Olimpo Informatico

[aleasar]

Salve a tutti, sono nuovo ed abbastanza preoccupato del mio virus!
Sinteticamente: ad ogni avvio del PC si installa un Dialer (name Internet) che comincia a selezionare la connessione.Simultaneamente si installa un Pajp1.exe in C/Windows/Temp e C/Windows/Prefect ed anche nei registri.
Li cancello ma vedo che nei registri (tramite il comando run/regedit) dopo poco riappare il pajp1. Altri sintomi: ad ogni ricerca in internet appare un pop/up che propone di cercare l\'oggetto web tramite il pop/up ed il pc si \"impalla\" dopo il primo web a cui mi collego!
Uso Adware, Spybot, Antispyware ma a parte qualche file da cancellare, nessuna risoluzione.
Spero di essere stato chiaro...grazie a chiunque possa darmi qualche aiuto.
Un saluto a tutti. Alessandro

[chemicalbit]

Sistema operativo?

Ti succede anche in modalità provvisoria?
(prova ad eliminarlo da lì, e poi a far girare gli antispyare e gli antivirus.
Può darsi che in modlaità normale hai in memroa qulche besticcia che ripristina il dialer).

E posta un log di Hijackthis (trovi tutti i link nella discusisone fermata in cima al forum: "Il meglio del forum Sicurezza & Privacy") così vediamo cosa hai in esecuzione

[aleasar]

Ok e grazie
Il Sistema operativo è Windows XP
In modalità provvisoria non ho provato, ma tenterò
Ho scaricato Hijackthis ed appena il virus risorge, memorizzo il log e ne riparliamo. A presto, un saluto da Alessandro

[Smjert]

Prevenire è meglio che curare!
Potrebbe aver lasciato qualche chiave di registro in giro per rigenerarsi... io ti consiglio vivamente di fare il log di HijackThis e postarlo...

[chemicalbit]

Concordo con Smjert

[holifay]

tiro ad indovinare: hai anche tu gromozon

Prova a far girare questo fix:
http://smallbiz.symantec.com/security_response/writeup.jsp?docid=2006-092316-4153-99

Poi posta il contenuto del file FixLinkopt.log

[aleasar]

Aggiornamento: In modalità provvisoria ho fatto passare AD-Aware,Spybot e Antispyware che hanno trovato poco e niente.
Anche se nei file di registro si è rigenerato Pajp1, da due giorni il dialer non è ripartito, quindi (come mi avete consigliato) ho fatto girare comunque HijackThis ed ecco di seguito il log. A breve proverò a postare anche il log di smallbiz suggerito da Holifay.
Ancora grazie a tutti per i consigli, ho poca dimestichezza con i S.O. dei pc, ma sono comunque contento di fare esperienza. Fatemi sapere che cosa riuscite a leggere nel log...Un saluto da Alessandro

