Dalla provvisoria elimina
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about :NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about :NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {CFBE61AC-CE4E-4D80-BE2D-6259C6BB499B} - C:\WINDOWS\System32\lmnpga.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programmi\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART questo andrebbe levato, anche se collegato a Kazaa è veicolo di Hijacker
O4 - Global Startup: GStartup.lnk = C:\Programmi\File comuni\GMT\GMT.exe questo va levato, ma SOLO dopo essere intervenuti con AdAware, la rimozione della chiave e della cartella potrebbe creare problemi nei parametri di connessione ad internet. Quindi prima d'eliminare il valore e relativa cartella GMT situata in Programmi, dovrai usare AdAware
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\PATH.MHT!http://195.225.176.5//d//llnbfeh//q...m::/painter.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O18 - Filter: text/html - {DCFC038B-3FA1-436D-9931-295DB8207041} - C:\WINDOWS\System32\lmnpga.dll
O18 - Filter: text/plain - {DCFC038B-3FA1-436D-9931-295DB8207041} - C:\WINDOWS\System32\lmnpga.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)
dalla provvisoria elimina:
C:\Programmi\MyWay \myBar\1.bin\MYBAR.DLL
C:\WINDOWS\System32\lmnpga.dll
C:\Programmi\Common files\SearchUpgrader \SearchUpgrader.exe
Ricordati d'eliminare, SOLO dopo aver usato AdAware,
C:\WINDOWS\System32\P2P Networking \P2P Networking.exe
C:\Programmi\File comuni\GMT \GMT.exe
Elimina il contenuto di TEMP, Temporary internet files e cookies.
Riavvia
Vedi se riesci ad installare AdAware, aggiornalo, fai una scansione dalla provvisoria.
Fai una scasnione online.
Riavvia.
Dimenticavo
per sapere a cosa sono legati i due files di cui parlavi, dovresti vedere se sono presenti in qualche chiave del registro, la cosa importaante non è tanto il nome dell'eseguibile, quanto il valore sotto la colonna "Nome" presente nel registro.
Credo comunque che internet.exe possa tranquillamente essere associato ad una variante del worm Rbot, mentre usbn.exe dovrebbe essere legato ad una variante del trojan/dialer small
Rispondi quotando