Olimpo Informatico

[R16]

[robyespo]

Ho paura a disinstallare avira, visto che poi non posso scaricare un'altro antivirus...

[R16]

Leggi attentamente queste istruzioni:

Disattiva temporaneamente Avira.

Scarica ripristino di Windows da Tweaking.com sul desktop.

link

Doppio click su "Repair_Windows"

Eseguilo, e installalo.

Clicca sulla scheda "Repairs".

Clicca su "Open Repairs".

Metti la spunta a: (se trovi le caselline tutte spuntate clicca su : "Unselect All")

Reset Registry Permissions
Reset File Permissions
Register System Files
Repair WMI
Repair Windows Firewall
Repair Internet Explorer
Repair Hosts File
Remove Policies Set By Infections
Repair Winsock & DNS Cache
Remove Temp Files
Repair Proxy Settings
Repair Windows Safe Mode
Restore Important Windows Services
Set Windows Services To default startup

Ora, nella parte in basso a destra, seleziona la casella "Restart / Shutdown System When Finished"

Quindi assicurarsi che il pulsante di opzione "Restart System" sia abilitato. (se manca la spunta, la metti)

Clicca "Start Repairs".

Aspetta pazientemente che le eventuali riparazioni siano effettuate.

Dovrebbe riavviarsi automaticamente il pc.

Importante:
Assicurati di non avere programmi in esecuzione, durante le riparazioni, disattiva temporaneamente anche gli antivirus.

Al riavvio, prova a vedere se il problema persiste.

[robyespo]

Sembra risolto il problema.
ora però all'avvio mi appare l'errore di regsvr32 che già avevo postato in precedenza.
E se cambio la posizione dei file nel desktop, nella sessione successiva ritornano nella piosizione precedente.

[R16]

[robyespo]

Ecco il log:
Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 19:16:40, on 23/03/2015
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Unable to get Internet Explorer version!

FIREFOX: 35.0.1 (x86 it)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
D:\Users\Pc\Desktop\dfhgzad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Lync Click to Call BHO - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\Office15\OCHelper.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office15\URLREDIR.DLL
O2 - BHO: Microsoft SkyDrive Pro Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:\PROGRA~2\MICROS~1\Office15\GROOVEEX.DLL
O4 - HKLM\..\Run: [Avira Systray] C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [YlzgPack] C:\Windows\SysWOW64\regsvr32.exe
O4 - HKCU\..\Run: [Ohnbics] regsvr32.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office15\EXCEL.EXE/3000
O8 - Extra context menu item: I&nvia a OneNote - res://C:\PROGRA~1\MICROS~2\Office15\ONBttnIE.dll/105
O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files (x86)\Microsoft Office\Office15\MSOSB.DLL
O18 - Filter hijack: text/xml - {807583E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE15\MSOXMLMF.DLL
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Service Host (Avira.OE.ServiceHost) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\My Avira\Avira.OE.ServiceHost.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Capability Licensing Service TCP IP Interface - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe
O23 - Service: Intel® ME Service (Intel(R) ME Service) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe
O23 - Service: Intel(R) Smart Connect Technology Agent (ISCTAgent) - Unknown owner - C:\Program Files\Intel\Intel(R) Smart Connect Technology Agent\iSCTAgent.exe
O23 - Service: Intel(R) Update Manager (iumsvc) - Unknown owner - C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe
O23 - Service: Intel(R) Dynamic Application Loader Host Interface Service (jhi_service) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7300 bytes

[R16]

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked":

[robyespo]

Il problema è sparito.
Grazie, non so come ringraziarti, ma posso dirti che sei un grande.
Speriamo non ci siano altri errori.

Aggiornameto si è appena aperto questo:
Immagine.png
ora provo a cambiare antivirus...???
ed è anche riapparso il virus con la descrizione scritta a caso nel task manager Immagine.png
che ho appena eliminato con mbam...
ora nel task manager c'è questo processo:
Immagine.png

[R16]

Ciao.

