Problema malware (almeno credo...)

Accendo il pc e mi ritrovo il seguente messaggio:



oltre al fatto che Firefox si blocca mentre per aprire Explorer devo penare un bel pò perchè mi dà schermate bianche per tre/quattro volte prima di avviarsi regolarmente. Oltre questo, quando si apre un'altra finestra automaticamente (sempre bianca "www.pancolp.com") se prima non la chiudo non riparte...
Faccio una scansione con Spybot S&D in modalità provvisoria, elimino i problemi individuati e riavvio in modalità ordinaria. Mi ritrovo i due messaggi di prima più questo:



Nego la modifica e stavolta Firefox funziona mentre Explorer non và. Ma la cosa è passeggera perchè fra poco il problema si ripresenterà dall'inizio.

Ecco il log di HijackThis fatto subito dopo la scansione con S&D:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.52.15, on 14/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\Programmi\SigmaTel\Driver audio di SigmaTel AC97\stacmon.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\ltmoh\Ltmoh.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\00THotkey.exe
C:\Programmi\TOSHIBA\TouchED\TouchED.Exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Documents and Settings\Alessandro\Documenti\+PROGRAMMI\Hijackthis\hijackthis 2.0.2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 205.238.40.2 www.winmx.com
O1 - Hosts: 205.238.40.2 err.winmx.com
O1 - Hosts: 209.67.209.50 test3201.winmx.com test3203.winmx.com test3205.winmx.com test3207.winmx.com
O1 - Hosts: 82.43.224.20 test3202.winmx.com test3204.winmx.com test3206.winmx.com test3208.winmx.com
O1 - Hosts: 209.67.209.50 c3310.z1301.winmx.com c3310.z1302.winmx.com c3310.z1303.winmx.com c3310.z1304.winmx.com c3310.z1305.winmx.com c3310.z1306.winmx.com c3312.z1301.winmx.com c3312.z1302.winmx.com c3312.z1303.winmx.com c3312.z1304.winmx.com c3312.z1305.winmx.com c3312.z1306.winmx.com c3314.z1301.winmx.com c3314.z1302.winmx.com c3314.z1303.winmx.com c3314.z1304.winmx.com c3314.z1305.winmx.com c3314.z1306.winmx.com c3316.z1301.winmx.com c3316.z1302.winmx.com c3316.z1303.winmx.com c3316.z1304.winmx.com c3316.z1305.winmx.com c3316.z1306.winmx.com c3318.z1301.winmx.com c3318.z1302.winmx.com c3318.z1303.winmx.com c3318.z1304.winmx.com c3318.z1305.winmx.com c3318.z1306.winmx.com
O1 - Hosts: 212.227.64.159 c3313.z1301.winmx.com c3313.z1302.winmx.com c3313.z1303.winmx.com c3313.z1304.winmx.com c3313.z1305.winmx.com c3313.z1306.winmx.com c3317.z1301.winmx.com c3317.z1302.winmx.com c3317.z1303.winmx.com c3317.z1304.winmx.com c3317.z1305.winmx.com c3317.z1306.winmx.com
O1 - Hosts: 82.195.155.5 c3311.z1301.winmx.com c3311.z1302.winmx.com c3311.z1303.winmx.com c3311.z1304.winmx.com c3311.z1305.winmx.com c3311.z1306.winmx.com c3315.z1301.winmx.com c3315.z1302.winmx.com c3315.z1303.winmx.com c3315.z1304.winmx.com c3315.z1305.winmx.com c3315.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3319.z1301.winmx.com c3319.z1302.winmx.com c3319.z1303.winmx.com c3319.z1304.winmx.com c3319.z1305.winmx.com c3319.z1306.winmx.com
