www.MegaLab.it

[marco ballotta]

Da qualche giorno noto una lentezza sospetta sul pc rispetto a prima....

Che mi sia entrato qualcosa , oppure devo solo aggiornare qualche drive?

Coma AV ho Kaspersky Endpoint security 8.
Stamattina ha fatto l'aggiornamento e poi ho lanciato una scansione completa.
E' fermo al 65% da un'ora...

Allego Hijack e un report di Seccy con la configurazione del pc

http://dumpshare.net/4085726PC.txt

http://dumpshare.net/5543002hijackthis.log

ciao

[marco ballotta]

dalla scansione di kaspersky mi esce:

29/10/2013 14:23:59 Potenzialmente infetto collegamento dannoso 309BAD552FDA66B2 http://asrtofurygames.com/uads/300x250.html Alto
29/10/2013 14:27:50 Potenzialmente infetto collegamento dannoso 309BAD552FDA66B2 http://asrtofurygames.com/ads/300x250.html Alto

come posso eliminarli?

[GERONIMO*]

segui questa guida,su come ripulire un computer infetto
http://www.windoctor.it/sicurezza/guide ... i-i-virus/

[marco ballotta]

allora,

ho seguito la guida passo per passo.

Allego infatti i log di tdsskiller, combofix, hitman pro (malwarebytes non ha generato report..)

http://dumpshare.net/7129118combofix.txt
http://dumpshare.net/8897582HitmanPro_20131102_1242.log
http://dumpshare.net/5632942tdssreport.txt

Devo però segnalare che mentre girava combofix, mi è uscita la segnalazione (+ volte) di "prev3xe ha smesso di funzionare".
Ho cliccato su chiudi programma.
Combofix ha riavviato il pc ma non ha creato alcun log...
Allora ho fatto girare nuovamente combofix e stavolta è andato tutto liscio (vedi log allegato)

Nel mio AV Kasperski tuttavia rimane la segnalazione di oggetti non elaborati e cioè:

29/10/2013 14:23:59 Potenzialmente infetto collegamento dannoso 309BAD552FDA66B2 http://asrtofurygames.com/uads/300x250.html Alto
29/10/2013 14:27:50 Potenzialmente infetto collegamento dannoso 309BAD552FDA66B2 http://asrtofurygames.com/ads/300x250.html Alto

Sono pulito?
Come posso eliminare poi gli oggetti di Kasperski?

Poi ti dirò se il pc mi sembra "normale" quanto a lentezza...

[marco ballotta]

ecco malwareb:
http://dumpshare.net/3040956MBAM_log_20 ... 29_35_.txt

[GERONIMO*]

caspita quanti virus di ogni genere avevi?
la scansione con AdwCleaner è stata fatta?
se no,falla

disinstalla questo programma è malevolo FLVPlayer,è un PUP
https://www.virustotal.com/en/file/8a0c ... 383489362/

dopo segui qui come pulire il pc dagli ADS con hijackthis
http://www.windoctor.it/sicurezza/i-mig ... ta-stream/

poi dopo allegami un report di hijackthis
http://www.windoctor.it/forum/virus/com ... sul-forum/

[marco ballotta]

caspita quanti virus di ogni genere avevi?
la scansione con AdwCleaner è stata fatta?
se no,falla

disinstalla questo programma è malevolo FLVPlayer,è un PUP
https://www.virustotal.com/en/file/8a0c ... 383489362/

dopo segui qui come pulire il pc dagli ADS con hijackthis
http://www.windoctor.it/sicurezza/i-mig ... ta-stream/

poi dopo allegami un report di hijackthis
http://www.windoctor.it/forum/virus/com ... sul-forum/

sì la scansione con Adw l'avevo fatta per prima (come da guida).
Non ha prodotto (credo) nessun log.

Il SW Flv player io non lo trovo sul pc.
Mi sembra che combofix l'abbia già levato. O no?
Io non lo trovo...

Ho fatto la scansione degli ads con hijack.

Ecco il log successivo:

http://dumpshare.net/6027129hijackthis.log

Kasperski però segnala sempre gli oggetti non elaborati...

ciao

[GERONIMO*]

facciamo uno scan anche con OTL

scarica otl sul desktop
http://www.windoctor.it/download/otl/
apri otl metti la spunta su
Scan All Users
poi sotto su
LOP Check
Purity Check
Clicca su Run Scan
Attendere la fine della scansione, OTL lascierà due file di log (OTL.txt ed Extras.txt),
postali qui

[marco ballotta]

Io vedo solo questo:

http://dumpshare.net/5858274OTL.Txt

[GERONIMO*]

Apri OTL
e copia/incolla tutto questo Script che vedi sotto nella finestra Custom Scans/Fixes
clicca su RUN FIX
Lascia finire la scansione
Riavvia il pc quando richiesto cliccando su Ok
Al Riavvio del pc trovi il log sul Desktop
postalo qui sul forum.