Logfile of HijackThis v1.99.0
Scan saved at 13.29.46, on 04/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programmi\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Officescan NT\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Officescan NT\tmlisten.exe
C:\Officescan NT\OfcPfwSvc.exe
C:\WINDOWS\TEMP\ZN9C7B.EXE
C:\WINDOWS\Explorer.EXE
C:\Officescan NT\pccntmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\acer\epm\epm-dm.exe
C:\Officescan NT\Pop3Trap.exe
C:\Programmi\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Microsoft Office Communicator\Communicator.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
c:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\WINZIP\winzip32.exe
c:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Documents and Settings\Administrator\Desktop\Tool hijaker\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://noiportal.telecomitalia.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://noiportal.telecomitalia.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Telecom Italia s.p.a.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = telpra001rm001.telecomitalia.local:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;*.local;*.pv.telecomitalia.it;*.rete.telecomitalia.it;*.dre;*.dg.telecomitalia.it;*.cww.*;*.legacy.telecomitalia.it;151.10.*;*.pirelli.telecomitalia.it;*.wifiarea.it;*.cb.telecomitalia.it;im.telecomitalia.it;it-fo*;noiportal.*;*.noiportal.*;documentale.telecomitalia.it;betadocumentale.telecomitalia.it;home.tessweb.it;*tils.*;*.cnd.it;griffon.*;*.intranet.tim.it;kpitrattative.telecomitalia.it;*.pd.tim.it;*.privati.telecomitalia.it;<local>
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {09D2603D-D1CB-7F36-196C-B169C001A8CD} - C:\WINDOWS\mmbcm1.dll (file missing)
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Officescan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [lcfep] "C:\Programmi\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe" -x
O4 - HKLM\..\Run: [NI.UWA6PT_0001_N91M2107] "c:\documents and settings\00214030\application data\winantiviruspro2006freeinstall_it[1].exe" -nag
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\Communicator.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://noiportal.telecomitalia.it
O15 - Trusted Zone: http://organigramma.griffon.local
O15 - Trusted Zone: http://atomwfe1.telecomitalia.it
O15 - Trusted Zone: http://atomwfe2.telecomitalia.it
O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it
O15 - Trusted Zone: http://griffon.open.telecomitalia.it
O15 - Trusted Zone: http://hr.open.telecomitalia.it
O15 - Trusted Zone: http://mpa.dg.telecomitalia.it
O15 - Trusted Zone: http://paperless.open.telecomitalia.it
O15 - Trusted Zone: http://tils.open.telecomitalia.it
O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local
O15 - Trusted Zone: http://soa404.telecomitalia.local
O15 - Trusted Zone: http://organigramma.griffon.local (HKLM)
O15 - Trusted Zone: http://atomwfe1.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://atomwfe2.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://griffon.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://hr.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://mpa.dg.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://paperless.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://tils.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local (HKLM)
O15 - Trusted Zone: http://soa404.telecomitalia.local (HKLM)
O15 - Trusted IP range: 10.74.27.45
O15 - Trusted IP range: http://10.173.215.15
O15 - Trusted IP range: 10.74.27.45 (HKLM)
O15 - Trusted IP range: http://10.173.215.15 (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = telecomitalia.local
O17 - HKLM\Software\..\Telephony: DomainName = telecomitalia.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{80A28A29-CBE2-4C8C-B5D4-C0FB96265249}: NameServer = 156.54.205.68,156.54.17.166
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = telecomitalia.local
O23 - Service: Adobe LM Service - Unknown - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Tivoli Endpoint - Unknown - C:\Programmi\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: OfficeScanNT RealTime Scan - Trend Micro Inc. - C:\Officescan NT\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall - Trend Micro Inc. - C:\Officescan NT\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener - Trend Micro Inc. - C:\Officescan NT\tmlisten.exe

[Smjert]

Hai sicuramente il LinkOptimizer, si riconosce da questa voce: R3 - Default URLSearchHook is missing e da altre..
Il tool Symantec dovrebbe rimuovertelo.. intanto per avvia HijackThis, clicca Do a system scan only e spunta queste voci, poi fai Fix Checked:

[aleasar]

Scusami Smjert, ma ho visto la tua risposta dopo che avevo già fatto girare il tool Symantec, che ha trovato e rimosso dei file. Ho fatto restart del pc ed ho fatto lo scan di HijackThis.
Allego il file di log Symantec e quello di HijackThis.
Fammi sapere se posso/devo ancora fare l'operazione di Fix della lista che mi avevi indicato....(tutta la lista anche quello r3??)
Grazie mille. Alessandro

Symantec Trojan.Linkoptimizer Removal Tool 1.0.2
SeTakeOwnershipPrivilege acquired
Failed to acquire SeDebugPrivilege
service: NetOhk (logon as: .\HAo, passed filters)
service: NetOhk (file path: C:\Program Files\Common Files\System\zgRQSn.exe - infected)
file: C:\Program Files\Common Files\System\zgRQSn.exe (deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\NetOhk\Security (key deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\NetOhk\Enum (key deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\NetOhk (key deleted)
reg: ...\SpecialAccounts\UserList\HAo (value deleted)
folder: \\?\C:\Documents and Settings\HAo (deleted)
user: HAo (deleted)

C:\Documents and Settings\00214030\Local Settings\Temp\m: (deleted)
C:\WINDOWS\3.tmp: (deleted)
C:\WINDOWS\7.tmp: (deleted)

Trojan.Linkoptimizer has been successfully removed from your computer!
Here is the report:
The total number of the scanned files: 28121
The number of deleted threat files: 4
The number of directories deleted: 1
The number of threat processes terminated: 0
The number of registry entries fixed: 4
The number of threat services removed: 1
The number of accounts disabled: 1

The system requires a reboot but was not rebooted.
To clean up all remnants of the threat from the system it must be rebooted.

