TurboLab.it

Inviato: **mar giu 10, 2014 11:15 pm**

Buonasera a tutti. primo messaggio in questo forum che mi è stato segnalato come il migliore
Da alcuni giorni sto lottando con una serie di problemi al PC (Windows 7 pro, SP1).
Rallentamenti, FlashPlayer su FF che blocca il browser, mmc che non funzionano, etc.
Con una scansione con Malwermalbytes avevo trovato questi file:
C:\Users\Stefano\AppData\Roaming\OpenCandy\E32BE43 3BC9F4673BD7E406FCF55A804\sp-downloader.exe (PUP.Optional.Conduit.A) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Stefano\AppData\Local\Temp\nsa802C.exe (PUP.Optional.Conduit.A) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Stefano\Downloads\fat32formatter-1.1.exe (PUP.Optional.OpenCandy) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Stefano\AppData\Roaming\OpenCandy\2A457BE B9F64405EA50098A7E4FC775B\AVG-PC-TuneUp2014.exe (PUP.Optional.OpenCandy) -> Spostato in quarantena ed eliminato con successo.
Eliminati, fatta scansione con adware, hitmanpro. Hiajack da un log normale.
I problemi sono continuati e stasera ho rifatto una scansione con kaspersky - trovato niente - e di nuovo con malwerbytes che ha trovato questi intrusi:
Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)
Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)
Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)
Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)
Voci rilevate nei dati di registro: 1
HKCU\Software\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.Trovi.A) -> Cattivo: (http://www.trovi.com/?gd=&ctid=CT332558 ... H36B_sp_ie) Buono: (www.google.com) -> Spostato in quarantena e riparato con successo.
Cartelle rilevate: 3
C:\Users\Stefano\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Stefano\AppData\Roaming\OpenCandy\2A457BEB9F64405EA50098A7E4FC775B (PUP.Optional.OpenCandy) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Stefano\AppData\Roaming\OpenCandy\E32BE433BC9F4673BD7E406FCF55A804 (PUP.Optional.OpenCandy) -> Spostato in quarantena ed eliminato con successo.
File rilevati: 4
C:\Users\Stefano\AppData\Roaming\OpenCandy\E32BE433BC9F4673BD7E406FCF55A804\sp-downloader.exe (PUP.Optional.Conduit.A) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Stefano\AppData\Local\Temp\nsa802C.exe (PUP.Optional.Conduit.A) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Stefano\Downloads\fat32formatter-1.1.exe (PUP.Optional.OpenCandy) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Stefano\AppData\Roaming\OpenCandy\2A457BEB9F64405EA50098A7E4FC775B\AVG-PC-TuneUp2014.exe (PUP.Optional.OpenCandy) -> Spostato in quarantena ed eliminato con successo.

Temo che sarà difficile liberarsi del problema.
C'è quanche cosa "speciale" che posso fare?
Grazie a tutti

Inviato: **mer giu 11, 2014 5:07 am**

Hai provato con adwcleaner https://turbolab.it/42 ?

Cosa vuoi dire con: "mmc che non funzionano" ?

Che browser usi?

Inviato: **mer giu 11, 2014 11:26 am**

Avevo usato adwcleaner 2 giorni fa. Il problemi è che si è ripresentato.
MMC è microsoft manager control, vale a dire che spesso quando ora apro per esempio la configurazione di sistema ci mette un secolo prima di funzionare (problema snap-in?). Anche quando apro esplora risosrse tarda un bel po' per visualizzare le cartelle. Comunque è tutto più lento.
Riguardo il browser: io userei Firefox solo che in corrispondenza dell'inizio dei problemi ha cominciato a funzionare malissimo: flashplayer lo blocca irrimediabilmente.
L'ho disinstallato completamente, reinstallato e disattivato i componenti aggiuntivi. Ora va ma senza poter visualizzare le cose in cui servirebbe flashplayer.
Con Chrome va bene anche se tutto è diventato più lento.
Ieri sera mentre smanettavo ho notato che molti programmi risultano installati il 7 giugno, cosa assolutamente non vera. Potrebbe essere la conseguenza di qualche mia modifica al PC (configurazione sistema, punti di riprisino, etc.) o anche questo fatto è frutto del virus?

