[risolto]Problema con pagine web che si aprono da sole

[marco67]

Salve,
ho visto che avete in passato già risolto questo problema ad altri utenti, vi chiedo se per cortesia potete darmi una mano.
Da due giorni capita spesso che invece di aprirsi la pagina web sul indirizzo desiderato si apre automaticamente una pagina pubblicitaria o simile. Ho fatto scansione FULL con Symantec Endpoint Protection che mi ha rilevato 3 visrus Trojan ma non ho rusolto il problema delle pagine. Ho Windows 7 e utilizzo sia Firefox 9.0.1 che Explorer 8
Grazie del supporto.

[FDAC]

Disinstalla subito la "ciofeca" di antivirus che ti ritrovi:Symantec Endpoint Protection

In questo modo, avremo una gatta da pelare in meno.

Successivamente, scarica, installa, e allega il log, di entrambi questi programmi.

Buon lavoro, Francesco.

Scarica Avira AntiVir Personal - Free Edition: Avira Free Antivirus - Download Best Antivirus Software
● posiziona il file scaricato sul sul Desktop
● installa il programma, seguendo questa semplice video guida: Avira Free Antivirus - Download Best Antivirus Software
● durante l'installazione, togli la spunta alla voce Esegui breve scansione del sistema dopo l’installazione
● al termine dell'installazione, esegui una Scansione Completa del sistema, procedendo così:
● doppio click sull'icona di Avira AntiVir Control Center, situata sul Desktop
● si aprirà la schermata principale del programma
● clicca su Avvia l'aggiornamento, per aggiornare le definizioni virali del programma
● una volta concluso, clicca su Analizza il sistema ora, per scansionare il sistema alla ricerca di malware
● attendi pazientemente il termine della scansione
● metti in quarantena le infezioni trovate: in tal modo se legittime, potrai ripristinarle
● allega il risultato che verrà rilasciato: per farlo, clicca su Report

Scarica Navilog: http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
● salvalo sul Desktop
● doppio click sull'icona di Navilog1.exe che hai salvato sul Desktop e procedi con l'installazione. Per farlo, disconnettiti da Internet e disabilita i programmi di sicurezza (antivirus, antispyware, firewall)
● doppio click sull'icona Navilog1
● clicca 5 per scegliere la lingua italiano e premi Invio per confermare
● compariranno vari messaggi d'avviso (premi Invio per ognuno di essi)
● quando compare il menù delle operazioni disponibili, digita 1 e premi Invio
● al termine della scansione, viene aperto il blocco note con il risultato dell'operazione
● il log viene salvato in questo percorso: C:\cleannavi.txt

[marco67]

Ciao,

ti riporto i due log sotto sopo aver fatto le operazioni che mi hai detto.

Grazie per la risposta.

