intanto grazie per la risposta precedente, riassumo quello che ho fatto :
svchost.exe e' un processo di sistema...
C:\WINNT\TEMP\z€nmaa.exe l'ho rimosso con hijackthis ed e' prorio il dialer, nel frattempo se ne e' creato un'altro con un'altro nome
C:\WINNT\System32\WBEM\WinMgmt.exe ho cercato su google e viene descritto sul sito della microsoft per cui reputo sia un componente di w2k ...
ho rimosso un antivirus, adesso ne ho solo uno di attivo (nod32)
l'aggiornamento di adobe lo faro' non appena risolvo il problema del dialer (anche perche' farmi gli aggiornamenti in connessione col modem e' un po' lunghino ...)
idem per il passaggio di w2k a SP4.
ho eliminato anche il servizio 'indiziato come sospetto' con nome random di cui parlavo nel primo intervento, ma niente da fare : alla prima connessione internet, dopo un po', riemerge il bastardo di dialer ...
ri-posto log hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 20.52.34, on 07/02/2007
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
c:\winnt\system32\winlogon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\LTSMMSG.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\Programmi\Skype\Plugin Manager\SkypePM.exe
C:\WINNT\TEMP\zcziba.exe
C:\WINNT\system32\taskmgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=hom e
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [zcziba.exe] C:\WINNT\TEMP\zcziba.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C48A176-FADF-4369-86F7-81E2D749C5D5}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4CE8F8C-B108-4DFA-924D-EE5541B4B873}: NameServer = 192.168.253.12
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
il zcziba.exe che vedi e' il nuovo nome che ha preso il virus un volta che l'ho cancellato.
altre idee ? suggerimenti ? o sono costretto al suicidio (leggi riformattare...) ?!?!
grazie,ciao
ste
Rispondi quotando