Inviato: **mer giu 11, 2014 1:46 pm**

segui questa guida https://turbolab.it/8 .... fai sapere

Inviato: **mer giu 11, 2014 3:22 pm**

Zelbia ha scritto:Temo che sarà difficile liberarsi del problema. C'è quanche cosa "speciale" che posso fare?

Puoi allegare, per cortesia, un Report di Hijackthis? (tasto destro del mouse sulla relativa icona e scegli ESEGUI COME AMMINISTRATORE).

Inviato: **mer giu 11, 2014 3:24 pm**

Zelbia ha scritto:Ieri sera mentre smanettavo ho notato che molti programmi risultano installati il 7 giugno

Quali programmi sono?

Inviato: **mer giu 11, 2014 3:37 pm**

Ho lanciato ccleaner. Pulito i file. Lanciato i programmi antivirus. Riavviato il PC. Non va più niente. Non si collega più a internet e per scrivere qui mi sono fatto prestare un ipod.
Il servzio service.exe si prende il 100% di CPU. Non parte piu nemmeno il rirpistino e non si riavvia in modalità provvisoria.
Sono in un grande casino.
Se poteste darmi qUalche indicazione quanto prima perchè poi vnon potrò più comunicare.grazue

Inviato: **mer giu 11, 2014 3:54 pm**

hai provato a fare un ripristino?

Inviato: **mer giu 11, 2014 4:00 pm**

Non mi permette dientrare nella configurazione di sistema. Pare chenon ci siano più punti di ripristino.
Dice che ripristino configurazione non funziona correttamente nel sistemainuso.
Errore imprevisto servizio copia shadow 0x80042302

Inviato: **mer giu 11, 2014 4:07 pm**

Con f8 mi appaiono solo le scelte delle schede da scegliere quindi non posso nemmeno avviare modalita provvisoria

Inviato: **mer giu 11, 2014 4:32 pm**

hai con te il cd di windows? fai un ripristino da cd se riesci

Inviato: **mer giu 11, 2014 5:32 pm**

Sem ha scritto:hai con te il cd di windows? fai un ripristino da cd se riesci

Per ora potremmo evitare? (e poi, probabilmente il CD non lo ha).

@Zelbia, ripeto: allega un report di Hijackthis (leggi mio post precedente).

Inviato: **mer giu 11, 2014 7:28 pm**

Eccomi qui di nuovo dopo lunga lotta.
Riattivare il PC e soprattutto riconnettermi è stato possibile ricreando/trovando un punto di ripristino dal DOS.
Forse CCLeaner aveva cancellato qualche chiave di troppo oppure non so.
Questo è il log di Hijack:
Avevao anche il log di ADWARE che avevo salvato subito prima del disastro ma è scomparso dal desktop.

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Unchecky\bin\unchecky_bg.exe
C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Philips Display\SmartControl\DTHtml.exe
C:\Windows\System32\spool\drivers\w32x86\3\E_FATIHKE.EXE
C:\Program Files\Common Files\Portrait Displays\Shared\HookManager.exe
C:\Windows\System32\StikyNot.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Common Files\Portrait Displays\Drivers\pdiSdkHelper.exe
C:\Windows\system32\igfxext.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\notepad.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Stefano\Desktop\collegamenti\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [DT PLP] C:\Program Files\Common Files\Portrait Displays\Shared\DT_startup.exe -PLP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [EPLTarget\P0000000000000000] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIHKE.EXE /EPT "EPLTarget\P0000000000000000" /M "Epson Stylus SX230"
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/s ... wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: ABBYY FineReader 9.0 Sprint Licensing Service (ABBYY.Licensing.FineReader.Sprint.9.0) - ABBYY - C:\Program Files\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Mail Protection (AntiVirMailService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avmailc7.exe
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Web Protection (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avwebg7.exe
O23 - Service: Browser Defender Update Service - Unknown owner - C:\Program Files\PC Tools\PC Tools Security\BDT\BDTUpdateService.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Portrait Displays, Inc. - C:\Program Files\Common Files\Portrait Displays\Shared\dtsrvc.exe
O23 - Service: EPSON V3 Service4(04) (EPSON_PM_RPCV4_04) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Portrait Displays SDK Service (PdiService) - Portrait Displays, Inc. - C:\Program Files\Common Files\Portrait Displays\Drivers\pdisrvc.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: Unchecky - RaMMicHaeL - C:\Program Files\Unchecky\bin\unchecky_svc.exe