Codice: Seleziona tutto

:OTL
IE - HKLM\..\SearchScopes\{AC045136-07A2-4249-AEDE-E8162C0CA837}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=f8fab5be-fce0-11e0-bc55-f46d04212487&q={searchTerms}
IE - HKU\S-1-5-21-1793207948-1970849521-394431277-1000\..\SearchScopes\{AC045136-07A2-4249-AEDE-E8162C0CA837}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=f8fab5be-fce0-11e0-bc55-f46d04212487&q={searchTerms}
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:25.0
[2011/09/07 00:17:37 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Lorenzo\AppData\Roaming\mozilla\Extensions
[2013/10/10 08:56:20 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions
[2012/12/12 22:26:53 | 000,036,098 | ---- | M] () (No name found) -- C:\Users\Lorenzo\AppData\Roaming\mozilla\firefox\profiles\3zqdhv8c.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}.xpi
[2013/10/10 08:56:20 | 000,915,554 | ---- | M] () (No name found) -- C:\Users\Lorenzo\AppData\Roaming\mozilla\firefox\profiles\3zqdhv8c.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2013/10/30 11:05:07 | 000,000,000 | ---D | M] (No name found) -- C:\Programmi\Mozilla Firefox\browser\extensions
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.

:Files
ipconfig /flushdns /c

:commands
[purity]
[emptytemp]
[Emptyjava]
[EMPTYFLASH]
[RESETHOSTS]
[start explorer]
[Reboot]

[marco ballotta]

il messaggio di Kasperski, oggetti non elaborati, persiste e mi segnala:

08/11/2013 20:02:34 Potenzialmente infetto collegamento di phishing http://www.serials.ws/favicon.ico http://www.serials.ws/favicon.ico Alto
08/11/2013 20:02:34 Potenzialmente infetto collegamento di phishing http://www.serials.ws/ss.gif http://www.serials.ws/ss.gif Alto
03/11/2013 12:40:16 Inattivo adware not-a-virus:AdWare.Win32.MegaSearch.am http://jsid.info/?e=smc&publisher=2024& ... tent/bg.js Medio
05/11/2013 22:22:26 Inattivo programma Trojan HEUR:Trojan.Script.Iframer http://micast.tv/styles.js Alto
08/11/2013 09:21:29 Potenzialmente infetto collegamento di phishing http://zynga1-a.akamaihd.net/frontiervi ... 2273478dbf http://zynga1-a.akamaihd.net/frontiervi ... 2273478dbf Medio


ecco il log di otl dopo run fix:

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AC045136-07A2-4249-AEDE-E8162C0CA837}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AC045136-07A2-4249-AEDE-E8162C0CA837}\ not found.
Registry key HKEY_USERS\S-1-5-21-1793207948-1970849521-394431277-1000\Software\Microsoft\Internet Explorer\SearchScopes\{AC045136-07A2-4249-AEDE-E8162C0CA837}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AC045136-07A2-4249-AEDE-E8162C0CA837}\ not found.
Prefs.js: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:25.0 removed from extensions.enabledAddons
C:\Users\Lorenzo\AppData\Roaming\mozilla\Extensions folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\firefox@tvunetworks.com\plugins folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\firefox@tvunetworks.com folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\plugins folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\defaults\preferences folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\defaults folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\components folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\skin folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\zh-TW folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\zh-CN folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\vi folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\uk-UK folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\sk-SK folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\ru-RU folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\ro folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\pt-PT folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\pt-BR folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\pl-PL folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\nl folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\ko-KR folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\ja-JP folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\it-IT folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\hu-HU folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\he-IL folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\fr-FR folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\es-ES folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\en-US folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\de-DE folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale\cs-CZ folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\locale folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome\content folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org\chrome folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions\coralietab@mozdev.org folder moved successfully.
C:\Users\Lorenzo\AppData\Roaming\mozilla\Firefox\Profiles\3zqdhv8c.default\extensions folder moved successfully.
File C:\Users\Lorenzo\AppData\Roaming\mozilla\firefox\profiles\3zqdhv8c.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}.xpi not found.
File C:\Users\Lorenzo\AppData\Roaming\mozilla\firefox\profiles\3zqdhv8c.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi not found.
C:\Programmi\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} folder moved successfully.
C:\Programmi\Mozilla Firefox\browser\extensions folder moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
File rity] not found.
File ptytemp] not found.
File ptyjava] not found.
File PTYFLASH] not found.
File SETHOSTS] not found.
File art explorer] not found.
File boot] not found.

OTL by OldTimer - Version 3.2.69.0 log created on 11092013_140822

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[GERONIMO*]

il sistema è pulito,non ci sono più virus
quei messaggi di kaspersky o sono falsi positivi o sono vecchi rimasugli,e non attivi
infatti dice Inattivo adware not-a-virus:

quindi svuota la cronologia e la quarantena di kaspersky
e pulisci windows con ccleaner o glary utilities se lo hai già installato durante la guida
http://www.windoctor.it/sistemi/ottimiz ... e-windows/
e vedi se ancora ricevi messaggi da kaspersky

poi in tutto questo sarebbe necessario dire se il pc è ancora lento

[marco ballotta]

il sistema è pulito,non ci sono più virus
quei messaggi di kaspersky o sono falsi positivi o sono vecchi rimasugli,e non attivi
infatti dice Inattivo adware not-a-virus:

quindi svuota la cronologia e la quarantena di kaspersky
e pulisci windows con ccleaner o glary utilities se lo hai già installato durante la guida
http://www.windoctor.it/sistemi/ottimiz ... e-windows/
e vedi se ancora ricevi messaggi da kaspersky

poi in tutto questo sarebbe necessario dire se il pc è ancora lento

ho fatto girare CCleaner e il messaggio di Kasp. è sparito.

Il pc mi pare funzioni regolarmente..

grazie di tutto e ciao

[GERONIMO*]

prego