[robyespo]

Ho fatto la scansione con TDSSKiller.exe:
TDSSKiller.3.0.0.44_24.03.2015_17.52.58_log.txt
Questo è il log di SystemLook.exe:
SystemLook 30.07.11 by jpshortstuff
Log created at 18:00 on 24/03/2015 by Pc
Administrator - Elevation successful

========== filefind ==========

Searching for "*tmpB857.exe* "
No files found.

========== folderfind ==========

Searching for "*tmpB857* "
No folders found.

========== regfind ==========

Searching for "tmpB857.exe "
No data found.

Searching for "tmpB857"
No data found.

-= EOF =-

[R16]

TDSSKiller sembra che l'abbia eliminato.
Il pc è stato riavviato?

Ripeti la scansione con TDSSKiller e vedo se adesso il log è pulito.
Postalo qui.

[robyespo]

Si, il pc si è riavviato.
Ho rifatto la scansione:
TDSSKiller.3.0.0.44_24.03.2015_19.15.35_log.txt
Ora non canto vittoria...

[R16]

Fai questa verifica:

Avvia Systemlook.
Copia il seguente codice nella schermata principale:

[robyespo]

Ecco il post:
SystemLook 30.07.11 by jpshortstuff
Log created at 19:29 on 24/03/2015 by Pc
Administrator - Elevation successful

========== filefind ==========

Searching for "*tmpF90D.exe* "
C:\Windows\Prefetch\TMPF90D.EXE-26593B36.pf --a---- 24042 bytes [14:52 24/03/2015] [14:52 24/03/2015] 97EA1356B88862D230C51912E33CDD2B
C:\Windows\Prefetch\TMPF90D.EXE-5AEFD3C0.pf --a---- 33402 bytes [14:14 24/03/2015] [14:14 24/03/2015] D1B044D8FDD2616283415CCC51A812D3

Searching for "*11046602.sys* "
No files found.

========== folderfind ==========

Searching for "*Efction* "
C:\Qoobox\Quarantine\C\Users\Pc\AppData\Local\Efction d------ [19:32 21/03/2015]
C:\Users\Pc\AppData\Local\Efction d------ [19:34 21/03/2015]

========== regfind ==========

Searching for "Efction "
No data found.

Searching for "YlzgPack "
No data found.

Searching for "Ohnbics "
No data found.

-= EOF =-

[R16]

Allora:
Segui questo percorso e svuota la cartella Prefetch
C:\Windows\Prefetch (NON eliminare la cartella)

Poi segui quest'altro percorso:

C:\Users\Pc\AppData\Local\Efction

Elimina la cartella Efction

Se non si elimina, prova in modalità provvisoria.

Svuota il cestino.

Riavvia il pc e controlla se la trovi ancora.

[robyespo]

Fatto.
La cartella ection non si è rigenerata.

[R16]

Ok.
Se Dio vuole siamo alla fine:

Cestina Systemlook, e i log che ha generato.

Segui questo percorso ed elimina la cartella FRST.

C:\FRST

Elimina anche i log di FRST compreso Addition.txt.

Vai in "Programmi e funzionalità" e disinstalla Tweaking.com Windows Repair (All in one)

Sempre in "Programmi e funzionalità" disinstalla HijackThis.

Apri OTL e clicca su CleanUP.
Si disinstallerà OTL, Combofix, e anche TDSSKiller .
Ti chiederà il riavvio del pc: acconsenti.
Al riavvio fai una pulizia con CCleaner. (registro compreso)
Sempre con CCleaner:
Apri CCleaner.
Clicca su "Strumenti".
Clicca su "Ripristino Sistema"
Seleziona TUTTI i punti di ripristino e poi clicca "Rimuovi".

N.B:
Il punto segnalato in grigio (il primo) non lo puoi eliminare per motivi di sicurezza.

Testa il pc, e dimmi se riscontri ancora problemi.

[robyespo]

Ok, comunque grazie.

[R16]

Di niente.
Non autorizzare il Firewall a far entrare sconosciuti nel pc.
Nega sempre l'autorizzazione.

[robyespo]

ci risiamo...
Immagine.png