Precedente :: Successivo |
Autore |
Messaggio |
balehay Eroe
Registrato: 16/01/16 23:09 Messaggi: 42
|
Inviato: 14 Feb 2016 21:27 Oggetto: |
|
|
R16, potrebbe essere utile un controllo nel cmd con netstat -A ? |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 15 Feb 2016 17:53 Oggetto: |
|
|
Ciao.
Citazione: | R16, potrebbe essere utile un controllo nel cmd con netstat -A ? |
Male non fa di sicuro.
Io di porte aperte strane, non ne ho viste , ma le scansioni fatte non riportano tutte le porte.
Non ho visto nemmeno indirizzi IP strani, o connessioni sospette.
E in ogni caso, il firewall (se attivo) dovrebbe avvertirti se qualcuno ha aperto una porta, oppure la vuole aprire.
Esegui il Prompt dei comandi come Amministratore. |
|
Top |
|
|
balehay Eroe
Registrato: 16/01/16 23:09 Messaggi: 42
|
Inviato: 15 Feb 2016 21:02 Oggetto: |
|
|
Buonasera, essendo l'unica utente si apre direttamente come admin vero ?
Non saprei riconoscerle, posto una copia... se hai del tempo magari puoi darci un'occhiata ? Mi porta tremila TCP
Sennò magari ci provo io dai, devo cercare il nome degli indirizzi ?
edge-star-mini-shv-01 è fb vero ? Non è aperto eppure me lo riporta...
porte.txt |
|
Top |
|
|
balehay Eroe
Registrato: 16/01/16 23:09 Messaggi: 42
|
Inviato: 15 Feb 2016 21:08 Oggetto: |
|
|
P.S. non so come sono finita sul sito virus total, che ha scannerizzato le porte, penso.... |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 16 Feb 2016 17:50 Oggetto: |
|
|
Salve.
Effettivamente, hai molte porte aperte collegate al tuo IP.
E anche al file Hosts.
Il mio consiglio è di resettare il router.
Se non sai resettare il router, scrivi qui marca e modello.
Reimpostazione del file Hosts predefinito :
link
Nel link c'è anche la reimpostazione automatica del file hosts.
Poi:
Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta il log.
Poi:
Scarica TDSSKiller sul desktop:
link
Fai doppio clik su TDSSKiller.exe
Clicca su:
Change parameters.
Metti la spunta su "detect tdlfs file system" e "verify file digital signature"
Clicca OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui. |
|
Top |
|
|
balehay Eroe
Registrato: 16/01/16 23:09 Messaggi: 42
|
|
Top |
|
|
balehay Eroe
Registrato: 16/01/16 23:09 Messaggi: 42
|
Inviato: 17 Feb 2016 20:03 Oggetto: |
|
|
Una domanda, io ho le versioni precedenti attivate; non è che un eventuale virus si ricrea per questo motivo ?
P.S non ho resettato il router perchè l'ho cambiato da poco, ed ha avuto subito la psw |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 18 Feb 2016 18:12 Oggetto: |
|
|
Tanto per cambiare, i log sono puliti.
Citazione: | Una domanda, io ho le versioni precedenti attivate; non è che un eventuale virus si ricrea per questo motivo ? |
Scusa ma non capisco, di quali "versioni precedenti" parli. |
|
Top |
|
|
balehay Eroe
Registrato: 16/01/16 23:09 Messaggi: 42
|
Inviato: 18 Feb 2016 18:25 Oggetto: |
|
|
Ma secondo te buttare il computer dalla finestra vale come rimedio ? Ahahah
Comunque un esempio: clicco col destro sulla cartella foto di oggi, vado a proprietà, versioni precedenti e ripristino la cartella di un mese fa.
Magari c'è qualcosa che automaticamente crea il virus per questo motivo ? |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 18 Feb 2016 18:35 Oggetto: |
|
|
Citazione: | Magari c'è qualcosa che automaticamente crea il virus per questo motivo ? |
No.
