ormai e la seconda volta che lo porto a un tecnico lui mi dice che è a posto ma poi dopo una decina di minuti la linea cade e si imposta autumaticamente una nuova connessione peya a un numero di cell satellitare.(io ho una conn 56k).cosa posso fare ciao e grazie

Scarica questo programma e leggi le istruzioni per inserire il tuo log
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175

---

alfonso_aiutamici@hotmail.it

non so come mai non riesco a scaricare il programma hijack compare per pochi secondi la finestra per salvarlo e poi scompare insieme a internet explorer epoi rimane il desktop e quindi devo riaprire internet explorer.aiuto

la scansione in mod. provv. convirit non ha portato a niente.(in modalità provvisoria come devo entrare amministratore o test oppure è indifferente?)
comunque ecco il log. Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.50.48, on 19/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Documents and Settings\test\Documenti\Nuova cartella (2)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\compaqmonitor.exe",
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {76685481-CBBD-68BE-CE51-64F4F1E0BD11} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 3786 bytes

adesso sono un po' dicorsa e quindi proverò stasera (perche ora sono su un altro pc)per il log di virit .per come ho fatto a lanciare hijack purtroppo ho letto male e ho terminato tutti i processi test insieme e non uno ad uno (anche qui proverò a ripetere l'operazione oggi pomeriggio)ciao e grazie

Ciao, la stringa <b>%temp%</b> da incollare su esegui è una scorciatoia per pulire la cartella temp del tuo profilo. La puoi raggiungere anche seguendo il percorso:

<i>C:\documents and settings\tuo_profilo\Impostazioni locali\temp</i>. Attento che la cartella Impostazioni locali per default non è visibile. La devi rendere accessibile come ti ho sopra suggerito.

La cosa più strana è che HJT veniva bloccato da un processo di un programma che non è considerato dannoso. Potrei anche suggerirti di eliminarlo, ma si autoesegue assieme a <b>userinit.exe</b> e il rischio è grosso.
Allora fai questi controlli, gli ultimi:

Start >> Connetti a >> mostra tutte le connessioni, accertati che non ci siano connessioni abusive.

Scarica questi due tool:

http://www.prevx.com/gromozon.asp
http://securityresponse.symantec.com/avcenter/FixLinkopt.exe

Prima di lanciarli, pulisci il pc da tutte le inutilità, chiudi tutti i programmi in esecuzione, disconnettiti da Internet, lancia il primo tool, premendo su Scan;
poi rispondi YES alla richiesta di riavvio.
Al riavvio il tool terminerà la procedura e rilascerà un log in <b>C:\gromozon_removal.txt</b>;


Per eseguire il secondo tool riavvia in Modalità Provvisoria;
poi lancia il file <b>FixLinkopt.exe</b>, accetta il contratto di licenza, clicca su Start per avviare l'analisi.

Alla fine di queste procedure, pubblica i report dei due tool e riferisci se il problema è risolto.

---

Ciao, come prevedevo. Il processo compare nella black list di PrevX.

http://virusinfo.prevx.com/pxparall.asp?PX5=8e5733e800bde4e8524a008ad7f35a00bb794987&psection=filepath
Adesso risolviamo definitivamente.

Dovrai avere la precisione di un chirurgo, perchè dovrai agire sul registro.

Start >> Esegui >> regedit >> ok

<b>BACKUP DEL REGISTRO</b>
Tasto destro su Risorse del computer >> Esporta. Salvalo da qualche parte.

<b>RIMOZIONE</b>
Espandi (clic sul segno "+") in successione le chiavi:

<i>HKEY_LOCAL_MACHINE >> SOFTWARE >> Microsoft >> Windows NT >> Current Version</i>.

Adesso fai <b>1</b> clic sulla cartellina <b>Winlogon</b>.

Nel pannello di destra cerca la voce <b>Userinit</b> e facci un doppio clic. Nella finestrella che si apre troverai scritto:

c:\windows\system32\userinit.exe,<font color=red>"c:\windows\system32\compaqmonitor.exe",</font id=red>

Ebbene, devi cancellare la parte in rosso, cioè tutta la stringa compresa tra le virgolette, in modo che rimanga la stringa:

<b>c:\windows\system32\userinit.exe,</b> -- > compresa la virgola finale;

Chiudi il registro e cancella la voce in rosso:

c:\windows\system32\<font color=red>compaqmonitor.exe</font id=red>

Le cose dovrebbero sistemarsi, fammi sapere.

---

Per eliminare il compaqmonitor.exe le fasi sono tre:

<ul><li> terminare il processo dal Task Manager: --- > <b>Ctrl + Alt + Canc</b>, cliccare sulla scheda <b>Processi</b>, selezionare <b>compaqmonitor.exe</b>, cliccare su <b>Termina Processo</b>; </li>

<li> rimuovere la chiave di registro come da procedura descritta; </li>

<li> eliminare il file. Lo trovi seguendo il percorso: C:\windows\system32\<font color=red>compaqmonitor.exe</font id=red></li></ul>

Devi fare esattamente così, altrimenti non ti sarà possibile scaricare l'antidialer.

---

Ciao, sono contento che hai risolto. Il problema era proprio quel file.
Il backup del registro si fa per precauzione, perchè il registro è zona off-limits e un passo falso può arrecare danni a volte irreversibili al sistema. In questi casi si ripristina il registro. Tienilo per un po' , poi, se proprio non lo sopporti, puoi anche eliminarlo. Verifica di non avere connessioni abusive.
Ciao.

---

Quel file non ti permetteva di scaricare HJT, l'antidialer e probabilmente altri programmi.

---