Ciao a tutti e buona Domenica. Da stamattina winpatrol mi avvisa in continuazione che si sta installando un file.dll con quattro nomi diversi, spesso Browser helper, e mi si aprono della pagine di explorer improvvisamente. Quale fetecchia mi sono preso?

Salve Ghiudon,
In questo momento di transizione dal 2008 al 2009 ci sono molti attacchi in rete portati da virus di tipo Trojan (i cosiddetti "cavalli di Troia") e di tipo Malware . Questi virus hanno l'obiettivo di reduplicarsi, trasmettere dati dal computer dell'utente verso server remoti tramite Internet, e provocano perciò rallentamenti notevoli nell'uso del sistema, fino ad avere al limite il blocco macchina su Internet, quando la banda disponibile si satura in trasmissione/ricezione.

Uno dei sistemi di autoprotezione che adottano attualmente molti virus consiste in due passi:

rendersi "hidden" (nascosti al sistema operativo, e quindi invisibili all' utente del computer)
impedire la visualizzazione dei file nascosti, rendendo la proprietà "Non visualizzare cartelle e file nascosti" fissa e non modificabile dall'utente.
Ricordiamo che per impostare le proprietà di visualizzazione dei files, si deve aprire Esplora risorse, quindi:

Strumenti
Opzioni cartella
Visualizzazione
A questo punto appaiono le selezioni di "Non visualizzare cartelle e file nascosti" (scelta di default del sistema) e "Visualizza cartelle e file nascosti". A questo punto, se il virus è entrato nel sistema, selezionando la seconda scelta e dando "Applica" i file nascosti NON vengono visualizzati: per di più, tornando su questo menù appare selezionata la prima scelta, come se non avessimo fatto nulla.

Rientrano nella categoria Trojan virus come 2w, visibile nel riquadro sottostante:


I virus come 2w si eliminano abbastanza facilmente una volta rimesso l'attributo di visibilità del file. Basta cancellarli selezionando il file una volta visibile, poi un clic destro di mouse, quindi con la funzione "Elimina" : subito dopo svuotare immediatamente il cestino. Meglio ancora sarebbe la cancellazione del file con una utility del tipo SHREDDER, scaricabile da Internet ed installabile sul PC, che cancella prima del nome del file il contenuto dello stesso sovrascrivendoci dentro più volte.

La seconda categoria ha una nutrita rappresentanza nel virus amvo , che genera a sua volta dei rootkit (virusetti localizzati sulla root di sistema, in genere C:\ ) che hanno il compito di propagare il virus stesso in altri computer. La presenza di amvo infetta facilmente i pendrive ("pennette") che vengono connessi alle porte USB del computer. Se si connettono quest'ultime a computer che hanno la proprietà di rendere visibili file e cartelle nascosti, e che quindi non sono ancora infetti, si vedono nella directory principale (root) del pendrive due file: il primo è sempre autorun.inf , il secondo è un file eseguibile il cui nome può essere e8kj.exe (come in figura) ma presenta anche altre forme, come jfvkscy.bat (anch'esso eseguibile come gli .exe) ed altri ancora.
Se alla prossima accensione della macchina i files sono spariti dalla cartella principale del disco rigido e dal pendrive, e se non si riesce a mettere la proprietà di visualizzazione a "Visualizza cartelle e file nascosti", allora il virus è entrato nel PC e sta' cominciando a produrre i suoi effetti.



Per conoscere il nome preciso del file eseguibile da rimuovere dalla root è sufficiente aprire con il blocco note il file autorun.inf, che contiene il nome del file da mandare in esecuzione alla riavviamento del sistema. Il nome è individuabile dal fatto che accanto è specificata una istruzione del tipo command= per avviarne l'esecuzione (ad es. command= e8kj.exe ). I sistemi infetti hanno nella cartella principale del disco rigido (in genere C:\ ) gli stessi files, cioè:

autorun.inf
e8kj.exe od un altro equivalente
Cancellare questi files non porta però alla rimozione del virus, in quanto il Trojan inocula nel sistema (solitamente nella cartella C:\windows\system32 per Windows XP) un file eseguibile, di nome amvo.exe, che rimette a posto i file di propagazione e rimette invisibili i file nascosti. E' necessario cancellare contemporaneamente anche il file amvo.exe (od equivalenti, ad esempio amvo.dll che verrebbe eseguita come libreria di Windows).

Altri virus di funzionamento ed effetti analoghi, usano come files nella cartella C:\ :

nella cartella C:\ : abkt.bat , fun.xls.exe, msfun80.exe. In ogni caso è sempre presente autorun.inf
nella cartella c:\windows\systems : kamsoft.exe , vamsoft.exe, secpol.exe per abkt; msime82.exe, algsrvs.exe per fun.xls.exe e msfun80.exe. Nelle infezioni esaminate ne è sempre stato trovato uno solo per volta.
In ogni caso, è bene munirsi di una utility che ci permetta SEMPRE di poter visualizzare i files nascosti, come WinPatrol (versione 10 o superiore) in modo da esaminarli e rimetterli visibili a volontà prescindendo dalle azioni del virus. WinPatrol ci consente anche di esaminare i files all'avvio, e di gestire la Startup-List di programmi autoavvianti, per impedire che si possano avviare sia virus che software di appesantimento di sistema (come i downloader automatici di aggiornamenti di programmi che magari usiamo due volte l'anno). WinPatrol controlla anche che nessun programma possa scriversi nel registro di configurazione di Windows, proponendo all'utente se consente o no all'operazione, e blocca quindi tutti i tentativi dei virus di propagarsi attraverso il registro di configurazione di Windows.
Oltre a questa utility, è necessario munirsi di una utility come ad esempio Crap Cleaner che ci consenta di ripulire il sistema dai file temporanei sia di Internet che di sistema, poichè spesso in questi file si annidano i provirus che rigenerano un virus dopo la sua cancellazione.

