Olimpo Informatico

[atarassia]

Salve a tutti spero che qualcuno mi aiuti. Vi spiego ho installato un programma per vedere in streaming le partite di calcio, programma che ho provveduto a disinstallare dopo averlo utilizzato. C'è rimasta una maledetta search bar che ho letto essere un malware. Search findeer.
Ho provato di tutto (ovviamente nel limite delle mie scarse conoscenze)
cc cleaner a manetta, malwarebytes, hijackthis, ho disinstallato e installato nuovamente mozilla. Ma nulla.
come posso eliminare del tutto questo odioso e pericoloso programma?
attendo risposte ricordandovi le mie discretissime abilità informatiche...

[R16]

Ciao.
Scarica Combofix (usa Internet Explorer)

link

Salvalo sul desktop. (è obligatorio)

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (se usi Vista: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.

Per postare il log:
Collegati ad internet e vai alla pagina WikiSend: link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[anabasi]

Ciao atarassia, benvenuto nell'Olimpo Informatico.

[atarassia]

spero sia questo...


ComboFix 12-01-19.02 - Valeria 21/01/2012 13.36.49.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.39.1040.18.3066.1689 [GMT 1:00]
Eseguito da: c:\users\Valeria\Pictures\Desktop\ComboFix.exe
AV: avast! antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\OfferBox
c:\program files\OfferBox\OfferBoxBHO.dll
c:\programdata\Tarma Installer
c:\programdata\Tarma Installer\{DE3B7BF9-0770-4104-BC0B-B1CCCCE2F053}\_Setup.dll
c:\programdata\Tarma Installer\{DE3B7BF9-0770-4104-BC0B-B1CCCCE2F053}\_Setupx.dll
c:\programdata\Tarma Installer\{DE3B7BF9-0770-4104-BC0B-B1CCCCE2F053}\Setup.dat
c:\programdata\Tarma Installer\{DE3B7BF9-0770-4104-BC0B-B1CCCCE2F053}\Setup.exe
c:\programdata\Tarma Installer\{DE3B7BF9-0770-4104-BC0B-B1CCCCE2F053}\Setup.ico
c:\users\Valeria\AppData\Roaming\OfferBox
c:\users\Valeria\AppData\Roaming\OfferBox\config.xml
c:\windows\IsUn0410.exe
c:\windows\system32\SET56F9.tmp
.
.
((((((((((((((((((((((((( Files Creati Da 2011-12-21 al 2012-01-21 )))))))))))))))))))))))))))))))))))
.
.
2012-01-21 12:45 . 2012-01-21 12:45 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-01-20 17:41 . 2012-01-06 04:19 6557240 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{D0DB93BB-C85F-45E6-B602-CD404BDB87FC}\mpengine.dll
2012-01-19 15:04 . 2012-01-19 15:04 -------- d-----w- c:\users\Valeria\AppData\Roaming\Malwarebytes
2012-01-19 15:04 . 2012-01-19 15:04 -------- d-----w- c:\programdata\Malwarebytes
2012-01-19 15:04 . 2012-01-21 12:23 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-01-15 13:00 . 2012-01-19 12:50 -------- d-----w- c:\users\Valeria\AppData\Local\ServUpdater
2012-01-15 13:00 . 2012-01-15 13:30 -------- d-----w- c:\users\Valeria\AppData\Local\PosService
2011-12-28 18:06 . 2011-12-28 18:06 -------- d-----w- c:\program files\Microsoft WSE
2011-12-28 17:54 . 2011-12-28 17:54 -------- d-----w- c:\program files\Electronic Arts
2011-12-26 15:39 . 2011-12-26 15:39 239168 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
2011-12-26 15:39 . 2011-12-26 15:39 -------- d-----w- c:\program files\DAEMON Tools Lite
2011-12-26 13:55 . 2010-09-16 10:26 37336 ----a-w- c:\windows\system32\CleanMFT32.exe
2011-12-26 13:55 . 2008-04-02 14:54 1101824 ----a-w- c:\windows\system32\UniBox210.ocx
2011-12-26 13:55 . 2008-04-02 14:53 212992 ----a-w- c:\windows\system32\UniBoxVB12.ocx
2011-12-26 13:55 . 2008-04-02 14:53 880640 ----a-w- c:\windows\system32\UniBox10.ocx
2011-12-26 13:55 . 2004-08-04 06:00 506368 ----a-w- c:\windows\system32\msxml.dll
2011-12-26 13:55 . 2008-09-17 20:17 658432 ----a-w- c:\windows\system32\MSCOMCT2.OCX
2011-12-26 13:54 . 2011-12-26 13:55 -------- d-----w- c:\program files\Common Files\PC Tools
2011-12-26 13:53 . 2011-12-26 15:40 -------- d-----w- c:\users\Valeria\AppData\Roaming\OpenCandy
2011-12-26 13:52 . 2011-12-28 15:30 -------- d-----w- c:\users\Valeria\AppData\Roaming\DAEMON Tools Lite
2011-12-26 13:52 . 2011-12-26 13:52 -------- d-----w- c:\programdata\DAEMON Tools Lite
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-15 13:29 . 2010-03-24 19:13 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-11-08 14:42 . 2011-12-14 07:29 2048 ----a-w- c:\windows\system32\tzres.dll
2011-12-21 07:57 . 2012-01-19 15:29 121816 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-10-27 11:05 40496 ----a-w- c:\program files\EgisTec\MyWinLocker 3\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"Facebook Update"="c:\users\Valeria\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2011-10-01 137536]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2011-11-10 3514176]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\program files\Common Files\Nokia\MPlatform\NokiaMServer" [X]
"ArcadeDeluxeAgent"="c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe" [2009-01-20 156968]
"CLMLServer"="c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe" [2009-01-20 202024]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-16 13605408]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-16 92704]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-07-07 30192]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-02-14 6814240]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-02-14 1833504]
"PLFSetI"="c:\windows\PLFSetI.exe" [2010-02-13 200704]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-12-05 1410344]
"LManager"="c:\program files\Launch Manager\LManager.exe" [2009-02-19 866824]
"BackupManagerTray"="c:\program files\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" [2009-02-17 248576]
"Acer ePower Management"="c:\program files\Acer\Acer PowerSmart Manager\ePowerTray.exe" [2009-02-19 707104]
"EgisTecLiveUpdate"="c:\program files\EgisTec Egis Software Update\EgisUpdate.exe" [2008-10-27 199464]
"mwlDaemon"="c:\program files\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe" [2008-10-27 346672]
"PlayMovie"="c:\program files\Acer Arcade Deluxe\PlayMovie\PMVService.exe" [2008-12-26 173288]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"NokiaMusic FastStart"="c:\program files\Nokia\Ovi Player\NokiaOviPlayer.exe" [2010-03-04 2192672]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
.
c:\users\Valeria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Ritaglio schermata e avvio di OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-1-2 210520]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-01-20 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-4218444969-3854843263-1041717660-1000Core.job
- c:\users\Valeria\AppData\Local\Facebook\Update\FacebookUpdate.exe [2011-10-01 17:43]
.
2012-01-21 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-4218444969-3854843263-1041717660-1000UA.job
- c:\users\Valeria\AppData\Local\Facebook\Update\FacebookUpdate.exe [2011-10-01 17:43]
.
2012-01-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-14 19:11]
.
2012-01-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-14 19:11]
.
2012-01-19 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4218444969-3854843263-1041717660-1000Core.job
- c:\users\Valeria\AppData\Local\Google\Update\GoogleUpdate.exe [2012-01-19 17:05]
.
2012-01-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4218444969-3854843263-1041717660-1000UA.job
- c:\users\Valeria\AppData\Local\Google\Update\GoogleUpdate.exe [2012-01-19 17:05]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.com
uDefault_Search_URL = hxxp://www.google.com/ie
mStart Page = hxxp://search.findeer.com
uInternet Settings,ProxyServer = 160.97.80.4:8080
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Free YouTube Download - c:\users\Valeria\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{3a539854-6a70-11db-887c-806e6f6e6963}: NameServer = 176.31.229.24,176.31.229.25
TCP: Interfaces\{745946BB-8EF5-4514-855D-2FCD121E2117}: NameServer = 176.31.229.24,176.31.229.25
TCP: Interfaces\{C50B5E64-FEB9-43A5-8D7F-A5168348F856}: NameServer = 176.31.229.24,176.31.229.25
FF - ProfilePath - c:\users\Valeria\AppData\Roaming\Mozilla\Firefox\Profiles\ply08iyv.default\
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
SafeBoot-WudfPf
SafeBoot-WudfRd
SafeBoot-mcmscsvc
SafeBoot-MCODS
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-01-21 13:46
Windows 6.0.6002 Service Pack 2 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Ora fine scansione: 2012-01-21 13:48:00
ComboFix-quarantined-files.txt 2012-01-21 12:47
.
Pre-Run: 114.521.362.432 byte disponibili
Post-Run: 115.315.597.312 byte disponibili
.
- - End Of File - - 473C4262BBED3463B190A166C0DB5C98