Inviato: **mer giu 11, 2014 7:56 pm**

il log di hijackthis non è completo... ripostalo secondo le regole del forum.

P.s. Hijackthis DEVE essere eseguito dal desktop

Inviato: **mer giu 11, 2014 8:00 pm**

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 19:23:04, on 11/06/2014
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v11.0 (11.00.9600.17041)

FIREFOX: 30.0 (it)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Unchecky\bin\unchecky_bg.exe
C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Philips Display\SmartControl\DTHtml.exe
C:\Windows\System32\spool\drivers\w32x86\3\E_FATIHKE.EXE
C:\Program Files\Common Files\Portrait Displays\Shared\HookManager.exe
C:\Windows\System32\StikyNot.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Common Files\Portrait Displays\Drivers\pdiSdkHelper.exe
C:\Windows\system32\igfxext.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\notepad.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Stefano\Desktop\collegamenti\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [DT PLP] C:\Program Files\Common Files\Portrait Displays\Shared\DT_startup.exe -PLP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [EPLTarget\P0000000000000000] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIHKE.EXE /EPT "EPLTarget\P0000000000000000" /M "Epson Stylus SX230"
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/s ... wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: ABBYY FineReader 9.0 Sprint Licensing Service (ABBYY.Licensing.FineReader.Sprint.9.0) - ABBYY - C:\Program Files\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Mail Protection (AntiVirMailService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avmailc7.exe
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Web Protection (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avwebg7.exe
O23 - Service: Browser Defender Update Service - Unknown owner - C:\Program Files\PC Tools\PC Tools Security\BDT\BDTUpdateService.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Portrait Displays, Inc. - C:\Program Files\Common Files\Portrait Displays\Shared\dtsrvc.exe
O23 - Service: EPSON V3 Service4(04) (EPSON_PM_RPCV4_04) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Portrait Displays SDK Service (PdiService) - Portrait Displays, Inc. - C:\Program Files\Common Files\Portrait Displays\Drivers\pdisrvc.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: Unchecky - RaMMicHaeL - C:\Program Files\Unchecky\bin\unchecky_svc.exe

--
End of file - 8735 bytes

Questo contenuto è nascosto, ma senza JavaScript non puoi gestirlo correttamente. Passa con il mouse sopra a questo testo per visualizzarlo!

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Unchecky\bin\unchecky_bg.exe
C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Philips Display\SmartControl\DTHtml.exe
C:\Windows\System32\spool\drivers\w32x86\3\E_FATIHKE.EXE
C:\Program Files\Common Files\Portrait Displays\Shared\HookManager.exe
C:\Windows\System32\StikyNot.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Common Files\Portrait Displays\Drivers\pdiSdkHelper.exe
C:\Windows\system32\igfxext.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\notepad.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Stefano\Desktop\collegamenti\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [DT PLP] C:\Program Files\Common Files\Portrait Displays\Shared\DT_startup.exe -PLP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [EPLTarget\P0000000000000000] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIHKE.EXE /EPT "EPLTarget\P0000000000000000" /M "Epson Stylus SX230"
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/s ... wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: ABBYY FineReader 9.0 Sprint Licensing Service (ABBYY.Licensing.FineReader.Sprint.9.0) - ABBYY - C:\Program Files\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Mail Protection (AntiVirMailService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avmailc7.exe
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Web Protection (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avwebg7.exe
O23 - Service: Browser Defender Update Service - Unknown owner - C:\Program Files\PC Tools\PC Tools Security\BDT\BDTUpdateService.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Portrait Displays, Inc. - C:\Program Files\Common Files\Portrait Displays\Shared\dtsrvc.exe
O23 - Service: EPSON V3 Service4(04) (EPSON_PM_RPCV4_04) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Portrait Displays SDK Service (PdiService) - Portrait Displays, Inc. - C:\Program Files\Common Files\Portrait Displays\Drivers\pdisrvc.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: Unchecky - RaMMicHaeL - C:\Program Files\Unchecky\bin\unchecky_svc.exe

--
End of file - 8735 bytes

Inviato: **mer giu 11, 2014 8:16 pm**

Zelbia ha scritto:Eccomi qui di nuovo dopo lunga lotta.
Riattivare il PC e soprattutto riconnettermi è stato possibile ricreando/trovando un punto di ripristino dal DOS.
Forse CCLeaner aveva cancellato qualche chiave di troppo oppure non so.
Questo è il log di Hijack

Ok, a parte qualche schiocchezza, non vedo nulla di anomalo, però voglio una conferma:

Scarica ADWCLEANER.
1) avvia il programma e clicca sul tasto SEARCH;
2) al termine della scansione, clicca sul tasto ELIMINA;
3) salva il REPORT [Sx] rilasciato dopo l’eliminazione.

Scarica HITMANPRO.
1) esegui il software, clicca su IMPOSTAZIONI, e imposta come da immagine:

2) conferma con OK e clicca su AVANTI per avviare la scansione (è richiesta la connessione attiva);
3) salva il REPORT rilasciato.

Allega i due REPORT, utilizzando la funzione SPOILER integrata nell'editor del forum, per favore.

Inviato: **mer giu 11, 2014 8:46 pm**

Ho fatto le due scansioni.
Quella di ADWARE non ha trovato nulla ma allego il report di oggi prima del crash
HitmanPro ha trovato qualcosa
Spero di allegare nel modo giusto con lo spoler dell'editor

# AdwCleaner v3.212 - Rapporto creato 11/06/2014 in 14:30:04
# Aggiornato 05/06/2014 di Xplode
# Sistema operativo : Windows 7 Professional Service Pack 1 (32 bits)
# Nome utente : Stefano - STEFANO-PC
# In esecuzione da : C:\Users\Stefano\Downloads\AdwCleaner(1).exe
# Opzione : Pulisci

***** [ Servizi ] *****

***** [ File / Cartelle ] *****

***** [ Collegamenti ] *****

***** [ Registro ] *****

***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.17041

-\\ Mozilla Firefox v30.0 (it)

[ File : C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\prefs.js ]

-\\ Google Chrome v35.0.1916.114

[ File : C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\preferences ]

Eliminati [Extension] : booedmolknjekdopkepjjeckmjkdpfgl
Eliminati [Extension] : flpcjncodpafbgdpnkljologafpionhb

*************************

AdwCleaner[R0].txt - [1039 octets] - [11/06/2014 14:28:51]
AdwCleaner[S0].txt - [963 octets] - [11/06/2014 14:30:04]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1022 octets] ##########

Questo contenuto è nascosto, ma senza JavaScript non puoi gestirlo correttamente. Passa con il mouse sopra a questo testo per visualizzarlo!

# AdwCleaner v3.212 - Rapporto creato 11/06/2014 in 14:30:04
# Aggiornato 05/06/2014 di Xplode
# Sistema operativo : Windows 7 Professional Service Pack 1 (32 bits)
# Nome utente : Stefano - STEFANO-PC
# In esecuzione da : C:\Users\Stefano\Downloads\AdwCleaner(1).exe
# Opzione : Pulisci

***** [ Servizi ] *****

***** [ File / Cartelle ] *****

***** [ Collegamenti ] *****

***** [ Registro ] *****

***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.17041

-\\ Mozilla Firefox v30.0 (it)

[ File : C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\prefs.js ]

-\\ Google Chrome v35.0.1916.114

[ File : C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\preferences ]

Eliminati [Extension] : booedmolknjekdopkepjjeckmjkdpfgl
Eliminati [Extension] : flpcjncodpafbgdpnkljologafpionhb