O1 - Hosts: 209.67.209.50 c3520.z1301.winmx.com c3520.z1302.winmx.com c3520.z1303.winmx.com c3520.z1304.winmx.com c3520.z1305.winmx.com c3520.z1306.winmx.com c3522.z1301.winmx.com c3522.z1302.winmx.com c3522.z1303.winmx.com c3522.z1304.winmx.com c3522.z1305.winmx.com c3522.z1306.winmx.com c3524.z1301.winmx.com c3524.z1302.winmx.com c3524.z1303.winmx.com c3524.z1304.winmx.com c3524.z1305.winmx.com c3524.z1306.winmx.com c3526.z1301.winmx.com c3526.z1302.winmx.com c3526.z1303.winmx.com c3526.z1304.winmx.com c3526.z1305.winmx.com c3526.z1306.winmx.com c3528.z1301.winmx.com c3528.z1302.winmx.com c3528.z1303.winmx.com c3528.z1304.winmx.com c3528.z1305.winmx.com c3528.z1306.winmx.com
O1 - Hosts: 212.227.64.159 c3523.z1301.winmx.com c3523.z1302.winmx.com c3523.z1303.winmx.com c3523.z1304.winmx.com c3523.z1305.winmx.com c3523.z1306.winmx.com c3527.z1301.winmx.com c3527.z1302.winmx.com c3527.z1303.winmx.com c3527.z1304.winmx.com c3527.z1305.winmx.com c3527.z1306.winmx.com
O1 - Hosts: 82.195.155.5 c3521.z1301.winmx.com c3521.z1302.winmx.com c3521.z1303.winmx.com c3521.z1304.winmx.com c3521.z1305.winmx.com c3521.z1306.winmx.com c3525.z1301.winmx.com c3525.z1302.winmx.com c3525.z1303.winmx.com c3525.z1304.winmx.com c3525.z1305.winmx.com c3525.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3529.z1301.winmx.com c3529.z1302.winmx.com c3529.z1303.winmx.com c3529.z1304.winmx.com c3529.z1305.winmx.com c3529.z1306.winmx.com
O2 - BHO: (no name) - {15761ae4-588d-4016-b784-59874f2a65be} - C:\WINDOWS\system32\bosurezo.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programmi\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [awxDTools] rundll32 C:\PROGRA~1\arniWORX\AWXDTO~1\awxDTools.dll,awxRegisterDll /r /s
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programmi\SigmaTel\Driver audio di SigmaTel AC97\stacmon.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Programmi\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TouchED] C:\Programmi\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [PWRISOVM.EXE] H:\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [CPM47e597a1] Rundll32.exe "c:\windows\system32\lijuhidi.dll",a
O4 - HKLM\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s
O4 - HKLM\..\Run: [44d6a43d] rundll32.exe "C:\WINDOWS\system32\wukoraga.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO DI RETE')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Nod32.bat
O4 - Global Startup: Reboot.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Salva oggetto con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Salva tutti gli oggetti con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Save Flash - res://C:\Programmi\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Programmi\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{890B8D8A-80F9-499B-BB61-0E413CEFB07B}: NameServer = 80.17.212.208,151.99.125.1
O20 - AppInit_DLLs: c:\windows\system32\divimuvo.dll c:\windows\system32\monigula.dll c:\windows\system32\latavija.dll c:\windows\system32\jamamafo.dll C:\WINDOWS\system32\towefuzu.dll c:\windows\system32\raromozo.dll c:\windows\system32\mifolole.dll c:\windows\system32\lijuhidi.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\lijuhidi.dll (file missing)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\lijuhidi.dll (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 12282 bytes

