Problemi dopo eliminazione Trojan?Trojan presente?

[Pancev]

Ciao,innanzi tutto vi ringrazio per avermi aiutato ad eliminare il "trojan generic" qualche settimana fa dal mio pc,solo che da quel momento alcune azioni del mio pc sono risultate "strane"...
Dempre più spesso infatti il pc appena acceso già si impalla un pochetto nell'avvio dell'antivirus(AVG) per poi impallarsi quasi completamente dopo qualche decina di minuti,aprendo Task Manager mi sono subito accorto che "explorer.exe" occupava gran parte della cpu per poi sgonfiarsi man mano che tenevo aperto Task Manager ciò nonostante io utilizzi prevalentemente firefox...non vorrei fossero danni apportati dal trojan?
un ulteriore stranezza sta nel fatto che se lascio il pc lavorare o scaricare mentre svolgo altre cose appena torno trovo il pc bloccato(non funziona nemmeno la tastiera) e l'unica soluzione è la riaccensione oppure compare nella barra in basso a destra un triangolino giallo a cui se sovrappongo il cursore mi appare "errore di windows" e se cerco di cliccare scompare ma poi la macchina funziona...non vorrei aver fatto qualche danno con "combofix" utilizzato per il Trojan.
Detto questo spero che la vostra esperienza e competenza riesca come sempre ad indirizzarmi verso la soluzione e vi posto i log di Malwairebytes e hijjackthis.
Grazie,
Luca

hijackthis.log
mbam-log-2011-12-02 (12-10-17).txt

[R16]

Ciao.
Combofix non centra.
E il log di HJT che hai postato nella discussione precedente, è molto diverso da quello che hai postato oggi.
Per cui, è molto probabile che nel frattempo il pc si sia reinfettato.

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked ":

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
R3 - URLSearchHook: Productivity 2.2 Toolbar - {e84cc2c1-b722-48fc-a39c-edb8b525c777} - C:\Programmi\Productivity_2.2\prxtbPro2.dll
O2 - BHO: Productivity 2.2 - {e84cc2c1-b722-48fc-a39c-edb8b525c777} - C:\Programmi\Productivity_2.2\prxtbPro2.dll
O3 - Toolbar: Productivity 2.2 Toolbar - {e84cc2c1-b722-48fc-a39c-edb8b525c777} - C:\Programmi\Productivity_2.2\prxtbPro2.dll
O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Dati applicazioni\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
O4 - Global Startup: Hamlet HNW300NU2.lnk = C:\Programmi\Hamlet\Common\RaUI.exe
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CD9C6D5-013C-4CBF-8357-AC8F9A50F074}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{1139B5FC-F201-4D36-9902-1948BCB5EDB7}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{214B9C15-DEF2-4B07-8B60-B35A07839533}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{299BED4F-6FC1-44E9-BA9E-F8E21AF10705}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{759C8DCC-B783-4D49-8A29-C3D37E14E18D}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{879A10BF-3328-4003-B146-3B9E4424D9E2}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CD9C6D5-013C-4CBF-8357-AC8F9A50F074}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CS2\Services\Tcpip\..\{0CD9C6D5-013C-4CBF-8357-AC8F9A50F074}: NameServer = 176.31.229.24,176.31.229.25
O23 - Service: Serv Updater (ServUpdater) - ServiceUpd - C:\Documents and Settings\Luca\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe

Se la voce 023 non si elimina fai così:
Scarica e installa Pserv sul desktop :
http://www.p-nand-q.com/download/pse.../pserv-2.7.exe
lo installi.
Lo lanci da "Tutti programmi " cliccando : "Services & Devices "
Nella schermata che apparirà, cerca e trova questo servizio:
Serv Updater (ServUpdater) - ServiceUpd
Clicca con il tasto destro sopra il servizio, e scegli : Delete .
Chiudi Pserv .
Riavvia il pc .

Scarica OTL, e salvalo sul desktop :

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Metti la spunta su SCAN ALL USERS .

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check and Purity Check .

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.

