Mi si aprono Tab pubblicitari

[Moroniha]

Salve a tutti spero che possiate aiutarmi...

Premetto che uso Vista come os e Malwarebytes combinato con Panda Cloud come protezione del computer (per l'uso che ne faccio di internet è più che sufficiente).
Ho prestato il mio lap top a mia sorella e quando me l'ha restituito ho visto che a sua insaputa aveva scaricato toolbar, programmi vari e probabilmente anche qualche bel virus.

Infatti da subito cercando di navigare su internet malwarebytes mi bloccava tutte le pagine a motivo di un'applicazione potenzialmente malevola denominata svchost.exe.
A questo punto per necessità ho dovuto chiedere al programma di ignorare la cosa e da allora ogni volta che navigo su internet, automaticamente e in maniera casuale, mi si aprono tab pubblicitari (probabilmente di cookies presenti in memoria).

Ho provato a fare diverse scansioni con malwarebytes anche in modalità provvisoria, ma non ha rilevato nulla di anomalo. Mentre dopo aver scaricato e utilizzato alcuni altri programmi come:
tdsskiller, aswMBR e iExplore, mi viene rilevato questo:

Service:sptd
suspicious object,medium risk (rilevato da tdsskiller)

23:46:13.302 Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32 (rilevato da aswMBR)

La questione è che l'applicazione svchost.exe normalmente è essenziale al sistema, (anche se un worm potrebbe pilotarla) mentre sptd.sys non saprei.

Qualcuno può aiutarmi a capire cosa sta succedendo al mio computer??Grazie 1000!!!!

[menatwork]

ciao Moroniha iniziamo col dire come anche tu hai capito che svchost.exe e' un processo necessario per il funzionamento del pc e non va eliminato se si trova nella cartella system32 mentre sptd.sys e' un driver di Daemon Tools

facciamo una prima verifica e vediamo cosa gira su quel pc

scarica hijackthis e mettilo nella directory C dove avrai preparato una cartella con il suo nome.
Lanci l'eseguibile e clicchi su " do a system scan and save a log" alla fine salvi questo file con estensione *.TXT e lo alleghi ad un post sul forum.

[Moroniha]

Ciao menatwork, grazie per aver risposto
Ascolta ho fatto come mi hai chiesto ma nel fare girare " hijackthis" mi viene fuori questo messaggio:

"Per qualche ragione il tuo sistema nega l'accesso alla scrittura per i fail Host." e suggerisce di andare su
C:\Windows\System32\drivers\etc\hosts di trovare le righe con i report di hijackthis e di cancellarli e di cancellarli, solo che ci sono 3 file denominati host...quali di quelli è quello giusto da cancellare??...mi sai aiutare???
Sono disperato...credimi!! grazie!!!!

[menatwork]

prova ad avviarlo col tasto destro e come amministratore

[Moroniha]

Ok ho risolto il problema con hijackthis (dovevo farlo girare come amministratore) allego il link dove scaricarsi il file con la scansione:

http://www.freefilehosting.net/hijackthis-moroniah-scan

[menatwork]

hai delle infezioni provocate da toolbar installate

scarica adwcleaner clicca su delete e posta il log ottenuto


scarica combofix sul desktop

alla richiesta se vuoi installare la recovery console clicca su NO

esegui ComboFix.exe

segui le instruzioni

finita la scansione portati in C:\ e allega nella tua prossima risposta, il contenuto del file di testo Combofix.txt

[Moroniha]

Eccoti i due link con i risultati degli scan:

http://www.freefilehosting.net/adwcl...oroniha-delite

http://www.freefilehosting.net/combofix-moroniah-scan
(combifix ha finito 5 min fa di fare lo scan)

Intanto mi sono accorto che già riavviando il computer non ho più il problema dei tab pubblicitari, poi sarà che ho ancora qualche infezione, ma vorrei approfitarne per ringraziarti del tuo aiuto, non sai quanto apprezzi il tuo supporto. Grazie davvero!!!!!!

[menatwork]

sicuro di aver copiato tutto il log di combofix? controlla meglio

[Moroniha]

Sì!..ho scaricato il file per aver la certezza di non essermi confuso e l'ho anche comparato con quello in c:\ (quello originale di combofix) è identico!...se credi che sia meglio un'ulteriore scansione fammelo sapere che provvedo..grazie!!!

[menatwork]

apri una pagina del blocco note e copia incolla quanto segue

file::
c:\users\Public\Documents\AppData\PoApp\PLauncher. exe

folder::
c:\users\Nico\AppData\Local\PowerOffer
c:\users\Nico\AppData\Local\ServUpdater
c:\users\Nico\AppData\Local\PosService
c:\users\Nico\AppData\Local\SoftwareUpdater
c:\users\Public\Documents\AppData\PoApp

registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"PosService"=-



Dirlook::
c:\program files\LockHunter

DDS::
uStart Page = hxxp://search.findeer.com
IE: &AOL Toolbar Cerca - c:\programdata\AOL\ieToolbar\resources\it-IT\local\search.html
TCP: Interfaces\{42C777AF-FF0D-4C9F-8BD9-03D8F4D44FEA}: NameServer = 176.31.229.24,176.31.229.25
TCP: Interfaces\{57DDE977-2CA9-43C8-B053-915289E5BFEA}: NameServer = 176.31.229.24,176.31.229.25
TCP: Interfaces\{BADD73B7-64CA-4BAE-81CB-D96E3CE218D1}: NameServer = 176.31.229.24,176.31.229.25
TCP: Interfaces\{d8932e52-6a6f-11db-b6ab-806e6f6e6963}: NameServer = 176.31.229.24,176.31.229.25

RegNull::
[HKEY_USERS\S-1-5-21-3426573761-1558441460-536497220-1000\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{DD77E5F0-6DEC-F4CF-C65C-CAEC09937B7A}*]

salva la pagina nominandola obligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine e riposta il suo log ...


fai anche questa scansione

Scarica OTL e salvalo sul desktop

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta su minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend,