windows Defender\MSASCui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2007-08-30 17:43 4670704 c:\programmi\Yahoo!\Messenger\YahooMessenger.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\LimeWire\\LimeWire.exe"=
"c:\\Programmi\\F-Secure\\BackWeb\\7681197\\program\\F-Secure Automatic Update.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2007-10-25 70960]
R2 BackWeb Plug-in - 7681197;F-Secure Automatic Update;c:\progra~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE [2007-10-25 32807]
R2 F-Secure Filter;F-Secure File System Filter;c:\programmi\F-Secure\Anti-Virus\win2k\FSfilter.sys [2007-10-25 48816]
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\programmi\F-Secure\Anti-Virus\win2k\fsgk.sys [2007-10-25 48256]
R2 F-Secure Recognizer;F-Secure File System Recognizer;c:\programmi\F-Secure\Anti-Virus\win2k\FSrec.sys [2007-10-25 16720]
R2 QQBEDYMV;QQBEDYMV;c:\windows\system32\qqbedymv.cdr [2004-08-19 14976]
R2 WinDefend;Windows Defender;c:\programmi\Windows Defender\MsMpEng.exe [2006-11-03 13592]
S2 CoachCap;FUJIFILM EX-10/EX-20 PC V1.00;c:\windows\system32\drivers\coachcap.sys [2002-03-03 93068]
S4 SrvKhm;SrvKhm;\\?\c:\programmi\Windows NT\com7.exe [2004-08-19 72812]
S4 SrvWff;SrvWff;\\?\c:\programmi\File comuni\Services\lpt5.exe [2004-08-19 79540]
.
Contenuto della cartella 'Scheduled Tasks'

2009-03-17 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programmi\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]
.
.
------- Scansione supplementare -------
.
uStart Page = https://edit.europe.yahoo.com/config/mail?.intl=it&.src=ym
uSearchURL,(Default) = hxxp://it.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://it.search.yahoo.com
IE: &Block this popup - c:\programmi\F-Secure\Anti-Spyware\blockpopups.htm
IE: &Clean Traces - c:\programmi\DAP\Privacy Package\dapcleanerie.htm
IE: &Download with &DAP - c:\programmi\DAP\dapextie.htm
IE: Download &all with DAP - c:\programmi\DAP\dapextie2.htm
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\programmi\F-Secure\FSPS\program\FSLSP.DLL
TCP: {2952C52B-A269-4EF8-9D7F-2A254357DCEF} = 193.12.150.2 212.247.152.2
Name-Space Handler: ftp\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll
Name-Space Handler: http\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-17 20:56:24
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\QQBEDYMV]
"ImagePath"="\??\c:\windows\system32\qqbedymv.cdr"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'lsass.exe'(576)
c:\programmi\F-Secure\FSPS\program\FSLSP.DLL
.
Ora fine scansione: 2009-03-17 20.58.14
ComboFix-quarantined-files.txt 2009-03-17 19:58:11

Pre-Run: 78.552.244.224 byte disponibili
Post-Run: 79,168,741,376 byte disponibili

WindowsXP-KB310994-SP2-Home-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

189 --- E O F --- 2009-03-12 20:14:08

Posso mandarti un PM pidue ?

Per mammetta:
Puoi postare un log di HijackThis, per piacere? Così vediamo se c'è qualcos'altro.

---

ciao, purtroppo non webmediaplayer non e' stato installato per vedere le partite ma peggio per vedere il grande fratello in diretta. so che questo aggrava la mia posizione ma come attenuante ho che ha fatto tutto mia moglie!!!! comunque a parte gli scherzi, oggi vi posto il log di hijack che comunque a me sembra pulito. che significa che la sezione awf è piena di bak ? grazie e a presto

ciao,

scusate l'intromissione ma c'é anche altro da eliminare;

@mammetta; sei infetta da diverse tipologie di malware, fai cosi:

* Scarica ATF Cleaner
- Avvialo con un doppio click
- clicca sul menu main
- seleziona la casella Select All
- clicca sul pulsante Empty selected
- aspetta l'avviso Done Cleaning.
(se non vuoi eliminare le password togli la spunta)
(se usi opera o firefox,spunta anche le loro sezioni)

apri una pagina del bloc note di windows e copia incolla quanto segue;



salva la pagina nominandola obligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine

Fai girare navilog come spiegato qui e posta il suo log

fai girare Gromozon Rootkit Removal Tool
- Avvialo con un doppio click
- Clicca su Scan
- Rispondi YES alla richiesta di riavvio
- Dopo il riavvio il tool terminerà la procedura
posta il log C:\gromozon_removal.txt

EDIT__ho visto che porti avanti anche un altro topic , se si tratta dello stesso pc, ti consiglierei di portarne avanti uno solo in modo da non disperdere notizie e poter risolvere i tuoi problemi in meno tempo.

Ciao, steven, Link Optimizer, se non sbaglio. Se mi postava il log di HJT, sareebbe stato più evidente. Certo che non ho gli occhi molto allenati al log di ComboFix.

---

Ciao steven75 .
Probabilmente HJT non avrebbe segnalato il Dialer.
Penso che bisognava fare le scansioni con ambedue i software.
Anzi, SystemScan era l'ideale.
Comunque bentornato steven75.

Ciao steven75 .
Sono d'accordo che se uno preferisce usare un programma invece di un'altro, usa quello che conosce meglio.
La frase " mai l'ho usato e mai lo usero" mi sembra "forte".
Non ci conosciamo, ma sò che hai delle conoscenze informatiche elevate, e trovo strano che un tool come systemscan non ti abbia perlomeno incuriosito.
Certo, non è di facile lettura, ma non credo sia un problema per te.
Parlo di "lettura" non come tool per eliminazioni.
Per esempio, nel caso di "mammetta" si poteva sapere tutto (chiaro, con le dovute conoscenze) riguardo le infezioni che risiedono nel suo pc.
Per questo motivo lo ritenevo valido .
Poi, per le eventuali eliminazioni, si possono usare i programmi che uno più preferisce.

ciao, questo e' il log di avatar

files to delete:
c:\programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
c:\programmi\Analog Devices\SoundMAX\SMTray.exe
c:\programmi\F-Secure\common\FSM32.EXE
c:\programmi\F-Secure\TNB\TNBUtil.exe
c:\programmi\Java\jre1.6.0_01\bin\jusched.exe
c:\windows\system32\ctfmon.exe
c:\windows\system32\NeroCheck.exe
files to move:
c:\programmi\Alcatel\SpeedTouch USB\bak\Dragdiag.exe|c:\programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
c:\programmi\Analog Devices\SoundMAX\bak\SMTray.exe|c:\programmi\Analog Devices\SoundMAX\SMTray.exe
c:\programmi\F-Secure\common\bak\FSM32.EXE|c:\programmi\F-Secure\common\FSM32.EXE
c:\programmi\F-Secure\TNB\bak\TNBUtil.exe|c:\programmi\F-Secure\TNB\TNBUtil.exe
c:\windows\system32\bak\ctfmon.exe|c:\windows\system32\ctfmon.exe
c:\windows\system32\bak\NeroCheck.exe|c:\windows\system32\NeroCheck.exe