blocco scan antispyware e siti motori di ricerca fasulli

[Nikibs]

Buongiorno a tutti i membri di questo utilissimo forum,
Sul mio pc da quache giorno sono sorti alcuni strani problemi, che vi espongo:
Ho notato che, provando a fare ricerche su motori di ricerca quali google e yahoo, cliccando sul sito desiderato mi reindirizza a tutt'altri siti (tra cui youporn, che non sarebbe neanche male , ma sai mentre si lavora non è il massimo!!), credo siano siti fasulli anche perchè sono leggermente diversi dal vero google o yahoo.
seconda cosa, non mi permette di fare scansioni con spybot e non riesco a collegarmi a quasi nessun sito di antivirus e simili.
Inoltre, il pc è diventato molto lento e spesso si disconnette da solo.
sono riuscito a scaricare un antispyware (spyware fighter) ma non mi ha risolto il problema.
Dato che è già successo ad altri, ho già fatto la scansione con systemscan e caricato il report zippato su freefilehosting:
reportsystemscan.zip
systemscan mi ha salvato solo 1 file, non vorrei non abbia terminato , anche perchè il pc si è impallato.
potete darmi una mano?
Grazie mille

[Deifobe]

controllo il rapporto.
non appena finisco ti faccio sapere..

[Nikibs]

Grazie mille!

[Deifobe]

stai così meso maluccio che non saprei da dove iniziare....


scarica ed esegui questo tool (dovrai postare il log).

===
Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

files to delete:
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\jar_cache24593.tm p
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\jar_cache24594.tm p
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\jar_cache33855.tm p
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\jar_cache33854.tm p
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\jar_cache33852.tm p
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\jar_cache33853.tm p
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\jar_cache37473.tm p
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\jar_cache37474.tm p
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\jar_cache64392.tm p
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\jar_cache64391.tm p
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\97.tmp
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\jar_cache6653.tmp
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\jar_cache6652.tmp
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\jar_cache6651.tmp
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\jar_cache57553.tm p
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\jar_cache57552.tm p
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\jar_cache57551.tm p
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\jar_cache57549.tm p
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\jar_cache57550.tm p
C:\WINDOWS\system32\drivers\TDSSmqlt.sys
C:\Programmi\File comuni\Microsoft Shared\lpt6.exe
C:\Documents and Settings\OFFICE\Impostazioni locali\Dati applicazioni\soose_navps.dat
C:\Documents and Settings\OFFICE\Impostazioni locali\Dati applicazioni\soose.dat
C:\Documents and Settings\OFFICE\Impostazioni locali\Dati applicazioni\soose_nav.dat
C:\Documents and Settings\OFFICE\Impostazioni locali\Dati applicazioni\soose.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\E_S4I0R2. EXE
C:\WINDOWS\system32\kaboom.dll

files to move:
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak\apdproxy.exe | C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programmi\Java\jre1.6.0_01\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe | C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S 4I0R2.EXE | C:\WINDOWS\system32\spool\drivers\w32x86\E_S4I0R2. EXE

registry keys to delete:
HKLM\system\currentcontrolset\services\TDSSserv.sy s
HKLM\system\controlset001\services\TDSSserv.sys
HKLM\system\controlset002\services\TDSSserv.sys
HKLM\system\currentcontrolset\emun\root\legacy_TDS Sserv.sys
HKLM\system\controlset001\emun\root\legacy_TDSSser v.sys
HKLM\system\controlset002\emun\root\legacy_TDSSser v.sys
HKLM\system\currentcontrolset\services\UpdWlw
HKLM\system\controlset001\services\UpdWlw
HKLM\system\controlset002\services\UpdWlw
HKLM\system\currentcontrolset\emun\root\legacy_Upd Wlw
HKLM\system\controlset001\emun\root\legacy_UpdWlw
HKLM\system\controlset002\emun\root\legacy_UpdWlw
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{4D64DAE1-DF1E-45E8-9372-84CA698335FA}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{EB870508-E2B7-4169-8120-760F69703776}

Spunta "Automatically disable any rootkits found" e clicca su "execute". Il pc si riavvierà.