[atarassia]

[atarassia]

ti ringrazio spero di aver fatto tutto correttamente, unica cosa... su wikisend mi dava errore e non mi faceva caricare il file per cui ho copiato e incollato direttamente, pur non sapendo se sia la stessa cosa o meno e di conseguenza anche ignara di aver fatto qualche stupidaggine

inoltre, ho notato che disinstallando e reinstallando chrome, search findeer è scomparso mentre persiste sia con mozilla che con explorer
comunque credo proprio che il problema sia nato in seguito ad aver scaricato un programma per vedere le partite in streaming sul pc, visto che prima di questo non lo avevo mai notato

[R16]

Segui le istruzioni di questo topic per usare MBAM: (ricorda di aggiornarlo prima della scansione)
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.
Elimina gli eventuali file infetti trovati.

Poi:
Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.

Poi:
Scarica MBRCheck, e e salvalo sul desktop.
link
Chiudi tutti i programmi.
Doppio click su MBRCheck, che hai scaricato sul desktop, ed eseguilo.
Attendi la fine della scansione.
Finita la scansione (dura pochissimo) posta il log che troverai sul desktop


Invece di Wikisend, prova a postare i log con questo:
link

Oppure:
link

N.B:
Dimmi i problemi che riscontri dopo avere effettuato le scansioni.

[atarassia]

dunque ho fatto nuovamente la scansione con malwarebytes e non ha trovato nulla
adesso proseguo con quanto mi hai detto
ma per quanto riguarda ciò che ho incollato prima c'è qualche file infetto?

[R16]