Per procedere alla rimozione del virus si può operare in tre modi (ci riferiamo a Windows XP) :

In modalità DOS evitando di avviare Windows e quindi di mandare in esecuzione il virus.
Mediante antivirus o remover-tool (per fun.xls.exe si può usare questo) aggiornati specificatamente per questi virus. Ad esempio, l'antivirus Avast deve essere aggiornato e portato alla sensibilità massima per poter rilevare queste minacce (in modo standard si trova su normale ). Stesso discorso per Akira Antivir ed altri ancora.
Usando un CD di avviamento non-Windows, come BART-PE (scaricabile da Internet) che, non riconoscendo le funzioni come le riconosce Windows, mette tranquillamente visibili anche i files nascosti e di sistema, e ci permette di cancellarli senza problemi. Se trovate terminologia in tedesco sui menù contestuali, scegliere "Loschen" per cancellare i files.
Qui si vuole indicare un quarto modo, che ha il pregio di essere veloce e di non richiedere esperienza approfondita. Questo metodo si basa sull'uso di WinPatrol per vedere i files nascosti e sull'impiego della modalità provvisoria per non far avviare il virus e cancellare i files infetti. E' necessario però essere sicuri, se il caso, di poter entrare come amministratori di sistema all'atto dell'avvio del computer. Cominciamo:

Avviare il PC premendo il tasto funzione [F5] durante l'avviamento per avere il menù di scelte operative di avvio. Scegliere la modalità provvisoria senza supporto di rete.
Scaricare WinPatrol ed installarlo nel PC . Scaricare Crap Cleaner ed installarlo nel PC .
Avviare WinPatrol e selòezionare la linguetta "Files nascosti". Dovrebbero comparire i file Autorun.inf ed un altro tra quelli detti in precedenza sulla root (in genere C:\). E' possibile aprire autorun.inf con il Blocco Note per avere i nomi precisi dei file che infettano il sistema.
Cercando tra i file nascosti nella cartella Windows/system32 si trova uno o più file tra quelli riportati.
Cancellare tutti i file individuati. Svuotare subito il cestino. Meglio ancora se cancellate usando la funzione SHREDDER descritta in precedenza.
Avviare Crap Cleaner e cancellare subito i file temporanei sia di sistema che di Internet.
Adesso bisogna ripristinare i danni provocati dal virus, cioè l'impossibilità di mettere visibili i file nascosti. Digitare i comandi per entrare nel registro di configurazione Windows, e cioè: Start - Esegui - Regedit .
Entrare nella chiave di registro seguente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

e cambiare il valore della chiave "CheckedValue", che dovrebbe trovarsi a 0, cliccandoci sopra e scrivendoci "1" al posto di "0".
Uscire dal registro di configurazione di Windows.
Controllare con WinPatrol selezionando la linguetta "Programmi di avvio " che non ci siano in lista i programmi del tipo amvo.exe sopra descritti. Se ci sono, cancellateli (in ogni caso non potrebbero più avviarsi in quanto distrutti).
Riavviare il sistema in modo normale, e controllate di poter rimettere i file nascosti visibili. Se ciò è possibile, l'intervento è andato a buon fine.
Se l'intervento è andato a buon fine, fare subito un punto di rpristino del sistema, attivando la funzione Start - Esegui - msconfig - Avvia ripristino configurazione di sistema - Crea un punto di ripristino .

Come tocco finale per i più esperti, consiglio di cercare con la funzione regedit le chiavi contenenti nomi come amvo.exe, abkt.bat e simili (ovviamente solo quelle trovate nel sistema), selezionarle e cancellarle con il tasto [Canc].

Ripulire nuovamente il sistema alla prima occasione possibile, usando le funzioni di Crap Cleaner od un altro programma equivalente i file temporanei. Un programma molto valido è Wise Disk Cleaner, che cancella anche i file junk ("mozzati") rimasti a spasso nel PC. Sarebbe bene fare almeno una volta al mese questa operazione.

Te lo sconsiglio di seguire quella procedura.
Nella prima parte spiega come sono fatti certi tipi di troyan, (non è il caso tuo), e basta.
Nella seconda, i troyan che si trovano nelle periferiche esterne USB, che è tutto da vedere se centra con il tuo caso.
Posta un log di HJT, e lascia perdere manovre delicate sull'Editor del Registro.