[Pancev]

Ok,grazie come sempre per la disponibilità.Ti posto i due log come da te richiesto....
Ultima cosa,la voce 023 non si eliminava e quindi ho seguito le tue indicazioni utilizzando "pserv",mentre la voce "O4 Global startup Hamlet..."serve a me per la connessione wifi.
Grazie ed ecco i log:
Extras.Txt
OTL.Txt

[R16]

Avvia OTL.

Sotto Custom Scans\Fixes copia-incolla questo codice:

codice:

:OTL
SRV - (PowerOffer Service) -- C:\Documents and Settings\Luca\Impostazioni locali\Dati applicazioni\PosService\Pos.exe (PowerOfferService)
O3 - HKU\S-1-5-21-789336058-1659004503-1177238915-1004\..\Toolbar\WebBrowser: (no name) - {E84CC2C1-B722-48FC-A39C-EDB8B525C777} - No CLSID value found.
O4 - HKLM..\Run: [PosService]  File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
[2011/11/22 11.25.04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Luca\Impostazioni locali\Dati applicazioni\ServUpdater
[2011/11/22 11.25.04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Luca\Impostazioni locali\Dati applicazioni\PosService
[2011/11/16 21.45.01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Luca\Dati applicazioni\PriceGong
[2011/11/13 14.11.52 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011/01/18 16.02.25 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Luca\Dati applicazioni\Uniblue

:Files
ipconfig /flushdns /c

:commands
[purity]
[emptytemp]
[RESETHOSTS]
[EMPTYFLASH]
[Reboot]

Clicca sul pulsante RUN FIX .
Lascia fare la scansione senza interferire.
Il pc si riavvierà in automatico.
Posta il log.

Dimmi se riscontri ancora problemi.

[Pancev]

Ho "fixato" il codice con OTL come suggerito da te e ieri avevo comunque eseguito combofix ti posto i log di combofix e hijackthis.
Grazie mille.
hijackthis.log
log combofix.txt

[R16]

Ho "fixato" il codice con OTL come suggerito da te e ieri avevo comunque eseguito combofix

Scusami.
Ho cambiato idea, perchè andavano fatte delle altre operazioni, (oltre alle eliminazioni) che Combofix non fà.
Vorrei sapere se ci sono miglioramenti.
Poi vorrei sapere se sei disponibile a cambiare l'antivirus.
Ho il sospetto che AVG abbia qualche responsabilità sui problemi che riscontri.

[frikke90]

Ciao.
Che versione del sistema operativo hai? Se usi Windows Xp, potresti provare a fare una sovrainstallazione dell's.o... Mi spiego meglio..se hai il cd di windows, lo fai partire per primo dal boot e, una volta finito il caricamento, procedi digitando "Invio", F8, per accettare il contratto e infine "R", per procedere con il ripristino.. In parole povere, vengono ripristinati quelli che sono i file di sistema corrotti o danneggiati e, molto probabilmente, risolvi quello che è il tuo problema. Tienimi informato!

[R16]

se hai il cd di windows, lo fai partire per primo dal boot e, una volta finito il caricamento, procedi digitando "Invio", F8, per accettare il contratto e infine "R", per procedere con il ripristino..

La procedura è sbagliata, per lo scopo che intendi tu.

In parole povere

In parole povere, prima di creare confusione nel dare indicazioni quantomeno non esatte, si dovrebbe perlomeno saper leggere un log.

Originariamente inviato da frikke90
Che versione del sistema operativo hai?

Se ti leggi per bene il topic, vedrai che S.O usa.

[frikke90]

Ok, mi era sfuggita la parte del log. La procedura che intendo, però, è più che corretta.

[R16]

Senti frikke90, forse non hai capito il senso del messaggio.
Per cui te lo spiego più chiaramente:
Non è corretto intervenire, in una discussione in corso, cambiando la strategia di bonifica.
E per un motivo molto semplice: crea confusione, sia all'utente, che a chi lo stà seguendo.
Per cui, stai tranquillo, che in caso di bisogno, sò a chi rivolgermi.

La procedura che intendo, però, è più che corretta.

La procedura che hai scritto, è lacunosa. (non sai nemmeno se possiede il CD d'installazione)
Inoltre ci sono altre strade per riparare file di sistema.
E, vorrei che questo OT finisse qui.
Grazie.