Pup.optional.opencandy

Se Windows genera un errore, hai un problema di virus o vuoi discutere/segnalare l'uscita della nuova versione di un software per la piattaforma Microsoft, questa è la sezione giusta.
Regole del forum
Avatar utente
Zelbia
Livello: CD-ROM (4/15)
Livello: CD-ROM (4/15)
Messaggi: 66
Iscritto il: mar giu 10, 2014 10:41 pm

Pup.optional.opencandy

Messaggio da Zelbia »

Buonasera a tutti. primo messaggio in questo forum che mi è stato segnalato come il migliore
Da alcuni giorni sto lottando con una serie di problemi al PC (Windows 7 pro, SP1).
Rallentamenti, FlashPlayer su FF che blocca il browser, mmc che non funzionano, etc.
Con una scansione con Malwermalbytes avevo trovato questi file:
C:\Users\Stefano\AppData\Roaming\OpenCandy\E32BE43 3BC9F4673BD7E406FCF55A804\sp-downloader.exe (PUP.Optional.Conduit.A) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Stefano\AppData\Local\Temp\nsa802C.exe (PUP.Optional.Conduit.A) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Stefano\Downloads\fat32formatter-1.1.exe (PUP.Optional.OpenCandy) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Stefano\AppData\Roaming\OpenCandy\2A457BE B9F64405EA50098A7E4FC775B\AVG-PC-TuneUp2014.exe (PUP.Optional.OpenCandy) -> Spostato in quarantena ed eliminato con successo.
Eliminati, fatta scansione con adware, hitmanpro. Hiajack da un log normale.
I problemi sono continuati e stasera ho rifatto una scansione con kaspersky - trovato niente - e di nuovo con malwerbytes che ha trovato questi intrusi:
Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)
Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)
Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)
Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)
Voci rilevate nei dati di registro: 1
HKCU\Software\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.Trovi.A) -> Cattivo: (http://www.trovi.com/?gd=&ctid=CT332558 ... H36B_sp_ie) Buono: (www.google.com) -> Spostato in quarantena e riparato con successo.
Cartelle rilevate: 3
C:\Users\Stefano\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Stefano\AppData\Roaming\OpenCandy\2A457BEB9F64405EA50098A7E4FC775B (PUP.Optional.OpenCandy) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Stefano\AppData\Roaming\OpenCandy\E32BE433BC9F4673BD7E406FCF55A804 (PUP.Optional.OpenCandy) -> Spostato in quarantena ed eliminato con successo.
File rilevati: 4
C:\Users\Stefano\AppData\Roaming\OpenCandy\E32BE433BC9F4673BD7E406FCF55A804\sp-downloader.exe (PUP.Optional.Conduit.A) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Stefano\AppData\Local\Temp\nsa802C.exe (PUP.Optional.Conduit.A) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Stefano\Downloads\fat32formatter-1.1.exe (PUP.Optional.OpenCandy) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Stefano\AppData\Roaming\OpenCandy\2A457BEB9F64405EA50098A7E4FC775B\AVG-PC-TuneUp2014.exe (PUP.Optional.OpenCandy) -> Spostato in quarantena ed eliminato con successo.

Temo che sarà difficile liberarsi del problema.
C'è quanche cosa "speciale" che posso fare?
Grazie a tutti
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Pup.optional.opencandy

Messaggio da System » mar giu 10, 2014 11:15 pm


Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Pup.optional.opencandy

Messaggio da crazy.cat »

Hai provato con adwcleaner https://turbolab.it/42 ?

Cosa vuoi dire con: "mmc che non funzionano" ?