Ecco il log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.12.34, on 26/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WFXSVC.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\winfax\WFXMOD32.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Genius NetScroll+ Optical Mouse\GNETMOUS.EXE
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Atomic Alarm Clock\AtomicAlarmClock.exe
C:\Programmi\ATnotes\ATnotes.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Java\jre6\bin\java.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: P2P Energy Toolbar - {2bae58c2-79f9-45d1-a286-81f911301c3a} - C:\Programmi\P2P_Energy\tbP2P_.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programmi\FlashGet\jccatch.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {7baa9af2-dada-44ef-9f09-8ca369b569ff} - C:\WINDOWS\system32\sihivubo.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programmi\FlashGet\getflash.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [WinPatrol] C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe -expressboot
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\Genius NetScroll+ Optical Mouse\GNETMOUS.EXE
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [CPM236687eb] Rundll32.exe "c:\windows\system32\kawenola.dll",a
O4 - HKLM\..\Run: [2055b477] rundll32.exe "C:\WINDOWS\system32\petolahu.dll",b
O4 - HKLM\..\Run: [jutayumori] Rundll32.exe "C:\WINDOWS\system32\savogiju.dll",s
O4 - HKCU\..\Run: [SkinClock] C:\Programmi\Atomic Alarm Clock\AtomicAlarmClock.exe
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programmi\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: &Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: &Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programmi\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programmi\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.it/
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C7EED03-01F2-4D56-9865-22F85A8B5B19}: NameServer = 193.121.150.2,212.247.152.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE31E768-D71E-4068-BAE4-A0DDBE74D812}: NameServer = 193.12.150.2 212.247.152.2
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\Skype4COM.dll
O20 - AppInit_DLLs: c:\windows\system32\kawenola.dll,C:\WINDOWS\system32\tazogike.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\kawenola.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\kawenola.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE

--
End of file - 8571 bytes

Malwarebytes' Anti-Malware 1.36
Versione del database: 2046
Windows 5.1.2600 Service Pack 3

27/04/2009 1.59.37
mbam-log-2009-04-27 (01-59-25).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 124590
Tempo trascorso: 2 hour(s), 7 minute(s), 12 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 4
Chiavi di registro infette: 11
Valori di registro infetti: 6
Elementi dato del registro infetti: 5
Cartelle infette: 0
File infetti: 15

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
C:\WINDOWS\system32\petolahu.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\sihivubo.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\tazogike.dll (Trojan.Vundo.H) -> No action taken.
c:\WINDOWS\system32\kawenola.dll (Trojan.Vundo.H) -> No action taken.

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7baa9af2-dada-44ef-9f09-8ca369b569ff} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7baa9af2-dada-44ef-9f09-8ca369b569ff} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7baa9af2-dada-44ef-9f09-8ca369b569ff} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\{NSINAME} (Trojan.Agent) -> No action taken.
KHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prnet (Trojan.Downloader) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\2055b477 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpm236687eb (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jutayumori (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1 (Malware.Trace) -> No action taken.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\tazogike.dll -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\tazogike.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\kawenola.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\petolahu.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\uhalotep.ini (Trojan.Vundo.H) -> No action taken.
c:\WINDOWS\system32\kawenola.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\savogiju.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\sihivubo.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\tazogike.dll (Trojan.Vundo.H) -> No action taken.
C:\Documents and Settings\Administrator\Impostazioni locali\Temp\ovfsthirowucbcvs.tmp (Trojan.TDSS) -> No action taken.
C:\Documents and Settings\Administrator\Impostazioni locali\Temp\ovfsthpjelfinvst.tmp (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Administrator\Impostazioni locali\Temp\prun.tmp (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Administrator\Impostazioni locali\Temp\rasesnet.tmp (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\FG622HFF\tred[1].htm (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\prnet.tmp (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\tiravare.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\kr_done1 (Malware.Trace) -> No action taken.
C:\Documents and Settings\Administrator\Impostazioni locali\Temp\ovfsthnmtnvtcecv.tmp (Trojan.Agent) -> No action taken.


ComboFix 09-04-25.A3 - Administrator 27/04/2009 2.08.14.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.1023.500 [GMT 2:00]
Eseguito da: c:\documents and settings\Administrator\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated)
FW: ZoneAlarm Firewall *enabled*
* Creato nuovo punto di ripristino

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrator\Dati applicazioni\.#
c:\documents and settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\kawenola.dll
c:\windows\system32\kr_done1
c:\windows\system32\petolahu.dll
c:\windows\system32\savogiju.dll
c:\windows\system32\sihivubo.dll
c:\windows\system32\tazogike.dll
c:\windows\system32\tiravare.dll
c:\windows\system32\uhalotep.ini
c:\windows\system32\vawakoto.exe
D:\Autorun.inf

----- BITS: Possibili siti infetti -----

hxxp://83.149.105.228
.
((((((((((((((((((((((((( Files Creati Da 2009-05-27 al 2009-4-27 )))))))))))))))))))))))))))))))))))
.

