| Autore |
 Discussione  |
|
iaco71
Average Member
77 Messaggi |
 Inserito il - 26/10/2012 : 19:11:15
|
Salve a tutti, girando nel mio pc per fare un pò di sazio nell'hd ho trovato in c:-progran data, una cartella che si chiama boost_interprocess al cui interno vi è un altra cartella che a sua volta ha al suo interno un file di 1kb che si chiama {1832B446-3F6D-4880-99C1-0B3B26170D94}. Ho fatto scansione co avira free e mbam tutti aggiornati ma non mi dicono nulla. giracchiando su internet ho visto che potrebbe essere un possibile file sospetto. mi potete aiutare a capre se sono in "pericolo" oppure no?
grazie a tutti per l'attenzione
|
Modificato da - in Data
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 26/10/2012 : 20:56:09
|
ciaoe benvenuto iaco71 quella cartella non e' niente di buono fai queste due scansioni per ripulire bene il pc
scarica adwcleaner usa solo l'opzione delete e posta il log
Scarica OTL >> htt*://oldtimer.geekstogo[.com]/OTL.exe salvalo sul desktop,doppio click sulla sua icona.
Metti la spunta su SCAN ALL USERS.
Sotto output spunta minimal output
Clicca sulla freccettina di File Age e seleziona 60 Days
Metti la spunta a LOP Check and Purity Check.
A fine scansione OTL produrrà due file di log (OTL.txt ed Extras.txt)
Allegali e posta il risultato
|
 |
|
|
iaco71
Average Member
77 Messaggi |
Inserito il - 26/10/2012 : 22:41:31
|
allora ecco i tre txt relativi a quanto mi hai chiesto....... visto questa facenda, sto notando che mi si creano delle cartelle vuote doppione di altre piene (la cartella piena è in d, quella vuota con lo stesso nome me la trovo su destop), ed è successo già due volte, poi una cartella si è svuotata da documenti word e dentro c'è finito un altro file word che stava dentro un altra cartella.... ancora, ogni tanto mi si aprono delle pagine di publicità dei siti che visito e che li hanno inseriti senza cliccare sul banner..... può essere tutto collegato?
ecco il primo log: htt*://wikisend[.com]/download/138738/AdwCleaner[S1].txt
ecco il secondo: htt*://wikisend[.com]/download/443386/Extras.Txt
ecco il terzo: htt*://wikisend[.com]/download/396302/OTL.Txt
intanto ti ringrazio.... |
Modificato da - iaco71 in data 27/10/2012 09:55:46 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 27/10/2012 : 10:57:56
|
come vedi adwcleaner te l'ha eliminata, ora cerchiamo di i rimuovere il resto
apri otl e copia sotto "Custom Scans\Fixes" questo testo
Citazione:
:OTL
PRC - C:\Users\Fabrizio\AppData\Local\PosService\Pos.exe (PowerOfferService)
PRC - C:\Users\Public\Documents\AppData\PoApp\PService.exe (PService)
SRV - (SoftwareUpd) -- C:\Users\Fabrizio\AppData\Local\SoftwareUpdater\SoftwareUpdService.exe (SoftwareUpdService)
SRV - (PowerOffer Service) -- C:\Users\Fabrizio\AppData\Local\PosService\Pos.exe (PowerOfferService)
SRV - (ServUpdater) -- C:\Users\Fabrizio\AppData\Local\ServUpdater\ServiceUpd.exe (ServiceUpd)
DRV - (VClone) -- system32\DRIVERS\VClone.sys File not found
DRV - (NwlnkFwd) -- system32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- system32\DRIVERS\nwlnkflt.sys File not found
DRV - (IpInIp) -- system32\DRIVERS\ipinip.sys File not found
DRV - (blbdrive) -- C:\Windows\system32\drivers\blbdrive.sys File not found
DRV - (atfd1w3g) -- File not found
DRV - (Ad-Watch Connect Filter) -- C:\Windows\system32\drivers\NSDriver.sys File not found
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = htt*://search.findeer[.com]
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = htt*://search.findeer[.com]
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = htt*://search.findeer[.com]
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = htt*://search.findeer[.com]
FF - prefs.js..browser.startup.homepage: ' htt*://search.findeer[.com]
[2012/04/21 23.13.31 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Fabrizio\AppData\Roaming\mozilla\Extensions
[2012/10/26 21.49.10 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Fabrizio\AppData\Roaming\mozilla\Firefox\Profiles\4xm0tszl.default\extensions
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-297002358-1211194256-2559504520-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [PosService] C:\Users\Public\Documents\AppData\PoApp\PLauncher.exe (PLauncher)
O8 - Extra context menu item: E&xport to Microsoft Excel - File not found
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3a539854-6a70-11db-887c-806e6f6e6963}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{7444C844-7331-4700-A749-012733ED70D7}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{7A2A7F59-A1D7-479B-AF0D-3407CC0E9E51}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8567E710-114B-4486-9CA1-E61DF939CAA0}: NameServer = 176.31.229.24,176.31.229.25
