Olimpo Informatico

[piuma]

Salve ragazzi,
spero tanto che possiate aiutarmi: ho il log di Hijackthis (dopo aver contratto del malware), eseguito sul mio PC Windows 8.1 64bit, che proprio non riesco ad interpretare.
L'avvio del mio pc era rallentato, ma noto che ci sono ancora problemi di avvio lento, anche dopo aver scannerizzato con Avast Antivirus, MBAM, e continuato con:

1)Fixconnessione.bat,
2)RKill,
3)Rogue killer,
4)Malwarebytes Anti-Rootkit,

4)HitmanPRO,
5) ADW cleaner,
6)Kaspersky TDSSKiller

7) ADS Spy,
8) aswMBR

9) Finendo poi le operazioni con
Tweaking.com – Windows Repair


Vi prego datemi qualche suggerimento per risolvere
Posto il log del suddetto HijackThis di seguito
Grazie,
Piuma

1° messaggio:
For some reason your system denied write access to the Hosts file. If

any hijacked domains are in this file, HijackThis may NOT be ab|e to fix

this.

If that happens, you need to edit the file yourself.
To do this, click Start,

Run and type:
notepad C:\W|NDOWS\System32\drivers\etc\hosts

and press Enter.
Find the line(s) HijackThis reports and delete them.
Save the file as ‘hosts.’ (with quotes), and reboot.



Poi il log:

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 01.03.49, on 21/04/2016
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.9600.18124)


Boot mode: Normal

Running processes:
C:\Program Files (x86)\ASUS\Splendid\ACMON.exe
C:\Program Files (x86)\ASUS\Splendid\ColorUService.exe
C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe
C:\Program Files (x86)\ASUS\ASUS Smart Gesture\QuickGesture\x86\QuickGesture.exe
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
C:\Users\user\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Lync Click to Call BHO - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\root\Office16\OCHelper.dll
O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Microsoft OneDrive for Business Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:\Program Files (x86)\Microsoft Office\root\Office16\GROOVEEX.DLL
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
O4 - HKLM\..\Run: [ASUSWebStorage] "C:\Program Files (x86)\ASUS\WebStorage Sync Agent\1.1.10.123\AsusWSPanel.exe"/S
O4 - HKLM\..\Policies\Explorer\Run: [BtvStack] "C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe"
O4 - HKUS\S-1-5-18\..\Run: [] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Application Restart #0] C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe /Crashed (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [] (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Application Restart #0] C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe /Crashed (User 'Default user')
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\root\Office16\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Se&nd to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\root\Office16\ONBttnIE.dll
O9 - Extra button: Lync Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\root\Office16\OCHelper.dll
O9 - Extra 'Tools' menuitem: Lync Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\root\Office16\OCHelper.dll
O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\root\Office16\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\root\Office16\ONBttnIELinkedNotes.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: mso-minsb-roaming.16 - {83C25742-A9F7-49FB-9138-434302C88D07} - C:\Program Files (x86)\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: mso-minsb.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files (x86)\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: osf-roaming.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files (x86)\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files (x86)\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O20 - AppInit_DLLs: C:\WINDOWS\SysWOW64\nvinit.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: ASLDR Service (ASLDRService) - ASUSTek Computer Inc. - C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ASUS InstantOn Service (ASUS InstantOn) - ASUS - C:\Program Files (x86)\ASUS\ASUS InstantOn\InsOnSrv.exe
O23 - Service: AtherosSvc - Windows (R) Win 7 DDK provider - C:\Program Files (x86)\Bluetooth Suite\adminservice.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - ASUS - C:\Program Files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Avast Antivirus (avast! Antivirus) - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\WINDOWS\SysWow64\IntelCpHeciSvc.exe
O23 - Service: @oem5.inf,%WIN32_DPTF_PARTICIPANT_PROC_SERVICE_DISPLAY_NAME%;Intel(R) Dynamic Platform and Thermal Framework Processor Participant Service Application (DptfParticipantProcessorService) - Unknown owner - C:\WINDOWS\system32\DptfParticipantProcessorService.exe (file missing)
O23 - Service: @oem5.inf,%WIN32_DPTF_POLICY_CONFIGTDP_SERVICE_DISPLAY_NAME%;Intel(R) Dynamic Platform and Thermal Framework Config TDP Service Application (DptfPolicyConfigTDPService) - Unknown owner - C:\WINDOWS\system32\DptfPolicyConfigTDPService.exe (file missing)
O23 - Service: @oem5.inf,%WIN32_DPTF_POLICY_LPM_SERVICE_DISPLAY_NAME%;Intel(R) Dynamic Platform and Thermal Framework Low Power Mode Service Application (DptfPolicyLpmService) - Unknown owner - C:\WINDOWS\system32\DptfPolicyLpmService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: @oem78.inf,%ServiceDisplayName%;ESIF Upper Framework Service (esifsvc) - Intel Corporation - C:\WINDOWS\SysWOW64\esif_uf.exe
O23 - Service: ExpressCache - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\ExpressCache\ExpressCache.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\WINDOWS\system32\fxssvc.exe (file missing)
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\WINDOWS\system32\IEEtwCollector.exe (file missing)
O23 - Service: Intel(R) Capability Licensing Service Interface - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\HeciServer.exe
O23 - Service: Intel(R) ME Service - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe
O23 - Service: Intel(R) Rapid Start Technology Service (irstrtsv) - Intel Corporation - C:\Windows\SysWOW64\irstrtsv.exe
O23 - Service: Intel(R) Dynamic Application Loader Host Interface Service (jhi_service) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: KMS-R@1n - Unknown owner - C:\Windows\KMS-R@1n.exe
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: McAfee Platform Services (mcpltsvc) - McAfee, Inc. - C:\Program Files\Common Files\mcafee\Platform\McSvcHost\McSvHost.exe
O23 - Service: McAfee PC Task Scheduler Service (McSchedulerSvc) - McAfee, Inc. - C:\Program Files\Common Files\mcafee\Platform\McSvcHost\McSvHost.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\WINDOWS\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\WINDOWS\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\WINDOWS\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\WINDOWS\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\WINDOWS\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\WINDOWS\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\WINDOWS\system32\UI0Detect.exe (file missing)
O23 - Service: Intel(R) Management and Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\WINDOWS\system32\vssvc.exe (file missing)
O23 - Service: ASUS Wake Service (WakeupService) - ASUSTek Computer Inc. - C:\Program Files\ASUS\ASUS VivoBook\ASUSWakeupService.exe
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\WINDOWS\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: ZAtheros Bt and Wlan Coex Agent - Atheros - C:\Program Files (x86)\Bluetooth Suite\Ath_CoexAgent.exe