2009-04-26 21:49 . 2009-04-26 21:49 -------- dc----w c:\documents and settings\Administrator\Dati applicazioni\Malwarebytes
2009-04-26 21:49 . 2009-04-06 13:32 15504 -c--a-w c:\windows\system32\drivers\mbam.sys
2009-04-26 21:49 . 2009-04-06 13:32 38496 -c--a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-26 21:49 . 2009-04-26 21:49 -------- d-----w c:\programmi\Malwarebytes' Anti-Malware
2009-04-26 21:49 . 2009-04-26 21:49 -------- dc----w c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-04-26 21:11 . 2009-04-26 21:11 -------- d-----w c:\programmi\Trend Micro
2009-04-26 21:02 . 2009-04-26 21:02 0 -c-ha-w c:\windows\system32\BITB7.tmp
2009-04-26 21:00 . 2009-04-26 21:00 88064 -c-h--w c:\windows\system32\BITB8.tmp
2009-04-26 21:00 . 2009-04-26 21:00 52224 -c-h--w c:\windows\system32\BITBB.tmp
2009-04-26 14:43 . 2009-04-26 14:47 -------- dc----w c:\documents and settings\Administrator\.housecall6.6
2009-04-26 14:32 . 2009-04-26 14:32 -------- d-----w c:\programmi\Panda Security
2009-04-26 08:53 . 2009-04-26 08:53 182911 -c--a-w c:\windows\system32\prnet.tmp
2009-04-25 20:11 . 2009-04-25 20:11 -------- dc----w c:\documents and settings\NetworkService\Impostazioni locali\Dati applicazioni\P2P_Energy
2009-04-25 13:37 . 2009-04-26 08:28 676224 -c--a-w c:\windows\system32\OGACheckControl.dll
2009-04-24 04:31 . 2009-02-21 06:25 691592 -c--a-w c:\windows\system32\OGACheckControl.OLD
2009-04-22 20:13 . 2009-04-22 20:14 -------- d-----w c:\programmi\FLAC
2009-04-22 18:49 . 2009-03-06 14:19 286208 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-22 18:49 . 2009-02-09 11:22 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-22 18:49 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-22 18:49 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-22 18:49 . 2009-02-09 10:51 683520 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-22 18:49 . 2009-02-09 10:51 734720 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-22 18:49 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-22 18:49 . 2009-02-09 10:51 736256 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-22 14:31 . 2009-03-27 06:48 1203922 -c----w c:\windows\system32\dllcache\sysmain.sdb
2009-04-22 09:38 . 2009-04-22 09:38 -------- dc----w c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\Conduit
2009-04-22 09:38 . 2009-04-22 09:38 -------- dc----w c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\P2P_Energy
2009-04-22 09:38 . 2009-04-22 09:38 -------- d-----w c:\programmi\Conduit
2009-04-22 09:38 . 2009-04-22 09:38 -------- d-----w c:\programmi\P2P_Energy
2009-04-22 09:38 . 2009-04-22 10:05 -------- dc----w c:\documents and settings\Administrator\.musikproject
2009-04-22 08:06 . 2009-04-22 08:06 -------- d-----w c:\programmi\Zoner
2009-04-21 08:28 . 2009-04-21 08:28 52 -c--a-w C:\favorites.xml
2009-04-21 08:27 . 2009-04-21 08:27 -------- d-----w c:\programmi\Foxonic Professional
2009-04-17 09:31 . 2009-04-17 09:31 6144 -csha-w c:\windows\system32\access.ctl
2009-04-16 15:04 . 2003-05-08 02:57 11549 -c--a-w c:\windows\system32\drivers\gnsmouse.cat
2009-04-16 15:04 . 2003-04-30 06:24 10486 -c--a-w c:\windows\system32\drivers\GNSMOUSE.INF
2009-04-16 15:04 . 2003-01-29 05:55 6841 -c--a-w c:\windows\system32\drivers\gflmouhid.sys
2009-04-16 15:04 . 2003-01-29 05:52 7894 -c--a-w c:\windows\system32\drivers\GMFILTR.SYS
2009-04-16 15:04 . 2009-04-16 15:04 -------- d-----w c:\programmi\Genius NetScroll+ Optical Mouse
2009-04-16 12:43 . 2009-04-16 13:04 -------- d-----w c:\programmi\Duplicate File Finder
2009-04-15 17:03 . 2009-04-15 20:17 -------- dc----w c:\documents and settings\Administrator\Dati applicazioni\DVD Flick
2009-04-15 17:02 . 2007-08-31 15:36 36864 -c--a-w c:\windows\system32\trayicon_handler.ocx
2009-04-15 17:02 . 2003-01-26 10:41 40960 -c--a-w c:\windows\system32\ssubtmr6.dll
2009-04-15 17:02 . 2008-08-31 10:27 28672 -c--a-w c:\windows\system32\mousewheel.ocx
2009-04-15 17:02 . 2004-03-08 21:00 662288 -c--a-w c:\windows\system32\mscomct2.ocx
2009-04-15 17:02 . 2009-04-15 17:02 -------- d-----w c:\programmi\DVD Flick
2009-04-15 10:39 . 2002-02-18 16:40 6200 -c--a-w c:\windows\system32\INT13EXT.VXD
2009-04-15 10:39 . 2009-04-15 10:39 -------- d-----w c:\programmi\PC Inspector File Recovery
2009-04-14 10:10 . 2009-04-14 10:10 -------- d-----w c:\programmi\RAR Password Cracker
2009-04-09 18:51 . 2009-04-09 18:51 -------- dc----w c:\programmi\Windows Live SkyDrive
2009-04-09 18:50 . 2009-04-09 18:51 -------- dc----w c:\programmi\Windows Live
2009-04-09 09:56 . 2009-04-09 09:56 -------- dc----w c:\documents and settings\Administrator\dwhelper
2009-04-06 18:07 . 2009-04-06 18:07 -------- dc----w c:\programmi\Disclib
2009-03-31 16:30 . 2009-02-15 22:10 1221512 ----a-w c:\windows\system32\zpeng25.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-27 00:21 . 2008-03-22 07:32 4212 -c-ha-w c:\windows\system32\zllictbl.dat
2009-04-26 14:44 . 2008-09-05 21:14 102664 -c--a-w c:\windows\system32\drivers\tmcomm.sys
2009-04-26 13:41 . 2009-04-26 13:44 2069504 -c--a-w c:\windows\Internet Logs\xDB17.tmp
2009-04-26 13:41 . 2009-04-26 13:43 1575936 -c--a-w c:\windows\Internet Logs\xDB16.tmp