Logfile of HijackThis v1.99.0
Scan saved at 14.28.17, on 04/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programmi\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Officescan NT\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Officescan NT\tmlisten.exe
C:\Officescan NT\OfcPfwSvc.exe
C:\WINDOWS\TEMP\FVEAAC.EXE
C:\WINDOWS\Explorer.EXE
C:\Officescan NT\pccntmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\acer\epm\epm-dm.exe
C:\Officescan NT\Pop3Trap.exe
C:\Programmi\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Microsoft Office Communicator\Communicator.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
c:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrator\Desktop\Tool hijaker\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://noiportal.telecomitalia.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://noiportal.telecomitalia.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Telecom Italia s.p.a.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = telpra001rm001.telecomitalia.local:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;*.local;*.pv.telecomitalia.it;*.rete.telecomitalia.it;*.dre;*.dg.telecomitalia.it;*.cww.*;*.legacy.telecomitalia.it;151.10.*;*.pirelli.telecomitalia.it;*.wifiarea.it;*.cb.telecomitalia.it;im.telecomitalia.it;it-fo*;noiportal.*;*.noiportal.*;documentale.telecomitalia.it;betadocumentale.telecomitalia.it;home.tessweb.it;*tils.*;*.cnd.it;griffon.*;*.intranet.tim.it;kpitrattative.telecomitalia.it;*.pd.tim.it;*.privati.telecomitalia.it;<local>
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {09D2603D-D1CB-7F36-196C-B169C001A8CD} - C:\WINDOWS\mmbcm1.dll (file missing)
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Officescan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [lcfep] "C:\Programmi\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe" -x
O4 - HKLM\..\Run: [NI.UWA6PT_0001_N91M2107] "c:\documents and settings\00214030\application data\winantiviruspro2006freeinstall_it[1].exe" -nag
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\Communicator.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://noiportal.telecomitalia.it
O15 - Trusted Zone: http://organigramma.griffon.local
O15 - Trusted Zone: http://atomwfe1.telecomitalia.it
O15 - Trusted Zone: http://atomwfe2.telecomitalia.it
O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it
O15 - Trusted Zone: http://griffon.open.telecomitalia.it
O15 - Trusted Zone: http://hr.open.telecomitalia.it
O15 - Trusted Zone: http://mpa.dg.telecomitalia.it
O15 - Trusted Zone: http://paperless.open.telecomitalia.it
O15 - Trusted Zone: http://tils.open.telecomitalia.it
O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local
O15 - Trusted Zone: http://soa404.telecomitalia.local
O15 - Trusted Zone: http://organigramma.griffon.local (HKLM)
O15 - Trusted Zone: http://atomwfe1.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://atomwfe2.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://griffon.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://hr.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://mpa.dg.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://paperless.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://tils.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local (HKLM)
O15 - Trusted Zone: http://soa404.telecomitalia.local (HKLM)
O15 - Trusted IP range: 10.74.27.45
O15 - Trusted IP range: http://10.173.215.15
O15 - Trusted IP range: 10.74.27.45 (HKLM)
O15 - Trusted IP range: http://10.173.215.15 (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = telecomitalia.local
O17 - HKLM\Software\..\Telephony: DomainName = telecomitalia.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{80A28A29-CBE2-4C8C-B5D4-C0FB96265249}: NameServer = 156.54.205.68,156.54.17.166
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = telecomitalia.local
O23 - Service: Adobe LM Service - Unknown - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Tivoli Endpoint - Unknown - C:\Programmi\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: OfficeScanNT RealTime Scan - Trend Micro Inc. - C:\Officescan NT\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall - Trend Micro Inc. - C:\Officescan NT\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener - Trend Micro Inc. - C:\Officescan NT\tmlisten.exe

[Smjert]

Sì fixa tutte le voci che ti ho segnato (anche perchè quei link sono fasulli... con "coraggio" li ho cliccati e mi dice che è impossibile trovare la pagina).
Tra l'altro ce ne sarebbero altre probabili... ad esempio sei tu che hai impostato un proxy? sei tu che hai settato questa http://noiportal.telecomitalia.it come pagina iniziale di quando apri il browser? (sembra essere un'altro link morto).

[aleasar]

Provo a fare il punto della situazione:
Il pc è aziendale e personale ed io lavoro in telecom
Il proxy iniziale è giustamente Noiportal ma è in ambito intranet aziendale come gli altri indirizzi (che credo siano preimpostati ) da quello che vedo.
In più, adesso che ho fatto passare il sw Symantec, se vado nei registri ritrovo ancora Pajp1.
Ho un attimo di confusione....il sw ha funzionato o no? Magari ha tolto altri virus ma non quello in questione? Che hai visto dai due log?
Parliamone.....
Grazie mille della pazienza. Un saluto da Alessandro

[Smjert]

Il LinkOptimizer è stato disattivato, è lui che ti rigenerava quel file. Ora non sempre il tool Symantec leva tutto, rimangono dei rimasugli ma sono pezzi del trojan "morto", quindi:

Invece di fixare tutte quelle voci fixa queste 3:

[aleasar]

Ho fixato le 3 voci. Dopo il riavvio in modalità provvisoria, ho cercato i due file ma non c'erano più. Io ho una userid numerica e quindi non ho cancellato altro.
Ho provato parecchie volte a scaricare dal sito Kaspersky il sw per lo scan, ma quasi alla fine del download mi dà sempre "Some components are damaged on not present. Reinstall the application" ed ogni volta ripulisco il pc del sw installato e riprovo ma con lo stesso effetto. Credo sia un problema loro....Quindi niente log.
Infine con regedit ho visto che continuano ad essere presenti registri per: Pajp1, Fixlinkopt, winantivurus,winantiviruspro.
1)Si possono cancellare?
2)che altro mi rimane da fare per controllare/pulire?

Grazie mille, un saluto

[holifay]

le chiavi di registro restano sempre, quando si pulisce manualmente, ma se si riferiscono s software disinstallati (o mai installati come quegli spyware) le dovresti poter eliminare tranquillamente.

Magari prima di intervenire nel registro, fai prima un backup
Oppureprovi a ripulire con tool come Regcleaner http://www.pc-facile.com/RegCleaner_s28/

Ti consiglio comunque una scansione online con Panda. Se dovesse trovare qualcosa, al termine posta il log. Disabilita temporaneamente il tuo AV, prima di farla.

[aleasar]

Grazie Holifay. Ho fatto backup e pulito qualche registro manualmente. Poi ho passato il sw by Panda ed ha trovato parecchia "mondezza", ti lascio il log, che ho compattato per leggerlo meglio, ed aspetto le tue preziose indicazioni. Un saluto

Incidente
Stato
Percorso

Adware:adware/intcodec
Non Disinfettato
Registro di sistema di Windows

Adware:adware/ieloader
Non Disinfettato
Registro di sistema di Windows

Strumenti indesiderati:application/kill&clean
Non Disinfettato
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects\{BF69DF00-2734-477F-8257-27CD04F88779}


Adware:adware/systemdoctor
Non Disinfettato
Registro di sistema di Windows

Dialer:dialer.min
Non Disinfettato
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects\{DB893839-10F0-4AF9-92FA-B23528F530AF}


Adware:adware/spywaresheriff
Non Disinfettato
Registro di sistema di Windows

Adware:adware/adrotator
Non Disinfettato
Registro di sistema di Windows

Adware:adware/netword
Non Disinfettato
Registro di sistema di Windows

Adware:adware/wetoffice
Non Disinfettato
Registro di sistema di Windows

Adware:adware/spywaresoftstop
Non Disinfettato
Registro di sistema di Windows

Virus:trj/downloader.imy
Disinfettato
Sistema Operativo

Adware:adware/sgrunt
Non Disinfettato
Registro di sistema di Windows

Adware:adware/statblaster
Non Disinfettato
Registro di sistema di Windows


Dialer:Dialer.Gen
Non Disinfettato
C:\Documents and Settings\00214030\My Documents\My eBooks\alessandro
\FILM\virgin.zip[ArchivioFilesDivertenti.exe]


Virus:Trj/Agent.BBS
Disinfettato
C:\WINDOWS\system32:ykaa.dll

[holifay]

Bhe, c´è ancora qualcosa da fare... ti faccio fare alcuni controlli, dato che avevi molti ospiti poco raccomandabili

Scarica Adaware e instalallo. Aggiornalo online, non usarlo ancora

Scarica Smitrem http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
ed estrai il contenuto del file zip in una nuova cartella. Riavvia in modalità provvisoria (premi F8 al boot), vai in quella cartella ed avvia il file RunThis.bat. Segui le istruzioni

Riavvia ancora in modalità provvisoria e fai una scansione con ADaware. Cancella tutto quello che trova

Riavvi in modalità normale e fai una scansione online con EWIDO:
http://www.ewido.net/en/onlinescan/

Al termine, fai una nuova scansione online con Panda e posta il nuovo log, insieme ad un nuovo log di HijackThis