--
End of file - 11325 bytes
[img] [/img]

[R16]

Ciao e benvenuto\a
Scarica FRST sul desktop: (è obligatorio)

Installa la versione adatta al tuo Sistema Operativo (32 bit oppure 64 bit )

link

Avvialo e clicca Esegui.

Sulla finestra che ti compare clicca SI.

Clicca Scan.

Aspetta pazientemente la fine della scansione.

Posta i 2 log log che rilascia sul desktop (FRST.txt e Addition.txt)

Per postare i log:
Collegati ad internet e vai alla pagina WikiSend:
link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[piuma]

Ciao R16,
grazie mille davvero per la tua rapida risposta!

FRST_21-04-2016_17-53-16.txt

Addition_21-04-2016_17-53-16.txt

Spero di aver centrato la procedura.
Grazie.

Piuma

[R16]

Ciao.
scarica questo file sul desktop: (dove si trova FRST)

link

Avvia FRST e clicca su FIX una sola volta.

Attendi la fine della scansione.
Posta il file fixlog.txt.

Per cortesia mi puoi postare anche i log delle scansioni che hai eseguito?
Grazie.

N.B:
I crack, a lungo andare, possono creare problemi al pc.

[piuma]

Ciao,
in realtà ho questo pc soltanto da ago 2013, e non avevo mai inserito cracks.
Da aprile 2016 ho voluto cambiare Office 2007 home & student con Office 2016 KMS.
Tutti i cracks che vedi li ho scaricati soltanto tramite torrent, da 1 mesetto in qua, ma non li ho fatti girare, perché in realtà non mi servivano

Fixlog_22-04-2016_00-09-36.txt

Winfix 2.2 non l'ha trovato nel log dopo il fix poiché oggi nell'attesa di una tua risposta lo avevo già cestinato...non mi piace il clutter.
Mi sembra di non avere un granchè dei logs creati dai softwares che ho usato per rimuovere i malwares, perché delusa li ho cestinati man mano.
Ho preso il Malware soltanto il 18 aprile, con una mossa azzardata, poi ho passato la notte intera a sudare, e pulire e reinizializzare il pc (tutto nero)tramite ctrl+alt+canc-->Gestione attività--> file --> nuova attività ESEGUI( rstrui.exe) , tornando ad una versione precedente del sistema operativo , che era stato creato grazie a Total Uninstall.
Aggiungo che un paio di giorni prima avevo fatto l'aggiornamento drivers.
Ma io trovo che il cambio di regime in fase di avvio si sia verificata quando a marzo ho eseguito (superpentita a posteriori) Tweaking.com.
E non ho mai saputo come tornare indietro.
Scusami per la lunghezza della cronistoria, ma credo che fosse giusto informarti.
Come faccio a riavere il veloce "benvenuto dal pc", invece dell'attesa snervante del "sto preparando Windows", che appunto una volta non mi compariva nemmeno?

