Il Browser mi reindirizza ad una pagina strana

[Ture911]

Ciao ragazzi, sono nuovo di qui, trovo il forum molto interessante e so che siete rinomati per l'aiuto che date agli utenti pertanto adesso vi chiedo cosa posso fare per sistemare la mia situazione che vi riporto. Ieri tutto ok, stamattina torno a casa e vedo che firefox, il mio browser predefinito ha qualche problema, se faccio una ricerca qualsiasi su google la pagina sembra caricarsi correttamente ma vengo reindirizzato a questa pagina:



tra l'altro per pochi istanti prima di caricare quella mi appare questo link http://www.cpcadnet.com/track/no/ e poi appare subito dopo quella indicata sopra. Questo succede sia con firefox che con IE 8. Ora leggendo in giro ho visto che POTREBBE trattarsi del file csrss.exe o del dwm.exe, controllando nei miei processi vedo che entrambi sono presenti in duplice copia quando dovrebbe essercene solo 1, se vedo il percorso file noto che 1 è su system32, l'altro su C:\Users\main\AppData\Local\Temp, questo per quanto riguardo csrss.exe, mentre per dwm.exe uno è su system23 l'altro su C:\Users\main\AppData\Roaming. Come notate dal printscreen trattasi di win 7 ultimate 32 bit, se volete vi riporto anche le caratteristiche hw del pc:

phenom quad core 9650 2.13 ghz
4 gb di ram

Come antivirus uso avira che mi da un sacco di falsi positivi da tempo, tipo i crack dei giochi pirata o dei software. Gli ho comunque fatto fare una scansione, qualche rilevamento ma "secondo me" nulla di imporate, riporto il log nel prossimo post xkè qui non ci entra XD.

Attendo buone nuove. Grazie, saluti

[Ture911]

Come promesso riporto il log di avira:

Avvio della scansione: lunedì 28 febbraio 2011 14:35

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'DllHost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'DllHost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'plugin-container.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'firefox.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'NASvc.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'DllHost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wmpnetwk.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'CCC.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'sidebar.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'E_FATICAE.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'BlueBirds.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'SearchIndexer.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'WUDFHost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'DTLite.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'NBAgent.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'realsched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'CloneCDTray.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'DivXUpdate.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'jusched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'brs.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'PDVD9Serv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'RtHDVCpl.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'MOM.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'conhost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'dwm.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'Explorer.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'WLIDSvcM.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'WLIDSVC.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'StarWindServiceAE.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'conhost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avshadow.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'SeaPort.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'PnkBstrA.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'conhost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'KMService.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'srvany.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'Dwm.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'E_S40RP7.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'taskhost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'atieclxx.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'atiesrxx.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'lsm.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wininit.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '1' modulo(i) scansionato(i)

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 1
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 2
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'D:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'F:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
C:\Program Files\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\Startup.ex e
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Delfsnif.DX.388

Il registro è stato scansionato ( 478 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
C:\Program Files\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\KMSActivat ion.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Delfsnif.DX.380
C:\Program Files\Electronic Arts\Crytek\Crysis WARHEAD\Bin32\Crysis.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
C:\Program Files\FlashFXP 4\Patch.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.258560.15
C:\Users\main\AppData\Local\Temp\eB5zxy7I.zip.part
[0] Tipo di archivio: ZIP
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dldr.Genome.byrt
--> DSCN1039.scr
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dldr.Genome.byrt
C:\Users\main\AppData\Local\Temp\ns3.exe
[0] Tipo di archivio: 7-Zip SFX (self extracting)
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Malex.E.16
--> explorer.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Malex.E.17
Inizia con la scansione di 'D:\'
D:\2 eMule\eMule Finiti\tony colombo si accettano scommesse by giuseppe.rar
[0] Tipo di archivio: RAR
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
--> Setup.exe
--> Object
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
D:\2 eMule\eMule Finiti\Tony Colombo - Baciami (note di primavera 2008).zip
[0] Tipo di archivio: ZIP
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
--> setup.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
D:\2 eMule\eMule Finiti\Tony Colombo - Batte forte (note di primavera 2008).zip
[0] Tipo di archivio: ZIP
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
--> setup.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
D:\2 eMule\eMule Finiti\Tony Colombo - Un vero amore (note di primavera 2008).zip
[0] Tipo di archivio: ZIP
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
--> 7zip.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
D:\4 Ture\5 Altro\Programmi\FlashFXP 4\Patch.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.258560.15
Inizia con la scansione di 'F:\'
F:\JDownloader\Vallanzasca\Vallanzasca.Gli.Angeli. Del.Male.2010.iTALiAN.PROPER.LD.SCREENER.XviD-N-D.7z.001
[AVVISO] Impossibile leggere il file!