Che browser usi?
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
Zelbia
Livello: CD-ROM (4/15)
Livello: CD-ROM (4/15)
Messaggi: 66
Iscritto il: mar giu 10, 2014 10:41 pm

Re: Pup.optional.opencandy

Messaggio da Zelbia »

Avevo usato adwcleaner 2 giorni fa. Il problemi è che si è ripresentato.
MMC è microsoft manager control, vale a dire che spesso quando ora apro per esempio la configurazione di sistema ci mette un secolo prima di funzionare (problema snap-in?). Anche quando apro esplora risosrse tarda un bel po' per visualizzare le cartelle. Comunque è tutto più lento.
Riguardo il browser: io userei Firefox solo che in corrispondenza dell'inizio dei problemi ha cominciato a funzionare malissimo: flashplayer lo blocca irrimediabilmente.
L'ho disinstallato completamente, reinstallato e disattivato i componenti aggiuntivi. Ora va ma senza poter visualizzare le cose in cui servirebbe flashplayer.
Con Chrome va bene anche se tutto è diventato più lento.
Ieri sera mentre smanettavo ho notato che molti programmi risultano installati il 7 giugno, cosa assolutamente non vera. Potrebbe essere la conseguenza di qualche mia modifica al PC (configurazione sistema, punti di riprisino, etc.) o anche questo fatto è frutto del virus?
Avatar utente
Sem
Livello: BD-ROM (6/15)
Livello: BD-ROM (6/15)
Messaggi: 251
Iscritto il: sab mar 22, 2014 6:25 pm

Re: Pup.optional.opencandy

Messaggio da Sem »

segui questa guida https://turbolab.it/8 .... fai sapere
[Claudio]

Re: Pup.optional.opencandy

Messaggio da [Claudio] »

Zelbia ha scritto:Temo che sarà difficile liberarsi del problema. C'è quanche cosa "speciale" che posso fare?
Puoi allegare, per cortesia, un Report di Hijackthis? (tasto destro del mouse sulla relativa icona e scegli ESEGUI COME AMMINISTRATORE).
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Pup.optional.opencandy

Messaggio da crazy.cat »

Zelbia ha scritto:Ieri sera mentre smanettavo ho notato che molti programmi risultano installati il 7 giugno
Quali programmi sono?
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
Zelbia
Livello: CD-ROM (4/15)
Livello: CD-ROM (4/15)
Messaggi: 66
Iscritto il: mar giu 10, 2014 10:41 pm

Re: Pup.optional.opencandy

Messaggio da Zelbia »

Ho lanciato ccleaner. Pulito i file. Lanciato i programmi antivirus. Riavviato il PC. Non va più niente. Non si collega più a internet e per scrivere qui mi sono fatto prestare un ipod.
Il servzio service.exe si prende il 100% di CPU. Non parte piu nemmeno il rirpistino e non si riavvia in modalità provvisoria.
Sono in un grande casino.
Se poteste darmi qUalche indicazione quanto prima perchè poi vnon potrò più comunicare.grazue
Avatar utente
Sem
Livello: BD-ROM (6/15)
Livello: BD-ROM (6/15)
Messaggi: 251
Iscritto il: sab mar 22, 2014 6:25 pm

Re: Pup.optional.opencandy

Messaggio da Sem »

hai provato a fare un ripristino?
Avatar utente
Zelbia
Livello: CD-ROM (4/15)
Livello: CD-ROM (4/15)
Messaggi: 66
Iscritto il: mar giu 10, 2014 10:41 pm

Re: Pup.optional.opencandy

Messaggio da Zelbia »

Non mi permette dientrare nella configurazione di sistema. Pare chenon ci siano più punti di ripristino.
Dice che ripristino configurazione non funziona correttamente nel sistemainuso.
Errore imprevisto servizio copia shadow 0x80042302
Avatar utente
Zelbia
Livello: CD-ROM (4/15)
Livello: CD-ROM (4/15)
Messaggi: 66
Iscritto il: mar giu 10, 2014 10:41 pm

Re: Pup.optional.opencandy

Messaggio da Zelbia »

Con f8 mi appaiono solo le scelte delle schede da scegliere quindi non posso nemmeno avviare modalita provvisoria
Avatar utente
Sem
Livello: BD-ROM (6/15)
Livello: BD-ROM (6/15)
Messaggi: 251
Iscritto il: sab mar 22, 2014 6:25 pm

Re: Pup.optional.opencandy

Messaggio da Sem »

hai con te il cd di windows? fai un ripristino da cd se riesci
[Claudio]

Re: Pup.optional.opencandy

Messaggio da [Claudio] »

Sem ha scritto:hai con te il cd di windows? fai un ripristino da cd se riesci
Per ora potremmo evitare? (e poi, probabilmente il CD non lo ha).

