come eliminare Win32/TrojanDownloader.Small.ASD

[fenomenov]

Vi prego aiutatemi, sto come il pazzo, non riesco a togliere questo trojano di merd.

Ecco quello che ho io:
Pentium 4 1000 mhz
Xp service pack 2 con firewall attivato.
Antivirus Nod 32 Aggiornato all'ultima versione
Spyware Blaster
Spybot-Search & Destroy
Lavasoft Ad.Aware
Trojan Remover.

Allora ecco cosa fa il virus:

Appena accendo il computer Nod 32 mi trova questo virus:

Win32/TrojanDownloader.Small.ASD cavallo di trovia
e mi dice che mi ha infettato:
C:/Document and Setting/Computer01/rundl32.exe

Provo a cancellarlo con nod 32, ma al prossimo avvio mi riesce di nuovo il virus.
Altro problema che mi esce quando avvio il computer, oltre al nod32 che mi da il virus, mi esce anche una finesta "Errore nello script di Internet Explorer" e dentor la finestra c'èà scritto:
Errore nello script della pagina.
Linea 161
Carattere 1
Errore Proprietà o metodo non supportati dall'Oggetto "MSplay.run"
Codice 0
URL file://......./Esecuzione automatica/Windows Update.hta
E mi chiede se continuare lo script o no.
Io chiudo la finestra, si apre di nuovo, la chiudo due volte e poi non esce più.

Però al prossimo avvio, mi esce sia la finestra che nod32 che ha trovato il trojan.


Ecco i miei procedimenti:
Ho tolto il ripristino di sistema, sono andato nella modalità provvisoria:

1. Scansione con nod32, mi trova il file, lo cancella, ma al prossimo riavvio mi ritorna.
2. Trojan Remover non lo trova proprio.
3. Si spybot, adaware non me lo trovano.

Ho provato con delle ricerche e qualcuno mi ha detto che questo trojano fa parte del virus beagle, ho scaricato dei fixtool per togliere beagle, ma nulla, non me lo trovano.

Praticamente con tutto quello che ho usato, alla fine solo nod32 me lo trova, ma non me lo sa togliere.



Mi aiutate per favore?

Conto su di voi!

 

[Gianbi]

L'unico aiuto che ti riesco a dare io, è provare questo antitrojan, è molto buono ma non so se può risolvere il tuo problema!

http://www.ewido.net/en/

E' freeware (shareware solo per la parte real time!)

CIAO
e facci sapere!

 

[Fragolino]

Molto efficace il Nod32 .... :shutup:

Prova a leggere quì se ti può aiutare :

http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?ID=38758

Nello stesso link puoi anche approfondire la ricerche ... :nod:

 

[Gothic]

Questo virus è odiosissimo.
Guardate come si chiama il file infetto : rundl32.exe
Non vi sembra un po' simile a rundll32.exe che è un file dell'OS.
Tempo fa mi stava per fregare..
Io uso Antivir PE Classic e me l'ha rilevato subito.

Questo virus si ricrea ad ogni riavvio se nn trovi il file madre.

 

[Gothic]

Se no fai così

N.B. Prima della rimozione fare il backup del registro. Riavviamo in Modalità provvisoria (premendo il tasto F8 al caricamento del sistema), entriamo nella Task (Ctrl+Alt+Canc nei sistemi operativi 9x e ME o Ctrl+Shift+Esc nei sistemi operativi NT, 2000 e XP), e terminiamo, se presente, l'applicazione RUNDL32.EXE aggiunta dal trojan.Chiudiamo la Task. Cerchiamo ed eliminiamo (anche dal cestino) i files:

Portarsi in

Start>Esegui scrivere regedit e dare l'OK, per poterci portare nella chiava "Run" dobbiamo cliccare sui + di

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run

cliccare sulla cartellina gialla della chiave "Run", nella finestra di dx cliccare di dx sul valore aggiunto (sotto la colonna "Dati" si avrà la directory relativa il proprio sistema operativo) da TROJ_DELF.GB e successivamente su Elimina.

rundelfgb

elimina

Riavviare il computer.

Fare una scansione, sempre dalla modalità provvisoria, con l'antivirus aggiornato. Riavviare in modalità normale. N.B. Prima della procedura di rimozione ricordarsi che su sistemi operativi WinME e WinXP si consiglia di disabilitare il Ripristino di configurazione del sistema (System Restore). Procedure per il Ripristino di configurazione del sistema: Su Sistemi Operativi WinME: Click su Start, da Impostazioni click su Pannello di Controllo, doppio click su Sistema e cliccate sulla scheda Prestazioni. Click su File System quindi sulla scheda Risoluzione dei problemi e selezionate Disattiva ripristino configurazione di sistema, date OK quindi cliccate su Chiudi, vi verrà chiesto di riavviare il computer. Su Sistemi Operativi WinXP: Click su Start, click con il tasto dx del mouse su Risorse del Computer poi su Proprietà. Click sulla scheda Ripristino configurazione di sistema mettere la spunta su Disattiva Ripristino configurazione di sistema o su Disattiva Ripristino configurazione di sistema su tutte le unità, click su Applica click su Sì e poi su OK, riavviare. N.B. Terminata la rimozione del virus, riattivare il Ripristino di configurazione del sistema.

