Ho aperto quindi il topic su problemi virali. Ho scaricato Hijackthis ma si è installato da solo sul desktop, senza che potessi scegliere dove salvarlo. A quel punto l'ho rinominato, ma una volta scaricato. Per il resto, ecco il log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:03, on 2008-05-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\D-Link\AirPlus XtremeG Utility\AirPlusCFG.exe
C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Trend Micro\Tmas\Tmas.exe
C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programmi\Comodo\CBOClean\BOCORE.exe
C:\PROGRA~1\CACHEM~1\CachemanXP.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\OO Software\CleverCache\ooccag.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\Programmi\PeerGuardian2\pg2.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Documents and Settings\SIMONE\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ircdown.com/it/index.php?rvs=hompag
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Programmi\Foxit\tbFoxi.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmi\SpywareGuard\dlprotect.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Programmi\Foxit\tbFoxi.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {C003A50B-8AC5-4644-92FA-592369A26D65} - (no file)
O2 - BHO: (no name) - {CB8A1F22-A438-483F-B2CA-16C9ECDEF908} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Programmi\Foxit\tbFoxi.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG Utility] C:\Programmi\D-Link\AirPlus XtremeG Utility\AirPlusCFG.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programmi\ERUNT\AUTOBACK.EXE
O4 - Startup: sQusi Tracking Blocker.lnk = C:\Programmi\sQusi\sQusi Tracking Blocker\sQusiBasicUpdater.exe
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Programmi\Trend Micro\Tmas\Tmas.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.alice.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{44038353-6302-4B01-9D57-F331F33157DE}: NameServer = 85.37.17.57 85.38.28.80
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: BOCore - COMODO - C:\Programmi\Comodo\CBOClean\BOCORE.exe
O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - C:\PROGRA~1\CACHEM~1\CachemanXP.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Programmi\OO Software\CleverCache\ooccag.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/SIMONE/IMPOST~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 8998 bytes

Ciao, intanto un'osservazione. Dal log risulta che sul tuo desktop è presente l'eseguibile HiJackThis.exe. Mi auguro che tu non abbia usato questo per l'analisi, e che abbia invece usato una copia rinominata, altrimenti stiamo perdendo tempo.

Il log così com'è è pulito, fatta eccezione per 2 voci, che in realtà non creano di per sé alcun problema, in quanto si riferiscono a 2 file non più presenti. Apri nuovamente HijackThis, fai click su "Do a system scan only". Attendi la fine della scansione, poi metti il segno di spunta sulle caselle in corrispondenza delle seguenti voci:

O2 - BHO: (no name) - {C003A50B-8AC5-4644-92FA-592369A26D65} - (no file)
O2 - BHO: (no name) - {CB8A1F22-A438-483F-B2CA-16C9ECDEF908} - (no file)

Premi il bottone Fix checked e rispondi Sì all'avviso.

Piuttosto, dal log risulta che hai installato parecchio software per la sicurezza, parte del quale risulta funzionare in modalità real-time. Ciò potrebbe essere la causa di numerosi problemi, incluso quello che hai riferito.

Accertati che per i seguenti programmi non sia impostata la modalità real-time (in caso contrario disabilitala):

Ad-Aware 2007 (disabilita Ad-Watch, se presente)
A-squared
AVG Anti-Spyware
Spybot Search & Destroy (disabilita le funzioni TeaTimer e Immunizzazione)
SpywareGuard
Spyware Terminator
SUPERAntiSpyware
Trend Micro Anti-Spyware
WinPatrol

Per quanto riguarda Comodo, disabilita la funzione Defense+, aggiungi l'eseguibile cfp.exe alle Applicazioni Attendibili di KAV con tutte e 4 le opzioni selezionate ("Non esaminare file aperti", "Non limitare attività applicazione", "Non limitare accesso al registro", "Non esaminare traffico di rete")

Purtroppo il programma Hijackthis l'ho scaricato dal tuo linh, ma si è installato automaticamente sul desktop, e solo dopo l'ho potuto rinominare. Il log, però, l'ho fatto dopo averlo rinominato.

Per il resto, cercherò di sfoltire quei programmi.

Le attuali dll bloccate dalle configurazioni della difesa proattiva dei programmi firefox e outlook sono: opnkIcCt.dll su outlook e su firefox contemporaneamente; ddcCsrrp.dll e hgGabXPj.dll su firefox.

Ah, questa non l'ho capita. Potresti spiegarmela meglio? grazie...

Nel log di HJT non ho visto alcun riferimento alle dll che hai citato. Fai così, mandami un log di Combofix, vediamo se viene fuori qualcosa:

Scarica il programma da qui. Al momento dello scaricamento del file, quando ti verrà chiesta la destinazione, scegli di salvarlo sul desktop con un nome diverso da Combofix.exe, ad esempio 123.exe

Se l'anti-virus dovesse segnalare ComboFix come virus, ignora l'avviso e consenti l'esecuzione del file.

Riavvia il pc in Modalità provvisoria. Esegui Combofix (123.exe). Dopo la visualizzazione del disclaimer, premi 1 sulla tastiera e dai Invio. Lascia che Combofix svolga il suo lavoro (vedrai vari avvisi del tipo "Completed Stage_xx"). Mentre Combofix sta lavorando, non fare click sulla sua finestra e limitati ad eseguire gli input eventualmente richiesti dal programma. Quando la procedura sarà finita, il log ComboFix.txt sarà creato automaticamente in C:\, inviamelo con un messaggio privato.

Apri KAV e vai in Impostazioni -> Minacce ed esclusioni -> Zona attendibile -> Applicazioni attendibili. Fai click su Aggiungi, poi su Sfoglia. Scegli Sfoglia dal menu a tendina, seleziona il file cfp.exe (nella cartella di Comodo) e fai click su Apri. Nel riquadro Proprietà metti il segno di spunta su tutte e 4 le caselle ("Non esaminare file aperti", "Non limitare attività applicazione", "Non limitare accesso al registro", "Non esaminare traffico di rete"). Fai click su OK. Nella finestra "Zona attendibile" fai ancora click su OK per salvare la regola creata, poi fai click su Applica e su OK nella finestra principale delle impostazioni.

Defense+ è un modulo di tipo HIPS integrato nelle nuove versioni di Comodo (se hai una versione datata non troverai questa funzione). Apri Comodo, vai sulle impostazioni di Defense+ e imposta il cursore di livello al minimo (Disabilitato).

Purtroppo me lo scarica direttamente sul desktop; poi lo rinomino immediatamente, ma dal desktop stesso.

Ciao, se usi Firefox, vai in Strumenti -> Opzioni -> Principale -> Download e metti il segno di spunta su "Chiedi dove salvare ogni file". Premi Ok.

Ok, fatto. Me lo dà come variante di virus heur ma l'ho ignoranto, come mi avevi detto. Per quanto riguarda Comodo, l'ho disinstallato, a scanso di equivoci, tanto non lo usavo mai. Gli altri programmi li ho tolti tutti dall'avvio automatico e non hanno nessuna difesa in tempo reale. Ora faccio girare combofix in modalità provvisoria e poi ti invio i risultati.

Inviato.

T'è arrivato?

Sì, ma non ho ancora avuto il tempo di esaminarlo...

Ciao, il log era piuttosto "sporco". Non tanto per i residui del virus, che pure sono presenti, quanto per la stratificazione di tracce (driver, moduli dll e quant'altro) lasciate da parecchi tool di rimozione e programmi anti-spyware, che probabilmente hai usato nel tentativo di rimuovere l'infezione: il rimedio è stato peggiore del male.

1. Scarica ATF Cleaner

2. Disattiva il ripristino configurazione di sistema:

Menu Start -> Pannello di controllo -> Doppio clic sull'icona Sistema. Fai click sulla linguetta "Ripristino configurazione di sistema", seleziona la casella "Disattiva Ripristino configurazione di sistema su tutte le unità", fai click sul bottone Applica e rispondi Sì all'avviso di sistema. Fai click su OK e riavvia il pc.

Attenzione, così facendo perderai i punti di ripristino del sistema creati in precedenza

3. Esegui ATF Cleaner: seleziona l'ultima voce (Select All) e premi Empty Selected. Se il tuo browser è Firefox, fai anche quest'altra pulizia: fai click su Firefox in alto, seleziona l'ultima voce (Select All) e premi Empty Selected.

4. Ti ho inviato uno script con un messaggio privato, salvalo sul Desktop, riavvia il pc in Modalità Provvisoria e trascina il file CFScript.txt sull'eseguibile di Combofix. Combofix si avvierà nuovamente. Inviami il nuovo log via PM.

Inviato...

Ciao, fai così:

1. Scarica il file script.txt che ti ho inviato via PM. Scarica The Avenger. Estrai e avvia il file avenger.exe, premi OK, vai sul menu Load Script e scegli "From File...". Seleziona il file script.txt e premi Apri. Premi il bottone Execute. Rispondi Sì al primo avviso e Sì al secondo. Il sistema verrà riavviato, se così non fosse, riavvialo manualmente. Al riavvio comparirà un log all'interno del blocco note, inviamelo.

2. Scarica VundoFix sul Desktop. Avvia il file VundoFix.exe e premi il bottone "Scan for Vundo". Alla fine della scansione premi il bottone "Remove Vundo". Rispondi YES alla richiesta di conferma. Durante la rimozione del malware, il desktop sparirà. Alla fine della rimozione ti sarà chiesto di riavviare il pc. Fai click su OK. Nel caso in cui i file non possano essere rimossi perché in uso da parte del sistema, Vundofix si avvierà dopo il riavvio. In quel caso segui le stesse istruzioni che ti ho dato prima (premi il bottone "Scan for Vundo" ecc.). Alla fine di tutta la procedura (riavii compresi) vai in C:\, lì dovresti trovare il file vundofix.txt, inviamelo

3. Scarica SmitfraudFix sul Desktop e avvia SmitfraudFix.exe. Sulla tastiera premi 1 e poi Invio. Verrà creato il file di report rapport.txt in C:\, inviamelo.

Se l'anti-virus dovesse segnalare SmitfraudFix come virus, ignora l'avviso e procedi.

Il log di The Avenger te l'ho inviato, ma VundoFix è fermo su Removing vundo... Che debbo fare?

Attendi e soprattutto non effettuare altre operazioni mentre è all'opera, chiudi il browser e altri programmi eventualmente aperti.

P. S.: se premi Fix Vundo il programma risponde?

Ho atteso più di venti minuti e niente...

Sì, mi dice: no files were found, VundoFix V7.0.5 will now close...

Ok allora puoi chiuderlo e procedere con il log di SmitfraudFix.

Te l'ho già inviato. Ovviamente: grazie.

Ok, da questi ultimi log non mi risulta che ci siano altri elementi infetti o sospetti. Verifica se i problemi con eMule sono ancora presenti.

Il pc è ora più veloce, questo sì, ma tutti i peer-to-peer (eMule, soulseek e torrent, tutte versioni nuove) continuano a bloccarsi dopo pochi secondi, mandando la CPU al 100%.

Disabilita il filtro NDIS di Kaspersky e riprova.
Vai nel Pannello di controllo di Windows -> Connessioni di rete: fai un click destro sull'icona della tua LAN e accedi alle Proprietà. Nella scheda Generale scorri le voci, trova e deseleziona "Kaspersky Anti-Virus NDIS filter". Fai click su OK e riavvia il pc.

Idem. Rimetto come prima?

Una curiosità: le dll che risultano bloccate da kaspersky tramite le applicazioni outlook ed eMule stesso, vanno sbloccate?

P.s. Ora i peer-to-peer si bloccano ma con la CPU normale, tipo al 4%. Qualcosa è cambiato.

Al momento sul tuo pc non ci sono attività virali in corso, almeno per quanto è dato vedere. Per quanto riguarda KAV, fatta la prova della terminazione dell'applicazione e disabilitato il filtro NDIS (puoi riabilitarlo se vuoi, ma sul tuo sistema non è indispensabile) possiamo escludere che sia la causa del problema.

Delle due l'una: o il virus che hai avuto ha alterato la funzionalità del tuo sistema (in particolare in relazione alla connettività) oppure, ipotesi altrettanto probabile, il cumulo di applicazioni per la sicurezza che hai installato/disinstallato ha finito per creare qualche strana "alchimia".

Io ti suggerirei di fare così:

1. Per toglierci ogni dubbio in merito alla permanenza di qualche elemento nocivo:

a. Scarica IceSword ed estrailo sul Desktop. Chiudi KAV e avvia IceSword

b. Dal menu di sinistra scegli SSDT e prendi nota, se ce ne sono, delle voci in rosso che si riferiscono a file diversi da kilf.sys e kl1.sys: annota il nome e il percorso degli eventuali file.

c. Sempre sulla sinistra seleziona la voce Processes, poi vai sul menu in alto e scegli Dump -> Current list. Fai altrettanto con la voce Win32 Services. Inviami entrambi i log e, se hai trovato delle voci in rosso sotto SSDT, inviami le indicazioni relative.

2. Prova a ripristinare la connessione con WinSockFix

3. Effettua una pulizia con RegSupreme. Avvialo ed esegui una scansione del registro in Normal mode (non Aggressive). Alla fine della scansione, apri il menu Select e seleziona All, quindi fai click sul bottone Fix. Per maggiore sicurezza, accetta di effettuare il backup del registro prima delle correzioni.

4. Disabilita definitivamente il Controllo Integrità Applicazioni, che nel tuo caso rischia di creare più problemi che altro.

5. Inviami un log di GSI

Fatto. Inviati due messaggi.

Per la cronaca:

SoulSeek ha ripreso a funzionare correttamente. Mentre eMule, dopo averlo reinstallato, ora ogni volta che lo apro mi fa rifare il wizard e non riesce manco a collegarsi, s'impalla prima.

Mmh, dal log di GetSystemInfo ho visto che mi chiedeva di aggiornare la versione di KAV, dalle 7.0.0.125 alla 7.0.1.325. L'ho fatto, ma ora non funziona più manco KAV, mi dice database obsoleti e danneggiati e non s'aggiorna.

Non capisco perché tu ti sia precipitato a installare una nuova versione di KAV, potevi chiedere un parere prima, ti avrei risposto che in questo momento non era il caso, visto che dobbiamo ancora sciogliere il dubbio circa la presenza di driver maligni e soprattutto visto che il tuo pc è già ad un punto critico per quanto riguarda l'accumulo di software....

Sto esaminando i log che mi hai inviato, tornerò a postare tra un po' e ti dirò anche cosa fare con IceSword

Ok. Mi sono fidato di quella richiesta di aggiornamento e l'ho installata. Mmh, ora con la nuova versione di KAV che faccio?

Capisco, la richiesta in sé è valida, ma nel tuo caso e in queste precise circostanze l'installazione giunge come il cacio sul gelato... Ora andiamo per gradi, segui esattamente le mie istruzioni nell'ordine in cui sono riportate.

1. È inutile continuare in punta di fioretto. Se vogliamo arrivare da qualche parte, devi fare una pulizia del sistema, ci sono troppo programmi per la sicurezza (a questo punto poco importa che siano o no in real-time) e troppi ce ne sono stati (se ne vedono ancora le tracce sparse ovunque per le cartelle di sistema).

Disinstalla ad uno ad uno i seguenti programmi:

AVG Anti-Spyware
Ad-Aware 2007
Arovax AntiSpyware
A-squared Free
Bazooka Scanner
Dialer Control
Everest Labs Spydefense 0.9.8 Beta 0.9.8 Beta
Sophos Anti-Rootkit
Spybot - Search & Destroy
Spyware Terminator
SpywareGuard
Trend Micro Anti-Spyware
xp-AntiSpy

2. Effettua una pulizia con RegSupreme. Avvialo ed esegui una scansione del registro in Normal mode (non Aggressive). Alla fine della scansione, apri il menu Select e seleziona All, quindi fai click sul bottone Fix. Per maggiore sicurezza, accetta di effettuare il backup del registro prima delle correzioni.

3. Effettua una pulizia con ATF Cleaner. Seleziona l'ultima voce (Select All) e premi Empty Selected. Se il tuo browser è Firefox, fai anche quest'altra pulizia: fai click su Firefox in alto, seleziona l'ultima voce (Select All) e premi Empty Selected.

4. Avvia The Avenger premi OK, vai sul menu Load Script e scegli "From File...". Seleziona il file script2.txt che ti ho inviato via PM e premi Apri. Premi il bottone Execute. Rispondi Sì al primo avviso e Sì al secondo. Il sistema verrà riavviato. Al riavvio si aprirà automaticamente un log all'interno del blocco note, inviamelo via PM.

5. Chiudi KAV e avvia IceSword. Dal menu di sinistra scegli SSDT e prendi nota delle voci in rosso che si riferiscono a file diversi da kilf.sys e kl1.sys: annota il nome e il percorso degli eventuali file (stavolta dovrebbero essere pochi) e inviameli via PM.

6. Inviami un altro log di GSI. Poi penseremo anche a KAV.

Fatto tutto tranne SSDT. Adesso anche KAV s'è aggiornato e funziona perfettamente. Mentre del driver che mi dice di upgradare non riesco a disinstallarne la vecchia versione perché mi chiede un disco-

Scusami, beggar, ma di quale driver stai parlando?

=> Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller Nuova versione disponibile
Versione attuale: 8.41.1.3 -> [ Nuova versione 10.60.6.3 WHQL qui ]
Disponibile per Windows XP

Per il resto, eMule continua a bloccarsi (non vedrò mai l'ultimo episodio di Lost ), e KAV funziona ma si blocca in scansione, e mi fa inviare gli errori al lab.

Vedo che le mie parole non hanno avuto fortuna... non ti avevo chiesto di evitare per il momento di aggiungere altri ingredienti al calderone? Prima la nuova installazione di KAV e ora anche il driver... Forse sei in vena di esperimenti e giustamente stai scalpitando per vedere la situazione risolta, ma sappi che agendo in questo modo mi stai rendendo le cose molto ma molto più difficili di quanto non siano... mi sa che tra poco sull'isola di Lost mi ci trasferirò io

Disinstalla i seguenti programmi:

SUPERAntiSpyware
WinPatrol
Windows Live OneCare safety scanner

Scarica, estrai ed esegui il file che ti ho inviato.

Apri IceSword, vai su SSDT, poi sul menu Dump, scegli Current List. Se non dovesse aprirsi la finestra per il salvataggio del file di log (come temo), a questo punto cerca di farmi avere in qualche modo la nota di questi file in rosso. Mettiti con santa pazienza a ricopiarli (se lo stesso file con lo stesso percorso è riportato più volte, basta che lo scrivi una sola volta), cattura delle schermate con la finestra a tutto schermo, insomma inventati qualcosa.

Inviami un nuovo log di GSI.

Ho fatto tutto, ma dopo alcuni di questi programmi posso reinstallarli? cioè, trovavano cose che KAV non trovava, e proprio l'ultimo virus Virtumonde l'ho beccato con Superantispyware e Spybot.

Ok, ho ricevuto le immagini. Finalmente possiamo dichiarare chiuso il capitolo virus, il computer è stato ripulito completamente.

1. Avvia HijackThis, fai click su "Do a system scan only". Attendi la fine della scansione, poi metti il segno di spunta sulle caselle in corrispondenza delle seguenti voci:

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe

Premi il bottone Fix checked e rispondi Sì all'avviso. Riavvia il pc se ti verrà chiesto.

2. Già che abbiamo fatto 30, facciamo 31: disinstalla l'ultimo possibile "disturbatore": Peer Guardian 2.

3. Avvia The Avenger, premi OK, vai sul menu Load Script e scegli "From File...". Seleziona il file newscript.txt che ti ho inviato via PM e premi Apri. Premi il bottone Execute. Rispondi Sì al primo avviso e Sì al secondo. Il sistema verrà riavviato. Al riavvio si aprirà automaticamente un log all'interno del blocco note, inviamelo via PM

4. Attendo l'ultimo log di Avenger, poi ti dico come reinstallare KAV ex novo.

Sì, ma disabilita Immunizzazione e TeaTimer in Spybot

Ok. Grazie di tutto.

Ok. Reinstallato KAV e ora funziona perfettamente.

Un'ultima cosa, mi sembravo fosse tutto tornato a posto ma ora non mi stampa più, mi dà sempre errore. E' possibile che sia successo qualcosa?

Il problema persiste. Se vado su "proprietà stampante" non risulto il livello dell'inchiostro, cioè non mi indica se è finito o meni ma è come deselezionato, e quindi non fa né le verifiche di pulizia né, ovviamente, stampa. E' possibile che sia un problema legato ai fatti virali dei giorni scorsi?

Ciao, scusa per il ritardo nella risposta. Difficile dire se dipenda dagli eventi virali. Controlla che l'eseguibile spoolsv.exe non sia bloccato dal firewall di KIS e prova a reinstallare il driver della stampante.

Non ho il firewall, da quello che ho capito perché ho KAV. Il driver della stampante lo reinstallo con cd?

apri KAV e vai in Impostazioni -> Minacce ed esclusioni -> Area attendibile -> Applicazioni attendibili. Fai click su "Aggiungi..." poi su Sfoglia. Seleziona il file spoolsv.exe contenuto nella cartella C:\Windows\System32 e fai click su Apri.
Nel riquadro "Proprietà" metti il segno di spunta su tutte e 4 le caselle. Fai click su OK.
Fai click su OK nella finestra "Zona attendibile" per salvare la regola creata. Tornando alla finestra di KAV, fai click su Applica e poi su OK.

Il driver va reinstallato dal cd fornito a corredo della periferica o scaricato dal sito del produttore (meglio perché avresti la versione + aggiornata).

Ho fatto la prima parte, ma continua a non stampare. Se vado su proprietà stampante e poi clicco su Utility poi Status Monitor mi dà errore status monitor: errore di comunicazione. Da assistenza si apre una pagina dove dovrebbero esserci i driver. Una volta scaricati, dove li metto?

Solitamente si tratta di pacchetti autoinstallanti, quindi limitati ad eseguirlo.

P. S.: stiamo andando un po' fuori topic...

Sì, siamo fuori topic, ma credo sia la conseguenza delle pulizie effettuuate in questi giorni. Ho trovato il driver per lo Status Monitor ma mi dice che la stampante non è installata.

Adesso mi dice che la porta utilizzata è LPT1, modificare.

Pannello di controllo -> Stampanti e fax. 1 click destro sull'icona della tua stampante -> Elimina -> Sì. Vai sul sito del produttore, scarica i driver da lì e installali (al 99% si tratta di un pacchetto autoinstallante: doppio click -> segui la procedura guidata).