*************************

AdwCleaner[R0].txt - [1039 octets] - [11/06/2014 14:28:51]
AdwCleaner[S0].txt - [963 octets] - [11/06/2014 14:30:04]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1022 octets] ##########

Codice: Seleziona tutto

HitmanPro 3.7.9.216
www.hitmanpro.com

   Computer name . . . . : STEFANO-PC
   Windows . . . . . . . : 6.1.1.7601.X86/1
   User name . . . . . . : Stefano-PC\Stefano
   UAC . . . . . . . . . : Disabled
   License . . . . . . . : Trial (Expired)

   Scan date . . . . . . : 2014-06-11 20:36:06
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 6m 49s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 3
   Traces  . . . . . . . : 29

   Objects scanned . . . : 1.953.387
   Files scanned . . . . : 116.982
   Remnants scanned  . . : 1.007.460 files / 828.945 keys

Malware _____________________________________________________________________

   C:\Users\Public\Documents\AppData\PoApp\PService.exe
      Size . . . . . . . : 762.368 bytes
      Age  . . . . . . . : 721.7 days (2012-06-20 02:49:24)
      Entropy  . . . . . : 5.8
      SHA-256  . . . . . : 8D2DEE48B19E3BF2F5AA1BC513DF648FE567655A3D1997C3767FB6BE521A7BEE
      Product  . . . . . : PService
      Publisher  . . . . : PService
      Description  . . . : PService
      Version  . . . . . : 2.0
      Copyright  . . . . : Copyright © PService 2011
    > Kaspersky  . . . . : not-a-virus:AdWare.MSIL.PowerOfr.a
      Fuzzy  . . . . . . : 100.0

   C:\Users\Stefano\AppData\Local\ServUpdater\ServiceUpd.exe
      Size . . . . . . . : 156.160 bytes
      Age  . . . . . . . : 721.7 days (2012-06-20 02:49:22)
      Entropy  . . . . . : 5.9
      SHA-256  . . . . . : 7BE4EB01AD125AAAC0D4D5BDC755AD3FE96324F4B2F7C2E0617132B5AD11B329
      Product  . . . . . : ServiceUpd
      Publisher  . . . . : ServiceUpd
      Description  . . . : ServiceUpd
      Version  . . . . . : 2.0
      Copyright  . . . . : Copyright © ServiceUpd 2011
      Service  . . . . . : ServUpdater
    > Kaspersky  . . . . : not-a-virus:AdWare.MSIL.PowerOfr.a
      Fuzzy  . . . . . . : 103.0
      Startup
         HKLM\SYSTEM\CurrentControlSet\Services\ServUpdater\

   C:\Users\Stefano\Downloads\AsteriskPasswordSpy\AsteriskPasswordSpy\Setup_AsteriskPasswordSpy.exe
      Size . . . . . . . : 2.112.426 bytes
      Age  . . . . . . . : 219.9 days (2013-11-03 23:51:33)
      Entropy  . . . . . : 7.9
      SHA-256  . . . . . : ECD1346BFD7C8586ECE6B05D455D45721061CB04E5DA872675F5790DC9B8D5EC
      Product  . . . . . : AsteriskPasswordSpy
      Publisher  . . . . : SecurityXploded
      Description  . . . : Windows Asterisk Password Recovery Tool
      Version  . . . . . : 2.5
      Copyright  . . . . : Copyright © 2007-2013 SecurityXploded, All rights reserved
    > Kaspersky  . . . . : not-a-virus:PSWTool.Win32.Agent.vy
      Fuzzy  . . . . . . : 108.0


Potential Unwanted Programs _________________________________________________

   HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_ISAFENETFILTER\ (NationZoom)
   HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_ISAFENETFILTER\ (NationZoom)
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ISAFENETFILTER\ (NationZoom)

Cookies _____________________________________________________________________

   C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\Cookies:ads.yahoo.com
   C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\Cookies:atdmt.com
   C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\Cookies:doubleclick.net
   C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\Cookies:mediaplex.com
   C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\Cookies:serving-sys.com
   C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\Cookies:track.adform.net
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:ad.zanox.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:ads.mediade.sk
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:ads.p161.net
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:ads.rcs.it
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:ads.yahoo.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:advertising.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:atdmt.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:bs.serving-sys.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:casalemedia.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:cstatic.weborama.fr
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:doubleclick.net
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:ru4.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:serving-sys.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:track.adform.net
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:weborama.fr
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:yadro.ru

Questo contenuto è nascosto, ma senza JavaScript non puoi gestirlo correttamente. Passa con il mouse sopra a questo testo per visualizzarlo!