Faccio l'analisi sul sito ed immagino di dover fixare le seguenti voci:

O2 - BHO: (no name) - {15761ae4-588d-4016-b784-59874f2a65be} - C:\WINDOWS\system32\bosurezo.dll

O4 - HKLM\..\Run: [CPM47e597a1] Rundll32.exe "c:\windows\system32\lijuhidi.dll",a

O4 - HKLM\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s

O4 - HKLM\..\Run: [44d6a43d] rundll32.exe "C:\WINDOWS\system32\wukoraga.dll",b

O4 - HKUS\S-1-5-19\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO DI RETE')

O20 - AppInit_DLLs: c:\windows\system32\divimuvo.dll c:\windows\system32\monigula.dll c:\windows\system32\latavija.dll c:\windows\system32\jamamafo.dll C:\WINDOWS\system32\towefuzu.dll c:\windows\system32\raromozo.dll c:\windows\system32\mifolole.dll c:\windows\system32\lijuhidi.dll

O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\lijuhidi.dll (file missing)

O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\lijuhidi.dll (file missing)

Suggerimenti?

elimina tutti gli 01 host inerenti a winmx

poi

O2 - BHO: (no name) - {15761ae4-588d-4016-b784-59874f2a65be} - C:\WINDOWS\system32\bosurezo.dll

O4 - HKLM\..\Run: [44d6a43d] rundll32.exe "C:\WINDOWS\system32\wukoraga.dll",b

O4 - HKLM\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s

O4 - HKLM\..\Run: [CPM47e597a1] Rundll32.exe "c:\windows\system32\lijuhidi.dll",a

O4 - HKUS\S-1-5-19\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO DI RETE')


O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\lijuhidi.dll (file missing)

O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\lijuhidi.dll (file missing)


poi sempre in provvisoria fai scansioni con antivirus ancora antispy e pulisci bene il disco poi rifai una volta fatto tutto un nuovo log

Ecco il nuovo log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.32.20, on 15/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\Programmi\SigmaTel\Driver audio di SigmaTel AC97\stacmon.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\ltmoh\Ltmoh.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\00THotkey.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\TOSHIBA\TouchED\TouchED.Exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Documents and Settings\Alessandro\Documenti\+PROGRAMMI\Hijackthis\hijackthis 2.0.2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {15761ae4-588d-4016-b784-59874f2a65be} - C:\WINDOWS\system32\bosurezo.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programmi\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [awxDTools] rundll32 C:\PROGRA~1\arniWORX\AWXDTO~1\awxDTools.dll,awxRegisterDll /r /s
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programmi\SigmaTel\Driver audio di SigmaTel AC97\stacmon.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Programmi\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TouchED] C:\Programmi\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [PWRISOVM.EXE] H:\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\kegezadu.dll",s
O4 - HKLM\..\Run: [44d6a43d] rundll32.exe "C:\WINDOWS\system32\wukoraga.dll",b
O4 - HKLM\..\Run: [CPM47e597a1] Rundll32.exe "c:\windows\system32\jokigaju.dll",a
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO DI RETE')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Nod32.bat
O4 - Global Startup: Reboot.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Salva oggetto con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Salva tutti gli oggetti con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Save Flash - res://C:\Programmi\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Programmi\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{890B8D8A-80F9-499B-BB61-0E413CEFB07B}: NameServer = 80.17.212.208,151.99.125.1
O20 - AppInit_DLLs: c:\windows\system32\divimuvo.dll c:\windows\system32\monigula.dll c:\windows\system32\latavija.dll c:\windows\system32\jamamafo.dll C:\WINDOWS\system32\towefuzu.dll c:\windows\system32\raromozo.dll c:\windows\system32\mifolole.dll c:\windows\system32\lijuhidi.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - (no file)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 8997 bytes

SICUREZZA e RETI

Per questioni di spazio e ordine, occorre evitare di postare sistematicamente (ad ogni minimo e infondato sospetto, rallentamento o solo per sicurezza) lunghi resoconti (log) del noto programma HiJackThis, allo scopo di chiedere ad altri utenti un'interpretazione dello stesso.
Esiste un apposito sito in cui copia-incollare il proprio log e riceverne una valida analisi, per chi non conosce processi e componenti di sistema o non è in grado di interpretarli correttamente, e gli utenti sono incoraggiati ad usarlo.

Successivamente, sono altresì consentiti commenti e richieste di chiarimenti specifici su voci dubbie o controverse, o che hanno dato risultato di allerta (per esempio, un processo del tutto sconosciuto, un virus o presunto tale), copia-incollando solo la parte specifica e non l'intero log.