[2012/10/18 11.57.59 | 000,000,000 | ---D | C] -- C:\Users\Fabrizio\AppData\Local\ServUpdater
[2012/10/18 11.57.59 | 000,000,000 | ---D | C] -- C:\Users\Fabrizio\AppData\Local\PowerOffer
[2012/10/18 11.57.58 | 000,000,000 | ---D | C] -- C:\Users\Fabrizio\AppData\Local\PosService
[2012/10/18 11.11.09 | 000,000,000 | ---D | C] -- C:\Users\Fabrizio\AppData\Roaming\EmoticoonsToolbar
[2012/10/18 11.11.01 | 000,000,000 | ---D | C] -- C:\Users\Fabrizio\AppData\Local\SoftwareUpdater
 Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:B3D74A13
Alternate Data Stream - 114 bytes -> C:\ProgramData\TEMP:CB0AACC9
Alternate Data Stream - 107 bytes -> C:\ProgramData\TEMP:C31F31E6
Alternate Data Stream - 104 bytes -> C:\ProgramData\TEMP:DFC5A2B2
:files
C:\Windows\hpomdl30.dat.temp
C:\ProgramData\.zreglib
C:\Users\Fabrizio\.rnd
C:\ProgramData\amjmwaey.gaf
ipconfig /flushdns /c
:commands
[purity]
[Reboot]
premi run fix e allega il risultato di fine scansione
|
|
|
|
iaco71
Average Member
77 Messaggi |
Inserito il - 27/10/2012 : 13:25:37
|
| fatto, ma non mi ha dato il report........ dove lo trovo?...... in compenso mi sono comparse subito dopo la scansione dei file sul desktop trasparenti, alcuni di word tipo temporanei e un altro desktop.ini sempre trasparente...... che succede? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 27/10/2012 : 13:29:11
|
tranquillo e' il programma che li rilascia, controlla anche se hai attiva la visualizzazione dei file nascosti
il log lo trovi nella cartella dello stesso OTL |
|
|
|
iaco71
Average Member
77 Messaggi |
Inserito il - 27/10/2012 : 14:29:50
|
ok trovato ecco il file....
confermo l'attivazione della visualizzazione delle cartelle e file nascosti da sempre, ma questi file non ci sono mai stati prima...... che ci faccio? li elimino?
htt*://wikisend[.com]/download/775408/10272012_131301.log
cmq sto notando delle cose strane ancora..... una cartella che prima esisteva, è stata rinominata col precedente nome+facebook.it[.com]........
il muose lampeggia spesso come se fosse sempre attivo.......
poi un sacco di cartelle temporanee in più.... l'hd (c) prima aveva 20 gb di spazio libero ora ne ha 18.5 circa..... il puntatore del mouse spesso non si vede dalla velocità con il quale lampeggia......la stessa cartella otl in c ha al suo interno un cartella che si chiama moved file.....all'interno di quest'ultima c'è il file di log che ti ho postato e una cartella con lo stesso nome del file di log con dentro tre cartelle: c_programdata, c_users, c_windows...... che al loro interno ecc....ecc..... ecc....
inoltre, senza un perchè, a volte, anche quando vado sul sito di tiscali, mi esce un popup di windows che mi avverte che ie sta cercando di eseguire un componente aggiuntivo non meglio specificato e mi chiede la conferma per l'avvio. Ovviamente annullo l'operazione, ma sta diventando invadente la cosa.... sarò io che ho qualcosa sul pc o veramente arriva dai siti che visito? non faccio navigate strane..... sempre siti normali.....
è tutto normale? dovrò fare una scansione diversa con qualche altro programma? non è che ho una "bestia rara" nel pc? |
Modificato da - iaco71 in data 28/10/2012 09:12:14 |
|
|
|
iaco71
Average Member
77 Messaggi |
Inserito il - 28/10/2012 : 11:23:57
|
troppe cose stanno succedendo.....ie si blocca, la navigazione è lenta....... continuano a crearsi nuove cartelle doppione di altre, ma vuote......
ho fatto solo una scansione con hjtis
questo è il log: htt*://wikisend[.com]/download/449406/hijackthis.log
invece questo è una finestra di windows che non era mai comparsa prima e non ho capito cosa vuol dire: htt*://wikisend[.com]/download/173792/Nuovo Documento di Microsoft Office Word.docx
sono un pò preoccupato....... |
Modificato da - iaco71 in data 28/10/2012 11:27:05 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 28/10/2012 : 13:09:08
|
vediamo cosa succede in quel pc
scarica combofix sul desktop
alla richiesta se vuoi installare la recovery console clicca su NO
esegui ComboFix.exe
segui le instruzioni
finita la scansione portati in C:\ e allega nella tua prossima risposta, il contenuto del file di testo Combofix.txt
come usare correttamente combofix
|
|
|
|
iaco71
Average Member
77 Messaggi |
Inserito il - 28/10/2012 : 21:40:24
|
intanto grazie mille per l'aiuto che mi dai......
ecco il report....