@Zelbia, ripeto: allega un report di Hijackthis (leggi mio post precedente).
Avatar utente
Zelbia
Livello: CD-ROM (4/15)
Livello: CD-ROM (4/15)
Messaggi: 66
Iscritto il: mar giu 10, 2014 10:41 pm

Re: Pup.optional.opencandy

Messaggio da Zelbia »

Eccomi qui di nuovo dopo lunga lotta.
Riattivare il PC e soprattutto riconnettermi è stato possibile ricreando/trovando un punto di ripristino dal DOS.
Forse CCLeaner aveva cancellato qualche chiave di troppo oppure non so.
Questo è il log di Hijack:
Avevao anche il log di ADWARE che avevo salvato subito prima del disastro ma è scomparso dal desktop.

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Unchecky\bin\unchecky_bg.exe
C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Philips Display\SmartControl\DTHtml.exe
C:\Windows\System32\spool\drivers\w32x86\3\E_FATIHKE.EXE
C:\Program Files\Common Files\Portrait Displays\Shared\HookManager.exe
C:\Windows\System32\StikyNot.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Common Files\Portrait Displays\Drivers\pdiSdkHelper.exe
C:\Windows\system32\igfxext.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\notepad.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Stefano\Desktop\collegamenti\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [DT PLP] C:\Program Files\Common Files\Portrait Displays\Shared\DT_startup.exe -PLP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [EPLTarget\P0000000000000000] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIHKE.EXE /EPT "EPLTarget\P0000000000000000" /M "Epson Stylus SX230"
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/s ... wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: ABBYY FineReader 9.0 Sprint Licensing Service (ABBYY.Licensing.FineReader.Sprint.9.0) - ABBYY - C:\Program Files\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Mail Protection (AntiVirMailService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avmailc7.exe
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Web Protection (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avwebg7.exe
O23 - Service: Browser Defender Update Service - Unknown owner - C:\Program Files\PC Tools\PC Tools Security\BDT\BDTUpdateService.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Portrait Displays, Inc. - C:\Program Files\Common Files\Portrait Displays\Shared\dtsrvc.exe
O23 - Service: EPSON V3 Service4(04) (EPSON_PM_RPCV4_04) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Portrait Displays SDK Service (PdiService) - Portrait Displays, Inc. - C:\Program Files\Common Files\Portrait Displays\Drivers\pdisrvc.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: Unchecky - RaMMicHaeL - C:\Program Files\Unchecky\bin\unchecky_svc.exe
Avatar utente
Sem
Livello: BD-ROM (6/15)
Livello: BD-ROM (6/15)
Messaggi: 251
Iscritto il: sab mar 22, 2014 6:25 pm

Re: Pup.optional.opencandy

Messaggio da Sem »

il log di hijackthis non è completo... ripostalo secondo le regole del forum. :grazie

P.s. Hijackthis DEVE essere eseguito dal desktop
Ultima modifica di Sem il mer giu 11, 2014 8:03 pm, modificato 1 volta in totale.
Avatar utente
Zelbia
Livello: CD-ROM (4/15)
Livello: CD-ROM (4/15)
Messaggi: 66
Iscritto il: mar giu 10, 2014 10:41 pm

Re: Pup.optional.opencandy

Messaggio da Zelbia »

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 19:23:04, on 11/06/2014
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v11.0 (11.00.9600.17041)

