http://www.symantec.com/home_homeoffice/security_response/writeup.jsp?docid=2007-020215-4138-99&tabid=1

prova questa procedura ....

Monsee, ti posto il log di Hijack...ho disattivato le impostazioni di configurazione, ho scansioanto con CCleaner, con AdAware, Spybot e con l'antivirus. Ho cercato di rimuovere a mano...seguendo istruzioni Symantec e, alla fine ho avviato Hijack....Fra parentesi: Symantec alla fine, invece di 4 file infestati me ne dà 2 ,ma cmq con W.32.Spybot.Worm....vcopie e incollo...è meglio:
C:\WINDOWS\display.exe è infettato con W32.Spybot.Worm
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\K1UVO9EZ\kujo[1].exe è infettato con Dialer.Trafficjam

---

Con la funzione cerca non li trovo più, però, nemmeno nelle cartelle e file nascosti...beh..
Mentre tu studi, io seguirò anche le procedure suggerite da Tito e da Lui
Grazie ancora della pazienza.
Stefania

---

Logfile of HijackThis v1.99.1
Scan saved at 4.23.08, on 22/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\display.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmi\HIJACK RINTRACCIA SPY\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe :WINDIR:\display.exe
O2 - BHO: Supporto di collegamento per Adobe PDF Reader -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File

comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} -

C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\INCREDIMAIL\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programmi\OpenOffice.org

2.2\program\quickstart.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader

8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader

8.0\Reader\reader_sl.exe
O8 - Extra context menu item: andAdd animation to IncrediMail Style Box -

C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Eandsporta in Microsoft Excel -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation

Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -

http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -

http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: õÿÿÿ -
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -

C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - (no file)
O23 - Service: Servizio di protezione antivirus e antispyware di McAfee (myAgtSvc) - Unknown

owner - C:\Programmi\McAfee\Managed VirusScan\Agent\myAgtSvc.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. -

C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it -

C:\VEXPLITE\viritsvc.exe
O23 - Service: display (Windows Display Diver) - Unknown owner - C:\WINDOWS\display.exe

Dunque, vi aggiorno:
Dal sito indicatomi da LUI sono andata a cercare Trafficjam nel registro...non c'era.
Allora ho scaricato la versione in prova dell'antivirus (comprensivo di Firewall) consigliato da Tito...Ottimo...Non ha trovato niente....Però mi dice che il sistema è pulito...C'è un "contro"...l'antivirus è, diciamo, troppo "serio", non mi fa più "giocare con Incredimail...cancella sfondi, animazioni, faccine...così, dopo essermi assicurata che tutto sia ok, ho disattivato l'antivirus e rimontato VirIT, ma ho lasciato attivo il Firewal IOLO scaricato dal sito consigliato da Tito. Ho ripristinato la configurazione di sistema ed eccomi qua....stanca, ma felice! Vuoi vedere che tutti gli sforzi congiunti hanno sortito l'effetto desiderato?<img src=icon_smile_big.gif border=0 align=middle><img src=icon_smile_big.gif border=0 align=middle><img src=icon_smile_big.gif border=0 align=middle>
Ora per un po' di tempo starò all'erta, perché da quanto spiegato nel sito indicato da Tito, questo dialer maledetto è difficile da far sparire, si riproduce e introduce file con nomi diversi...staremo a vedere...Cmq, Monsee, dimmi che vedi di anomalo nell'ultimo log che ho inviato...Non mi costa niente andare a cercare e cancellare cose anomale se ce ne sono.
Ciao a tutti e grazie ancora. A presto...ora vado a dormire. ahahahaha
Stefania

<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
benissimo sono contento per te: cosa non si deve fare per meritarsi <img src=icon_smile_kisses.gif border=0 align=middle><img src=icon_smile_kisses.gif border=0 align=middle><img src=icon_smile_kisses.gif border=0 align=middle>

<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>

AAHAHAHAHAHAHAHAAHAAHAHAA

Grazie di nuovo<img src=icon_smile_approve.gif border=0 align=middle>

P.S. MONSEE!!!???? Ci sei ancora?
Che hai visto o vedi sul lor di Hijack?
<img src=icon_smile_question.gif border=0 align=middle> Lo saprò mai?
In questo gorni sto facendo un lavoro, ma appena fatto smonto Open e riprovo AbiWord..
Se mi dà un altro falso positivo imbraccio il canne mozze e......<img src=icon_smile_evil.gif border=0 align=middle>

Ciao a tutti.
Stefania