Il ripristino delle versioni precedenti delle cartelle o dei file, è una prerogativa di Windows, da Vista fino a win 10.
Può essere utile per esempio se perdi accidentalmente qualche file, e lo puoi recuperare con "le versioni precedenti".
Citazione: | Ma secondo te buttare il computer dalla finestra vale come rimedio ? Ahahah |
Magari dopo avere tentato una formattazione....... |
|
Top |
|
|
balehay Eroe
Registrato: 16/01/16 23:09 Messaggi: 42
|
Inviato: 18 Feb 2016 22:24 Oggetto: |
|
|
Citazione: | Magari dopo avere tentato una formattazione....... Smile |
Ah quindi nada. Comunque in settimana prossimo ci provo... di solito ci mettono mesi a tornare sti problemi dopo che formatto.
In ogni caso grazie di tutto !!
Se un giorno uscirà fuori il motivo, ti farò sapere ahahah
Buona serata |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 19 Feb 2016 17:41 Oggetto: |
|
|
Citazione: | Se un giorno uscirà fuori il motivo, ti farò sapere ahahah |
Mi faresti una cortesia.....
Sai, per natura sono curioso.
Buona fortuna.
|
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12248
|
Inviato: 20 Feb 2016 15:44 Oggetto: |
|
|
E' un caso molto curioso...per curiosità, come fai la formattazione? Da partizione di ripristino, o da disco del SO? Windows è originale?
PS: comunque prima di buttare il PC, puoi provare a cambiare SO, mettendo Linux...sarebbe il colmo sta storia continuasse anche li!! |
|
Top |
|
|
balehay Eroe
Registrato: 16/01/16 23:09 Messaggi: 42
|
Inviato: 13 Ott 2016 12:45 Oggetto: |
|
|
Ciao !!
Dopo un po' di tempo, ma sono tornata. Sono stata per mesi senza Pc per problemi con la batteria, quest'estate l'ho riattivato, un mese fa ho iniziato a mettere poco per volta i dati per capire che cartelle di foto creavano problemi e.... eccoli qua !!
Scusa il ritardo Maary, comunque faccio la formattazione dal disco del SO con Windows originale.
Vi spiego il problema: ieri ho notato sul desktop un file con il nome di una foto ma senza anteprima, faccio "apri con" e..zac, immagine +18 che risaliva al 28 settembre.
Il 9 settembre avevo inserito sul pc la cartella di foto più vecchia che avevo nell'HD, quindi presumo il problema stia tutto qui... ho trovatu su internet un programma: HiJackThis.
Sicuramente saprete cos'è, anche perchè non saprei come spiegarlo
Posso allegarvi il log ? Sono riuscita a capire di un solo file molto sospetto
O4 - HKLM\..\RunOnce: [Konokinu] C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\Utente\AppData\Roaming\Depelapik"
Queso depelapik è un file senza anteprima di 17 kb.
In questi giorni ho installato un po' di programmi per cercare di salvare i dati del cellulare, e si è installato anche Chromium ( faccio sempre attenzione a cosa scarico, ma ero troppo disperata per i dati del cellulare e troppo rassegnata ai problemi del pc per farci caso)
Grazie della vostra infinita pazienza <3
PS. in tutto ciò ho cambiato HD interno perchè il precedente si è bruciato, potrebbe sembrare maltratti gli oggetti tecnologici, ma non è così !!
