Ciao Alfonso,
innanzi tutto, hai ricevuto l'errore di risposta al forum?

Per quanto riguarda il mio computer ho eseguito la scansione con la Symantec ma non ha trovato niente.

Non voglio annoiarti oltre ma, guardando il log di HiJack che segue, anche il mio occhio poco esperto nota che si ristabiliscono alcuni processi cancellati negli interventi precedenti.

Grazie. Erninjo.

Logfile of HijackThis v1.99.0
Scan saved at 19.18.35, on 10/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\carpserv.exe
C:\WINDOWS\system32\Atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\gsicon.exe
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\System32\svchost.exe
C:\TEMP\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nwygqwdcemr.biz/FcdZ8FmMj1ZJMFWBXmdSGZchbjz8/mVTturkWYLKiwjHHV8kw2seRzBhBNkboEmr.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.uygdpeowbvhghrowq.biz/FcdZ8FmMj1YdxaANvkDZCdclnO8CbudyTydmKqmtIl0.jsp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {E77813AE-D82C-DF07-2708-36D3A19EE792} - C:\DOCUME~1\admin\DATIAP~1\DOWNLO~1\mail bin.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [platformhidelonginternet] C:\Documents and Settings\All Users\Dati applicazioni\Skipnameplatformhide\Meet One.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Show aim] C:\DOCUME~1\admin\DATIAP~1\POLLDA~1\birdinsideweb.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/games/clients/y/ywt0_x.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104688339458
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mydom.org
O17 - HKLM\Software\..\Telephony: DomainName = mydom.org
O17 - HKLM\System\CCS\Services\Tcpip\..\{24B4BE14-44B8-418D-A8E7-6280BB61A32E}: NameServer = 130.244.127.161 130.244.127.169
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mydom.org
O17 - HKLM\System\CS1\Services\Tcpip\..\{24B4BE14-44B8-418D-A8E7-6280BB61A32E}: NameServer = 130.244.127.161 130.244.127.169
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = mydom.org
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE

Ciao Alfonso,
ho eseguito per la terza volta le operazioni che mi hai suggerito.
Per il momento sembra che sia tutto a posto ma mi aspetto che i processi pirata si autoinseriscano di nouvo.
Speriamo bene.
Grazie ancora una volta.
Erninjo.

Ciao Alfonso,
i problemi che avevo si sono ripresentati e a questo punto mi pare inutile ripetere le stesse operazioni.
Per quanto riguarda l'antivirus, calcola che il mio computer è rimasto scoperto per un po' di tempo perchè non me ne occupavo io.
E' in quel periodo che si sono inseriti i virus e gli spyware ma dopo l'installazione di avast e degli aggiornamenti windows non è successo niente di nuovo.
Certo sono daccordo con te che comprare un Norton sarebbe meglio ma non è solo un problema di soldi per il prodotto.
Il mio pc comincia ad essere vecchiotto (386, con 128 di ram e 10 G. di HD), non mi reggerebbe bene, quindi dovrei pensare di implementarlo con delle espansioni.
Inoltre non ho neanche il dichetto per caricare il SO (ci aveva pensato un amico che ora non vedo più).
Appena mi deciderò seguirò i tuoi consigli.
Per il momento cerco di barcamenarmi così.
Ti domando come è possibile che non ci siano modi per eliminare, anche manualmente, il software indesiderato?
Grazie.
Erninjo.

Quello che viene consigliato in quell'articolo lo abbiamo gia fatto con il LOG di Hijack, ma i virus non si possono rintracciare in quanto possono inserirsi nel codice di un programma legittimo del sistema.

Pertanto se hai installato l'antivirus a computer infetto, non hai altra soluzione che formattare il sistema.

---

Collaboratore Aiutamici

Ciao a tutti, forza che superiamo il record di messaggi massimi in un post!

ho letto ciò che hai scritto nel post di Michela ed in quello aperto dove parli di un corso per capire come interpretare un log di HJT. Ho letto anche la risosta di Alfonso che non posso che condividere.
A volte un problema è solo simile e t'assicuro che se si ha a che fare con un hijakcer (dirottatore) un problema quasi mai è identico ad un altro.

Prova ad eseguire comunque un nuovo log con HJT dalla modalità normale, appena subentra il problema, senza eliminare nulla. <img src=icon_smile_wink.gif border=0 align=middle>

Questo e il mio ennesimo responso:

esegui queste operazioni

1) Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

2) riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono, (nel caso le righe da eliminare non compaiono in modalità provvisoria, eliminale dalla modalità normale e riavvia il computer).

==================================
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rmrxdoxflcwjgceazj.com/FcdZ8FmMj1ZJMFWBXmdSGZchbjz8/mVTturkWYLKiwj8ekq///rxdDBhBNkboEmr.html
-
O2 - BHO: (no name) - {E77813AE-D82C-DF07-2708-36D3A19EE792} - C:\DOCUME~1\admin\DATIAP~1\DOWNLO~1\mail bin.exe
-
O4 - HKLM\..\Run: [platformhidelonginternet] C:\Documents and Settings\All Users\Dati applicazioni\Skipnameplatformhide\DeleteAudio.exe
-
O4 - HKCU\..\Run: [Show aim] C:\DOCUME~1\admin\DATIAP~1\POLLDA~1\birdinsideweb.exe
-
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mydom.org
O17 - HKLM\Software\..\Telephony: DomainName = mydom.org
-
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mydom.org
-
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = mydom.org
==================================

Elimina i file indicati che si trovano nel percorso indicato
==================================
C:\DOCUME~1\admin\DATIAP~1\DOWNLO~1\mail bin.exe
C:\Documents and Settings\All Users\Dati applicazioni\Skipnameplatformhide\DeleteAudio.exe
C:\DOCUME~1\admin\DATIAP~1\POLLDA~1\birdinsideweb.exe
==================================

al termine utilizza i programma AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

sempre in modalità provvisoria fai una scansione Antivirus

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura.

---

Collaboratore Aiutamici