Avvio della disinfezione:
D:\4 Ture\5 Altro\Programmi\FlashFXP 4\Patch.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.258560.15
[AVVISO] Il file è stato ignorato.
D:\2 eMule\eMule Finiti\Tony Colombo - Un vero amore (note di primavera 2008).zip
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
[NOTA] Il file è stato eliminato.
D:\2 eMule\eMule Finiti\Tony Colombo - Batte forte (note di primavera 2008).zip
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
[NOTA] Il file è stato eliminato.
D:\2 eMule\eMule Finiti\Tony Colombo - Baciami (note di primavera 2008).zip
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
[NOTA] Il file è stato eliminato.
D:\2 eMule\eMule Finiti\tony colombo si accettano scommesse by giuseppe.rar
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
[NOTA] Il file è stato eliminato.
C:\Users\main\AppData\Local\Temp\ns3.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Malex.E.16
[NOTA] Il file è stato eliminato.
C:\Users\main\AppData\Local\Temp\eB5zxy7I.zip.part
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dldr.Genome.byrt
[NOTA] Il file è stato eliminato.
C:\Program Files\FlashFXP 4\Patch.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.258560.15
[NOTA] Il file è stato spostato in quarantena con il nome '4901658a.qua'!
C:\Program Files\Electronic Arts\Crytek\Crysis WARHEAD\Bin32\Crysis.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
[AVVISO] Il file è stato ignorato.
C:\Program Files\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\KMSActivat ion.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Delfsnif.DX.380
[AVVISO] Il file è stato ignorato.
C:\Program Files\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\Startup.ex e
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Delfsnif.DX.388
[AVVISO] Il file è stato ignorato.


Fine della scansione: lunedì 28 febbraio 2011 16:35
Tempo impiegato: 1:58:30 Ora(e)

La scansione è stata completamente eseguita.

23993 Directory scansionate
1003151 I file sono stati scansionati
12 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
6 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
1 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
1003139 File non infetti
7293 Archivi scansionati
5 Avvisi
7 Note

[R16]

Come antivirus uso avira che mi da un sacco di falsi positivi da tempo, tipo i crack dei giochi pirata

Avira, fà soltanto, il suo lavoro.
Se poi, la valutazione di un antivirus, si basa su quanti crack lascia passare, è un'altro discorso.

Serve per il momento, un log di HJT: (scarica la versione 2.0.4 )http://free.antivirus.com/hijackthis...home_3rd_right
Posta il log .

[Ture911]

Originariamente inviato da R16
Avira, fà soltanto, il suo lavoro.
Se poi, la valutazione di un antivirus, si basa su quanti crack lascia passare, è un'altro discorso.

Serve per il momento, un log di HJT: (scarica la versione 2.0.4 )http://free.antivirus.com/hijackthis...home_3rd_right
Posta il log .