Grazie

allora togli

O2 - BHO: (no name) - {15761ae4-588d-4016-b784-59874f2a65be} - C:\WINDOWS\system32\bosurezo.dll (file missing)

O4 - HKLM\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\kegezadu.dll",s

O4 - HKLM\..\Run: [44d6a43d] rundll32.exe "C:\WINDOWS\system32\wukoraga.dll",b

O4 - HKLM\..\Run: [CPM47e597a1] Rundll32.exe "c:\windows\system32\jokigaju.dll",a

O4 - HKUS\S-1-5-19\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO DI RETE')

O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - (no file)

fai una cosa

vai qua e dopo averli cercati prima sul tuo pc inserisci :

a)muwatibi.dll

b)wukoraga.dll

c)jokigaju.dll

d)kegezadu.dll

aspetti che ti esca il report e se esce che è un virus prendi il nome dei virus e me li scrivi

Ho provato subito a fare una ricerca dei file tramite la funzione, questo è ciò che viene fuori:

Kegezadu.dll C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\Virtumondeprx25.zip
kegazadu.dll_old C:\WINDOWS\System32

jokigaju.dll C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\Virtumondeprx55.zip

wokogara.dll C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\Virtumondeprx37.zip

muwatibi.dll C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\Virtumondeprx34.zip

come vedi, quelli che mi avevi detto di cercare si trovano all'interno di un file zip quindi non riesco ad inserirli nel sito per l'analisi...

Piu' che un malware mi pare una giungla di robaccia...

Ciao

L'avevamo notato...

Alex03, 15/12/2008 22.01:

---

Ho provato subito a fare una ricerca dei file tramite la funzione, questo è ciò che viene fuori:

Kegezadu.dll C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\Virtumondeprx25.zip
kegazadu.dll_old C:\WINDOWS\System32

jokigaju.dll C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\Virtumondeprx55.zip

wokogara.dll C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\Virtumondeprx37.zip

muwatibi.dll C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\Virtumondeprx34.zip

come vedi, quelli che mi avevi detto di cercare si trovano all'interno di un file zip quindi non riesco ad inserirli nel sito per l'analisi...

---

vai su spybot->ripristina->dovrebbero uscirti quei nomi->elimina definitivamente voci selezione(ovviamente prima di schiacciarlo devi spuntare le voci)

il problema è Virtumondeprx ossia "Virtumonde.prx is a generic detection for trojans that can download and install rogue security application on computers. It can also modify internet browser default homepage."

questo è un grandissimo rompic...

consigliato questo software

Malwarebytes Anti-Malware

da usare dopo averlo aggiornato in modalità provvisoria

poi vai sempre sul cerca del pc e trovi e cancella Virtumonde.prx

qua
hai dove si mette nel registro (togli tutte le voci che trovi sul tuo registro indicate nel link)

è molto tosto devi aver pazienza

In ripristina di Spybot trovo: Microsoft.WindowsSecurityCenter.FirewallBypass, Win32.Dialer.aeh,Virtumonde,Virtumonde.prx,Win32.Bifrose.LA. Cancello tutto?

Come si fà l'aggiornamento di Malwarebytes in modalità provvisoria?

La parte relativa al registro: quelle contrassegnate con HKEY_LOCAL, HKEY_USERS e HKEY_CLASSESS devo andare a cercarle nel registro seguendo il percorso indicato mentre la parte finale, quelli scritti dopo "The program also..." si trovano nell'HD? Tutto questo in modalità provvisoria oppure posso farlo in modalità normale?

Alex03, 19/12/2008 19.27:

---

In ripristina di Spybot trovo: Microsoft.WindowsSecurityCenter.FirewallBypass, Win32.Dialer.aeh,Virtumonde,Virtumonde.prx,Win32.Bifrose.LA. Cancello tutto?

Come si fà l'aggiornamento di Malwarebytes in modalità provvisoria?

La parte relativa al registro: quelle contrassegnate con HKEY_LOCAL, HKEY_USERS e HKEY_CLASSESS devo andare a cercarle nel registro seguendo il percorso indicato mentre la parte finale, quelli scritti dopo "The program also..." si trovano nell'HD? Tutto questo in modalità provvisoria oppure posso farlo in modalità normale?

---

---

Spybot trovo: Microsoft.WindowsSecurityCenter.FirewallBypass, Win32.Dialer.aeh,Virtumonde,Virtumonde.prx,Win32.Bifrose.LA. Cancello tutto?

---

certo

---

Come si fà l'aggiornamento di Malwarebytes in modalità provvisoria?

