Virus con popup e re-indirizzamento

[TeoB]

Salve,

da un mesetto ho un problema con un virus che non riesco a risolvere.

Capita, piú o meno frequentemente, che mi si si apra una "pop-up" che mi sbuca lentamente dalla parte bassa dello schermo, porta annunci relativamente simili alla pagina che sto guardando. Quando clicco sulla pop-up, vengo rispedito tutte le volte verso tlbsearch . com

Anche le ricerche di google mi vengono di tanto in tanto reindirizzate verso altri siti.

Ho windows 7, firefox aggiornato. Ho trovato qualche toolbar installata, l'ho rimossa ma senza successo. Avast (aggiornato) non rileva nulla, nemmeno in modalità provvisoria, Malwarebytes mi ha dato una piccola ripulita al registro, spybot anche, ma non ho piú i log. Il problema persiste, cosa devo fare?

[TeoB]

Manco a farlo apposta...

http://img593.imageshack.us/img593/2606/virushtmlit.jpg

[R16]

Ciao.
Scarica Adwcleaner sul desktop:
http://general-changelog-team.fr/fr/...e/2-adwcleaner
Clicca sul pulsante "Elimina".
Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Postalo qui.

Poi:
Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.


Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.

[TeoB]

Grazie per i suggerimenti, inizio col postare il log di Adwcleaner, poi arrivo con gli altri due.

# AdwCleaner v2.300 - Logfile creato il 12/05/2013 alle 20:10:26
# Aggiornamento 28/04/2013 by Xplode
# Sistema Operativo : Windows 7 Home Premium (64 bits)
# Utente : Matteo - MATTEO-PC
# Modalità Avvio : Modalità Normale
# Eseguito da : C:\Users\Matteo\Desktop\adwcleaner.exe
# Opzioni [Elimina]


***** [Servizi] *****


***** [File / Cartelle] *****


***** [Registro] *****


***** [Browser Internet] *****

-\\ Internet Explorer v9.0.8112.16457

[OK] Registro Pulito.

-\\ Mozilla Firefox v20.0.1 (it)

File : C:\Users\Matteo\AppData\Roaming\Mozilla\Firefox\Pr ofiles\vczamr9e.default\prefs.js

Eliminata : user_pref("browser.newtabpage.pinned", "[null,null,{\"url\":\"hxxps://mail.unifr.ch/owa/\",\"title\"[...]

*************************

AdwCleaner[R1].txt - [4159 octets] - [27/04/2013 09:53:25]
AdwCleaner[R2].txt - [936 octets] - [27/04/2013 10:10:47]
AdwCleaner[R3].txt - [1143 octets] - [08/05/2013 21:35:55]
AdwCleaner[S1].txt - [3994 octets] - [27/04/2013 09:54:16]
AdwCleaner[S2].txt - [997 octets] - [27/04/2013 10:11:27]
AdwCleaner[S3].txt - [1210 octets] - [08/05/2013 21:36:31]
AdwCleaner[S4].txt - [1137 octets] - [12/05/2013 20:10:26]

########## EOF - C:\AdwCleaner[S4].txt - [1197 octets] ##########

[TeoB]

OTL.txt
https://dl.dropboxusercontent.com/u/94292605/OTL.Txt

Extras.txt
https://dl.dropboxusercontent.com/u/94292605/Extras.Txt

[R16]

Ciao.
Puoi eliminare Trojan Killer.
Tieni Malwarebytes che è migliore.
Il log di OTL non presenta infezioni attive.
Come funziona il pc?

[TeoB]

Il pc va bene, nulla di grave a parte queste popup (poco fa un'altra diversa dall'altra), e un attimo fa mi è partito un file audio con una voce maschile che si è chiuso quando ho chiuso firefox (avevo solo gmail aperto).

Secondo me i virus sono stati eliminati, ma rimane il danno nel pc.

[R16]

Secondo me i virus sono stati eliminati, ma rimane il danno nel pc.

Quale danno nel pc ?

[TeoB]

Le popup pubblicitarie.

[R16]

Avvia OTL.

Sotto "Custom Scans\Fixes " copia-incolla questo codice:

codice:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://downloads.phpnuke.org/it/index.php?rvs=google
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://downloads.phpnuke.org/it/index.php?rvs=google
IE - HKLM\..\SearchScopes\{A85BCC5F-579F-49CA-99FF-62F71290A853}: "URL" = http://downloads.phpnuke.org/it/index.php?rvs=google
IE - HKLM\..\SearchScopes\{AD8C5A6B-0701-4392-A221-27B18FF2D26F}: "URL" = http://downloads.phpnuke.org/it/index.php?rvs=google
IE - HKU\S-1-5-21-940872824-3467815476-2472984012-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://downloads.phpnuke.org/it/index.php?rvs=google
IE - HKU\S-1-5-21-940872824-3467815476-2472984012-1000\..\SearchScopes\{A85BCC5F-579F-49CA-99FF-62F71290A853}: "URL" = http://downloads.phpnuke.org/it/index.php?rvs=google
IE - HKU\S-1-5-21-940872824-3467815476-2472984012-1000\..\SearchScopes\{AD8C5A6B-0701-4392-A221-27B18FF2D26F}: "URL" = http://downloads.phpnuke.org/it/index.php?rvs=google
FF - prefs.js..extensions.enabledAddons: hOUiT7au%40i0ixSKgctyasBk.com:11
FF - prefs.js..extensions.enabledAddons: o2cplayer%40eleco.com:2.0.0.65
[2013/01/15 21:20:15 | 000,000,000 | ---D | M] (O2CPlayer Plugin) -- C:\Users\Matteo\AppData\Roaming\mozilla\Firefox\Profiles\vczamr9e.default\extensions\o2cplayer@eleco.com
[2013/04/22 08:05:14 | 000,003,259 | ---- | M] () (No name found) -- C:\Users\Matteo\AppData\Roaming\mozilla\firefox\profiles\vczamr9e.default\extensions\hOUiT7au@i0ixSKgctyasBk.com.xpi
O2 - BHO: (SelectionLinks) - {7825CFB6-490A-436B-9F26-4A7B5CFC01A9} - C:\Program Files (x86)\OApps\SelectionLinks.dll File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [EgisUpdate] C:\Program Files (x86)\EgisTec IPS\EgisUpdate.exe (Egis Technology Inc.)
O4 - HKLM..\Run: [Norton Online Backup] C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuClient.exe (Symantec Corporation)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O16 - DPF: 55963676-2F5E-4BAF-AC28-CF26AA587566 vpnweb.cab (Reg Error: Key error.)

:Files
ipconfig /flushdns /c

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*" 

:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot]

Clicca sul pulsante RUN FIX .
Lascia fare la scansione senza interferire.
Posta il log.