Ciao[/img]

[aleasar]

Ecco gli aggiornamenti : Girato Smitrem, ma non ho avuto log.Eseguito AD-Aware che ha trovato 1 elemento da cancellare.Ewido non ha trovato niente. Panda segnala ancora 29 Hacker e 2 Dialer e di seguito anche il log di Hijackthis. Spero di aver fatto tutto bene.
Pendo dalla tua analisi dei dati.....Grazie ancora, saluti

Adware:adware/intcodec
Non Disinfettato
Registro di sistema di Windows Adware:adware/ieloader
Non Disinfettato
Registro di sistema di Windows Strumenti indesiderati:application/kill&clean
Non Disinfettato
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Explorer\Browser Helper Objects
\{BF69DF00-2734-477F-8257-27CD04F88779}
Adware:adware/systemdoctor
Non Disinfettato
Registro di sistema di Windows
Dialer:dialer.min
Non Disinfettato
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Explorer\Browser Helper Objects
\{DB893839-10F0-4AF9-92FA-B23528F530AF}
Adware:adware/spywaresheriff
Non Disinfettato
Registro di sistema di Windows Adware:adware/adrotator
Non Disinfettato
Registro di sistema di Windows Adware:adware/netword
Non Disinfettato
Registro di sistema di Windows Adware:adware/wetoffice
Non Disinfettato
Registro di sistema di Windows Adware:adware/spywaresoftstop
Non Disinfettato
Registro di sistema di Windows Adware:adware/mmediapd
Non Disinfettato
Registro di sistema di Windows Adware:adware/click
Non Disinfettato
Registro di sistema di Windows Adware:adware/quantos
Non Disinfettato
Registro di sistema di Windows Spyware:spyware/browseraccelerator
Non Disinfettato
Registro di sistema di Windows Adware:adware/wmmafia
Non Disinfettato
Registro di sistema di Windows Adware:adware/sinabar
Non Disinfettato
Registro di sistema di Windows Adware:adware/psic
Non Disinfettato
Registro di sistema di Windows Adware:adware/ourxin
Non Disinfettato
Registro di sistema di Windows Adware:adware/idonate
Non Disinfettato
Registro di sistema di Windows Adware:adware/brands
Non Disinfettato
Registro di sistema di Windows Adware:adware/eztracks
Non Disinfettato
Registro di sistema di Windows Adware:adware/roogoo
Non Disinfettato
Registro di sistema di Windows Adware:adware/targetad
Non Disinfettato
Registro di sistema di Windows Adware:adware/yazzle
Non Disinfettato
Registro di sistema di Windows
Adware:adware/gator.gotsmiley
Non Disinfettato
Registro di sistema di Windows Adware:adware/spywarequake
Non Disinfettato
Registro di sistema di Windows Dialer:dialer.gun
Non Disinfettato
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Explorer\Browser Helper Objects
\{FFB51760-344E-4FFB-BFFF-4B18C7AC1D63}
Strumenti indesiderati:application/seekmo
Non Disinfettato
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Explorer\Browser Helper Objects
\{5929CD6E-2062-44A4-B2C5-2C7E78FBAB38}
Adware:adware/trustin
Non Disinfettato
Registro di sistema di Windows Adware:adware/vog
Non Disinfettato
Registro di sistema di Windows Adware:adware/emediacodec
Non Disinfettato
Registro di sistema di Windows
Virus:trj/spamer.t
Disinfettato
Sistema Operativo
Adware:adware/sgrunt
Non Disinfettato
Registro di sistema di Windows
Adware:adware/statblaster
Non Disinfettato
Registro di sistema di Windows Strumenti indesiderati:Application/Processor
Non Disinfettato
C:\Documents and Settings\00214030\My Documents
\ANTI VIRUS\smitRem\Process.exe Strumenti indesiderati:Application/Processor
Non Disinfettato
C:\Documents and Settings\00214030\My Documents
\ANTI VIRUS\smitRem.exe[smitRem/Process.exe]
Logfile of HijackThis v1.99.0
Scan saved at 14.02.35, on 09/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programmi\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Officescan NT\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Officescan NT\tmlisten.exe
C:\Officescan NT\OfcPfwSvc.exe
C:\WINDOWS\TEMP\AYD2AE.EXE
C:\WINDOWS\Explorer.EXE
C:\Officescan NT\pccntmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\acer\epm\epm-dm.exe
C:\Programmi\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe
C:\Program Files\QuickTime\qttask.exe
C:\Officescan NT\Pop3Trap.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office Communicator\Communicator.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
c:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrator\Desktop\Tool hijaker\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://noiportal.telecomitalia.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://noiportal.telecomitalia.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Telecom Italia s.p.a.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = telpra001rm001.telecomitalia.local:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;*.local;*.pv.telecomitalia.it;*.rete.telecomitalia.it;*.dre;*.dg.telecomitalia.it;*.cww.*;*.legacy.telecomitalia.it;151.10.*;*.pirelli.telecomitalia.it;*.wifiarea.it;*.cb.telecomitalia.it;im.telecomitalia.it;it-fo*;noiportal.*;*.noiportal.*;documentale.telecomitalia.it;betadocumentale.telecomitalia.it;home.tessweb.it;*tils.*;*.cnd.it;griffon.*;*.intranet.tim.it;kpitrattative.telecomitalia.it;*.pd.tim.it;*.privati.telecomitalia.it;<local>
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {09D2603D-D1CB-7F36-196C-B169C001A8CD} - C:\WINDOWS\mmbcm1.dll (file missing)
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Officescan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [lcfep] "C:\Programmi\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe" -x
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\Communicator.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://noiportal.telecomitalia.it
O15 - Trusted Zone: http://organigramma.griffon.local
O15 - Trusted Zone: http://atomwfe1.telecomitalia.it
O15 - Trusted Zone: http://atomwfe2.telecomitalia.it
O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it
O15 - Trusted Zone: http://griffon.open.telecomitalia.it
O15 - Trusted Zone: http://hr.open.telecomitalia.it
O15 - Trusted Zone: http://mpa.dg.telecomitalia.it
O15 - Trusted Zone: http://paperless.open.telecomitalia.it
O15 - Trusted Zone: http://tils.open.telecomitalia.it
O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local
O15 - Trusted Zone: http://soa404.telecomitalia.local
O15 - Trusted Zone: http://organigramma.griffon.local (HKLM)
O15 - Trusted Zone: http://atomwfe1.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://atomwfe2.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://griffon.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://hr.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://mpa.dg.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://paperless.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://tils.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local (HKLM)
O15 - Trusted Zone: http://soa404.telecomitalia.local (HKLM)
O15 - Trusted IP range: 10.74.27.45
O15 - Trusted IP range: http://10.173.215.15
O15 - Trusted IP range: 10.74.27.45 (HKLM)
O15 - Trusted IP range: http://10.173.215.15 (HKLM)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = telecomitalia.local
O17 - HKLM\Software\..\Telephony: DomainName = telecomitalia.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{80A28A29-CBE2-4C8C-B5D4-C0FB96265249}: NameServer = 156.54.205.68,156.54.17.166
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = telecomitalia.local
O23 - Service: Adobe LM Service - Unknown - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Tivoli Endpoint - Unknown - C:\Programmi\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: OfficeScanNT RealTime Scan - Trend Micro Inc. - C:\Officescan NT\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall - Trend Micro Inc. - C:\Officescan NT\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener - Trend Micro Inc. - C:\Officescan NT\tmlisten.exe

[holifay]

Non ti preoccupare troppo delle incongruenze trovate nel registro, possono essere facilmente residui di applicazioni spyware già cancellate da tempo.

più che altro vorrei essere sicura che il trojan SmitFraud sia stato rimosso con successo, dato che è abbastanza insidioso e anche il trojan linkoptimizer.

Scarica Smitfraudfix ed estrai l´archivio in una nuova cartella.
http://siri.urz.free.fr/Fix/SmitfraudFix_En.php

Riavvia in modalità provvisoria e avvia il file Smitfraaudfix.cmd. Clicca su 2 e segui le istruzioni. Ti salverà il rapporto nel file c:/rapport.txt

Poi dimmi, queste voci che dicevi di averle cancellate, si sono ripresentate?

[aleasar]

Holifay, le due voci le avevo cancellate e si sono ripresentate.
Scusami, per capire bene i passi, quando dici di cancellarle, sarebbe:
1) lanciare HijackThis
2) fixare le due voci
3)riavviare lo scan con HijackThis e controllare che non siano presenti
E' cosi?

Grazie mille

[holifay]

Sì, con un passaggio in più:
1) Lanciare HijackThis
2) Fixare le voci
3) riavviare il PC
4) rifare il log e controllare che non iano tornate