RISOLTO Malwarebytes blocca svchost

[luca257]

ok proviamo (qui si stanno moltiplicando i cookies...)

- - - Updated - - -

http://wikisend.com/download/802096/combofix.txt

ecco il mio report combofix.
solo una nota: nonostante avessi disattivato l'avg registrato + firewall e disinstallato lo spy bot (con annessa pulizia del registro ccleaner), combofix continuava a vederli. poi mi ha fatto riavviare.
ora provo con l'altro tools
grazie

- - - Updated - - -

ciao, tdskiller non trova nulla sono un suspicious

http://wikisend.com/download/522742/tdskiller.txt
grazie

- - - Updated - - -

ciao, sucsa ecco il log corretto di tdskiller

http://wikisend.com/download/138750/TDSSKiller.2.8.16.0_15.02.2013_23.55.41_log.txt
grazie

 

[tecnico24]

Scarica aswmbr:
http://public.avast.com/~gmerek/aswMBR.exe
salvalo sul desktop
tasto destro - esegui come amministratore
Clicca su Scan in basso
Una volta finita la scansione , non eseguire nessuna operazione , clicca su save log.
allega il report nella tua prossima risposta.

P.S:i cookie sono una normale prassi di navigazione , ccleaner li rimuove , ma si creano nuovamente :ok:

 

[luca257]

ciao, grazie per l'aiuto. ieri sera ho resistito fino a 12 poi stavo crollando
ecco il link del log

Wikisend: free file sharing service

- - - Updated - - -

ciao. ho postato il log che mi avevi chiesto. grazie

 

[tecnico24]

Ciao luca257 .

Scarica OTM sul desktop.
Tasto destro - esegui come amministratore.
Nel box "Paste instructions..."
copia-incolla questo codice:

:Processes
explorer.exe

:Files
c:\users\Matteo\AppData\Local\Temp\svchost.exe
c:\users\Matteo\AppData\Roaming\AdobeUpdater\color.vbe
c:\users\Matteo\AppData\Local\Temp\*.*

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe"=-

:Commands
[EMPTYTEMP]
[REBOOT]

Clicca sul pulsante MoveIt!
Il pc dovrebbe riavviarsi , altrimenti fallo tu.
Al ritorno posta il report C:\OTM_Movedfiles\ che ha per nome l'ora e la data del fix.

 

[luca257]

ciao, dopo avber scaricato OTM il mio avg so segnala come virus.. è possibile?

- - - Updated - - -

ciao, ecco il log di otm
http://wikisend.com/download/449460/02162013_125010.log

- - - Updated - - -

mentre faceva il fixing mi diceva che non era presente il file L........ non sono riuscito a scriverlo

 

[tecnico24]

Quando si utilizzano questi tool è necessario disattivare momentanemanete il proprio antivirus.

Adesso rimuovi OTM cliccando su cleanup in alto e rifai la scansione completa con Malwarebytes.

 

[luca257]

Complimenti... è sparito. ti (Vi) sono molto grato. se passi di qua ti offro la colazione o se vuoi, del pesto genuino surgelato visto che la ditta di famiglia lo produce.
adesso vorreia gire expost ossia:
1 credo che la eliminazione del virus non abbia lasciato indenne il pc; cosa mi consigli di fare? reinstallazione di windows? semplice puilizia con ccleaner? pulizia con un tool + evoluto? o formattone?
2 ora sto utilizzandoi l'avg registrato (non free); mantengo questo o uso il karpesky che ho comprato?
3 visto che tutti i tools che ho dovuto installare per eliminare il virus hanno sicuramente intasato il registro, che pulizia posso fare? solo c cleaner o ci sono altri tools validi per la pulizia del registro? (in internet ce ne sono tanti ma molti sono fake)
grazie ancora a presto

 

[tecnico24]

1)Il pc era infetto ed è stato ripulito , non vedo il motivo di un formattone.
Forse riscontri qualche lentezza e necessita di qualche operazione di ottimizzazione , niente di più.
2)Avg è uno dei più scarsi in circolazione , sopratutto in ambito di rimozione , usa kaspersky e vai tranquillo.
3)I tool non hanno "intasato" il registro" , è stata eliminata solo una voce all'avvio di windows , ccleaner è un ottimo pulitore e ha sempre dimostrato di essere uno dei top ,anche perchè effettuare pulizie al registro non è una cosa da poco.

 

[Simone Constrictor Zangrilli]

salve. sono nuovo di tom's hardware. Premetto che capisco poco di queste cose ma ho un problema con il virus svchost.exe . Credo di aver scaricato il virus scaricando involontariamente programmi come torn.tv e iminent. Ho subito usato Malwarebytes che però non ha riscontrato nesun problema anche se continua a segnalarmi un accesso ad un sito potenzialmente nocivo ( svchost.exe per l' appunto ). Ho fatto girare altri antivirus come superantispyware che ha trovato ed eliminato alcuni di questi programmi sotto il nome di yantoo ( che ho letto sviluppare i programmi come torn.tv e iminent ) inoltre ho fatto girare advance systemcare che ha riscontrato diversi problemi risolvendoli tutti. Ho quindi fatto girare di nuovo gli antivirus che però non riscontrano piu problemi nel computer, però rimane costante l' avviso di malwarebytes riguardo l' accesso ad un sito potenzialment pericoloso ( svchost.exe ). Altro grosso porblema è il fatto che ora non posso piu connettermi ad internet poichè con la risoluzione dei problemi mi vien scritto che è impossibile contattare il DSN principale o che alcune impostazioni di sicurezza o del firewall potrebbero bloccare la connessione. vi ringrazio anticipatamente aspettando una vostra risposta :)

 

[tecnico24]

Ciao e benvenuto.
Segui questa guida per utilizzare OTL.Configuralo come descritto e posta i due report in allegato.