2009-04-26 10:24 . 2009-01-23 19:22 -------- dc--a-w c:\documents and settings\All Users\Dati applicazioni\TEMP
2009-04-26 10:21 . 2009-01-23 19:22 -------- dc----w c:\programmi\SpywareBlaster
2009-04-26 08:39 . 2008-07-04 12:56 -------- dc----w c:\programmi\PeerGuardian2
2009-04-26 08:38 . 2008-03-30 16:57 -------- dc----w c:\documents and settings\Administrator\Dati applicazioni\uTorrent
2009-04-26 08:02 . 2009-04-26 08:04 2971136 -c--a-w c:\windows\Internet Logs\xDB15.tmp
2009-04-25 21:34 . 2008-06-22 10:25 118 -c--a-w C:\pmp_usb.ini
2009-04-25 21:34 . 2008-06-20 18:12 474 -c-h--r C:\winamp_cache_0001.xml
2009-04-23 16:46 . 2008-03-28 18:03 -------- dc----w c:\programmi\FlashGet
2009-04-23 05:02 . 2001-08-31 15:00 79172 ----a-w c:\windows\system32\perfc010.dat
2009-04-23 05:02 . 2001-08-31 15:00 458528 ----a-w c:\windows\system32\perfh010.dat
2009-04-22 09:33 . 2008-08-27 16:50 3126 -c--a-w c:\windows\system32\tempimg.tmp
2009-04-19 09:28 . 2008-10-14 18:35 8220381 -c--a-w c:\windows\Internet Logs\tvDebug.zip
2009-04-17 08:10 . 2009-04-17 08:13 1994240 -c--a-w c:\windows\Internet Logs\xDB14.tmp
2009-04-15 10:39 . 2008-03-21 12:00 -------- dc-h--w c:\programmi\InstallShield Installation Information
2009-04-14 15:49 . 2008-09-10 06:51 -------- dc----w c:\programmi\winfax
2009-04-10 10:26 . 2008-04-10 11:21 -------- dc----w c:\documents and settings\All Users\Dati applicazioni\pdf995
2009-04-09 12:21 . 2008-11-14 14:00 -------- dc----w c:\documents and settings\Administrator\Dati applicazioni\Skype
2009-04-04 22:32 . 2009-04-05 09:29 3215360 -c--a-w c:\windows\Internet Logs\xDB13.tmp
2009-04-02 17:43 . 2008-07-13 11:11 -------- dc----w c:\programmi\Java
2009-04-02 11:53 . 2008-10-02 08:09 -------- dc----w c:\programmi\Winamp
2009-03-31 16:30 . 2009-01-12 09:01 -------- dc----w c:\programmi\AskBarDis
2009-03-29 11:09 . 2009-03-29 13:23 3131392 -c--a-w c:\windows\Internet Logs\xDB12.tmp
2009-03-27 07:29 . 2008-10-18 08:32 -------- dc----w c:\documents and settings\Administrator\Dati applicazioni\ACD Systems
2009-03-25 11:45 . 2009-02-19 12:28 107912 -c--a-w c:\windows\system32\drivers\avgtdix.sys
2009-03-25 11:45 . 2009-02-19 12:28 325640 -c--a-w c:\windows\system32\drivers\avgldx86.sys
2009-03-25 11:44 . 2009-02-19 12:28 10520 ----a-w c:\windows\system32\avgrsstx.dll
2009-03-25 11:41 . 2008-06-28 18:59 -------- dc----w c:\documents and settings\All Users\Dati applicazioni\avg8
2009-03-22 16:08 . 2008-10-18 08:31 -------- dc----w c:\documents and settings\All Users\Dati applicazioni\ACD Systems
2009-03-22 16:08 . 2009-03-22 16:08 -------- dc----w c:\programmi\ACD Systems
2009-03-22 12:02 . 2009-03-22 12:02 -------- dc----w c:\programmi\MIKSOFT
2009-03-22 10:40 . 2009-03-22 10:39 -------- dc----w c:\documents and settings\All Users\Dati applicazioni\Bluetooth
2009-03-22 10:36 . 2009-03-22 10:36 -------- dc----w c:\programmi\IVT Corporation
2009-03-20 15:31 . 2009-03-20 15:30 -------- dc----w c:\programmi\Magentic
2009-03-20 10:43 . 2009-01-14 13:23 -------- dc----w c:\programmi\TextAloud
2009-03-19 22:50 . 2009-03-20 08:52 7557632 -c--a-w c:\windows\Internet Logs\xDB11.tmp
2009-03-19 16:50 . 2009-03-19 16:51 410984 -c--a-w c:\windows\system32\deploytk.dll
2009-03-16 09:40 . 2009-03-16 09:40 282 -c--a-w C:\Collegamento a MAXTOR2 (D).lnk
2009-03-15 09:37 . 2009-03-15 09:37 -------- dc----w c:\programmi\Wise Disk Cleaner
2009-03-14 21:41 . 2009-03-14 21:41 23600 -c--a-w c:\windows\system32\drivers\TVICHW32.SYS
2009-03-14 16:52 . 2009-03-14 16:52 -------- dc----w c:\programmi\TVzation2
2009-03-13 17:00 . 2009-03-13 17:00 -------- dc----w c:\documents and settings\Administrator\Dati applicazioni\DoubleSafety
2009-03-13 17:00 . 2009-03-13 17:00 -------- dc----w c:\programmi\DoubleSafety
2009-03-11 09:35 . 2008-10-02 08:09 -------- dc----w c:\documents and settings\Administrator\Dati applicazioni\Winamp
2009-03-10 15:22 . 2009-03-10 15:21 -------- dc----w c:\programmi\TutoreDattilo
2009-03-10 00:01 . 2008-03-22 11:17 60872 -c--a-w c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-03-09 18:02 . 2009-03-09 18:02 -------- dc----w c:\programmi\Microsoft Reader
2009-03-09 14:49 . 2009-03-09 14:38 -------- dc----w c:\programmi\ContoFamiglia
2009-03-09 09:36 . 2009-03-09 09:36 -------- dc----w c:\programmi\Innovative Solutions
2009-03-09 08:59 . 2009-03-09 08:59 -------- dc----w c:\programmi\ZIP RAR ACE Password Recovery
2009-03-09 08:58 . 2009-03-09 08:58 -------- dc----w c:\documents and settings\Administrator\Dati applicazioni\ZIP RAR ACE Password Recovery
2009-03-08 19:33 . 2009-02-18 16:12 -------- dc----w c:\programmi\Microsoft.NET
2009-03-08 18:13 . 2008-03-21 12:02 -------- dc----w c:\programmi\Ahead
2009-03-08 09:55 . 2009-03-08 09:54 -------- dc----w c:\documents and settings\Administrator\Dati applicazioni\Vso
2009-03-08 09:54 . 2009-03-08 09:54 81920 -c--a-w c:\documents and settings\Administrator\Dati applicazioni\ezpinst.exe
2009-03-08 09:54 . 2009-03-08 09:54 47360 -c--a-w c:\windows\system32\drivers\pcouffin.sys
2009-03-08 09:54 . 2009-03-08 09:54 47360 -c--a-w c:\documents and settings\Administrator\Dati applicazioni\pcouffin.sys
2009-03-08 09:54 . 2009-03-08 09:54 -------- dc----w c:\programmi\Extra DVD Tools
