Problemi chiavi di registro

[kristel]

è da un paio di settimane che ho notato che il mio computer è lento nell'accensione e utilizzare IE è quasi impossibile: le pagine non si aprono e nel migliore dei casi caricano lentamente.
Ho scaricato e fatto una scansione veloce con malwarebytes anti-malware e sono state rilevate 4 chiavi di registro che non riesco ad eliminare e che ricompaiono al riavvio. Inoltre ogni volta che provo ad eliminarle al riavvio compare una schermata nera per qualche minuto e le icone sul mio desktop vengono cambiate di posto

questo è il log di malwarebytes

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Versione database: v2012.11.27.11

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Tiziana :: PC [amministratore]

28/11/2012 21:14:00
mbam-log-2012-11-28 (21-14-00).txt

Tipo di scansione: Scansione veloce
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File di sistema | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 211281
Tempo impiegato: 7 minuti, 40 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Settings\{00CBB66B-1D3B-46D3-9577-323A336ACB50} (PUP.Blabbers) -> Verrà eliminato al riavvio.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Settings\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Verrà eliminato al riavvio.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Settings\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Verrà eliminato al riavvio.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Settings\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Verrà eliminato al riavvio.

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 0
(non sono stati rilevati elementi nocivi)

(fine)



purtroppo non riesco ad inserire il log di HijackThis perchè supero il numero massimo di caratteri... se qualcuno potesse spiegarmi come fare gliene sarei grata!

[menatwork]

ciao kristel puoi eliminare quelle chiavi appartengono a vecchie toolbar e comunque elementi che non devono essere su un pc pulito

ti raccomando anche di fare una scansione completa con malwarebytes dopo averlo aggiornato quella che hai eseguito e' veloce

per hijackthis prova ad allegarlo come riportato in calce alla mia firma

[kristel]

Grazie menatwork! Il fatto è che le elimino ma si ripresentano puntualmente se rifaccio la scansione con malwarebytes Dici che se provo ad eliminarle manualmente seguendo il percorso riportato nel log potrei risolvere definitavamente? Finora non ci ho provato per paura di creare danni


questo è il log di Hijackthis

http://www.freefilehosting.net/hijackthis_2



<div style=font-size:9px;font-family:Arial, Helvetica, sans-serif;width:127px;font-color:#44a854;> file upload</div>


Grazie ancora!

[menatwork]

aspetta ad eliminarle meglio non correre rischi anche perche' sei invasa da infezioni dovute da toolbar soprattutto

fai questa scansione

scarica adwcleaner usa solo l'opzione delete e allega il log

appena finita allega un nuovo log di hijackthis insieme a quello di adwcleaner

[kristel]

Ho scaricato adwcleaners e fatto come mi hai detto. Al riavvio di nuovo schermata nera


log di adwcleaners


http://www.freefilehosting.net/adwcleaners1_1



log di hijackthis

http://www.freefilehosting.net/hijackthislog29-11

[menatwork]

la schermata nera potrebbe anche essere un problema hardware


Scarica OTL e salvalo sul desktop

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta su minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend,

[kristel]

log Otl

http://wikisend.com/download/453134/OTL.Txt

OTL.Txt


log extras

http://wikisend.com/download/265730/Extras.Txt

Extras.Txt



Grazie per il supporto!

[menatwork]

ricordi se hai avuto un invito a pagare qualcosa perche' avevi commesso crimini informatici? sei infetta da virus Ukash ( finta Polizia di Stato)