Wikisend non mi carica il log, lo invio normale
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_23_0_0_162.exe
C:\Users\Utente\Downloads\HijackThis.exe
C:\Windows\SysWOW64\DllHost.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://it.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wcg_fremkfs_16_41¶m1=1¶m2=f%3D1%26b%3DIE%26cc%3Dit%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutDtDtBtAzz0B0AyByE0ByDzztD0EtA0EtN0D0Tzu0StCyByEyDtN1L2XzutAtFtByEtFtByDtFyDtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2SyD0DyB0EyE0D0FtDtGtBzyzzzytGtB0EtB0EtGtD0C0DtCtGtD0A0A0FyD0FtCyB0FyDyC0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SzyyB0EtCtBtA0CzytGtAtAzzyEtGyEtBtAtCtGzztDyEtAtGtDzz0A0E0EzztB0ByByEtD0B2QtN0A0LzuyE%26cr%3D1242560580%26a%3Dwcg_fremkfs_16_41%26os_ver%3D6.1%26os%3DWindows%2B7%2BHome%2BPremium
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://it.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wcg_fremkfs_16_41¶m1=1¶m2=f%3D1%26b%3DIE%26cc%3Dit%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutDtDtBtAzz0B0AyByE0ByDzztD0EtA0EtN0D0Tzu0StCyByEyDtN1L2XzutAtFtByEtFtByDtFyDtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2SyD0DyB0EyE0D0FtDtGtBzyzzzytGtB0EtB0EtGtD0C0DtCtGtD0A0A0FyD0FtCyB0FyDyC0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SzyyB0EtCtBtA0CzytGtAtAzzyEtGyEtBtAtCtGzztDyEtAtGtDzz0A0E0EzztB0ByByEtD0B2QtN0A0LzuyE%26cr%3D1242560580%26a%3Dwcg_fremkfs_16_41%26os_ver%3D6.1%26os%3DWindows%2B7%2BHome%2BPremium
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [KiesTrayAgent] C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe
O4 - HKLM\..\Run: [ProductUpdater] C:\Program Files (x86)\Common Files\Freemake Shared\ProductUpdater\ProductUpdater.exe
O4 - HKLM\..\RunOnce: [Konokinu] C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\Utente\AppData\Roaming\Depelapik"
O4 - HKCU\..\Run: [Chromium] "c:\users\utente\appdata\local\chromium\application\chrome.exe" --auto-launch-at-startup --profile-directory="Default" --restore-last-session
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_23_0_0_162_Plugin.exe -update plugin
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Program Files\IDT\WDM\AESTSr64.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: HP Service (hpsrv) - Unknown owner - C:\Windows\system32\Hpservice.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SAMSUNG Mobile Connectivity Service (ss_conn_service) - DEVGURU Co., LTD. - C:\Program Files (x86)\Samsung\USB Drivers\27_ssconn\conn\ss_conn_service.exe
O23 - Service: @%SystemRoot%\system32\stlang64.dll,-10101 (STacSV) - IDT, Inc. - C:\Program Files\IDT\WDM\STacSV64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: Wondershare Application Framework Service (WsAppService) - Wondershare - C:\Program Files (x86)\Wondershare\WAF\2.3.0.5\WsAppService.exe
O23 - Service: Wondershare Driver Install Service (WsDrvInst) - Wondershare - C:\Program Files (x86)\Wondershare\Dr.Fone for Android\DriverInstall.exe
--
End of file - 7505 bytes |
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12248
|
Inviato: 13 Ott 2016 17:35 Oggetto: |
|
|
Citazione: | O4 - HKLM\..\RunOnce: [Konokinu] C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\Utente\AppData\Roaming\Depelapik"
|
Strano che non ti sia già stato chiesto il log di HJT.
Comunque forse ci stiamo arrivando ad una conclusione.
Quello che hai notato è giusto, in quanto le voci con il 04 sono voci che si avviano assieme a Windows.
Un'altra voce sospetta è:
Citazione: | O4 - HKLM\..\Run: [ProductUpdater] C:\Program Files (x86)\Common Files\Freemake Shared\ProductUpdater\ProductUpdater.exe |
Lo hai installato tu? Freemake Shared? Non so se sia collegato al problema, ma di certo non mi sembra un software benevolo.
Wscript.exe è un innoquo processo di Windows che però viene usato, nel tuo caso per attivare il virus, che è dentro l'unità usb, in uno o più file nascosti.
Questo caso sembra simile al tuo, qui parla del file updater.vbe sul tuo potrebbe chiamarsi in altro modo (in quanto un evoluzione di quel virus), non a caso su quel percorso c'è anche un vbscript (ma qui ci vorrebbe R16, quando sarà disponibile).