 

[Simone Constrictor Zangrilli]

Wikisend: free file sharing service
Wikisend: free file sharing service

ecco qui :)

 

[tecnico24]

Apri OTL
disattiva l'antivirus
sotto custom scans/fixes copia-incolla il codice contenuto in fix.txt in allegato qui in basso.Clicca RUN FIX.
posta il log dopo il riavvio automatico del pc e verifica.

 

[Simone Constrictor Zangrilli]

ecco il log :) scusa l' ignoranza ma cosa intendi con verifica? :(



All processeskilled
========== OTL==========
Process Pos.exekilled successfully!
No active processnamed PService.exe was found!
Service BrowserManager stopped successfully!
Service BrowserManager deleted successfully!
File move failed.C:\ProgramData\BrowserManager\2.6.1249.132\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exescheduled to be moved on reboot.
ServiceSoftwareUpd stopped successfully!
ServiceSoftwareUpd deleted successfully!
C:\Users\Asus\AppData\Local\SoftwareUpdater\SoftwareUpdService.exemoved successfully.
ServicePowerOffer Service stopped successfully!
ServicePowerOffer Service deleted successfully!
C:\Users\Asus\AppData\Local\PosService\Pos.exemoved successfully.
ServiceServUpdater stopped successfully!
ServiceServUpdater deleted successfully!
C:\Users\Asus\AppData\Local\ServUpdater\ServiceUpd.exemoved successfully.
Prefs.js:"Ask.com" removed from browser.search.order.1
Prefs.js:"http://start.iminent.com/?appId=21B4A633-1B45-4F0E-B223-1555C55165D0"removed from browser.startup.homepage
Registry valueHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Iminentdeleted successfully.
Registry valueHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\IminentMessengerdeleted successfully.
Registry valueHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\PosServicedeleted successfully.
C:\Users\Public\Documents\AppData\PoApp\PLauncher.exemoved successfully.
Registry valueHKEY_USERS\S-1-5-21-1961296252-2402777593-4025692222-1001\Software\Microsoft\Windows\CurrentVersion\Run\\YontooDesktop deleted successfully.
C:\Users\Asus\AppData\Roaming\Yontoo\YontooDesktop.exemoved successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{323BF581-59F3-43C1-8D2C-8B7F60FFCDC6}\\NameServer|/E : value set successfully!
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{5ACEB6AB-EEF3-4B67-B8F5-37D1452BD40B}\\NameServer|/E : value set successfully!
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{73327900-D90D-410A-B33F-51638263E41F}\\NameServer|/E : value set successfully!
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{76F17866-27D2-4DA1-9A58-7886C03DE28B}\\NameServer|/E : value set successfully!
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E92B12B3-4BB5-4D3D-A4E6-E41858E6173C}\\DhcpNameServer|/E : value set successfully!
C:\Program Files(x86)\Yontoo folder moved successfully.
C:\Users\Asus\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\TornTV.com folder moved successfully.
C:\Program Files(x86)\TornTV.com folder moved successfully.
ADSC:\ProgramData\Temp:41099CE9 deleted successfully.
ADSC:\ProgramData\Temp:52DBE86F deleted successfully.
========== FILES==========
<ipconfig /flushdns /c >
Configurazione IP di Windows
Cache del resolver DNS svuotata.
E:\cmd.batdeleted successfully.
E:\cmd.txtdeleted successfully.
<netsh int ip reset c:\resetlog.txt /c >
Reimpostazione di Globale in corso.Completata.
Reimpostazione di Interfaccia incorso. Completata.
Riavviare il computer per completarel'azione.
E:\cmd.batdeleted successfully.
E:\cmd.txtdeleted successfully.
==========COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Asus
->Temp folderemptied: 5870282 bytes
->TemporaryInternet Files folder emptied: 8179303 bytes
->Java cacheemptied: 45268 bytes
->FireFoxcache emptied: 69850788 bytes
->Flash cacheemptied: 861 bytes

User: Default
->Temp folderemptied: 0 bytes
->TemporaryInternet Files folder emptied: 0 bytes

User: DefaultUser
->Temp folderemptied: 0 bytes
->TemporaryInternet Files folder emptied: 0 bytes

User: Public

User: UpdatusUser
->Temp folderemptied: 0 bytes
->TemporaryInternet Files folder emptied: 0 bytes

%systemdrive%.tmp files removed: 0 bytes
%systemroot% .tmpfiles removed: 0 bytes
%systemroot%\System32.tmp files removed: 0 bytes
%systemroot%\System32(64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers.tmp files removed: 0 bytes
Windows Tempfolder emptied: 32348112 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\TemporaryInternet Files folder emptied: 306969659 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\TemporaryInternet Files folder emptied: 50455 bytes
RecycleBinemptied: 0 bytes

Total FilesCleaned = 404,00 mb


OTL by OldTimer -Version 3.2.69.0 log created on 05202013_183806



Files\Foldersmoved on Reboot...
File move failed.C:\ProgramData\BrowserManager\2.6.1249.132\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exescheduled to be moved on reboot.
C:\Users\Asus\AppData\Local\Temp\FXSAPIDebugLogFile.txtmoved successfully.



PendingFileRenameOperations files...



Registry entriesdeleted on Reboot...

 

[tecnico24]

Verifica se il problema si ripresenta.Malwarebytes segnala qualcosa?

 

[Simone Constrictor Zangrilli]

no non segnala nulla :) sto facendo fare una scansione completa con malwarebytes!! dici che il probelma è risolto? :D tra l' altro ho provato ad accedere ad internet ed apparentemente è tutto perfettamente funzionante :D