Avira Free Antivirus
Data del file di report: lunedì 23 gennaio 2012 22:22
Ricerca di 3213551 virus e programmi indesiderati.
Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.
Concesso in licenza a : Avira AntiVir Personal - Free Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows 7 x64
Versione di Windows : (plain) [6.1.7600]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : TEST-THINK
Informazioni sulla versione:
BUILD.DAT : 12.0.0.141 41826 Bytes 16/12/2011 13:20:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 16/12/2011 08:51:14
AVSCAN.DLL : 12.1.0.17 63440 Bytes 14/12/2011 23:37:22
LUKE.DLL : 12.1.0.17 68304 Bytes 16/12/2011 08:51:22
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 16/12/2011 08:51:14
AVREG.DLL : 12.1.0.27 227536 Bytes 16/12/2011 08:51:13
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 23:37:03
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 20:52:17
VBASE003.VDF : 7.11.19.171 2048 Bytes 20/12/2011 20:52:17
VBASE004.VDF : 7.11.19.172 2048 Bytes 20/12/2011 20:52:18
VBASE005.VDF : 7.11.19.173 2048 Bytes 20/12/2011 20:52:18
VBASE006.VDF : 7.11.19.174 2048 Bytes 20/12/2011 20:52:18
VBASE007.VDF : 7.11.19.175 2048 Bytes 20/12/2011 20:52:18
VBASE008.VDF : 7.11.19.176 2048 Bytes 20/12/2011 20:52:19
VBASE009.VDF : 7.11.19.177 2048 Bytes 20/12/2011 20:52:19
VBASE010.VDF : 7.11.19.178 2048 Bytes 20/12/2011 20:52:19
VBASE011.VDF : 7.11.19.179 2048 Bytes 20/12/2011 20:52:19
VBASE012.VDF : 7.11.19.180 2048 Bytes 20/12/2011 20:52:19
VBASE013.VDF : 7.11.19.217 182784 Bytes 22/12/2011 20:52:20
VBASE014.VDF : 7.11.19.255 148480 Bytes 24/12/2011 20:52:21
VBASE015.VDF : 7.11.20.29 164352 Bytes 27/12/2011 20:52:22
VBASE016.VDF : 7.11.20.70 180224 Bytes 29/12/2011 20:52:23
VBASE017.VDF : 7.11.20.102 240640 Bytes 02/01/2012 20:52:24
VBASE018.VDF : 7.11.20.139 164864 Bytes 04/01/2012 20:52:25
VBASE019.VDF : 7.11.20.178 167424 Bytes 06/01/2012 20:52:25
VBASE020.VDF : 7.11.20.207 230400 Bytes 10/01/2012 20:52:26
VBASE021.VDF : 7.11.20.236 150528 Bytes 11/01/2012 20:52:27
VBASE022.VDF : 7.11.21.13 135168 Bytes 13/01/2012 20:52:27
VBASE023.VDF : 7.11.21.40 163840 Bytes 16/01/2012 20:52:28
VBASE024.VDF : 7.11.21.65 1001472 Bytes 17/01/2012 20:52:31
VBASE025.VDF : 7.11.21.98 487424 Bytes 19/01/2012 20:52:32
VBASE026.VDF : 7.11.21.99 2048 Bytes 19/01/2012 20:52:32
VBASE027.VDF : 7.11.21.100 2048 Bytes 19/01/2012 20:52:33
VBASE028.VDF : 7.11.21.101 2048 Bytes 19/01/2012 20:52:33
VBASE029.VDF : 7.11.21.102 2048 Bytes 19/01/2012 20:52:33
VBASE030.VDF : 7.11.21.103 2048 Bytes 19/01/2012 20:52:33
VBASE031.VDF : 7.11.21.137 209920 Bytes 23/01/2012 20:52:34
Motore : 8.2.8.34
AEVDF.DLL : 8.1.2.2 106868 Bytes 16/12/2011 08:51:11
AESCRIPT.DLL : 8.1.4.1 434553 Bytes 23/01/2012 20:52:46
AESCN.DLL : 8.1.8.1 127348 Bytes 23/01/2012 20:52:45
AESBX.DLL : 8.2.4.5 434549 Bytes 16/12/2011 08:51:10
AERDL.DLL : 8.1.9.15 639348 Bytes 14/12/2011 23:36:18
AEPACK.DLL : 8.2.16.1 799094 Bytes 23/01/2012 20:52:44
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 23/01/2012 20:52:42
AEHEUR.DLL : 8.1.3.19 4309367 Bytes 23/01/2012 20:52:42
AEHELP.DLL : 8.1.19.0 254327 Bytes 23/01/2012 20:52:37
AEGEN.DLL : 8.1.5.17 405877 Bytes 16/12/2011 08:51:07
AEEMU.DLL : 8.1.3.0 393589 Bytes 14/12/2011 23:36:14
AECORE.DLL : 8.1.25.2 201079 Bytes 23/01/2012 20:52:36
AEBB.DLL : 8.1.1.0 53618 Bytes 14/12/2011 23:36:14
AVWINLL.DLL : 12.1.0.17 27344 Bytes 16/12/2011 08:51:16
AVPREF.DLL : 12.1.0.17 51920 Bytes 16/12/2011 08:51:13
AVREP.DLL : 12.1.0.17 179408 Bytes 16/12/2011 08:51:13
AVARKT.DLL : 12.1.0.19 208848 Bytes 16/12/2011 08:51:11
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 16/12/2011 08:51:12
SQLITE3.DLL : 3.7.0.0 398288 Bytes 16/12/2011 08:51:24
AVSMTP.DLL : 12.1.0.17 62928 Bytes 16/12/2011 08:51:14
NETNT.DLL : 12.1.0.17 17104 Bytes 16/12/2011 08:51:22
RCIMAGE.DLL : 12.1.0.13 4449488 Bytes 14/12/2011 23:37:27
RCTEXT.DLL : 12.1.1.16 98768 Bytes 16/12/2011 08:51:31
Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Hard Disk locali
File di configurazione......................: C:\Program Files (x86)\Avira\AntiVir
Desktop\alldiscs.avp
Report......................................: standard
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:, Q:,
Scansione dei programmi attivi..............: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Non attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Selezione intelligente dei file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: avanzato
Avvio della scansione: lunedì 23 gennaio 2012 22:22
Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!
Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'Q:\'
[INFO] Nessun virus è stato trovato!
La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'iexplore.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'iexplore.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'UNS.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'MCPLaunch.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'NclMSBTSrvEx.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'tvt_reg_monitor_svc.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'SUService.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'LMS.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'ServiceLayer.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '1' modulo(i) scansionato(i)
Scansione processo '79A.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'NokiaMServer.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'jusched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'hqtray.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'AdobeARM.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'iTunesHelper.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'OpWareSE4.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'lvvm.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'TimMonitor.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'rundll32.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'SvcGuiHlpr.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'Dropbox.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'DLG.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'NokiaOviSuite.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'gStart.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'GoogleToolbarNotifier.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'TPKNRRES.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'TpScrex.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'TPONSCR.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'TPOSDSVC.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'AcDeskBandHlpr.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'D6FA3.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'scheduler_proxy.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'virtscrl.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'rrservice.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'vmnetdhcp.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'vmware-authd.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'AcSvc.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wgsslvpnsrc.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'vmnat.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'vmware-usbarbitrator.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'sqlbrowser.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'lvvsst.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'TPKNRSVC.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'CAMMUTE.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'IJPLMSVC.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'FortiSSLVPNdaemon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'mDNSResponder.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'AppleMobileDeviceService.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'armsvc.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svc2dll.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'AcPrfMgrSvc.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'TPHKSVC.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '1' modulo(i) scansionato(i)
Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 2214 file ).
Avvio della scansione del file selezionati:
Inizia con la scansione di 'C:\' <Windows7_OS>
C:\Users\marco.astolfi\AppData\Local\Temp\32F7.tmp
[RILEVAMENTO] Si tratta del cavallo di ***** TR/Offend.KD.519764
C:\Users\marco.astolfi\AppData\LocalLow\Sun\Java\D eployment\cache\6.0\0\64ca7a80-1b
844e1a
[0] Tipo di archivio: ZIP
--> morale.class
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit
EXP/2011-3544.AJ
C:\Users\marco.astolfi\AppData\LocalLow\Sun\Java\D eployment\cache\6.0\12\d29cb0c-41
1a3c3e
[0] Tipo di archivio: HIDDEN
-->
FIL\\\?\C:\Users\marco.astolfi\AppData\LocalLow\Su n\Java\Deployment\cache\6.0\12\d2
9cb0c-411a3c3e
[RILEVAMENTO] Si tratta del cavallo di ***** TR/Spy.139297.1
C:\Users\marco.astolfi\AppData\LocalLow\Sun\Java\D eployment\cache\6.0\22\6ce5d856-6
14c9b20
[0] Tipo di archivio: HIDDEN
-->
FIL\\\?\C:\Users\marco.astolfi\AppData\LocalLow\Su n\Java\Deployment\cache\6.0\22\6c
e5d856-614c9b20
[RILEVAMENTO] Si tratta del cavallo di ***** TR/Spy.139297.1
C:\Users\marco.astolfi\AppData\LocalLow\Sun\Java\D eployment\cache\6.0\3\1a7f9183-5a
4d228c
[0] Tipo di archivio: HIDDEN
-->
FIL\\\?\C:\Users\marco.astolfi\AppData\LocalLow\Su n\Java\Deployment\cache\6.0\3\1a7
f9183-5a4d228c
[RILEVAMENTO] Si tratta del cavallo di ***** TR/PSW.Zbot.4618
C:\Users\marco.astolfi\AppData\LocalLow\Sun\Java\D eployment\cache\6.0\53\288ef8f5-3
b64138f
[0] Tipo di archivio: HIDDEN
-->
FIL\\\?\C:\Users\marco.astolfi\AppData\LocalLow\Su n\Java\Deployment\cache\6.0\53\28
8ef8f5-3b64138f
[RILEVAMENTO] Si tratta del cavallo di ***** TR/PSW.Zbot.1082
Inizia con la scansione di 'Q:\' <Lenovo_Recovery>
Avvio della disinfezione:
C:\Users\marco.astolfi\AppData\LocalLow\Sun\Java\D eployment\cache\6.0\53\288ef8f5-3
b64138f
[RILEVAMENTO] Si tratta del cavallo di ***** TR/PSW.Zbot.1082
[NOTA] Il file è stato spostato in quarantena con il nome '490afb35.qua'!
C:\Users\marco.astolfi\AppData\LocalLow\Sun\Java\D eployment\cache\6.0\3\1a7f9183-5a
4d228c
[RILEVAMENTO] Si tratta del cavallo di ***** TR/PSW.Zbot.4618
[NOTA] Il file è stato spostato in quarantena con il nome '519ed4cb.qua'!
C:\Users\marco.astolfi\AppData\LocalLow\Sun\Java\D eployment\cache\6.0\22\6ce5d856-6
14c9b20
[RILEVAMENTO] Si tratta del cavallo di ***** TR/Spy.139297.1
[NOTA] Il file è stato spostato in quarantena con il nome '03178e2d.qua'!
C:\Users\marco.astolfi\AppData\LocalLow\Sun\Java\D eployment\cache\6.0\12\d29cb0c-41
1a3c3e
[RILEVAMENTO] Si tratta del cavallo di ***** TR/Spy.139297.1
[NOTA] Il file è stato spostato in quarantena con il nome '65f4c1be.qua'!
C:\Users\marco.astolfi\AppData\LocalLow\Sun\Java\D eployment\cache\6.0\0\64ca7a80-1b
844e1a
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/2011-3544.AJ
[NOTA] Il file è stato spostato in quarantena con il nome '20a6ec82.qua'!
C:\Users\marco.astolfi\AppData\Local\Temp\32F7.tmp
[RILEVAMENTO] Si tratta del cavallo di ***** TR/Offend.KD.519764
[NOTA] Il file è stato spostato in quarantena con il nome '5f58dee1.qua'!
Fine della scansione: martedì 24 gennaio 2012 08:01
Tempo impiegato: 2:22:56 Ora(e)
La scansione è stata completamente eseguita.
38486 Directory scansionate
4336843 I file sono stati scansionati
6 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
6 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
4336837 File non infetti
316456 Archivi scansionati
0 Avvisi
6 Note