In "programData" ho trovato un log di HitmanPRO risalente a quella notte e te lo allego:
HitmanPro_20160419_0408.log

Spero tanto che potrai aiutarmi ancora

Piuma

[R16]

Ciao.

[piuma]

Ciao,
ho fatto la procedura AVAST + ccleaner, ed in effetti l'avvio è molto più rapido e scheggiante.

Che ne dici?
Intanto reinstallo AVASt?

PS: Ammetto che ho osato molto con i vari pasticci e sto sbattendo la testa sul muro dispiaciutissima. La predica me la merito, me la prendo e sapevo che sarebbe arrivata, ma comunque grazie per la pazienza.
Piuma

[R16]

[piuma]

Ciao,
noto che Avast è comunque rimasto tra la lista dei programmi installati con tanto di icona nel traybar, e provando a disinstallarlo di nuovo con totalUninstaller si crea un errore e il pc si blocca con schermata blu e faccina.
Il seguente riavvio è di una lentezza penosa.

Allego i nuovi logs di FRST64.exe.
Le scansioni eseguite oggi con MBAM sono risultate senza problemi, mentre quella con Avast mi diceva di acquistare il Cleaner per velocizzare proprio l'avvio di Windows, in cui riscontrava qualcosa.

FRST.txt

Addition.txt

In addition.txt:
Non mi sono chiare queste voci in francese, peraltro nascoste (saranno malware o residui non visibili da MBAM?):
-Fotogalerie (x32 Version: 16.4.3528.0331 - Microsoft Corporation) Hidden
- Galerie de photos (x32 Version: 16.4.3528.0331 - Microsoft Corporation) Hidden
Inoltre, il telefono Nokia non l’ho più, ma noto queste voci:
MSVC80_x64_v2 (Version: 1.0.3.0 - Nokia) Hidden
MSVC80_x86_v2 (x32 Version: 1.0.3.0 - Nokia) Hidden
MSVC90_x64 (Version: 1.0.1.2 - Nokia) Hidden
MSVC90_x86 (x32 Version: 1.0.1.2 - Nokia) Hidden


I logs degli altri 2 scans (Avast e MBAM) non so dove reperirli.



Grazie ancora.
Piuma

[R16]

Ciao.

[piuma]

Ciao,
ecco il log:

Fixlog.txt

Grazie.
Attendo tue news.
Piuma

[R16]

Non hai riavviato il pc, come avevo indicato.
Confermi?

[piuma]

No, non ho riavviato. Devo?
Ormai non tocco nulla se non me lo dici espressamente.

[piuma]

Scusami, l'ho letto adesso.
Faccio subito.

[piuma]

Ho riavviato.
Ci ha messo molto tempo per eseguire tutta l'operazione.
Nella traybar c'è ancora il logo di AVAST, ed anche nella lista dei programmi installati che risulta da CCleaner.

[R16]

Devi rifare tutta la procedura.
Riscarica il file, apri FRST e clicca su FIX.
Quando ha finito, ti verrà chiesto il riavvio, clicca su OK.
Posta il log.
Fai attenzione a non confonderlo con quelli precedenti.

[piuma]

Ciao R16,

ho seguito le tue istruzioni.
Stavolta è stato FRST stesso a chiedermi di a riavviare in automatico il pc. E naturalmente ho eseguito.

Posto il log:

Fixlog.txt

E attendo un tuo cenno.

P.

[R16]

Lo trovi ancora Avast installato?
Il pc è migliorato all'avvio e, in generale?
Puoi per cortesia rifarmi una nuova scansione con FRST e postare il log?

[piuma]

Ehm...purtroppo Avast non si è rimosso. Graniticamente al suo posto.
Il reboot di prima è stato inesorabilmente lentissimo.
Ho scannerizzato ancora con FRST.
Ecco i logs, che mi sembra evidenzino molti errors.
E spero ancora nei tuoi consigli

Addition.txt

FRST.txt

[R16]

Però....fa il "duro"......
Apri il Task Manager (per aprirlo basta che clicchi su Start e poi nel campo "Cerca programmi e file" digita task manager.
Si apre una scheda.
Clicca su "Processi"
Cerca Avast , lo selezioni, e poi clicca "Termina processo"
Conferma l'eleminazione, chiudi la finestra e riavvia il pc.

Se non funziona, prova in Modalità provvisoria.