Leggi: link |
|
Top |
|
|
balehay Eroe
Registrato: 16/01/16 23:09 Messaggi: 42
|
Inviato: 13 Ott 2016 22:05 Oggetto: |
|
|
Nono non l'ho installato. Ho controllato e mi porta esattamente alla data del 28 settembre.
Ma se io elimino questi file, anche grazie a HJT, si elimineranno anche gli script che nascono dalle foto ?
Comunque sai qual è la cosa strana ? Che non ho attaccato nessun dispositivo, perciò E dovrebbe essere un'altra partizione, o no ??
Stasera ho attaccato l'mp3 per passare della musica e me lo portava come "E", ma comunque quando ho fatto l'analisi non era attaccato. Magari anche tra le canzoni c'è qualcosa del genere, visto che mi è già capitato sul PC fisso.
Domani provero ad eliminare il tutto, vediamo cosa ne pensa R16... |
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12248
|
Inviato: 14 Ott 2016 09:44 Oggetto: |
|
|
Intanto puoi fixare quelle 2 voci.
Clicca su:
Do a system scan only
poi cerca le 2 voci, selezionale e premi su fix.
Considera l'installazione di un firewall, ad esempio Comodo.
Ti dico già che R16 ha bisogno di tutti i log nuovi, dunque dovrai ripetere tutte le scansioni, con i tool usati in precedenza. Controlla anche il router, resettalo se possibile.
Un'altra cosa...il pc, a cui hai cambiato l'hdd si è reinfettato a sistema appena reinstallato e senza collegare nessuna periferica usb?
Io sono sempre del parere che il virus è dentro alle tue periferiche usb (chiavette, hdd esterni), e te lo stai diffondendo ovunque, anche sul cellulare e lettore mp3, che dal sistema Windows vengono letti come delle comunissime chiavette dati.
Io ho i miei metodi drastici per controllare le partizioni e salvare eventualmente dati importanti ed essere sicuri di non salvare anche eventuali virus, rendendoli però inaccessibili al sistema Windows, usando Linux e i suoi strumenti.
Se vorrai procedere in tal senso,innanzi tutto ti serve un disco di avvio di Linux (live).
Con questo avvi il pc (come quando reinstalli Windows, dunque passando dal bios, e mettendo il lettore per primo nell'ordine di boot).
Il cd ti darà diverse opzioni, scegli la prima: prova senza installare.
Attendi il caricamento del sistema.
Cerchi e apri l'applicazione Gparted, ti troverai già selezionato il tuo hdd di default, e vedrai tutte le partizioni che ci sono, anche le più piccole.
Puoi postare un immagine di gparted nel dubbio.
Gparted è un tool di partizionamento e formattazione per hdd interni e esterni, chiavette, ecc..
Se opterai per una nuova formattazione fallo con quello, perchè a questo punto se non si riuscirà ad identificare i file infetti sulle unità usb sarebbe meglio formattarle, salvando prima i dati in una partizione non accessibile a Windows (per precauzione) che provvederemo eventualmente a creare poi.
Sempre dal live di Linux, potrai accedere alle tue unità usb, per cercare file infetti (li non c'è nulla di nascosto).
Per scaricare una versione di Linux ti segnalo Xubuntu 16.04 (32 o 64 bit a seconda del tuo sistema), il file .iso poi si masterizza come immagine.
Non credo di aver mai letto un caso come il tuo... |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 15 Ott 2016 13:42 Oggetto: |
|
|
Maary79 ha scritto:
Citazione: | Ti dico già che R16 ha bisogno di tutti i log nuovi, dunque dovrai ripetere tutte le scansioni, con i tool usati in precedenza. |
Esatto.
Citazione: | Io sono sempre del parere che il virus è dentro alle tue periferiche usb (chiavette, hdd esterni), e te lo stai diffondendo ovunque, anche sul cellulare e lettore mp3, che dal sistema Windows vengono letti come delle comunissime chiavette dati. |
Molto probabile.
