PDA

Visualizza versione completa : file intruso non so dove si nasconde


katodb
06-09-2004, 16.14.06
Ciao, probabilmente ho scaricato involontariamente qualche applicazione che mi ha dato questi effetti:

nuova pagina di apertura predefinita di internet che non riesco a modificare;

una barra di ricerca (nome search bar) che ritrovo in C:\WINDOWS\Downloaded Program Files ma che mi è impossibile rimuovere perchè condivisa da qualche altra applicazione in esecuzione


Ho già fatto tutti gli antivirus, trojan remover, spybot etc.....devo andarci dal registro?

Grazie ciao

blacksoul
06-09-2004, 18.54.53
Per la rimozione della barra, prova con questo Programma (http://news.swzone.info/link.php?action=h&id=11609)
: io, personalmente, non l'ho mai usato...comunque tentar non nuoce :)

Slith
06-09-2004, 19.31.27
Si direi che ti sei beccato un bello spy...prova ad utilizzare anche ad-aware, se non riesci neanche con quello usa Hijakthis, e posta il risultato...;)

Ciao

Lionsquid
06-09-2004, 19.59.01
usa Hijackthis per rimuovere le porcherie... ;)


e magari completi l'opera con una passata di CWSHREDDER...

katodb
06-09-2004, 20.45.56
Originariamente inviato da Slith
Si direi che ti sei beccato un bello spy...prova ad utilizzare anche ad-aware, se non riesci neanche con quello usa Hijakthis, e posta il risultato...;)

Ciao


ho già provato e mi trova i files di riferimento ma alla prima connessione questi ritornano.....

katodb
06-09-2004, 20.53.08
Logfile of HijackThis v1.94.0
Scan saved at 20.52.41, on 06/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.iwantsearch.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://bb-search.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://www.fastwebfinder.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll
O1 - Hosts: 66.159.20.51 astalavista.box.sk
O2 - BHO: (no name) - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Security\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\System.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\Security\AGV7~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\Security\AGV7~1\avgemc.exe
O4 - HKLM\..\Run: [AVG7_RegCleaner] C:\Security\AGV7~1\avgregcl.exe /BOOT
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

katodb
06-09-2004, 22.00.43
dopo un approfondito scan in mod provvisoria con sweeper, ad aware se, hijackthis,CWSHREDDER sembra tutto a posto.....grazie

Lionsquid
06-09-2004, 23.14.15
Originariamente inviato da katodb
Logfile of HijackThis v1.94.0
Scan saved at 20.52.41, on 06/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.iwantsearch.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://bb-search.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://www.fastwebfinder.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll
O1 - Hosts: 66.159.20.51 astalavista.box.sk
O2 - BHO: (no name) - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Security\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\System.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\Security\AGV7~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\Security\AGV7~1\avgemc.exe
O4 - HKLM\..\Run: [AVG7_RegCleaner] C:\Security\AGV7~1\avgregcl.exe /BOOT
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

il 1° non so cosa sia..nel senso che non credo serva..

il 2° è un dominio non + valido

il 3° e 4° puzzano, e molto!

il 5° (blu) si è perso il file.... và reinstallata la Google toolbar...

il blocco 6° in arancio non conosco ma il [Online Service] C:\WINDOWS\System.exe è da approfondire (non mi sembra esista un SYSTEM.EXE)


PS: in verde... quell'IP NON è di asta... rimuovilo dal file HOSTS e poi mettilo in sola lettura

gmo78
07-12-2005, 13.58.51
Ciao sono nuovo. Anche io ho un problema simile, ma non sono ancora riuscito a risolvere. Ho provato con norton internet security 2005, nod32, spybot, ad aware, etremover (che crasha), xblock e spyhunter. L'ultima scansione fatta con ad aware mi ha dato come spyware eliminato Alexa, invece fino a poco tempo fa norton ogni tanto mi dava l'avviso del trojan Elitebar (ecco perchè avevo scaricato ETRemover). Adesso il problema sussiste. Eccone la descrizione:
Ogni programma che si connette a internet come messenger, explorer, il tool di aggiornamento di norton non riesce a connettersi e impegna la cpu al 100% (senza interessare l'HD).
Altri programmi come emule e l'aggiornamento di ad awareinvece si connettono normalmente (usano una porta diversa). Come posso fare?
Ecco il log:
Logfile of HijackThis v1.99.1
Scan saved at 13.50.35, on 07/12/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\eMule046\emule.exe
C:\Documents and Settings\Gian Marco\Desktop\Antivirus\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AtiPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Motorola Desktop Suite mRouter Config.lnk = C:\Programmi\Intuwave Ltd\Shared\mRouterRunTime\mRouterConfig.exe
O4 - Global Startup: Motorola Desktop Suite.lnk = C:\Programmi\Motorola\Motorola Desktop Suite\DesktopSuite.exe
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programmi\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5046BF77-147B-4707-A3E0-81C934F0AC39}: NameServer = 212.216.112.112,212.216.172.62
O17 - HKLM\System\CCS\Services\Tcpip\..\{6AFCBE1F-6A8D-4574-8815-2F8D6EF9013C}: NameServer = 212.216.112.112,212.216.172.62
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing)

Che abbia trovato un nuovo virus??
Ciaoo!

crazy.cat
07-12-2005, 14.22.54
Originariamente inviato da gmo78
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AtiPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
Che abbia trovato un nuovo virus??
solo per curiosità che scheda video hai?
La prima riga è un Nvidia, la seconda una Ati...

Dal log non si vede niente, magari non è un nuovo virus ma è solo ben nascosto.

Se riesci a scaricare,prendi questi file li metti in una cartella
http://www.trendmicro.com/ftp/products/tsc/sysclean.com
http://www.trendmicro.com/ftp/products/pattern/lpt987.zip
ed estrai il contenuto del zip, poi lanci il sysclean.com e gli fai fare la scansione, meglio se dalla modalità provvisoria.

gmo78
07-12-2005, 22.29.18
Proverò!
La mia scheda è una Ati Radeon 9000, credo che Nvidia sia la scheda audio della mia NF7-S
A scaricare non riesco, ma lo farò con l'altro computer!

gmo78
11-12-2005, 18.42.28
E ti pareva... adesso che forse avevo risolto (ho trovato "alexa related") mi vanno a tagliare la linea ADSL alice per malfunzionamenti telecom!

gmo78
12-12-2005, 10.34.13
Allora i file che vengono attaccati e che occupano la CPU al 100% sono scvhost.exe e explorer.exe, ma anche msmsgs.exe e msimn.exe . NOD32 mi ha visuzlizzato una volta una schermata che aveva bloccato scvhost perchè infetto da poebot.nel (è un trojan). Sto cercando di rimuoverlo ma nessun antivirus o antispy me lo trova (nod32 me lo ha bloccato una volta ma poi non mie lo trova più). Adesso ho appena finito la scansione con The cleaner, ma niente.

gmo78
12-12-2005, 12.25.18
Originariamente inviato da crazy.cat

solo per curiosità che scheda video hai?
La prima riga è un Nvidia, la seconda una Ati...

Dal log non si vede niente, magari non è un nuovo virus ma è solo ben nascosto.

Se riesci a scaricare,prendi questi file li metti in una cartella
http://www.trendmicro.com/ftp/products/tsc/sysclean.com
http://www.trendmicro.com/ftp/products/pattern/lpt987.zip
ed estrai il contenuto del zip, poi lanci il sysclean.com e gli fai fare la scansione, meglio se dalla modalità provvisoria.

Appena fatto. Non ha trovato niente.

Lionsquid
12-12-2005, 12.38.10
Originariamente inviato da gmo78
E ti pareva... adesso che forse avevo risolto (ho trovato "alexa related") mi vanno a tagliare la linea ADSL alice per malfunzionamenti telecom!

"alexa related" non è nulla di preoccupante, è uno spy di M$... può essere ingorato in quanto non è una minaccia per la sicurezza

quanto al comportamento del NOD32 che rileva una volta il poebot.nel e poi più + nulla, mi viene da pensare che sia stato messo fuori combattimente dal virus e pertanto non in grado di rilevarlo

oltre al consiglio di crazy.cat, aggiungerei quello di fare la scansione con il mcafee con scangui, è simile al sysclean ma un pochino + veloce e configurabile

gmo78
12-12-2005, 13.11.47
Sono quasi sicuro che si tratti di una variante di poebot, mi attacca il file explorer.exe, il file msimn.exe (outlook), il file msmsgr.exe e il file scvhost.exeEcco di nuovo il risultato della scansione con hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 12.58.09, on 12/12/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sstray.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\NotifyPhoneBook.exe
C:\Programmi\Intuwave Ltd\Shared\mRouterRunTime\mRouterConfig.exe
C:\Programmi\Motorola\Motorola Desktop Suite\DesktopSuite.exe
C:\Programmi\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
C:\Programmi\Eset\nod32krn.exe
C:\eMule046\emule.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\Gian Marco\Desktop\Antivirus\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AtiPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [tcactive] C:\Programmi\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programmi\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Motorola Desktop Suite mRouter Config.lnk = C:\Programmi\Intuwave Ltd\Shared\mRouterRunTime\mRouterConfig.exe
O4 - Global Startup: Motorola Desktop Suite.lnk = C:\Programmi\Motorola\Motorola Desktop Suite\DesktopSuite.exe
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programmi\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5046BF77-147B-4707-A3E0-81C934F0AC39}: NameServer = 212.216.112.112,212.216.172.62
O17 - HKLM\System\CCS\Services\Tcpip\..\{6AFCBE1F-6A8D-4574-8815-2F8D6EF9013C}: NameServer = 212.216.112.112,212.216.172.62
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing)



Io non ci vedo niente di male. Per precauzione ho anche cercato se ci fosse il sasser (lsass.exe fra i progammi in esecuzione mi ha fatto sospettare)