Continui redirect google e avvisi avira

[boogaboom]

Salve a tutti, negli ultimi giorni ho avuto qualche problema con il computer.

Qualche giorno fa, dopo il consueto accesso al sistema, avira mi segnala un virus che tenta di penetrare il sistema, di nome "conhost.exe", localizzato in Documents and settings\Mio account\Dati Applicazioni\Microsoft. Lo faccio spostare in quarantena, ma ecco l'avviso che riappare di nuovo. Quarantena. Eccolo ancora. La cosa si ripete per tipo una quindicina di volte, fino a che non apro il task manager e provo a chiudere il processo "conhost", così avira non mi riavvisa più. Tuttavia quando provo ad eliminarlo manualmente e l'eliminazione non parte noto che poi il processo è ancora aperto e il file, che sono andato a controllare di persona, sta ancora lì nella cartella dove me l'avevano segnalato. Faccio una scansione ma né Avira e né Spysweeper mi segnano nulla. Boh. Sarà un falso allarme. Lascio stare.

Il giorno dopo mi accade la stessa, identica cosa con un certo dwm.exe. Mi pare che il percorso fosse lo stesso, mi pare. Intanto mi accorgo che il pc sta rallentando.

Nè Conhost, né Dwm si fanno più notare, anche se comunque li vedo sempre in quelle cartelle e nella lista dei processi del task manager, inquietandomi.

E inoltre durante le ricerche su google vengo sempre reindirizzato a questa pagina:



Ogni tanto, oltretutto, durante l'accesso al sistema, mi da un messaggio d'errore riguardo ad un certo csrss.exe, che al momento non saprei ricordare cosa dice.

Ripeto, ho fatto scansioni sia con Spysweeper che con Avira, ma nulla. Ho cercato anche in questo forum ma non sono riuscito a mettere in pratica alcuna delle guide. Per favore, aiutatemi e siate chiari e coincisi, poiché sono un inesperto.

Se serve che dia altre informazioni basta che diciate.

[R16]

Salve.
Scarica ed installa MalwareBytes:
clicca qui per il download :http://www.malwarebytes.org/
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
Elimina gli eventuali file infetti trovati.
Posta il log.
Se richiede il riavvio, acconsenti.

[boogaboom]

Fatto. Ha segnalato anche i file che ho riportato sopra, ma alcuni non è stato in grado di eliminarli.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 5975

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

07/03/2011 13.45.24
mbam-log-2011-03-07 (13-45-24).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 361465
Tempo trascorso: 2 ore, 52 minuti, 55 secondi

Processi infetti in memoria: 2
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 3
Voci infette nei dati di registro: 1
Cartelle infette: 0
File infetti: 16

Processi infetti in memoria:
c:\documents and settings\Extensa\dati applicazioni\dwm.exe (Spyware.Passwords.XGen) -> 112 -> Unloaded process successfully.
c:\documents and settings\Extensa\dati applicazioni\microsoft\conhost.exe (Spyware.Passwords.XGen) -> 1296 -> Unloaded process successfully.

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\conhost (Spyware.Passwords.XGen) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Delete on reboot.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.

Voci infette nei dati di registro:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Spyware.Passwords.XGen) -> Bad: (C:\DOCUME~1\Extensa\IMPOST~1\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\documents and settings\Extensa\dati applicazioni\dwm.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\documents and settings\Extensa\dati applicazioni\microsoft\conhost.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Documents and Settings\Extensa\Impostazioni locali\Temp\csrss.exe (Spyware.Passwords.XGen) -> Delete on reboot.
c:\documents and settings\Extensa\Desktop\Mods\mod_installer_41_by_ cpmusick\116_gta_mod_installer_4.1\scripter.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\documents and settings\Extensa\documenti\downloads\adobe_ps_cs5_ keygen.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{f42792b2-b054-47cd-9cf3-62029de61a05}\rp217\a0240563.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{f42792b2-b054-47cd-9cf3-62029de61a05}\rp218\a0242937.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{f42792b2-b054-47cd-9cf3-62029de61a05}\rp218\a0242939.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{f42792b2-b054-47cd-9cf3-62029de61a05}\rp219\a0242957.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{f42792b2-b054-47cd-9cf3-62029de61a05}\rp219\a0243191.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{f42792b2-b054-47cd-9cf3-62029de61a05}\rp220\a0243221.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{f42792b2-b054-47cd-9cf3-62029de61a05}\rp220\a0243450.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{f42792b2-b054-47cd-9cf3-62029de61a05}\rp221\a0243604.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\documents and settings\Anna\dati applicazioni\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\all users\dati applicazioni\sysreserve.ini (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\fjhdyfhsn.bat (Malware.Trace) -> Quarantined and deleted successfully.

[R16]

Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop . (è obligatorio )

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (se usi Vista: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali .

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO .

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
Postalo qui.

Per postare il log:
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link , copialo e incollalo in un nuovo messaggio per il forum.

[boogaboom]

Per qualche arcana motivazione Internet Explorer non vuole saperne di partire e mi da sempre "impossibile visualizzare la pagina web". Qual è il cambiamento se scarico con Mozilla?

[R16]

Fai con Mozilla.