2009-03-06 21:21 . 2009-01-10 01:28 -------- dc----w c:\documents and settings\Administrator\Dati applicazioni\dvdcss
2009-03-06 16:59 . 2009-02-20 17:22 -------- dc----w c:\documents and settings\All Users\Dati applicazioni\WinZip
2009-03-06 14:19 . 2004-08-19 16:39 286208 -c--a-w c:\windows\system32\pdh.dll
2009-03-05 18:12 . 2008-08-27 16:40 -------- dc----w c:\programmi\AudioConvert
2009-03-05 18:06 . 2008-12-15 17:03 -------- dc----w c:\programmi\mp3DirectCut
2009-03-05 17:39 . 2008-08-27 14:37 -------- dc----w c:\documents and settings\Administrator\Dati applicazioni\AVS4YOU
2009-03-05 17:34 . 2009-03-04 01:04 -------- dc----w c:\documents and settings\All Users\Dati applicazioni\Apple Computer
2009-03-05 10:18 . 2009-03-05 10:18 -------- dc----w c:\documents and settings\Administrator\Dati applicazioni\Apple Computer
2009-03-04 01:05 . 2009-03-04 01:04 -------- dc----w c:\programmi\QuickTime
2009-03-04 01:03 . 2009-03-04 01:03 -------- dc----w c:\programmi\Apple Software Update
2009-03-04 01:03 . 2009-03-04 01:03 -------- dc----w c:\documents and settings\All Users\Dati applicazioni\Apple
2009-03-03 19:39 . 2009-03-03 19:38 -------- dc----w c:\programmi\WinUtilities
2009-03-03 00:03 . 2004-08-19 16:39 826368 -c--a-w c:\windows\system32\wininet.dll
2009-03-02 17:40 . 2009-03-02 17:40 -------- dc----w c:\programmi\DebugMode
2009-03-02 10:16 . 2009-03-02 09:04 -------- dc----w c:\programmi\PDF Converter
2009-03-01 18:58 . 2009-03-01 18:58 -------- dc----w c:\programmi\Skype
2009-03-01 18:56 . 2008-10-16 20:22 -------- dc----w c:\programmi\Speno
2009-02-28 10:17 . 2008-06-30 20:07 -------- dc----w c:\programmi\eMule
2009-02-27 20:46 . 2009-02-27 20:46 -------- dc----w c:\programmi\Quicksys
2009-02-27 20:46 . 2009-02-27 20:46 -------- dc----w c:\documents and settings\All Users\Dati applicazioni\Quicksys
2009-02-20 17:08 . 2004-08-19 16:39 78336 -c--a-w c:\windows\system32\ieencode.dll
2009-02-09 14:04 . 2004-08-19 16:31 1846784 -c--a-w c:\windows\system32\win32k.sys
2009-02-09 11:23 . 2004-08-19 15:34 2027520 -c--a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:22 . 2004-08-19 16:34 2148864 -c--a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:22 . 2004-08-19 16:39 111104 -c--a-w c:\windows\system32\services.exe
2009-02-09 10:51 . 2004-08-19 16:39 734720 -c--a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2004-08-19 16:39 401408 -c--a-w c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2004-08-19 16:39 683520 -c--a-w c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2004-08-19 16:38 736256 -c--a-w c:\windows\system32\ntdll.dll
2009-02-06 16:52 . 2009-02-06 16:52 49504 -c--a-w c:\windows\system32\sirenacm.dll
2009-02-06 10:39 . 2001-08-31 15:00 35328 -c--a-w c:\windows\system32\sc.exe
2009-02-03 19:57 . 2004-08-19 16:39 56832 -c--a-w c:\windows\system32\secur32.dll
2008-04-04 10:19 . 2008-04-04 10:19 32 -c--a-w c:\documents and settings\All Users\Dati applicazioni\ezsid.dat
2008-12-02 23:47 . 2008-09-30 16:45 48 --sh--w c:\windows\SAAA4EF1E.tmp
2008-07-05 19:03 . 2008-07-05 19:04 32768 -csha-w c:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\MSHist012008070520080706\index.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkinClock"="c:\programmi\Atomic Alarm Clock\AtomicAlarmClock.exe" [2008-09-11 1739264]
"ATnotes.exe"="c:\programmi\ATnotes\ATnotes.exe" [2005-01-05 1015808]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Magentic"="c:\progra~1\Magentic\bin\Magentic.exe" [2008-08-04 488808]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-28 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinPatrol"="c:\programmi\BillP Studios\WinPatrol\winpatrol.exe" [2008-07-04 333120]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-03-25 1932568]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-25 13680640]
"ZoneAlarm Client"="c:\programmi\Zone Labs\ZoneAlarm\zlclient.exe" [2009-02-15 981384]
"mouseElf"="c:\progra~1\Genius NetScroll+ Optical Mouse\GNETMOUS.EXE" [2003-05-13 163840]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\ssmmgr.exe" [2006-08-16 503808]
"DSLAGENTEXE"="dslagent.exe" - c:\windows\system32\dslagent.exe [2002-03-07 16384]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{A213B520-C6C2-11d0-AF9D-008029E1027E}"= "c:\programmi\winfax\WfxSeh32.Dll" [1998-07-27 38400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-03-25 11:44 10520 ----a-w c:\windows\system32\avgrsstx.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"wave2"= serwvdrv.dll
"wave3"= serwvdrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"Samsung PanelMgr"=c:\windows\Samsung\PanelMgr\ssmmgr.exe /autorun
"TkBellExe"="c:\programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe"
"Device Detector"=DevDetect.exe -autorun
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\FlashGet\\FlashGet.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgnsx.exe"=
"c:\\Programmi\\Magentic\\bin\\MgImp.exe"=
"c:\\Programmi\\Magentic\\bin\\Magentic.exe"=
"c:\\Programmi\\Magentic\\bin\\MgApp.exe"=
"c:\\Programmi\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Genius NetScroll+ Optical Mouse\\gnetmous.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"86:TCP"= 86:TCP:BroadCam Web Server

