W32.SpyBot.Worm SdBot.xd Backdoor.Small Proxy.Ranky Trojan-Downloader.BAT.Ftp.ab ...

[Harlock]

W32.SpyBot.Worm
LSA
Windows Security Center
Backdoor.SdBot.xd
Backdoor.Small
Proxy.Ranky
Trojan-Downloader.Win32.IstBar.no
Backdoor.Win32.Rbot.adf
Trojan-Downloader.BAT.Ftp.ab
(e altri files strani)

Ciao ragazzi, spero possiate aiutarmi.

Da quando il mio AV (Norton 2005) è impazzito (risulta scaduto nonostante non lo sia! VVoVe: ogni volta mi chiede la chiave di attivazione, ma mi dice che non è più valida perché ha raggiunto il limite massimo di installazioni... ho chiesto spiegazioni al negoziante che me l'ha installato e dice che non è possibile... ho scritto alla Symantec e attendo risposta... ) scarico gli aggiornamenti manualmente e faccio una scansione ogni tanto da modalità provvisoria: purtroppo non è attiva la funzione "Auto-Protect" e questo mi sa che mi ha fregato, nonostante Firefox (con estensione "AdBlock" e gestione dei cookies scrupolosa) Outpost e Spybot installati, le scansioni quotidiane con Ewido e Ad-aware e una navigazione quasi sempre limitata a siti ritenuti "sicuri"...

Il problema sul mio pc singolo (XP Professional SP1; non posso installare la SP2 perché non ho spazio a sufficienza : ho un disco di pochi giga, speriamo arrivi qualche regalo per Natale... ) è questo:

da qualche giorno mi trovo processi attivi sempre altissimi, si creano files strani di grandi dimensioni e lo spazio si riduce drasticamente anche se pulisco manualmente temporanei e quant'altro; poi da qualche settimana a questa parte mi sono preso qualcosa che non riesco a eradicare in alcun modo: si ricrea sempre e cambia nome di continuo (un worm presumo, forse SdBot se ho capito bene).

[Harlock]

0. Ho aggiornato tutti i programmi, poi chiuso la connessione a internet e tutti i programmi aperti, e tentate le soluzioni scritte di seguito, una alla volta, sia in modalità normale che provvisoria.

1. il "Ripristino configurazione di sistema" è disattivato (sempre: non ho comunque spazio a sufficienza... )

2. Norton (solo da modalità provvisoria, in modalità normale è bloccato perché scaduto) trova dei files identificati come W32.SpyBot.Worm che però non riesce né a pulire, né a eliminare, né a relegare in quarantena... VVoVe:

3. Ad-Aware e CWSHREDDER non trovano nulla (né in modalità normale, né in provvisoria)

4. SpyBot sia in modalità normale che in modalità provvisoria trova di continuo (nonostante le elimino si ricreano! :master: ) queste voci:
- Windows Security Center.AntiVirusDisableNotify
con chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0
- Windows Security Center.AntiVirusOverride
con chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0
- Windows Security Center.FirewallDisableNotify
con chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0
- Windows Security Center.FirewallOverride
con chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride!=dword:0
- Windows Security Center.SP2Update
con chiave HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\WindowsUpdate\DoNotAllowXPSP2!=dword:0
- Windows Security Center.UpdateDisableNotify
con chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=dword:0
- e ancora: LSA
con chiavi HKEY_USERS\S-1-5-18\SYSTEM\CurrentControlSet\Control\Lsa
e
HKEY_USERS\.DEFAULT\SYSTEM\CurrentControlSet\Contr ol\Lsa

(Nota a parte: BHO e ActiveX installati risultano tutti legittimi e verificati)

Il "TeaTimer" mi ha inoltre avvisato di questi tentativi:
12/12/2005 21.08.48 Negato value "{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}" (new data: "") aggiunto in User-specific browser toolbar!
12/12/2005 23.15.24 Negato value "MS DLL Library Manager" (new data: "C:\WINDOWS\System32\dllsys64.exe") aggiunto in System Startup global entry!
12/12/2005 23.19.10 Negato value "MSN Checker" (new data: "msnchecker.exe") aggiunto in System Startup global entry! (quest'ultimo lo fa in continuazione...)

...