Codice: Seleziona tutto

HitmanPro 3.7.9.216
www.hitmanpro.com

   Computer name . . . . : STEFANO-PC
   Windows . . . . . . . : 6.1.1.7601.X86/1
   User name . . . . . . : Stefano-PC\Stefano
   UAC . . . . . . . . . : Disabled
   License . . . . . . . : Trial (Expired)

   Scan date . . . . . . : 2014-06-11 20:36:06
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 6m 49s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 3
   Traces  . . . . . . . : 29

   Objects scanned . . . : 1.953.387
   Files scanned . . . . : 116.982
   Remnants scanned  . . : 1.007.460 files / 828.945 keys

Malware _____________________________________________________________________

   C:\Users\Public\Documents\AppData\PoApp\PService.exe
      Size . . . . . . . : 762.368 bytes
      Age  . . . . . . . : 721.7 days (2012-06-20 02:49:24)
      Entropy  . . . . . : 5.8
      SHA-256  . . . . . : 8D2DEE48B19E3BF2F5AA1BC513DF648FE567655A3D1997C3767FB6BE521A7BEE
      Product  . . . . . : PService
      Publisher  . . . . : PService
      Description  . . . : PService
      Version  . . . . . : 2.0
      Copyright  . . . . : Copyright © PService 2011
    > Kaspersky  . . . . : not-a-virus:AdWare.MSIL.PowerOfr.a
      Fuzzy  . . . . . . : 100.0

   C:\Users\Stefano\AppData\Local\ServUpdater\ServiceUpd.exe
      Size . . . . . . . : 156.160 bytes
      Age  . . . . . . . : 721.7 days (2012-06-20 02:49:22)
      Entropy  . . . . . : 5.9
      SHA-256  . . . . . : 7BE4EB01AD125AAAC0D4D5BDC755AD3FE96324F4B2F7C2E0617132B5AD11B329
      Product  . . . . . : ServiceUpd
      Publisher  . . . . : ServiceUpd
      Description  . . . : ServiceUpd
      Version  . . . . . : 2.0
      Copyright  . . . . : Copyright © ServiceUpd 2011
      Service  . . . . . : ServUpdater
    > Kaspersky  . . . . : not-a-virus:AdWare.MSIL.PowerOfr.a
      Fuzzy  . . . . . . : 103.0
      Startup
         HKLM\SYSTEM\CurrentControlSet\Services\ServUpdater\

   C:\Users\Stefano\Downloads\AsteriskPasswordSpy\AsteriskPasswordSpy\Setup_AsteriskPasswordSpy.exe
      Size . . . . . . . : 2.112.426 bytes
      Age  . . . . . . . : 219.9 days (2013-11-03 23:51:33)
      Entropy  . . . . . : 7.9
      SHA-256  . . . . . : ECD1346BFD7C8586ECE6B05D455D45721061CB04E5DA872675F5790DC9B8D5EC
      Product  . . . . . : AsteriskPasswordSpy
      Publisher  . . . . : SecurityXploded
      Description  . . . : Windows Asterisk Password Recovery Tool
      Version  . . . . . : 2.5
      Copyright  . . . . : Copyright © 2007-2013 SecurityXploded, All rights reserved
    > Kaspersky  . . . . : not-a-virus:PSWTool.Win32.Agent.vy
      Fuzzy  . . . . . . : 108.0


Potential Unwanted Programs _________________________________________________

   HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_ISAFENETFILTER\ (NationZoom)
   HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_ISAFENETFILTER\ (NationZoom)
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ISAFENETFILTER\ (NationZoom)

