Olimpo Informatico

[pippipink]

Salve a tutti,
uso Chrome e da qualche mese ho dei tab che si aprono in automatico su siti di abbigliamento (la redoute) o su un findeer.qualcosa che dovrebbe essere un motore di ricerca che non uso e chiudo regolarmente ogni volta che mi si apre. Uso win7.
Vi riporto il log di HJT:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:29:09, on 18/03/2013
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\ProgramData\PC Performer Manager\2.6.1125.80\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Synaptics\SynTP\SynAsusAcpi.exe
C:\Program Files\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\ProgramData\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Users\Public\Documents\AppData\PoApp\PService.exe
C:\Program Files\Common Files\Java\Java Update\jucheck.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: LinkAirBrowserHelper HistoryTriggerBHO - {21A88CB9-84D2-4020-A2D1-B25A21034884} - C:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\LinkAirBrowserHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - (no file)
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [SuperHybridEngine] AsusSender.exe C:\Program Files\ASUS\SHE\SuperHybridEngine.exe
O4 - HKLM\..\Run: [CapsHook] AsusSender.exe C:\Program Files\EeePC\CapsHook\CapsHook.exe
O4 - HKLM\..\Run: [HotkeyMon] AsusSender.exe C:\Program Files\ASUS\HotkeyService\HotKeyMon.exe
O4 - HKLM\..\Run: [HotkeyService] AsusSender.exe C:\Program Files\ASUS\HotkeyService\HotkeyService.exe
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LiveUpdate] AsusSender.exe C:\Program Files\Asus\LiveUpdate\LiveUpdate.exe auto
O4 - HKLM\..\Run: [SynAsusAcpi] %ProgramFiles%\Synaptics\SynTP\SynAsusAcpi.exe
O4 - HKLM\..\Run: [NUSB3MON] "C:\Program Files\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [B2C_AGENT] C:\ProgramData\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe
O4 - HKLM\..\Run: [PosService] C:\Users\Public\Documents\AppData\PoApp\PLauncher.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\Utente\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/select/asusTek_sys_ctrl3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CF757DB-9E51-4868-B8DA-CBAABF6139AA}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{3318F3CD-E102-48ED-80B3-168EF081A386}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{90F48AEE-691F-4DE1-9B40-45BF5A5179A7}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{C77B9AF1-7721-40D2-94F5-66B40A2A6FDA}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{2CF757DB-9E51-4868-B8DA-CBAABF6139AA}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CS2\Services\Tcpip\..\{2CF757DB-9E51-4868-B8DA-CBAABF6139AA}: NameServer = 8.8.8.8,8.8.4.4
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: c:\progra~2\pcperf~1\261125~1.80\{61d8b~1\pcpmngr.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Avira Scheduler (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Realtime Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Asus Launcher Service (AsusService) - Unknown owner - C:\Windows\system32\AsusService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: PC Performer Manager - Unknown owner - C:\ProgramData\PC Performer Manager\2.6.1125.80\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.exe
O23 - Service: Pos Service (PowerOffer Service) - PowerOfferService - C:\Users\Utente\AppData\Local\PosService\Pos.exe
O23 - Service: Serv Updater (ServUpdater) - ServiceUpd - C:\Users\Utente\AppData\Local\ServUpdater\ServiceUpd.exe
O23 - Service: Software Upd (SoftwareUpd) - SoftwareUpdService - C:\Users\Utente\AppData\Local\SoftwareUpdater\SoftwareUpdService.exe

--
End of file - 7939 bytes


Spero possiate aiutarmi.
Grazie,
Sarah

[bdoriano]

Ciao pippipink,
per cortesia, fai questa scansione:

• Scarica OTL:
  clicca qui per scaricarlo e salvalo sul desktop.
  
  
• Clicca sull'icona di OTL che trovi sul tuo desktop
  
  
  
• in Output, assicurati che sia selezionato Minimal Output
  
  
• metti il segno di spunta a
  Scan All Users
  LOP Check
  Purity Check
  
  
• in Standard Registry, assicurati che sia selezionato All
  
  
• in Extra Registry, assicurati che sia selezionato Use SafeList
  
  
• clicca il bottone Run Scan
  
  
• verranno generati 2 logs:
  OTListIt.txt (aperto)
  Extra.txt (minimizzato)
  
  
• Carica i logs uno dei servizi di hosting indicati in questa discussione

[pippipink]

Fatto !
Ecco i log:
- OTL.Txt
- Extras.Txt

[bdoriano]

Comincia a disinstallare PowerOffer 2.0.

Dopodiché:

• scarica AdwCleaner da questo sito e salvalo sul desktop
  
  
• con Windows XP:
  Avvia AdwCleaner
  
• con Windows Vista/7/8
  clicca con il tasto desto su AdwCleaner e scegli Esegui come amministratore
  
  
• clicca sul bottone Search per eseguire una scansione
  
• attendi pazientemente la fine dei lavori
  
• quando finisce il controllo, si apre notepad con il contenuto della scansione (AdwCleaner[R1].txt)
  
• salva il file sul desktop
  
• il file viene anche salvato in C:\
  
• posta il file creato, secondo le solite modalità

[pippipink]

Power offer disinstallato e per tutta risposta mi ha fatto crashare Chrome... maledetto!
Ecco il log .txt]AdwCleaner[R1].txt

[bdoriano]

Nulla di grave, ci sono diversi intrusi in Google Chrome.

• con Windows XP:
  Avvia AdwCleaner
  
• con Windows Vista/7/8
  clicca con il tasto desto su AdwCleaner e scegli Esegui come amministratore
  
• clicca sul punto di domanda ?
  
• clicca Opzioni
  Si apre una nuova finestra:
  
  • metti il segno di spunta a /DisableAskDetection
  
  clicca OK
  
• clicca sul bottone Delete per eseguire la rimozione
  
• attendi pazientemente la fine dei lavori
  
• quando finisce il controllo, si apre notepad con il contenuto della scansione (AdwCleaner[S1].txt)
  
• salva il file sul desktop
  
• il file viene anche salvato in C:\
  
• posta il file creato, secondo le solite modalità

A prima vista, mi sembra che Chrome non sia aggiornato.

• Apri Chrome
  
• clicca sull'icona con 3 righe orizzontali
  
• clicca su Informazioni su Google Chrome
  
• se dovessero esserci degli aggiornamenti disponibili, verranno scaricati automaticamente
  
• al termine delle operazioni, chiudi Chrome

[pippipink]

Ecco il log .txt]AdwCleaner[S1].txt
C'è stato anche un riavvio nel mentre da parte di adw, ma credo sia nella norma.
Cosa intendevi prima per intrusi?!

[bdoriano]

Per intrusi intendevo le diverse toolbar e add-on presenti nel tuo Chrome.
AdwCleaner ne ha eliminate parecchie.

Hai provato ad avviare Chrome e a verificare che sia aggiornato?
Appena puoi, rifai la scansione con OTL e posta i nuovi logs con il solito modo.

[Pepe]

E' stato aggiornato Internet Explorer?

Pepe

[pippipink]

Eccomi...
ieri non mi sono connessa e quindi riprendiamo oggi l'analisi
Ecco i file della scansione:
OTL.Txt
Extras.Txt

Per quanto riguarda chrome è aggiornato all'ultima versione!

[Pepe]

Ecco, appunto... Tutti i programmi, pure IE, necessitano di essere aggiornati, giusto signor Doriano?

Pepe

[bdoriano]

Per aggiornare IE, è sufficiente installare gli aggiornamenti di Windows.

PS: Pepe, quando vedo il "signor", te lo saluto.