---

quando vai in mod provvisoria usa l'opzione connesso alla rete( ma fai prima aad aggiornarlo da mod normale e poi usarlo già aggiornato in mod provvisoria)

---

La parte relativa al registro: quelle contrassegnate con HKEY_LOCAL, HKEY_USERS e HKEY_CLASSESS devo andare a cercarle nel registro seguendo il percorso indicato mentre la parte finale, quelli scritti dopo "The program also..." si trovano nell'HD? Tutto questo in modalità provvisoria oppure posso farlo in modalità normale?

---

esatto e fallo da modalità normale

Ultima cosa poi parto all'attacco... ho installato ed aggiornato Malwarebytes Anti-Malware però ogni volta che riavvio Spybot S&D mi segnala questa cosa:



che devo fare?

Alex03, 25/12/2008 16.10:

---

Ultima cosa poi parto all'attacco... ho installato ed aggiornato Malwarebytes Anti-Malware però ogni volta che riavvio Spybot S&D mi segnala questa cosa:



che devo fare?

---

elimina immediatamente il tea-time è una gran cazzata

...è anche una gran rottura!!!
Il Tea Time sarebbe l'applicazione che segnala qualsiasi intrusione, buona o cattiva? Sarebbe quello con il simbolo del lucchetto vicino all'orologio...come si elimina?

MODIFICA->MOD AVANZATA->UTILITà->RESIDENT->DISATTIVA TEA-TIME

Grazie, provvedo subito e poi provo a fare la pulizia!

Alex03, 26/12/2008 1.01:

---

Grazie, provvedo subito e poi provo a fare la pulizia!

---

aspetto le news

Sono riuscito a rimettere mano su questa cosa! Ho fatto in ordine cronologico:
-aggiornamento di Spybot e Malwarebytes e relativa scansione prima con spybot (da cui ho cancellato tutte le voci della sezione ripristina) e poi con Malwarebytes in modalità provvisoria.
In modalità ordinaria:
-cerca Virtumonde.prx su disco fisso con esito negativo
-cerca di muwatibi.dll, wukoraga.dll, jokigaju.dll, kegezadu.dll su disco fisso con esito negativo.
Però ho trovato kegezadu.dll_old (C:\WINDOWS\system32), questa è l'analisi su virustotal:

a-squared 4.0.0.101 2009.03.27 Packed.Win32.Mondera!IK
AhnLab-V3 5.0.0.2 2009.03.27 -
AntiVir 7.9.0.129 2009.03.27 TR/Vundo.Gen
Antiy-AVL 2.0.3.1 2009.03.27 Packed/Win32.Mondera
Authentium 5.1.2.4 2009.03.27 W32/Vundo.A!Generic
Avast 4.8.1335.0 2009.03.26 Win32:Trojan-gen {Other}
AVG 8.5.0.283 2009.03.27 Vundo.BZ
BitDefender 7.2 2009.03.27 Gen:Trojan.Heur.Vundo.306D928282
CAT-QuickHeal 10.00 2009.03.26 Win32.Packed.Mondera.b.5
ClamAV 0.94.1 2009.03.27 Trojan.Spy-58747
Comodo 1086 2009.03.27 -
DrWeb 4.44.0.09170 2009.03.27 Trojan.DownLoad.12946
eSafe 7.0.17.0 2009.03.26 Suspicious File
eTrust-Vet 31.6.6420 2009.03.27 Win32/Vundo.BNP
F-Prot 4.4.4.56 2009.03.26 W32/Vundo.A!Generic
F-Secure 8.0.14470.0 2009.03.27 Packed.Win32.Mondera.b
Fortinet 3.117.0.0 2009.03.27 -
GData 19 2009.03.27 Gen:Trojan.Heur.Vundo.306D928282
Ikarus T3.1.1.48.0 2009.03.27 Packed.Win32.Mondera
K7AntiVirus 7.10.683 2009.03.27 -
Kaspersky 7.0.0.125 2009.03.27 Packed.Win32.Mondera.b
McAfee 5565 2009.03.26 Vundo.gen.q
McAfee+Artemis 5565 2009.03.26 Vundo.gen.q
McAfee-GW-Edition 6.7.6 2009.03.27 Trojan.Vundo.Gen
Microsoft 1.4502 2009.03.27 Trojan:Win32/Vundo.gen!AH
NOD32 3969 2009.03.27 a variant of Win32/Adware.Virtumonde.NDN
Norman 6.00.06 2009.03.27 W32/Virtumonde.AGNU
nProtect 2009.1.8.0 2009.03.27 Trojan-PWS/W32.WebGame.65132.B
Panda 10.0.0.10 2009.03.27 -
PCTools 4.4.2.0 2009.03.27 -
Prevx1 V2 2009.03.27 Medium Risk Malware
Rising 21.22.41.00 2009.03.27 Trojan.Win32.VUNDO.bym
Sophos 4.40.0 2009.03.27 Troj/Virtum-Gen
Sunbelt 3.2.1858.2 2009.03.26 Virtumonde
Symantec 1.4.4.12 2009.03.27 Trojan.Vundo
TheHacker 6.3.3.7.292 2009.03.26 -
TrendMicro 8.700.0.1004 2009.03.27 Mal_Vundo11
VBA32 3.12.10.1 2009.03.26 -
ViRobot 2009.3.27.1666 2009.03.27 -
Informazioni addizionali
File size: 65315 bytes
MD5...: 0dcd9f375e26e15802755b697e9f60f8
SHA1..: 044a279f61653e72a70bed3cbae272e163b93f71
SHA256: 66252a432a7d58f028964cecd70be55d7de0af08142907a9e93b2e7cab0ce362
SHA512: 2706544aba60f3290b75809adddc9db3d395502ba966bf5881a788f6f933fb37
533e6ee67ec668cfe0dcf926f9822067eded3a42a4a43185529fd7d1a3a011eb
ssdeep: 1536:9gmD9lPUtdXXQPS2eBMmDboEsd5qIKP6LbKZ:9gmJNSiPWBZ3QAIKP66Z
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x107c
timedatestamp.....: 0x3b7dfe99 (Sat Aug 18 05:35:21 2001)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x5405 0x5600 7.88 2d92eb06bbbbe37b9ac77c3880f4aab2
.rdata 0x7000 0x681b 0x6a00 7.88 654e5f5c1b621853cf5ca038b4a999c3
.data 0xe000 0x2fd0 0x2a00 7.97 82037360956d0cf3cfaf6030670fd432
.rsrc 0x11000 0x410 0x600 2.46 cc50c25956a152a140858ad7769718e9
.reloc 0x12000 0xb97b 0xa00 0.74 cba707946139aa82ea6dd6c2687a5361

( 4 imports )
> user32.dll: ToAscii, FillRect
> KERNEL32.dll: LoadLibraryW, SetHandleCount, ExitProcess, FreeEnvironmentStringsW, GetACP, GetEnvironmentStringsA, GetTimeZoneInformation, GetUserDefaultLCID, LocalFree
> advapi32.dll: RegSetValueExW, RegCloseKey
> comdlg32.dll: GetOpenFileNameW, GetFileTitleW

( 0 exports )
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=19F9D12223E8B227FFA800E92FDC2B009D814F47' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=19F9D12223E8B227FFA800E92FDC2B009D814F47</a>

Poi passo al registro:
delle prime due righe e cioè
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"WindowsUpd" = "[ADWARE FILENAME]"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"SysUpd" = "[ADWARE FILENAME]"
non ho capito cosa cercare, anche se "ad occhio" non mi sembra ci siano voci da eliminare (a parte la riga con /r /s). Qui c'è l'immagine del tutto:

http://img21.imageshack.us/my.php?image=senzatitolo1bmj.jpg

per i file da cercare quelli dell'ultima parte con il contrassegno "%" non li ho trovati sul disco fisso

le voci da cancellare sono descritte qua

Mi ero dimenticato di scrivere il risultato dell'ultima ricerca... non ho trovato le voci nel registro e, considerando che il pc non mi ha più dato problemi, ho pensato che il problema fosse risolto sopratutto grazie all'utilizzo di Malwarebytes.
Ora, a distanza di diverso tempo ho pensato di rifare la scansione con hijackthis giusto per controllare la situazione e vedo che roba tipo raromozo.dll, lijuhidi.dll, muwatibi.dll",s sono ancora lì...posso postare il logfile per dargli un'occhiata?