Cookies _____________________________________________________________________

   C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\Cookies:ads.yahoo.com
   C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\Cookies:atdmt.com
   C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\Cookies:doubleclick.net
   C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\Cookies:mediaplex.com
   C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\Cookies:serving-sys.com
   C:\Users\Stefano\AppData\Local\Google\Chrome\User Data\Default\Cookies:track.adform.net
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:ad.zanox.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:ads.mediade.sk
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:ads.p161.net
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:ads.rcs.it
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:ads.yahoo.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:advertising.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:atdmt.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:bs.serving-sys.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:casalemedia.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:cstatic.weborama.fr
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:doubleclick.net
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:ru4.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:serving-sys.com
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:track.adform.net
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:weborama.fr
   C:\Users\Stefano\AppData\Roaming\Mozilla\Firefox\Profiles\6x3hkacj.default\cookies.sqlite:yadro.ru

Inviato: **mer giu 11, 2014 9:07 pm**

Abbiamo un problema, la licenza in prova di HitmanPro è scaduta è dal report noto dei problemi che devi risolvere manualmente, intervenendo nel REGEDIT.

Questi percorsi da seguire (e chiavi da rimuovere):

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_ISAFENETFILTER\ (NationZoom)
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_ISAFENETFILTER\ (NationZoom)
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ISAFENETFILTER\ (NationZoom)

Poi, segui i percorsI, e elimina le cartelle evidenziate:

C:\Users\Public\Documents\AppData\PoApp\PService.exe
C:\Users\Stefano\AppData\Local\ServUpdater\ServiceUpd.exe
C:\Users\Stefano\Downloads\AsteriskPasswordSpy\AsteriskPasswordSpy\Setup_AsteriskPasswordSpy.exe

Quando hai terminato, riavvia il sistema, esegui una nuova scansione con HitmanPro e allega il nuovo Report.

Infine, lancia CCLEANER e:

1) clicca sulla icona STRUMENTI;
2) seleziona la sezione DISINSTALLAZIONE e, in basso a destra, clicca sul tasto SALVA COME TESTO.
3) salva e il REPORT che verrà generato e allegalo.

Allega tutto sempre con la funzione SPOILER.

Inviato: **mer giu 11, 2014 9:08 pm**

ripeti la scansione con adwcleaner

Inviato: **mer giu 11, 2014 9:10 pm**

Sem ha scritto:ripeti la scansione con adwcleaner

A che pro, scusa? ... non serve, quello che doveva rimuovere ha rimosso.

Inviato: **mer giu 11, 2014 9:16 pm**

[Claudio] ha scritto:non serve, quello che doveva rimuovere ha rimosso.

Consiglio invece di ripetere.
Capita spesso di trovare rimasugli di chiavi di registro e/o file anche dopo una prima pulizia, motivo per cui faccio sempre due passate.

Inviato: **mer giu 11, 2014 10:04 pm**

Al3x ha scritto:Capita spesso di trovare rimasugli di chiavi di registro e/o file anche dopo una prima pulizia, motivo per cui faccio sempre due passate.

Si può sempre fare (non troverà nulla, ma non costa nulla, e comunque lo ha già fatto girare due volte, la prima per conto suo, la seconda su mia indicazione); ritengo comunque preminente (ovviamente, si tratta di un mio personale parere) la rimozione delle chiavi di registro che fanno riferimento a NationZoom e delle cartelle create da PowerOffer.

Inviato: **mer giu 11, 2014 10:29 pm**

Non mi fa rimuovere quelle voci.
Mi dice impossibile eliminare. Errore nell'eliminazione

Inviato: **mer giu 11, 2014 11:14 pm**

Zelbia ha scritto:Non mi fa rimuovere quelle voci.
Mi dice impossibile eliminare. Errore nell'eliminazione

probabilmente è un problema di autorizzazioni ma non riesco a risolverlo

Inviato: **mer giu 11, 2014 11:17 pm**

Lancia regedit come amministratore, raggiungi le singole chiavi di registro e vedi se riesci a modificarne i diritti.

TurboLab.it

Pup.optional.opencandy

Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: Pup.optional.opencandy

Re: R: Pup.optional.opencandy