Fix Navipromo version 4.1.1 scansione iniziata il 24/01/2012 10:32:33,27

!!! Attenzione,questa scansione potrebbe rilevare archivi/programmi legittimi !!!
!!! Postate questo log all'interno dei Forum per farlo analizzare !!!

Fix effettuato da C:\navilog1

Aggiornamento del 05.11.2011 delle ore 20h00 effettuata da IL-MAFIOSO

Microsoft Windows 7 Professional ( v6.1.7600 )
x64-based PC ( Multiprocessor Free : Intel(R) Core(TM) i3 CPU M 390 @ 2.67GHz )
BIOS : Ver 1.00PARTTBLx
USER : marco.astolfi ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:287 Go (Free:94 Go)
Q:\ (Local Disk) - NTFS - Total:9 Go (Free:2 Go)


La Ricerca è stata effettuata in modalità normale


Nessuna Infezione Navipromo/Egdaccess trovata

[FDAC]

Avira ha trovato delle infezioni abbastanza pericolose.
Scarica Malwarebytes' Anti-Malware - Free Edition: Malwarebytes : Free anti-malware, anti-virus and spyware removal download
● doppio click su mbam-setup.exe per avviare il setup
● in fase di installazione, lascia la spunta alle voci b]Aggiorna Malwarebytes' Anti-Malware[/b] e Avvia Malwarebytes' Anti-Malware

Una volta eseguiti i passaggi indicati sopra:
● collega tutte le periferiche esterne che possiedi ( Chiavette USB, HDD Esterni, Lettori MP3... )
● verrà mostrata la schermata principale del tool: al messaggio che appare, clicca sul pulsante No
● clicca sul pulsante Scansione completa, e conferma cliccando il pulsante Scansione
● verrà richiesto quali drive scansionare; selezionali tutti, e clicca nuovamente su Scansione
● attendi pazientemente il termine della scansione
● una volta terminata, clicca sul pulsante OK e Mostra Risultati per visionare il Report
● verrà rilasciato automaticamente un file di testo: salvalo sul Desktop ed allegalo
● assicurati che tutte le voci siano selezionate, e clicca sul pulsante Rimuovi selezionati, in basso a sinistra
● il log può essere visionati cliccando sul tab Log dall'interfaccia principale del programma