apri otl e copia sotto "Custom Scans\Fixes" questo codice

:OTL
MOD - c:\ProgramData\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.dll ()
SRV - (SoftwareUpd) -- C:\Users\Tiziana\AppData\Local\SoftwareUpdater\Sof twareUpdService.exe (SoftwareUpdService)
SRV - (ServUpdater) -- C:\Users\Tiziana\AppData\Local\ServUpdater\Service Upd.exe (ServiceUpd)
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=fmtgl&chnl=fmtgl&cd=2XzuyEtN2Y1L1Q zu0CyEtCyB0F0E0AyEyBtBzz0E0Fzz0E0EtN0D0Tzu0CtBtDtC tN1L2XzutBtFtCtFtDtFtAtDtC&cr=1271194870
IE - HKLM\..\SearchScopes,Backup.Old.DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=fmtgl&chnl=fmtgl&cd=2XzuyEtN2Y1L1Q zu0CyEtCyB0F0E0AyEyBtBzz0E0Fzz0E0EtN0D0Tzu0CtBtDtC tN1L2XzutBtFtCtFtDtFtAtDtC&cr=1271194870
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2102507
IE - HKLM\..\SearchScopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}: "URL" = http://search.iminent.com/?appId=&ref=toolbox&q={searchTerms}
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
IE - HKU\S-1-5-21-3981130321-1065566974-1492578870-1000\..\SearchScopes\{69435F99-87E4-48CB-B05F-63BA8B4EA4AC}: "URL" = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=fmtgl&chnl=fmtgl&cd=2XzuyEtN2Y1L1Q zu0CyEtCyB0F0E0AyEyBtBzz0E0Fzz0E0EtN0D0Tzu0CtBtDtC tN1L2XzutBtFtCtFtDtFtAtDtC&cr=1271194870
IE - HKU\S-1-5-21-3981130321-1065566974-1492578870-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2102507
IE - HKU\S-1-5-21-3981130321-1065566974-1492578870-1000\..\SearchScopes\{DE608A54-D2F8-460B-BA66-E70D5709C2A3}: "URL" = http://websearch.ask.com/redirect?cl...4670&src=kw&q={searchTerms}&locale=it_IT&apn_ptnrs=T8&apn_dtid=Y YYYYYYYIT&apn_uid=ed3d3935-358b-4568-9674-8ead0093d22c&apn_sauid=D83F5226-918D-407C-BD74-9FF176A473F1
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_4_40 2_287.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_4_40 2_287.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extens ions\\emoticoons-toolbar@emoticoons.com: C:\Users\Public\Documents\Emoticoons\emoticoons-toolbar@emoticoons.com [2012/09/05 15:12:56 | 000,000,000 | ---D | M]
CHR - default_search_provider: Iminent (Enabled)
CHR - default_search_provider: search_url = http://search.iminent.com/?appId=C66...ref=toolbox&q={searchTerms}
O2:64bit: - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~2\WI3C8A~1\Datamngr\x64\BROWSE~1.DLL File not found
O2:64bit: - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG8\avgssie.dll File not found
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - No CLSID value found.
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\WI3C8A~1\Datamngr\ToolBar\searchqudtx. dll File not found
O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~2\WI3C8A~1\Datamngr\BROWSE~1.DLL File not found
O2 - BHO: (AVG Security Toolbar) - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~2\AVG\AVG8\AVGTOO~1.DLL File not found
O2 - BHO: (Wajam) - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - C:\Program Files (x86)\Wajam\IE\priam_bho.dll File not found
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\WI3C8A~1\Datamngr\ToolBar\searchqudtx. dll File not found
O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~2\AVG\AVG8\AVGTOO~1.DLL File not found
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-3981130321-1065566974-1492578870-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-3981130321-1065566974-1492578870-1000\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O3 - HKU\S-1-5-21-3981130321-1065566974-1492578870-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O8 - Extra context menu item: I&nvia a OneNote - res://C:\PROGRA~2\MIF5BA~1\Office14\ONBttnIE.dll/105 File not found
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfac es\{1CFEB3AC-DF2B-4FE9-9545-8BB3FBE00290}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfac es\{4BCE7C15-81D1-4108-91A2-432AF9A6DC4C}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfac es\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfac es\{91F3429D-5B46-488B-912E-A26B2487C954}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfac es\{AA43E28C-1510-43E5-8934-03F8991AEA68}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfac es\{B7CB867A-6DB2-4B4D-884C-E3055460A725}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfac es\{FB119A9B-54FC-4ED3-8458-F2CC67547C95}: NameServer = 176.31.229.24,176.31.229.25
O18:64bit: - Protocol\Handler\linkscanner - No CLSID value found
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\ms-itss - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found
O18:64bit: - Protocol\Handler\wlpg - No CLSID value found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\WI3C8A~1\Datamngr\x64\datamngr.dll) - File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\WI3C8A~1\Datamngr\x64\IEBHO.dll) - File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
[2012/08/21 00:23:26 | 000,000,000 | ---D | M] -- C:\Users\Tiziana\AppData\Roaming\EmoticoonsToolbar




:Files
C:\ProgramData\ism_0_llatsni.pad
C:\ProgramData\NmoP6EeSelBHT0
ipconfig /flushdns /c

:commands
[purity]
[Reboot]

premi RUN FIX ......attendi la fine delle operazioni e allega il log ottenuto

fai anche una scansione con combofix ricorda di metterlo sul sul desktop

alla richiesta se vuoi installare la recovery console clicca su NO

esegui ComboFix.exe

segui le instruzioni

finita la scansione portati in C:\ e allega nella tua prossima risposta, il contenuto del file di testo Combofix.txt

come usare correttamente combofix

[kristel]

si ho avuto a che fare con il virus "finta polizia di stato" e avevo trovato online la procedura da seguire per eliminarlo... infatti pensavo di averlo eliminato


ho fatto la procedura con OTL ma non mi è apparso alcun log e non so come recuperarlo
finita l'operazione mi ha chiesto di riavviare e l'ho fatto ma sul desktop non è comparso il log se non quello dell'operazione precedente che ho già allegato nella risposta precedente


ora sto scaricando combofix...

[kristel]

Non so se il log di OTL relativo all'operazione RUN FIX potrebbe essere questo

http://wikisend.com/download/224944/11302012_141924.log

[URL=http://wikisend.com/download/224944/11302012_141924.log]11302012_141924.log[/URL
]



questo è il log di combofix trovato in C:/

http://wikisend.com/download/191502/ComboFix.txt

ComboFix.txt


mentre al termine dell'operazione ho salvato questo che magari è uguale ma siccome non me ne intendo lo allego

http://wikisend.com/download/164788/log.txt

log.txt