FIREFOX: 30.0 (it)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Unchecky\bin\unchecky_bg.exe
C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Philips Display\SmartControl\DTHtml.exe
C:\Windows\System32\spool\drivers\w32x86\3\E_FATIHKE.EXE
C:\Program Files\Common Files\Portrait Displays\Shared\HookManager.exe
C:\Windows\System32\StikyNot.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Common Files\Portrait Displays\Drivers\pdiSdkHelper.exe
C:\Windows\system32\igfxext.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\notepad.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Stefano\Desktop\collegamenti\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [DT PLP] C:\Program Files\Common Files\Portrait Displays\Shared\DT_startup.exe -PLP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [EPLTarget\P0000000000000000] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIHKE.EXE /EPT "EPLTarget\P0000000000000000" /M "Epson Stylus SX230"
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/s ... wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: ABBYY FineReader 9.0 Sprint Licensing Service (ABBYY.Licensing.FineReader.Sprint.9.0) - ABBYY - C:\Program Files\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Mail Protection (AntiVirMailService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avmailc7.exe
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Web Protection (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avwebg7.exe
O23 - Service: Browser Defender Update Service - Unknown owner - C:\Program Files\PC Tools\PC Tools Security\BDT\BDTUpdateService.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Portrait Displays, Inc. - C:\Program Files\Common Files\Portrait Displays\Shared\dtsrvc.exe
O23 - Service: EPSON V3 Service4(04) (EPSON_PM_RPCV4_04) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Portrait Displays SDK Service (PdiService) - Portrait Displays, Inc. - C:\Program Files\Common Files\Portrait Displays\Drivers\pdisrvc.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: Unchecky - RaMMicHaeL - C:\Program Files\Unchecky\bin\unchecky_svc.exe

--
End of file - 8735 bytes
[Claudio]

Re: Pup.optional.opencandy

Messaggio da [Claudio] »

Zelbia ha scritto:Eccomi qui di nuovo dopo lunga lotta.
Riattivare il PC e soprattutto riconnettermi è stato possibile ricreando/trovando un punto di ripristino dal DOS.
Forse CCLeaner aveva cancellato qualche chiave di troppo oppure non so.
Questo è il log di Hijack
Ok, a parte qualche schiocchezza, non vedo nulla di anomalo, però voglio una conferma:

Scarica ADWCLEANER.
1) avvia il programma e clicca sul tasto SEARCH;
2) al termine della scansione, clicca sul tasto ELIMINA;
3) salva il REPORT [Sx] rilasciato dopo l’eliminazione.

Scarica HITMANPRO.
1) esegui il software, clicca su IMPOSTAZIONI, e imposta come da immagine:

Immagine

2) conferma con OK e clicca su AVANTI per avviare la scansione (è richiesta la connessione attiva);
3) salva il REPORT rilasciato.

Allega i due REPORT, utilizzando la funzione SPOILER integrata nell'editor del forum, per favore.
Avatar utente
Zelbia
Livello: CD-ROM (4/15)
Livello: CD-ROM (4/15)
Messaggi: 66
Iscritto il: mar giu 10, 2014 10:41 pm

Re: Pup.optional.opencandy

Messaggio da Zelbia »

Ho fatto le due scansioni.
Quella di ADWARE non ha trovato nulla ma allego il report di oggi prima del crash
HitmanPro ha trovato qualcosa
Spero di allegare nel modo giusto con lo spoler dell'editor
# AdwCleaner v3.212 - Rapporto creato 11/06/2014 in 14:30:04
# Aggiornato 05/06/2014 di Xplode
# Sistema operativo : Windows 7 Professional Service Pack 1 (32 bits)
# Nome utente : Stefano - STEFANO-PC
# In esecuzione da : C:\Users\Stefano\Downloads\AdwCleaner(1).exe
# Opzione : Pulisci

***** [ Servizi ] *****


***** [ File / Cartelle ] *****


***** [ Collegamenti ] *****


***** [ Registro ] *****


***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.17041


-\\ Mozilla Firefox v30.0 (it)

[ File : C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\prefs.js ]


-\\ Google Chrome v35.0.1916.114

[ File : C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\preferences ]

Eliminati [Extension] : booedmolknjekdopkepjjeckmjkdpfgl
Eliminati [Extension] : flpcjncodpafbgdpnkljologafpionhb

*************************

AdwCleaner[R0].txt - [1039 octets] - [11/06/2014 14:28:51]
AdwCleaner[S0].txt - [963 octets] - [11/06/2014 14:30:04]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1022 octets] ##########

Codice: Seleziona tutto

HitmanPro 3.7.9.216
www.hitmanpro.com

   Computer name . . . . : STEFANO-PC
   Windows . . . . . . . : 6.1.1.7601.X86/1
   User name . . . . . . : Stefano-PC\Stefano
   UAC . . . . . . . . . : Disabled
   License . . . . . . . : Trial (Expired)

   Scan date . . . . . . : 2014-06-11 20:36:06
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 6m 49s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 3
   Traces  . . . . . . . : 29

   Objects scanned . . . : 1.953.387
   Files scanned . . . . : 116.982
   Remnants scanned  . . : 1.007.460 files / 828.945 keys

Malware _____________________________________________________________________

   C:\Users\Public\Documents\AppData\PoApp\PService.exe
      Size . . . . . . . : 762.368 bytes
      Age  . . . . . . . : 721.7 days (2012-06-20 02:49:24)
      Entropy  . . . . . : 5.8
      SHA-256  . . . . . : 8D2DEE48B19E3BF2F5AA1BC513DF648FE567655A3D1997C3767FB6BE521A7BEE
      Product  . . . . . : PService
      Publisher  . . . . : PService
      Description  . . . : PService
      Version  . . . . . : 2.0
      Copyright  . . . . : Copyright © PService 2011
    > Kaspersky  . . . . : not-a-virus:AdWare.MSIL.PowerOfr.a
      Fuzzy  . . . . . . : 100.0

   C:\Users\Stefano\AppData\Local\ServUpdater\ServiceUpd.exe
      Size . . . . . . . : 156.160 bytes
      Age  . . . . . . . : 721.7 days (2012-06-20 02:49:22)
      Entropy  . . . . . : 5.9
      SHA-256  . . . . . : 7BE4EB01AD125AAAC0D4D5BDC755AD3FE96324F4B2F7C2E0617132B5AD11B329
      Product  . . . . . : ServiceUpd
      Publisher  . . . . : ServiceUpd
      Description  . . . : ServiceUpd
      Version  . . . . . : 2.0
      Copyright  . . . . : Copyright © ServiceUpd 2011
      Service  . . . . . : ServUpdater
    > Kaspersky  . . . . : not-a-virus:AdWare.MSIL.PowerOfr.a
      Fuzzy  . . . . . . : 103.0
      Startup
         HKLM\SYSTEM\CurrentControlSet\Services\ServUpdater\

   C:\Users\Stefano\Downloads\AsteriskPasswordSpy\AsteriskPasswordSpy\Setup_AsteriskPasswordSpy.exe
      Size . . . . . . . : 2.112.426 bytes
      Age  . . . . . . . : 219.9 days (2013-11-03 23:51:33)
      Entropy  . . . . . : 7.9
      SHA-256  . . . . . : ECD1346BFD7C8586ECE6B05D455D45721061CB04E5DA872675F5790DC9B8D5EC
      Product  . . . . . : AsteriskPasswordSpy
      Publisher  . . . . : SecurityXploded
      Description  . . . : Windows Asterisk Password Recovery Tool
      Version  . . . . . : 2.5
      Copyright  . . . . : Copyright © 2007-2013 SecurityXploded, All rights reserved
    > Kaspersky  . . . . : not-a-virus:PSWTool.Win32.Agent.vy
      Fuzzy  . . . . . . : 108.0


Potential Unwanted Programs _________________________________________________

   HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_ISAFENETFILTER\ (NationZoom)
   HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_ISAFENETFILTER\ (NationZoom)
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ISAFENETFILTER\ (NationZoom)

Cookies _____________________________________________________________________

   C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\Cookies:ads.yahoo.com
   C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\Cookies:atdmt.com
   C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\Cookies:doubleclick.net
   C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\Cookies:mediaplex.com
   C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\Cookies:serving-sys.com
   C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\Cookies:track.adform.net
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:ad.zanox.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:ads.mediade.sk
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:ads.p161.net
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:ads.rcs.it
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:ads.yahoo.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:advertising.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:atdmt.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:bs.serving-sys.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:casalemedia.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:cstatic.weborama.fr
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:doubleclick.net
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:ru4.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:serving-sys.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:track.adform.net
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:weborama.fr
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:yadro.ru


[Claudio]

Re: Pup.optional.opencandy

Messaggio da [Claudio] »

Abbiamo un problema, la licenza in prova di HitmanPro è scaduta è dal report noto dei problemi che devi risolvere manualmente, intervenendo nel REGEDIT.

Questi percorsi da seguire (e chiavi da rimuovere):

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_ISAFENETFILTER\ (NationZoom)
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_ISAFENETFILTER\ (NationZoom)
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ISAFENETFILTER\ (NationZoom)

Poi, segui i percorsI, e elimina le cartelle evidenziate:

C:\Users\Public\Documents\AppData\PoApp\PService.exe
C:\Users\Stefano\AppData\Local\ServUpdater\ServiceUpd.exe
C:\Users\Stefano\Downloads\AsteriskPasswordSpy\AsteriskPasswordSpy\Setup_AsteriskPasswordSpy.exe

Quando hai terminato, riavvia il sistema, esegui una nuova scansione con HitmanPro e allega il nuovo Report.

Infine, lancia CCLEANER e:

1) clicca sulla icona STRUMENTI;
2) seleziona la sezione DISINSTALLAZIONE e, in basso a destra, clicca sul tasto SALVA COME TESTO.
3) salva e il REPORT che verrà generato e allegalo.

Allega tutto sempre con la funzione SPOILER.
Ultima modifica di [Claudio] il mer giu 11, 2014 9:08 pm, modificato 1 volta in totale.
Avatar utente
Sem
Livello: BD-ROM (6/15)
Livello: BD-ROM (6/15)
Messaggi: 251
Iscritto il: sab mar 22, 2014 6:25 pm

Re: Pup.optional.opencandy

Messaggio da Sem »

ripeti la scansione con adwcleaner
[Claudio]

Re: Pup.optional.opencandy

Messaggio da [Claudio] »

Sem ha scritto:ripeti la scansione con adwcleaner
A che pro, scusa? ... non serve, quello che doveva rimuovere ha rimosso.
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 4535
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Pup.optional.opencandy

Messaggio da Al3x »

[Claudio] ha scritto:non serve, quello che doveva rimuovere ha rimosso.
Consiglio invece di ripetere.
Capita spesso di trovare rimasugli di chiavi di registro e/o file anche dopo una prima pulizia, motivo per cui faccio sempre due passate.
I :amore Sasha
[Claudio]

Re: Pup.optional.opencandy

Messaggio da [Claudio] »

Al3x ha scritto:Capita spesso di trovare rimasugli di chiavi di registro e/o file anche dopo una prima pulizia, motivo per cui faccio sempre due passate.
Si può sempre fare (non troverà nulla, ma non costa nulla, e comunque lo ha già fatto girare due volte, la prima per conto suo, la seconda su mia indicazione); ritengo comunque preminente (ovviamente, si tratta di un mio personale parere) la rimozione delle chiavi di registro che fanno riferimento a NationZoom e delle cartelle create da PowerOffer.
Avatar utente
Zelbia
Livello: CD-ROM (4/15)
Livello: CD-ROM (4/15)
Messaggi: 66
Iscritto il: mar giu 10, 2014 10:41 pm

Re: Pup.optional.opencandy

Messaggio da Zelbia »

Non mi fa rimuovere quelle voci.
Mi dice impossibile eliminare. Errore nell'eliminazione
Avatar utente
Zelbia
Livello: CD-ROM (4/15)
Livello: CD-ROM (4/15)
Messaggi: 66
Iscritto il: mar giu 10, 2014 10:41 pm

Re: Pup.optional.opencandy

Messaggio da Zelbia »

Zelbia ha scritto:Non mi fa rimuovere quelle voci.
Mi dice impossibile eliminare. Errore nell'eliminazione
probabilmente è un problema di autorizzazioni ma non riesco a risolverlo
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 4535
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: R: Pup.optional.opencandy

Messaggio da Al3x »

Lancia regedit come amministratore, raggiungi le singole chiavi di registro e vedi se riesci a modificarne i diritti.
I :amore Sasha
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: R: Pup.optional.opencandy

Messaggio da System » mer giu 11, 2014 11:17 pm


Rispondi