===
Apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run]
"soose"=-

[-HKey_Classes_Root\CLSID\{4D64DAE1-DF1E-45E8-9372-84CA698335FA}]

[-HKey_Classes_Root\CLSID\{EB870508-E2B7-4169-8120-760F69703776}]
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file
Chiudi ed eseguilo. accetta le modifiche (dura un attimo)

===
Svuota la cache di Java (istruzioni)

===
Devi disinstallare norton e installare avira.
avira lo trovi qui => avira_antivir_personal
e usa questa guida-settaggio-avira-antivir

per disinstallare norton, usa il tool_disinst. Norton (scegli quello per XP/vista, ovviamente)

===
in ultimo, conosci questo user? BwAwtlrKzbBovl
suppongo di no..

e posta un nuovo systemscan (oltre al rapporto del primo programma usato)

ciao

[Nikibs]

Dunque ho scaricato e eseguito il tool. Si è impallato durante l'esecuzione, per poter riavviarlo ho dovuto prima farlo in modalità provvisoria, comunque alla fine ce l'ho fatta!
Eccoti il log:
gromozon_removal.zip

Non riesco a scaricare avenger. Mi dice HTTP 404 - pagina non trovata

L'user BwAwtlrKzbBovl non ho mai avuto il piacere di conoscerlo. Posso eliminarlo?

Ultima cosa, perchè devo disinstallare Norton? L'ho sempre utilizzato sui miei 2 pc in ufficio, oltre tutto ho acquistato internet security 2009, che ho già caricato sul mio altro pc e che avrei intenzione di caricare anche su questo malato...

Grazie, attendo tue notizie

Nicola

[Deifobe]

ok, allora installa Norton IS..

L'utente ospite poi eliminarlo

Esegui systemscan, clicca sul pulsante "Removal Script" nella finestra principale di Systemscan e, nella finestra che si apre, copia/incolla lo script ìpostato sopra.
Poi clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.

[Nikibs]

Ciao,
scusa, mi rifaccio sentire dopo un po' di tempo ma ho avuto un po' problemi lavorativi.
Ricapitolo quello che ho fatto:
- ho installato l'aggiornamento 2009 di Norton I. S. che mi hai eliminato numerosi file sospetti
- ho eseguito sistemscan ho cliccato su "removal script" etc, e mi ha dato esito corretto

oggi ho rifatto lo scansione con systemscan e ti posto il report:
05_02_2009_00_14_report.zip

Ora:
- il pc è molto lento e si blocca spesso
- continuo ad avere il problema delle finestre di pubblicità (popup credo si chiamino) che si aprono mentre sono in internet
- quel user sconosciuto che mi hai trovato (BwAwt1rK2bBovl) è ancora presente?

Può essere quello che rallenta il pc o devo semplicemente aumentare la ram?

Grazie dell'aiuto
Buona giornata
Nicola

[Deifobe]

dal pannello di controllo => installazione aplicazioni, disinstalla "Favorit"

sempre con avenger, esegui questo script:

files to delete:
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\73C81FF.exe
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\h2rBC.tmp
C:\DOCUME~1\OFFICE\IMPOST~1\Temp\r2hBB.tmp
C:\WINDOWS\system32\TDSSlxcp.dll
C:\WINDOWS\system32\TDSSkkai.log
C:\WINDOWS\system32\TDSSmtvd.dat
C:\WINDOWS\Passepartout.exe
C:\Documents and Settings\OFFICE\Impostazioni locali\Dati applicazioni\kiyeauu.dat
C:\Documents and Settings\OFFICE\Impostazioni locali\Dati applicazioni\kiyeauu_navps.dat
C:\Documents and Settings\OFFICE\Impostazioni locali\Dati applicazioni\kiyeauu_nav.dat
C:\Documents and Settings\OFFICE\Impostazioni locali\Dati applicazioni\kiyeauu.exe
C:\unwise.exe

folders to delete:
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak
C:\Programmi\File comuni\Real\Update_OB\bak
C:\Programmi\Java\jre1.6.0_01\bin\bak
C:\Programmi\Skype\Phone\bak
C:\WINDOWS\bak
C:\WINDOWS\system32\bak
C:\WINDOWS\system32\spool\drivers\w32x86\3\bak

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | FASTTRACKPassepartout
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserLis t | BwAwtlrKzbBovl

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\kiyeauu

Scarica quest Utility ed attiva il centro sicurezza pc (opzione n. 16)


apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run]
"FASTTRACKPassepartout"=-
"kiyeauu"=-
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file
chiudi ed eseguilo. accetta le modifiche (dura solo un attimo)


Scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.

Posta il rapporto e un nuovo systemscan

ciao

[Nikibs]

Ciao,
ti invio rapporto di scansione di Malewarebytes e nuvo systemscan.
Il problema delle finestre di pubblicità che si aprono mentre sono connesso ad internet, è al momento risolto.
Il problema di lentezza mi sembra ci sia ancora, specialmente in certi momenti...
a te sembra tutto a posto ora?
Grazie
Nicola

rapporti systemscan malwarebytes.zip

[centauro]

scusa se ti faccio questo appunto ma il link della guida ad avira va da altro sito.
potresti postare quello giusto? :