Per averne la certezza, serve una scansione con relativo log di FRST.
Eliminare queste voci di HJT:
Citazione: | R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://it.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wcg_fremkfs_16_41¶m1=1¶m2=f%3D1%26b%3DIE%26cc%3Dit%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutDtDtBtAzz0B0AyByE0ByDzztD0EtA0EtN0D0Tzu0StCyByEyDtN1L2XzutAtFtByEtFtByDtFyDtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2SyD0DyB0EyE0D0FtDtGtBzyzzzytGtB0EtB0EtGtD0C0DtCtGtD0A0A0FyD0FtCyB0FyDyC0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SzyyB0EtCtBtA0CzytGtAtAzzyEtGyEtBtAtCtGzztDyEtAtGtDzz0A0E0EzztB0ByByEtD0B2QtN0A0LzuyE%26cr%3D1242560580%26a%3Dwcg_fremkfs_16_41%26os_ver%3D6.1%26os%3DWindows%2B7%2BHome%2BPremium
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://it.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wcg_fremkfs_16_41¶m1=1¶m2=f%3D1%26b%3DIE%26cc%3Dit%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutDtDtBtAzz0B0AyByE0ByDzztD0EtA0EtN0D0Tzu0StCyByEyDtN1L2XzutAtFtByEtFtByDtFyDtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2SyD0DyB0EyE0D0FtDtGtBzyzzzytGtB0EtB0EtGtD0C0DtCtGtD0A0A0FyD0FtCyB0FyDyC0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SzyyB0EtCtBtA0CzytGtAtAzzyEtGyEtBtAtCtGzztDyEtAtGtDzz0A0E0EzztB0ByByEtD0B2QtN0A0LzuyE%26cr%3D1242560580%26a%3Dwcg_fremkfs_16_41%26os_ver%3D6.1%26os%3DWindows%2B7%2BHome%2BPremium
O4 - HKLM\..\Run: [ProductUpdater] C:\Program Files (x86)\Common Files\Freemake Shared\ProductUpdater\ProductUpdater.exe
O4 - HKLM\..\RunOnce: [Konokinu] C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\Utente\AppData\Roaming\Depelapik"
O4 - HKCU\..\Run: [Chromium] "c:\users\utente\appdata\local\chromium\application\chrome.exe" --auto-launch-at-startup --profile-directory="Default" --restore-last-session
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_23_0_0_162_Plugin.exe -update plugin |
|
|
Top |
|
|
balehay Eroe
Registrato: 16/01/16 23:09 Messaggi: 42
|
Inviato: 19 Ott 2016 18:43 Oggetto: |
|
|
Eliminato tutto,
ora ti posto i log. Comunque sono tornati nel momento in cui ho passato le foto, quindi sicuro sono nell'HD esterno. Vediamo se si risolve sennò passo a Linux.. il problema è che dovrei passare tutto sul pc ed analizzare tutto...
O si può fare tutto ciò direttamente sull'HD?
Addition.txt
FRST.txt |
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12248
|
Inviato: 20 Ott 2016 08:47 Oggetto: |
|
|
Aspetta per procedere in qualche modo da Linux.
Sui log ho visto che ci sono ancora quelle 2 voci sospette. Poi ho notato che usi software per aggiornare i driver. Sappi che molti di questi nascondono malware oppure possono causare problemi seri al pc. I driver si scaricano dai siti dei produttori dell'hardware.
Aspettiamo R16, avrà di sicuro un fix.
Poi, non ho capito se hai scansionato i supporti esterni, presumevo di si, e che gli antivirus non trovassero nulla...
Se non lo hai già fatto prova a scansionare i supporti esterni.
Da Microsoft Security Essentials (visto che dal log risulta quello)
Opzioni - personalizzata - selezioni l'unità esterna e premi ok.
Da Malware Bytes:
Scansione - scansione personalizzata - avvia - selezioni l'unità esterna - scansione.
Sempre per le usb ti segnalo:
Panda usb vaccine link
BitDefender Immunizer link |
|
Top |
|
|
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|