PROBLEMA redirect malevolo verso sito, hijacker, dns changer o altro?

[Andrea Roma1]

Sono sempre stato attento a ciò che clicco, non scarico mai nulla se non dai siti ufficiali, non ho mai preso malware solo una volta il worm della polizia.
Ma stranamente è da un po' di giorni che mentre visito qualsiasi sito vengo reindirizzato improvvisamente verso xhamster (sito porno).

Scansioni effettuate:

-malwarebytes (scansione completa spuntando anche la casella "rootkit") RILEVATO NULLA :(

-ADWCLEANER rilevato nulla :(

-hijackthis RIMOSSI 2 voce relative a dns mai visti (malevoli)

Qualcuno esperto come @tecnico24 o qualcun altro che mi aiuti a rimuoverlo definitivamente, o a rimuovere le ultime trace rimaste?

Cosa si può ancora fare?

 

[tecnico24]

Ciao.
Segui questa discussione
http://www.tomshw.it/forum/sicurezz...omputer-infetto-leggere-prima-di-postare.html
posta i 2 log di OTL.

 

[Andrea Roma1]

Ciao.
Segui questa discussione
http://www.tomshw.it/forum/sicurezz...omputer-infetto-leggere-prima-di-postare.html
posta i 2 log di OTL.

ciao, grazie mille per la risposta :), quanto tempo che non entro e te non sei più moderatore.

Anche combofix e tdskiller, o ti basta OTL?

 

[tecnico24]

Per il momento posta i report di OTL.

 

[Andrea Roma1]

Per il momento posta i report di OTL.

ecco i reports:
OTL.Txt

Extras.Txt

- - - Updated - - -

c'è qualche infezione?? :(

se si, non ci posso credere, ancora devo capire come l'ho presa

 

[tecnico24]

Con quale broswer hai il problema?

 

[Andrea Roma1]

Con quale broswer hai il problema?

sembra solo con chrome, ma non so se l'infezione è ben più grande

 

[tecnico24]

Secondo me no.
Fai tasto destro sull'icona di chrome che usi per aprirlo , vedi la voce destinazione e riportala qui.

 

[Andrea Roma1]

Secondo me no.
Fai tasto destro sull'icona di chrome che usi per aprirlo , vedi la voce destinazione e riportala qui.

è la prima cosa che ho controllato l'altro ieri... è giusta, il file è chrome.exe

guarda anche tu: "C:\Program Files\Google\Chrome\Application\chrome.exe"

- - - Updated - - -

non vedi nessuna cosa sospetta? meglio così :)

 

[tecnico24]

Segui questa guida i punti 1) 2) 3) 4)
Se il broswer è aggiornato , disinstallalo con revo uninstaller free
http://www.tomshw.it/forum/sicurezz...prima-di-postare-post3140395.html#post3140395
e installalo dal sito ufficiale.

 

[Andrea Roma1]

Segui questa guida i punti 1) 2) 3) 4)
Se il broswer è aggiornato , disinstallalo con revo uninstaller free
http://www.tomshw.it/forum/sicurezz...prima-di-postare-post3140395.html#post3140395
e installalo dal sito ufficiale.

è già tutto aggiornato e chrome l'ho disinstallato con revo uninstaller pro pochi giorni fa... ho l'ultima versione

- - - Updated - - -

ccleaner c'è l'ho già impostato così e faccio pulizia regolarmente, l'unica cosa che posso fare è 3 la cancellazione cache java

 

[tecnico24]

Conto su ciò che hai detto : assicurati perchè le versioni obsolete dei componenti che utilizzano i broswer sono causa di infezioni nella maggior parte delle volte.
Scarica roguekiller
Downloading RogueKiller
avvialo ed aspetta lo scan iniziale.
Apparirà scansione preliminare finita.
Clicca su scansiona ed attendi.
Posta il report , se non ti appare c'è l'apposito tasto.

 

[Andrea Roma1]

ho anche ques'altro problema, quando avvio il centro soluzioni hp (driver hp per fare le scansioni), mi da questo errore e quindi non posso fare le scansioni :(, sai da cosa possa dipendere e come risolvere?
dice che flash player per internet explorer non è installato, ma non è vero perchè ho provato anche a disinstallarlo con revo uninstaller pro e a scaricarlo dal sito ufficiale con internet explorer stesso.
dice che manca un certo flash.ocx -.-


- - - Updated - - -

ecco il report di roguekiller, non mi sembra ci sia niente di strano a parte quel pcalua.exe e il proxy che ho usato in firefox:

RKreport_SCN_06212014_180455.log

- - - Updated - - -
@tecnico24

 

[tecnico24]

Apri OTL
incolla questo codice
:otl
[2014/05/27 01:40:15 | 000,037,376 | ---- | C] (Microsoft) -- C:\Users\Andrea\Desktop\FastVisits.exe
O20 - HKU\S-1-5-21-3326743639-3412894119-1630401670-1000 Winlogon: Shell - (expstart.exe) - File not found
O33 - MountPoints2\{80f553fa-37f4-11e3-9950-c860006dba65}\Shell - "" = AutoRun
O33 - MountPoints2\{80f553fa-37f4-11e3-9950-c860006dba65}\Shell\AutoRun\command - "" = E:\setup.exe
O33 - MountPoints2\E\Shell - "" = AutoRun
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\setup.exe
@alternate Data Stream - 144 bytes -> C:\ProgramData\TEMP:0B4227B4

:Files
ipconfig /flushdns /c
netsh int ip reset c:\resetlog.txt /c
ipconfig /release /c
ipconfig /renew /c

:commands
[emptytemp]
[Emptyjava]
[RESETHOSTS]

seguito da run fix.
Attendi il riavvio e posta il log.
Verifica adesso.

 

[Andrea Roma1]

Apri OTL incolla questo codice :otl [2014/05/27 01:40:15 | 000,037,376 | ---- | C] (Microsoft) -- C:\Users\Andrea\Desktop\FastVisits.exe O20 - HKU\S-1-5-21-3326743639-3412894119-1630401670-1000 Winlogon: Shell - (expstart.exe) - File not found O33 - MountPoints2\{80f553fa-37f4-11e3-9950-c860006dba65}\Shell - "" = AutoRun O33 - MountPoints2\{80f553fa-37f4-11e3-9950-c860006dba65}\Shell\AutoRun\command - "" = E:\setup.exe O33 - MountPoints2\E\Shell - "" = AutoRun O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\setup.exe @alternate Data Stream - 144 bytes -> C:\ProgramData\TEMP:0B4227B4 :Files ipconfig /flushdns /c netsh int ip reset c:\resetlog.txt /c ipconfig /release /c ipconfig /renew /c :commands [emptytemp] [Emptyjava] [RESETHOSTS] seguito da run fix. Attendi il riavvio e posta il log. Verifica adesso.

scritto il comando, dato runfix, mi è scomparso il desktop, le icone, la barra start e mi ha dato questo errore: cannot create file c:\users\andrea\download\cmd.bat perchè? allora ho aperto esegui e ci ho scritto explorer.exe