PROBLEMA PLauncher e PService sono sempre malware?

[Wentu]

Salve a tutti
Cercando di rimuovere un HD esterno con la rimozione sicura USB mi sono trovato ad aprire il takmanager per cercare di capire quale programma impedisse la rimozione. Per caso mi sono accorto della presenza di un PService. Non riconoscendolo a occhio ho iniziato a guardare in rete e a quanto pare potrebbe essere un malware.
Me lo ritrovo nella cartella C:\Users\Public\Documents\AppData\PoApp e mi sono abbastanza spaventato leggendo diversi articoli in rete.

Ho effettuato i seguenti controlli:
Malwarebytes Anti Malware aggiornato a ieri, non ha trovato nulla. Era un po' che non lo usavo e arrivato alla fine mi pare che si sia spento senza scrivere nessun file di log. Cmq pareva non avesse trovato nulla. L'ho fatto andare con anche la rilevazione rootkit.
Malwarebytes Anti Rootkit - Non ha trovato problemi
MSE - aggiornato, controllo completo, non ha trovato problemi
OTL - scaricato e fatto lo scan, allego il log
Combofix - appena scaricato. volevo fare "solo uno scan", spero di essermi limitato a quello ma durante la sua procedura mi ha detto che avrebbe eliminato anche dei files. Allego il file prodotto. Nel log compare anche PLauncher.
Adwcleaner - appena scaricato. mi ha fatto cancellare poche voci di registro. Allego due file di log che sono stati salvati.

Visualizza allegato OTL.Txt Visualizza allegato AdwCleaner[S2].txt Visualizza allegato AdwCleaner[R3].txt Visualizza allegato ComboFix.txt

Non riesco ad aggiungere il log di Hijackthis, non ho idea del perchè. fatemi sapere se serve.

Poichè non ho veri e propri sintomi (se non che il PC è dannatamente lento anche se non sta facendo nulla di particolare) ho pensato per ora di non scaricare farbar.

La mia richiesta è, se possibile, sapere se devo fare qualcosa per questi PService e Plauncher
Grazie
cordiali saluti

Wentu

 

[tecnico24]

Ciao , sono rognosi servizi pubblicitari.
Apri OTL e incolla questo codice:

:otl
PRC - [2011/12/16 18:44:48 | 000,762,368 | ---- | M] (PService) -- C:\Users\Public\Documents\AppData\PoApp\PService.exe
SRV - [2011/12/16 18:44:46 | 000,164,352 | ---- | M] (PowerOfferService) [Auto | Stopped] -- C:\Users\Wentu\AppData\Local\PosService\Pos.exe -- (PowerOffer Service)
O4 - HKLM..\Run: [PosService] C:\Users\Public\Documents\AppData\PoApp\PLauncher.exe (PLauncher)

:commands
[emptytemp]

clicca su RUN FIX in alto
aspetta il riavvio del PC e posta il log fuoriuscito.

 

[Wentu]

Ho ottenuto questo:
_________________________________________________
All processes killed
========== OTL ==========
No active process named PService.e xe was found!
Service PowerOffer Service stopped successfully!
Service PowerOffer Service deleted successfully!
C:\Users\Wentu\AppData\Local\PosService\Pos.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\PosService deleted successfully.
File C:\Users\Public\Documents\AppData\PoApp\PLauncher. exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Ivan
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 195 bytes
->FireFox cache emptied: 370526994 bytes
->Google Chrome cache emptied: 856432 bytes
->Flash cache emptied: 87682 bytes

User: Katja
->Temp folder emptied: 402409 bytes
->Temporary Internet Files folder emptied: 286954057 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 370434910 bytes
->Google Chrome cache emptied: 212883790 bytes
->Flash cache emptied: 43827 bytes

User: Public
->Temp folder emptied: 0 bytes

User: Wentu
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 12211858 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 43957505 bytes
->Google Chrome cache emptied: 8169031 bytes
->Apple Safari cache emptied: 2531328 bytes
->Opera cache emptied: 151937 bytes
->Flash cache emptied: 10830 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 30977 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1.249,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 04092015_191445

Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\Low\SkypeClickToCall\Logs\AutoUpdateSvc.log scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

_________________________________________________

Suppongo che gli spazi dentro a "exe" fossero un errore di stampa nello script quindi ora rifaccio andare togliendo quegli spazi

- - - Updated - - -

Ed ecco la seconda prova, dopo aver corretto due "exe":
_________________________

All processes killed
========== OTL ==========
No active process named PService.exe was found!
Error: No service named PowerOffer Service was found to stop!
Service\Driver key PowerOffer Service not found.
File C:\Users\Wentu\AppData\Local\PosService\Pos.exe not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\PosService not found.
C:\Users\Public\Documents\AppData\PoApp\PLauncher.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Ivan
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Katja
->Temp folder emptied: 25096 bytes
->Temporary Internet Files folder emptied: 6432468 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 492 bytes

User: Public
->Temp folder emptied: 0 bytes

User: Wentu
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 18293 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 6,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 04092015_194635

Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\Low\SkypeClickToCall\Logs\AutoUpdateSvc.log scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
_________________________

Ne approfitto intanto per ringraziarti molto per l'aiuto.
ciao

Wentu

 

[tecnico24]

Elimina OTL:aprilo e clicca su cleanup.