R2 gafwload;D-Link DSL-200 USB ADSL Loader;c:\windows\system32\DRIVERS\gafwload.sys [2002-03-07 27147]
R2 PMJ151NM;Panasonic DVC Web Camera; [x]
R3 MTDVC;Panasonic DVC USB-SERIAL Driver for NT Technology; [x]
R3 MTDVC_ENUM;Panasonic DVC COM Driver for NT Technology; [x]
R4 ASKService;ASKService;c:\programmi\AskBarDis\bar\bin\AskService.exe [2008-10-16 464264]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [2009-03-25 325640]
S1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\System32\Drivers\avgtdix.sys [2009-03-25 107912]
S1 GhPciScan;GhostPciScanner;c:\programmi\Symantec\Norton Ghost 2003\ghpciscan.sys [2002-08-14 5632]
S2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-03-25 298264]
S3 Slnt7554;USB Soft Modem Driver;c:\windows\system32\DRIVERS\slnt7554.sys [2004-08-03 129535]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5c08b877-fefb-11dc-92ff-0050ba300101}]
\Shell\AutoRun\command - f:\infocamere\bkmlauncher.exe
\Shell\Shell00\Command - f:\infocamere\bkmlauncher.exe
\Shell\Shell01\Command - f:\infocamere\bkmlauncher.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff7947d5-2a9e-11de-9cd0-0050ba300101}]
\Shell\AutoRun\command - F:\ClickMe.exe
.
Contenuto della cartella 'Scheduled Tasks'