Nota - riguardo al programma:
● se MalwareBytes incontrasse delle difficoltà nel rimuovere alcuni file, verranno mostrate delle finestre aggiuntive: clicca sul pulsante OK, e lascia procedere il programma alla disinfezione. Se MalwareBytes chiedesse di riavviare il sistema, fallo immediatamente

[marco67]

Ciao,

ti allego sotto il report di MalwareBytes. Grazie 1000

alwarebytes Anti-Malware (Prova) 1.60.0.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Versione database: v2012.01.24.04

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
marco.astolfi :: TEST-THINK [amministratore]

Protezione: Disattivata

24/01/2012 17:39:04
mbam-log-2012-01-24 (21-39-58).txt

Tipo di scansione: Scansione completa
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 435989
Tempo impiegato: 1 ore, 45 minuti, 5 secondi

Processi rilevati in memoria: 2
C:\Windows\SysWOW64\svc2dll.exe (Trojan.Cryptpin.Gen) -> 1948 -> Nessuna azione intrapresa.
C:\Program Files (x86)\LP\A301\F29.exe (Backdoor.CycBot) -> 3784 -> Nessuna azione intrapresa.

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 1
HKLM\SYSTEM\CurrentControlSet\Services\Adobe Direct CVS Service (Trojan.Cryptpin.Gen) -> Nessuna azione intrapresa.

Valori di registro rilevati: 7
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell.Gen) -> Dati: explorer.exe,C:\Users\marco.astolfi\AppData\Roamin g\146B8\0B5A3.exe -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |79A.exe (Backdoor.CycBot) -> Dati: C:\Program Files (x86)\LP\2221\79A.exe -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |9C7.exe (Backdoor.CycBot) -> Dati: C:\Program Files (x86)\LP\B231\9C7.exe -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |70B.exe (Backdoor.CycBot) -> Dati: C:\Program Files (x86)\LP\E271\70B.exe -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |F84.exe (Backdoor.CycBot) -> Dati: C:\Program Files (x86)\LP\A3C1\F84.exe -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |DA5.exe (Backdoor.CycBot) -> Dati: C:\Program Files (x86)\LP\C8E1\DA5.exe -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |F29.exe (Backdoor.CycBot) -> Dati: C:\Program Files (x86)\LP\A301\F29.exe -> Nessuna azione intrapresa.

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 11
C:\Windows\SysWOW64\svc2dll.exe (Trojan.Cryptpin.Gen) -> Nessuna azione intrapresa.
C:\Program Files (x86)\LP\2221\156D.tmp (Trojan.Dropper) -> Nessuna azione intrapresa.
C:\Users\marco.astolfi\AppData\Local\Temp\ICReinst all\PDFConverterSetup.exe (Adware.Agent) -> Nessuna azione intrapresa.
C:\Windows\System32\svc2dll.exe (Trojan.Cryptpin.Gen) -> Nessuna azione intrapresa.
C:\Windows\System32\svc2dll.dat (Malware.Trace) -> Nessuna azione intrapresa.
C:\Windows\SysWOW64\svc2dll.dat (Malware.Trace) -> Nessuna azione intrapresa.
C:\Program Files (x86)\LP\B231\9C7.exe (Backdoor.CycBot) -> Nessuna azione intrapresa.
C:\Program Files (x86)\LP\E271\70B.exe (Backdoor.CycBot) -> Nessuna azione intrapresa.
C:\Program Files (x86)\LP\A3C1\F84.exe (Backdoor.CycBot) -> Nessuna azione intrapresa.
C:\Program Files (x86)\LP\C8E1\DA5.exe (Backdoor.CycBot) -> Nessuna azione intrapresa.
C:\Program Files (x86)\LP\A301\F29.exe (Backdoor.CycBot) -> Nessuna azione intrapresa.