[Harlock]

5. Le scansioni con Ewido ogni volta danno gli stessi risultati:
Backdoor.SdBot.xd
Backdoor.Small
Proxy.Ranky
associati ai seguenti files:

Per quel che riguarda Backdoor.SdBot.xd i files infettati sono/erano
- Rpcmon.exe
- wuapi.exe
- lsass.exe
- dlhost.exe
- dxdmain.exe
(tutti files eliminati per errore dalla quarantena , spero di non aver fatto qualche danno irreversibile , se dovessi ripristinarli avrei il disco di XP, ma non saprei proprio come fare...)
- C:\WINDOWS\sysmgr64.exe (ancora presente in molteplice copia nella quarantena...)

Per quel che riguarda Backdoor.Small il file infettato e in quarantena è
- C:\WINDOWS\system32\msnchecker.exe (più copie in quarantena):
questo "MSN Checker" cerca in continuazione di aggiungersi automaticamente nella System Startup global entry, ma ovviamente SpyBot mi avvisa e io glielo nego

Per quel che riguarda Proxy.Ranky i files infettati e in quarantena sono
- C:\WINDOWS\System32\dllsys64.exe
e
- C:\msutil64.exe (presente in quarantena anche come msutil64[1].exe fra i File Temporanei di IE browser che però io uso solo per questo forum e per i link da voi postati a siti di sicurezza che prevedono comandi ActiveX non supportati da Firefox...)

Infine, una volta ripulito e messo in quarantena tutto, il sistema crea da solo dei nuovi files dal nome __delete_on_reboot__"nome del file infetto".exe che però, a seconda scansione, Ewido rimuove; mi restano in quarantena:
- C:\WINDOWS\__delete_on_reboot__sysmgr64.exe (Backdoor.SdBot.xd)
- C:\WINDOWS\System32\__delete_on_reboot__dllsys64.e xe
mentre ho eliminato per errore quelli associati ai vari wuapi, lsass, dlhost... (pensavo di averne lasciato una copia invece me li ha cancellati tutti...)

Ogni operazione è purtroppo inutile: a ogni nuova scansione dopo un riavvio mi ritrova tutti i files eliminati in precedenza...

6. Ho provato a seguire le istruzioni proposte da Symantec per la rimozione manuale del virus W32.Spybot.Worm ma non ho trovato nessun file tftp*.* di 0 byte di dimensione e contenuti in cartelle il cui nome termina con "StartUp" :master: per cui mi sono astenuto dal tentare le modifiche al registro di sistema che venivano suggerite.

7. Una scansione in linea con Kaspersky mi individua questi files come infetti:
- 3 files compressi infettati da Trojan-Downloader.Win32.IstBar.no (ma è robaccia scaricata senza Auto-protect con l'AV: basta rimuovere gli archivi .rar )
- 1 file in quarantena di Norton (cui non posso accedere manualmente in nessuna modalità per il problema esposto all'inizio ) infettato da Backdoor.Win32.Rbot.adf
- questo file che si ricrea di continuo anche se lo rimuovo manualmente!
C:\WINDOWS\system32\i infettato da Trojan-Downloader.BAT.Ftp.ab

...

[Harlock]

8. Ho individuato altri file "sospetti" che i sistemi di pulizia però non rilevano:
- C:\wincupdater1.exe 1 KB
- C:\WINDOWS\VPTNFILE.991 e C:\WINDOWS\LPT$VPN.991 che crescono di continuo (sono arrivati a 16.320 KB l'uno!) e che hanno addirittura cambiato estensione! (qualche giorno fa sono sicuro al 100% che fossero dei .797 )
- C:\WINDOWS\system32\config\software senza estensione di 14.080 KB
- te_protu.gm in C:\WINDOWS\Driver Cache\i386\driver.cab (13.220 KB)
- C:\WINDOWS\system32\oembios.bin (12.800 KB)
- due copie identiche dello stesso file HCdat_w3.edb (12.296 KB)
in C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchdt_w3.cab
e in C:\WINDOWS\PCHealth\HelpCtr\PackageStore\instance_ Professional-32-1040.cab
- più un file di identica dimensione (12.296 KB)
in C:\WINDOWS\PCHealth\HelpCtr\Database (ma forse 'sti 3 sono legittimi)
- C:\WINDOWS\SoftwareDistribution\dataStore\DataStor e.edb (anche questo mi sa che è normale anche se di 10.248 KB)
- rt.pack in nella cartella "lib" (e dove sta 'sta cartella?) di 8.817 KB
- C:\WINDOWS\repair\software senza estensione di 8.156 KB
- C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _1141.xml di 7.522 KB che sarei tentato di cancellare...
- un OBJECTS.DATA di 7.360 KB in C:\WINDOWS\system32\wbem\Repository\FS che andrebbe cancellato come le "ferrovie dello stato" (scusate sono al delirio... mi sa che questo non lo posso toccare come l'enorme log di 6 e rotti MB del "Dr Watson" e gli Installer vari... )
- C:\WINDOWS\TMADCE.ptn 3.308 KB

...

Alla fine non so più che fare...
Ho fatto già 4 volte le operazioni di pulizia in modalità normale e altrettante in modalità provvisoria...
... ma nulla! A ogni riavvio Ewido, Norton e KAV ritrovano tutto daccapo...

Nel frattempo mi è anche scaduta la licenza di Outpost Pro e non mi sembra il caso di rinnovarla se non risolvo prima il problema (e anche perché il portafogli è vuoto... )

Sono disperato, non so più che pesci prendere.
Anche perché gli effetti sono che il sistema va al 100% delle risorse in uso e si pianta, non si apre il TaskManager in alcun modo, ogni navigazione dura finché non arrivano a raffica i tentativi di installare qualcosa (e si piantano in serie SpyBot e browser), non si chiude la connessione a internet se è aperta, non funziona il menu di avvio e se funziona non mi permette il riavvio (fra le altre cose la SysTray risulta bloccata) se non con il tasto di reset...

Io spero di aver fatto ogni passaggio come avete indicato nei threads in rilievo e di non aver tralasciato nulla (anzi forse sono stato anche troppo dettagliato, spero di non avervi annoiato!) e a questo punto non mi rimane che rimettervi al vostro benevolo aiuto postando il log di HijackThis sperando che possiate e vogliate aiutarmi (Vi prego!).

[Harlock]

Logfile of HijackThis v1.99.1
Scan saved at 17.37.59, on 13/12/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/avcenter/dow...es/IT-N95.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/k...an_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINDOWS\dlhost.exe (file missing)
O23 - Service: DirectX Graphics (dxdmain) - Unknown owner - C:\WINDOWS\System32\dxdmain.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (RpcMon) - Unknown owner - C:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: sysmgr64 - Unknown owner - C:\WINDOWS\sysmgr64.exe (file missing)

[Harlock]

Backdoor.Win32.SdBot.aad in C:\WINDOWS\msinit.exe

[amvinfe]

prova così

verifica che KAV abbia gli aggiornamenti con database esteso
disconnettiti da internet
disabilita Ewido
assicurati che Norton sia effettivamente disabilitato
disabilita il Tea Timer di SpyBot S&D
Click di dx sull'icona di KAV nella tray>>Cerca virus nel computer
La scansione va effettuata a sistema "fermo" quindi nessun'altra applicazione deve essere eseguita durante tale operazione.
Riavvia. Posta un nuovo log di HJT

[Harlock]

Originariamente inviato da amvinfe
prova così

verifica che KAV abbia gli aggiornamenti con database esteso
disconnettiti da internet
[...]
Click di dx sull'icona di KAV nella tray>>Cerca virus nel computer
[...]

Devo quindi scaricare la Trial di KAV?
Se ho capito bene eseguo tutto in serata seguendo la procedura che mi hai indicato e alla fine posto il nuovo log.
Grazie per l'aiuto! :-)

Ora crollo!
Ciao

[Harlock]

Logfile of HijackThis v1.99.1
Scan saved at 15.29.27, on 19/12/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\File comuni\Microsoft Shared\Source Engine\OSE.EXE
C:\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/avcenter/dow...es/IT-N95.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Microsoft Update 32] wininit.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] wininit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} -
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/k...an_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINDOWS\dlhost.exe (file missing)
O23 - Service: dllmgr64 - Unknown owner - C:\WINDOWS\dllmgr64.exe (file missing)
O23 - Service: DirectX Graphics (dxdmain) - Unknown owner - C:\WINDOWS\System32\dxdmain.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: msinit (Microsoft Scheduling Agent) - Unknown owner - C:\WINDOWS\msinit.exe (file missing)
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NetBIOS Helper Service (NetBIOS Helper) - Unknown owner - C:\WINDOWS\System32\nbthlp.exe (file missing)
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe (file missing)
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (RpcMon) - Unknown owner - C:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: windows setup manager (startup manager) - Unknown owner - C:\WINDOWS\startupmgr.exe (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: sysmgr64 - Unknown owner - C:\WINDOWS\sysmgr64.exe (file missing)

[Harlock]

Uhm...
Ho seguito alla lettera la procedura che mi hai consigliato e ho fatto una nuova scansione con HJT dopo il riavvio, però col riavvio si sono ovviamente ricaricati alcuni processi (ewidoctrl.exe e outpost.exe): devo fare un'ulteriore scansione con HJT terminando prima quei due processi?