2009-04-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-04-27 c:\windows\Tasks\GlaryInitialize.job
- c:\programmi\Glary Utilities\initialize.exe [2008-09-02 11:51]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

BHO-{7baa9af2-dada-44ef-9f09-8ca369b569ff} - c:\windows\system32\sihivubo.dll
WebBrowser-{604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - (no file)
HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Scarica con FlashGet - c:\programmi\FlashGet\jc_link.htm
IE: &Scarica tutto con FlashGet - c:\programmi\FlashGet\jc_all.htm
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {7C7EED03-01F2-4D56-9865-22F85A8B5B19} = 193.121.150.2,212.247.152.2
FF - ProfilePath - c:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\tkh5vx6q.default\
FF - prefs.js: browser.startup.homepage - hxxp://it.giveawayoftheday.com/
FF - plugin: c:\programmi\Google\Picasa3\npPicasa2.dll
FF - plugin: c:\programmi\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\npOGAPlugin.dll

---- FIREFOX POLICIES ----

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-27 02:19
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(2900)
c:\programmi\BillP Studios\WinPatrol\PATROLPRO.DLL
c:\progra~1\Genius NetScroll+ Optical Mouse\WhoRU.dll
c:\programmi\Atomic Alarm Clock\Clock.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\windows\system32\WgaTray.exe
c:\windows\system32\scardsvr.exe
c:\windows\ATKKBService.exe
c:\programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\AVG\AVG8\avgrsx.exe
c:\progra~1\AVG\AVG8\avgnsx.exe
c:\windows\system32\nvsvc32.exe
c:\programmi\AVG\AVG8\avgcsrvx.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\WFXSVC.EXE
c:\windows\system32\MsPMSPSv.exe
c:\programmi\winfax\WFXMOD32.EXE
c:\progra~1\Magentic\bin\MgApp.exe
.
**************************************************************************
.
Ora fine scansione: 2009-04-27 2.26.01 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-04-27 00:25

Pre-Run: 400.424.960 byte disponibili
Post-Run: 399.208.448 byte disponibili

Current=5 Default=5 Failed=4 LastKnownGood=6 Sets=1,2,3,4,5,6
334 --- E O F --- 2009-02-19 09:11


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2.27.26, on 27/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WFXSVC.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\winfax\WFXMOD32.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Genius NetScroll+ Optical Mouse\GNETMOUS.EXE
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\Programmi\Atomic Alarm Clock\AtomicAlarmClock.exe
C:\Programmi\ATnotes\ATnotes.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: P2P Energy Toolbar - {2bae58c2-79f9-45d1-a286-81f911301c3a} - C:\Programmi\P2P_Energy\tbP2P_.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programmi\FlashGet\jccatch.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programmi\FlashGet\getflash.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [WinPatrol] C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe -expressboot
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\Genius NetScroll+ Optical Mouse\GNETMOUS.EXE
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKCU\..\Run: [SkinClock] C:\Programmi\Atomic Alarm Clock\AtomicAlarmClock.exe
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programmi\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O8 - Extra context menu item: &Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: &Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programmi\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programmi\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.it/
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C7EED03-01F2-4D56-9865-22F85A8B5B19}: NameServer = 193.121.150.2,212.247.152.2
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\Skype4COM.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE

--
End of file - 7403 bytes



Alla fine winpatrol scrive questo: Scotty ha visto una modifica in questi file monitorati

Filename: HOSTS
Localizzazion
c:\windows\system32\drivers\etc\hosts

Se questa modifica è prevista scegli "Accetta modifica"

Se non vuoi modifiche o non comprendi cosa stia succedendo scegli "Rifiuta modifica"

Devo accettare oppure no?

Ciao e grazie per la tua pazienza infinita. Un bacio al piccolo

Ok dopo eseguo tutto, comunque per ora non mi appare più niente. Riguardo l'avviso di Winpatrol, cosa ne dici?

Ecco il log di malwarebites:
Malwarebytes' Anti-Malware 1.36
Versione del database: 2046
Windows 5.1.2600 Service Pack 3

27/04/2009 13.53.15
mbam-log-2009-04-27 (13-53-15).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 121815
Tempo trascorso: 1 hour(s), 37 minute(s), 28 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Elementi dato del registro infetti: 2
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
KHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prnet (Trojan.Downloader) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\prnet.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

Ha ragione r16: in questa fase, molto meglio "negare". Risolti che avrai gli attuali problemi, non ti scrdare che WinPatrol2009 (a meno che tu non gli richieda di non farlo) monitorizza costantemente il tuo file HOSTS. Questo significa che ti domanda cosa deve fare ogniqualvolta il file HOSTS viene modificato in maniera sospetta. Dato che Scotty (WinPatrol) non può sapere se un certo Programma ha agito con il tuo consenso oppure no, sappi che ogni volta che effettuerai l'operazione "Immunizazione" con Spybot Search&Destroy, Scotty ti chiederà se le modifiche appena apportate al file HOSTS (Spybot "immunizza", perlappunto, anche scrivendo sul file HOSTS) debban essere conservate o sian da rigettare.

Questo è un problema.
Per il semplice motivo, che io non vedo nessun SpyBot, installato nel sistema.
E adesso io non sò, se Norman ha ripulito il file HOSTS, oppure se quelle sono voci "Immunizzate" di SpyBot.
Quindi ghiudon, dimmi dove hai installato SpyBot, se l'hai installato.
In tutti i casi, Norman ti ha ripulito di altri 6 file infetti. (oltre il file Hosts)
Se il pc non ha problemi, e Winpatrol, stà zitto, potremo finire con delle pulizie generali.
Aspetto risposta.

Aspettiamo tutti di leggerti.

X r16: per fortuna tutto funziona regolarmente e winpatrol per il momento tace.

EDIT: Spybot non lo trovo da nessuna parte. E' possibile che lo abbia disinstallato di recente? sinceramente non ricordo.