Non intendevo dire che avira non mi piace altrimenti cambiavo antivirus XD, ecco il log di HJT:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:06:36, on 28/02/2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16722)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\CyberLink\PowerDVD9\PDVD9Serv.exe
C:\Program Files\CyberLink\Shared Files\brs.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Real\RealPlayer\Update\realsched.exe
C:\Program Files\Nero\Nero 10\Nero BackItUp\NBAgent.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Users\main\Bluebirds\BlueBirds.exe
C:\Windows\System32\spool\drivers\w32x86\3\E_FATIC AE.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Users\main\AppData\Roaming\Microsoft\conhost.ex e
C:\Users\main\AppData\Roaming\dwm.exe
C:\Users\main\AppData\Local\Temp\csrss.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:51232
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Softonic-IT Toolbar - {e3393495-8103-46a0-8181-270273eddd60} - C:\Program Files\Softonic-IT\tbSoft.dll
F3 - REG:win.ini: load=C:\Users\main\AppData\Local\Temp\csrss.exe
O1 - Hosts: 2.242.242.83 personal.nl.avira-update.com
O1 - Hosts: 1.246.223.63 premium.nl.avira-update.com
O1 - Hosts: 183.121.157.172 personal.avira-update.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin \IE\rpbrowserrecordplugin.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office14\GROOVEEX.DLL
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~4\Office14\URLREDIR.DLL
O2 - BHO: Bing Bar BHO - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Softonic-IT Toolbar - {e3393495-8103-46a0-8181-270273eddd60} - C:\Program Files\Softonic-IT\tbSoft.dll
O3 - Toolbar: Softonic-IT Toolbar - {e3393495-8103-46a0-8181-270273eddd60} - C:\Program Files\Softonic-IT\tbSoft.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: @C:\Program Files\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll,-100 - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [RemoteControl9] "C:\Program Files\CyberLink\PowerDVD9\PDVD9Serv.exe"
O4 - HKLM\..\Run: [PDVD9LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD9\Language\Language.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Attivazione_Office_2010] C:\Windows\System32\Attivazione Automatica Office\Setup_1.exe
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Real\RealPlayer\Update\realsched.exe" -osboot
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [NBAgent] "C:\Program Files\Nero\Nero 10\Nero BackItUp\NBAgent.exe" /WinStart
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [bluebirds] C:\Users\main\Bluebirds\BlueBirds.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIC AE.EXE /FU "C:\Windows\TEMP\E_SE39A.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [SunJavaUpdate] C:\Users\main\AppData\Roaming\Microsoft\JavaUpdate .exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [conhost] C:\Users\main\AppData\Roaming\Microsoft\conhost.ex e
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: I&nvia a OneNote - res://C:\PROGRA~1\MICROS~4\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Scarica con Mipony - file://C:\Program Files\MiPony\Browser\IEContext.htm
O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dll
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: xfire_lsp_10650.dll
O10 - Unknown file in Winsock LSP: xfire_lsp_10650.dll
O10 - Unknown file in Winsock LSP: xfire_lsp_10650.dll
O10 - Unknown file in Winsock LSP: xfire_lsp_10650.dll
O10 - Unknown file in Winsock LSP: xfire_lsp_10650.dll
O10 - Unknown file in Winsock LSP: xfire_lsp_10650.dll
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4463D230-4424-4589-B7E5-1A79142E5627}: NameServer = 192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{4463D230-4424-4589-B7E5-1A79142E5627}: NameServer = 192.168.1.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{4463D230-4424-4589-B7E5-1A79142E5627}: NameServer = 192.168.1.254
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: KMService - Unknown owner - C:\Windows\system32\srvany.exe
O23 - Service: @C:\Program Files\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files\Nero\Update\NASvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 10845 bytes

[Ture911]

up

[Ture911]

r16 se ci sei ti prego, dammi una mano sono nei casini

[R16]

Se ci sei ancora, avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked":

F3 - REG:win.ini: load=C:\Users\main\AppData\Local\Temp\csrss.exe

Poi:
Scarica ed installa MalwareBytes:
clicca qui per il download :http://www.malwarebytes.org/
Prima di fare la scansione AGGIORNALO . (è molto importante)
Esegui una scansione completa del sistema.
Elimina gli eventuali file infetti trovati.
Posta il log .

Poi:
Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Rinomina combofix prima di salvarlo sul desktop in abc.exe
Per rinominare il file, quando lo scarichi ti chiede dove salvarlo, e ti compare la casella "nome file" ,basta che cambi il nome che ti appare li in abc.exe )
Una volta scaricato il programma, clicca su start\ esegui nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK.
Durante la scansione non usare il pc. (nemmeno il mouse)
Posta il log

Per postare i 2 log: (uno alla volta)
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[Ture911]

http://www.4shared.com/document/7411...17-07-51_.html

qui c'è il log di malwarebytes

fixato il csrss come dici tu con hjt, a questo punto la situazione sembrerebbe risolta, non ho più il doppio csrss ne dwm ma solo quelli di sistema, la navigazione sembra migliore infatti. Posso chiederti a cosa serve fare quelle operazioni con combofix?

[R16]

Posso chiederti a cosa serve fare quelle operazioni con combofix?

A trovare o rilevare, eventuali altre infezioni sfuggite a Mbam.

[Ture911]

ok lo sto per fare, dimenticavo di dirti che ho rifatto una scansione con malwarebytes e ho eliminato tutti i file infetti e da quel momento la cosa è molto migliorata, ti riporto il log, ora stacco internet e faccio tutta quella roba con combofix:

mbam-log-2011-03-01 (17-07-51).txt