htt*://wikisend[.com]/download/128576/ComboFix.txt
preciso due cose: la prima che durante la scansione di combo è uscita una finestra che mi avvisava che l'applicazione pev.exe ha smesso di funzionare
lo spazio nell'hd continua a diminuire, e compaiono in continuazione nuove cartelle e file doppi
se noti qualcosa tipo claro ecc..... dovrebbe essere stato qualcosa derivante dall'installazione di hijthis scaricato da softonic, ma non capiso il motivo, avevo disabilitato il flag relativo all'installazione della barra.....
mi è sparita anche la ttolbar di google....... la seleziono, ma non riappare.....
poi a scansione finita mi sono spariti i gadget sulla destra (orologio, temperatura e tempo) come si rimettono?
infine mi è sparita licona nella barra vicino all'orologino di sistema l'icona del real time protecion di avira free ed altre applicazioni che non ricordo ora cmq sono tante........ |
|
|
|
iaco71
Average Member
77 Messaggi |
Inserito il - 28/10/2012 : 21:50:50
|
| mi correggo......... dopo un altro riavvio è tornato più o meno tutto ok..... almeno per quanto riguarda i gadget e le icone sulla system tray.... |
Modificato da - iaco71 in data 28/10/2012 22:40:30 |
|
|
|
iaco71
Average Member
77 Messaggi |
Inserito il - 28/10/2012 : 23:54:20
|
| in programmi di c: ho una cartella che si chiama savings sidekik con all'interno alcuni file..... mai vista prima..... anche una cartella rayV ma questa è vuota.....un altra che si chiama markanycontentSAFER....un altra DIFX...... mi sembra tutta roba che non ho mai avuto.... o magari non me ne sono mai accorto, ma le prime due che ho nominato sono sicurissimo..... |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 29/10/2012 : 12:34:15
|
non capisco perche' hai scaricato hijackthis da softonic (sito inaffidabile) quando ti ho dato un link sicuro
Ora apri una pagina del blocco note e copia incolla il codice in rosso senza copiare Citazione:
Citazione:
file::
c:\users\Fabrizio\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
folder::
c:\programdata\Babylon
c:\users\Fabrizio\AppData\Roaming\Babylon
Dirlook::
c:\programdata\IBUpdaterService
Filelook::
c:\windows\system32\acovcnt.exe
DDS::
FF - prefs.js: browser.search.selectedEngine - Claro Search
FF - prefs.js: browser.startup.homepage - hxxp://[www].claro-search[.com]/?affID=114508&tt=4312_1&babsrc=HP_clro&mntrId=60ecbc6d00000000000000158307d1b3
FF - ExtSQL: !HIDDEN! 2012-04-21 23:13; {1FD91A9C-410C-4090-BBCC-55D3450EF433}; c:\program files\Windows searchqu Toolbar\Datamngr\FirefoxExtension
FF - user.js: extensions.claro.tlbrSrchUrl
FF - user.js: extensions.claro.id - 60ecbc6d00000000000000158307d1b3
FF - user.js: extensions.claro.appId - {C3110516-8EFC-49D6-8B72-69354F332062}
FF - user.js: extensions.claro.instlDay - 15641
FF - user.js: extensions.claro.vrsn - 1.8.3.10
FF - user.js: extensions.claro.vrsni - 1.8.3.10
FF - user.js: extensions.claro_i.vrsnTs - 1.8.3.1010:55
FF - user.js: extensions.claro.prtnrId - claro
FF - user.js: extensions.claro.prdct - claro
FF - user.js: extensions.claro.aflt - babsst
FF - user.js: extensions.claro_i.smplGrp - none
FF - user.js: extensions.claro.tlbrId - claro
FF - user.js: extensions.claro.instlRef - sst
FF - user.js: extensions.claro.dfltLng - en
FF - user.js: extensions.claro.excTlbr - false
FF - user.js: extensions.claro.admin - false
salva la pagina nominandola obligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine e riposta il suo log
|
|
|
|
iaco71
Average Member
77 Messaggi |
Inserito il - 29/10/2012 : 17:24:57
|
ok.... mea culpa, scusami se non ti ho seguito al 100%, ma non sapevo che softonic sia un sito inaffidabile...... cmq ecco il log di combo......
htt*://[www].freefilehosting.net/combofix_11
cosa mi dici di queste cartelle invece?
savings sidekik con all'interno alcuni file..... una cartella rayV questa è vuota.....un altra che si chiama markanycontentSAFER....un altra DIFX..... |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 29/10/2012 : 19:36:59
|
fai queste scansioni hai qualche adware che sicuramente si e' installato dal sito softonic
riesegui adwcleaner e clicca su delete
Scarica e installa malwarebytes
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.
Posta il rapporto . |
|
|
|
iaco71
Average Member
77 Messaggi |
Inserito il - 29/10/2012 : 22:03:15
|
questo è il log di adwcleaner intanto.....
htt*://[www].freefilehosting.net/adwcleaners2 |
|
|
|
Discussione |
|
Strano file
Forum Bloccato