(fine)

[tecnico24]

Malwarebytes non ha eseguito azioni sulle infezioni rilevate.
Procedi così:
● Disattiva il ripristino configurazione del sistema
● Esegui un punto di ripristino o crea sempre un backup/immagine del disco ( le operazioni con combofix sono delicate , meglio correre ai ripari ).
● Disattiva connessione , antivirus ed eventuali firewall
● Apri il blocco note e inserisci ciò :

File::
C:\Windows\SysWOW64\svc2dll.exe
C:\Windows\System32\svc2dll.dat
C:\Program Files (x86)\LP\E271\70B.exe
C:\Program Files (x86)\LP\A3C1\F84.exe
C:\Program Files (x86)\LP\C8E1\DA5.exe
C:\Program Files (x86)\LP\A301\F29.exe

● Salvalo come CFScript.txt nel destkop.
● Immagino che combofix lo hai nel destkop , quindi trascina il file nell'icona di combofix (l'eseguibile).
Lascialo lavorare senza toccare niente ...può darsi che il programma ti mostra un errore , riavvia.

Adesso Scarica Hijackthis:
[Guida] HiJackThis: come creare e allegare il log
● Posta il log sul forum per una verifica.
Malwarebytes ha rilevato delle voci infette in avvio ( Run ) , provvederemo ad eliminare con Hijackthis stesso , più sicuro di combofix.

[marco67]

Ciao, i spieghi per cortesia come fare "Esegui un punto di ripristino o crea sempre un backup/immagine del disco ( le operazioni con combofix sono delicate , meglio correre ai ripari )".
grazie

[tecnico24]

Ciao, i spieghi per cortesia come fare "Esegui un punto di ripristino o crea sempre un backup/immagine del disco ( le operazioni con combofix sono delicate , meglio correre ai ripari )".
grazie

Start>tasto destro su computer-proprietà>protezione sistema> dalla finestra che appare , sotto , clicca su crea per creare un punto di ripristino.
L'immagine del sistema la puoi creare con l'utility di windows tramite un dvd vuoto , vai su pannello di controllo>sistema e sicurezza> backup e ripristino>configura backup.
Potrà servirti anche in futuro , non solo per quest'operazione.

[marco67]

Allego il log grazie

[FDAC]

Ciao, ti connetti ad internet tramite un Proxy?

Avvia HiJackThis e:
● clicca sul pulsante Do a system scan only/Scan
● metti la spunta accanto ad ogni singola voce indicata sotto
● spuntate le voci, termina tutti i programmi attivi, comprese le pagine Internet
● clicca, in basso a sinistra, sul pulsante Fix checked; potrebbe comparire un'ulteriore finestra durante il fix delle voci: clicca su Sì
Queste sono le voci da fixare:

O4 - HKLM\..\Run: [RotateImage] C:\Program Files (x86)\Integrated Camera Driver\X64\RCIMGDIR.exe
O4 - HKLM\..\Run: [PWMTRV] rundll32 C:\PROGRA~2\ThinkPad\UTILIT~1\PWMTR64V.DLL,PwrMgrB kGndMonitor
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files (x86)\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files (x86)\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [VMware hqtray] "C:\Program Files (x86)\VMware\VMware Player\hqtray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Client Access Service] C:\Program Files (x86)\IBM\Client Access\cwbsvstr.exe
O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files (x86)\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles startup
O4 - HKLM\..\Run: [Launch Backup Service Once] C:\Program Files (x86)\Lenovo\Rescue and Recovery\rrstrigger.exe -start
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe"
O4 - HKCU\..\Run: [gStart] C:\Garmin\gStart.exe
O4 - HKCU\..\Run: [NokiaOviSuite2] C:\Program Files (x86)\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe -tray
O4 - HKCU\..\Run: [{AA7BE458-82BA-16A3-E274-357CDEED615C}] C:\Users\marco.astolfi\AppData\Roaming\Pewu\ewraby u.exe
O4 - Startup: Dropbox.lnk = C:\Users\marco.astolfi\AppData\Roaming\Dropbox\bin \Dropbox.exe
O4 - Startup: Utilità controllo supporti di Picture Motion Browser.lnk = D:\sony\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Bluetooth.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files (x86)\Digital Line Detect\DLG.exe

[marco67]

Sinceramente non te lo so dire quando sono in ufficio, nelle impostazione uso la spunta su "utilizza impostazioni proxy del sistema".
Vado avanti con le voci da fixare o devo fare altro?
Grazie del supporto, ciao

[tecnico24]

Hai eseguito le operazioni in combofix?

[marco67]

Si ieri sera, adesso sono fermo, vado avanti con le voci da fixare ?
grazie

[tecnico24]

Si fixa le voci elencate.

[marco67]

Ciao, ho fixato tutte le voci, devo fare altro adesso?