 

[fenomenov]

Gothic stasera provo e po ti faccio sapere se ci sono riuscito, intanto grazie

 

[Charlie90]

Quoto tutto ciò ke ha detto Gothic...infatti il prob è ke sono dei virus caxxoni,che anche se li cancelli,dopo aver riavviato la macchina,si ricreano.....il prob nasce dal registro di sistema....!!

 

[Gothic]

Gothic stasera provo e po ti faccio sapere se ci sono riuscito, intanto grazie

Ok. Di niente ;)

 

[fenomenov]

Gothic ho fatto tutto quello che dicevi tu, nel regedit non ho trovato le voci che mi hai detto tu, c'era qualcosa simile l'ho cancellato ma niente.
La cosa strana è che quando parto in modalità provvisoria, nella task non mi trovo il rundl32.exe ed infatti il nod32 in modalità provvisoria non mi trova nessun virus, quando parto invece in modalità normale all'avvio nod32 mi trova il virus, prima di cancellarlo, vedo nella task e ci trovo rundl32.exe, termino l'applicazione, e cancello il virus. Ma al prossimo avvio sto bastardo esce ancora.grrrrrrrrr

 

[Carlo4]

scusa fenomenov ma prima di eliminare il virus all'avvio,hai controllato il registro di configurazione(msconfig da esegui) nella scheda "avvio" e visto che non ci sia qualche strana voce?

 

[fenomenov]

ho installato HijackThis, come ho letto nel forum, ed ecco il log che me ne esce prima di cancellare il virus con nod32, poi sotto rimetto un altro log, che ho fatto dopo aver cancellato il virus.


prima di cancellare virus ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::


Logfile of HijackThis v1.99.1
Scan saved at 11.33.03, on 27/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\CAPRPCSK.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\languard.exe
C:\WINDOWS\wavdriver.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\System32\mshta.exe
C:\HJThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [LanGuard] "C:\WINDOWS\languard.exe"
O4 - HKLM\..\Run: [wavdriver] "C:\WINDOWS\wavdriver.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Finestra di stato di Canon LBP-800.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Windows Update.hta
O8 - Extra context menu item: &AIM Search - res://C:\Programmi\AIM Toolbar\AIMBar.dll/aimsearch.htm
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Programmi\AWS\WeatherBug\Weather.exe (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{2532F6C1-F4F6-4D7A-9428-6C826A2A2E36}: NameServer = 213.140.2.43,213.140.2.49
O17 - HKLM\System\CS1\Services\Tcpip\..\{2532F6C1-F4F6-4D7A-9428-6C826A2A2E36}: NameServer = 213.140.2.43,213.140.2.49
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

 

[fenomenov]

dopo aver cancellato il virus ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Logfile of HijackThis v1.99.1
Scan saved at 11.36.24, on 27/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\CAPRPCSK.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\languard.exe
C:\WINDOWS\wavdriver.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\System32\mshta.exe
C:\HJThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [LanGuard] "C:\WINDOWS\languard.exe"
O4 - HKLM\..\Run: [wavdriver] "C:\WINDOWS\wavdriver.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Finestra di stato di Canon LBP-800.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Windows Update.hta
O8 - Extra context menu item: &AIM Search - res://C:\Programmi\AIM Toolbar\AIMBar.dll/aimsearch.htm
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Programmi\AWS\WeatherBug\Weather.exe (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{2532F6C1-F4F6-4D7A-9428-6C826A2A2E36}: NameServer = 213.140.2.43,213.140.2.49
O17 - HKLM\System\CS1\Services\Tcpip\..\{2532F6C1-F4F6-4D7A-9428-6C826A2A2E36}: NameServer = 213.140.2.43,213.140.2.49
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

 

[fenomenov]

Carlo4 ho fatto come dici tu e ci stanno due voci che mi sembrano strane:
la prima è sicuramente rundll32 che mi sa che fa partire subito il virus, e ora la disabilito.

E poi c'è una voce windows update, che sta nell'esecurizione automatica, ed è un file:
Windows Update.hta,
è normale?

 

[Carlo4]

assolutamente mai vista quella voce...

comunque sia insirisci i file di log qui,.....

http://www.hijackthis.de/it

e clicca su analizza....
ti dira' cosa c'e' che non va.....

ciao
ps:ho gia visto che hai diverse cose sospette....

 

[Carlo4]

ho ricontrollato proprio widowsupdate.hta e' uno di quelli sospetti....
fixalo con hijack...
comunque controlla l'analisi dei file di log..mi raccomando...