lo controllo e ti faccio sapere.

edit:

Questa connessione è tua?
gsa_00967_Connection PhoneNumber=89919XXXX
e controlla le altre...

Copia su file txt queste indicazioni

Scarica Avenger, SmitfraudFix, CCleaner e disconnetti il pc da internet (cerca di non riconnetterti fino a fine procedura)

Crea una nuova cartella in c:\ e chiamala pippo

Apri il blocco note e nella pagina copia/incolla:

Windows Registry Editor Version 5.00

[-HKCR\CLSID\{BA44CBC8-E16A-4F36-B066-4D75699E171D}]

[-HKCR\CLSID\{BBEEBE4F-3EDA-40F4-A0AB-87593EE49C56}]

[-HKCR\CLSID\{A5693AF6-FF5B-4F63-9A0E-4F22D7E511B7}]
salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file


Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\iiffDUlM.dll
C:\WINDOWS\system32\wvUnMeDS.dll
C:\WINDOWS\system32\SAKjlUvw.ini2
C:\WINDOWS\system32\SAKjlUvw.ini
C:\WINDOWS\system32\XHgPoUvw.ini2
C:\WINDOWS\system32\XHgPoUvw.ini
C:\WINDOWS\system32\mpVvDJlm.ini2
C:\WINDOWS\system32\mpVvDJlm.ini
C:\WINDOWS\system32\mTtAaccf.ini2
C:\WINDOWS\system32\mTtAaccf.ini
C:\WINDOWS\system32\UvvDdMoq.ini2
C:\WINDOWS\system32\UvvDdMoq.ini
C:\WINDOWS\system32\gOprtvut.ini2
C:\WINDOWS\system32\gOprtvut.ini
C:\WINDOWS\system32\QqtuDJlm.ini2
C:\WINDOWS\system32\QqtuDJlm.ini
C:\WINDOWS\system32\AyyHNqss.ini2
C:\WINDOWS\system32\AyyHNqss.ini
C:\WINDOWS\system32\mnoXyccf.ini2
C:\WINDOWS\system32\mnoXyccf.ini
C:\WINDOWS\system32\EgMWDJlm.ini2
C:\WINDOWS\system32\EgMWDJlm.ini
C:\WINDOWS\system32\OYcbcMoq.ini2
C:\WINDOWS\system32\OYcbcMoq.ini
C:\WINDOWS\system32\TuxIknnn.ini2
C:\WINDOWS\system32\TuxIknnn.ini
C:\WINDOWS\system32\kjTBLnmp.ini2
C:\WINDOWS\system32\kjTBLnmp.ini
C:\WINDOWS\system32\hiSuCcfe.ini2
C:\WINDOWS\system32\hiSuCcfe.ini
C:\WINDOWS\system32\MlUDffii.ini2
C:\WINDOWS\system32\MlUDffii.ini
C:\WINDOWS\system32\winview8x.dll
C:\WINDOWS\system32\syscheck32.dll
C:\WINDOWS\system32\apiview2.dll

folders to delete:
C:\found.000

files to move:
C:\WINDOWS\tasks\ejswcc.job | c:\pippo\ejswcc.job

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks | {BA44CBC8-E16A-4F36-B066-4D75699E171D}

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvUnMeDS
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{BA44CBC8-E16A-4F36-B066-4D75699E171D}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{A5693AF6-FF5B-4F63-9A0E-4F22D7E511B7}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{BBEEBE4F-3EDA-40F4-A0AB-87593EE49C56}

programs to launch on reboot:
c:\fix.reg
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).

Da hijackthis fixa (se ancora presenti):

(se non ti appartine) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:// www . nerooo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {A5693AF6-FF5B-4F63-9A0E-4F22D7E511B7} - C:\WINDOWS\system32\iiffDUlM.dll (file missing)
O2 - BHO: (no name) - {BA44CBC8-E16A-4F36-B066-4D75699E171D} - C:\WINDOWS\system32\wvUnMeDS.dll
O2 - BHO: BhoApp Class - {BBEEBE4F-3EDA-40F4-A0AB-87593EE49C56} - C:\WINDOWS\system32\apiview2.dll
O20 - Winlogon Notify: wvUnMeDS - C:\WINDOWS\SYSTEM32\wvUnMeDS.dll
Sempre da hijackthis, clicca su "Open the Misc Tools section" - "Open ADS Spy" - "Scan". Se rileva ADS spunta voci e clicca su "remove selected".

entra in modalità provvisoria (*) ed esegui SmitfraudFix.
Seleziona l'opzione 2 (Clean) e premi invio (elimina i file infetti). Alla domanda "Registry cleaning - Do you want to clean the registry ?" digita "Y" e dai l'invio.
Il computer si riavviera' per completare il processo di pulizia (altrimenti riavvialo tu in modalita' normale). Sul desktop verra' visualizzato un file di testo con risultati che dovrai postare.

Posta un nuovo rapporto di systemscan, quello di SmitfraudFix e il rapporto di avenger



(*) Per entrare in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows
=> scegli modalità provvisoria (usa il tasto freccia ^).

Ciao