Malware tempxxxx.exe in C:\ProgramData\Microsoft\Security\Client\temp

[ciocia]

Avevo beccato qualche virus/malware ( ho installato kis2015 ), me ne ero accorto perchè ogni tanto mi appariva icona che IExplorer ha smesso di funzionare ( mai usato, uso chrome )
Ho installato e fatto fare scansioni con supernatispyware, malwarebyte, trojan remover.
Ho tolto alcune cose. Continuando i messaggi ho disabilitato IE e non sono + apparsi. Ora dentro alla cartella sopra citata, ho diversi file tmp, ma ogni tanto mi appare un file tmpxxxx.exe ( dove xxxx cono alfanumerici che cambiano ogni volta ) che dopo un pò ( non so quanto tempo ) kis me lo blocca e fa cancellare riavviando. Se mi accorgo io che c'e' prima di kis ( ho creato un link diretto sul desktop a quella cartella ), scansiono la cartella con superantispyware non vede nulla, mentre anche malwarebyets lo riconosce come trojan.
Ora, chi mi crea questi file saltuariamente?
Nessuno di questi programmi mi trova nulla ( se non il suddetto file dopo la sua apparizione )

[Eress]

Dovresti seguire la guida alla rimozione in questa sezione. Evidentemente i programmi che hai usato non bastano per rimuoverlo. Poi le scansioni andrebbero fatte in modalità provvisoria.

[ciocia]

Dopo aver postato in effetti ho usato i primi programmi della guida ( emisoft mi ispira fiducia ) vediamo se si ripresenta ancora...

Però ho creato un altro problemino dopo alcune pulizie ( al quale posso abituarmi, è solo un OK in più che devo cliccare all'avvio )
Ad ogni avvio di windows mi appare l'avviso:



La cartella Afworks non esiste più. Pensavo di risolvere con Ccleaner, ma dopo una pulizia registro con cc nulla è cambiato.
Posso capire che programma è che cerca quel file o cmq risolvere questo avviso?

[Eress]

Quella roba ha tutta l'aria di essere qualche rimasuglio di malware. Una RegSeeker alla voce Cerca voci inutili, inserisci la voce da cercare, poi selezioni tutte le caselle del registro e quindi avvii la scansione. Prima di rimuovere le voci, controlla bene a cosa si riferiscano aprendole in Regedit.

[ciocia]

Che fate, sto via 3gg per lavoro e mi sospendete Eress che è l'unico a darmi udienza?

Immagino volessi dire USA regseeker, che sarebbe questo?
http://www.hoverdesk.net/download.php
Ho trovato almeno chi mi ha cancellato quel file, è stato emsisoft, è in quarantena ( + volte ), infezione: Gen:Variant.Graftor.178427 (B)

Mentre il file tmpxxxx.exe è riapparso ancora, me l'ha bloccato emsisoft appena acceso il pc, infezione: Behavior.AutorunCreation
Potrebbe essere qualche normale programma installato ( quindi un programma sicuro per antivirus e malware ) che mi installa questo file ogni tanto?
Possibile che 5/6 antivirus/malware non mi trovino nulla?

[thewebsurfer]

Ragazzi dai sintomi sembra che abbia esattamente lo stesso malware di ciocia.
Win7 - Avira
Antimalwarebytez non trova nulla
dr.web non trova nulla
Stranamente molti dei siti elencati nella guida alla disinfezione mi risultano offline (dr.web e hijackfree l'ho dovuto scaricare da un altro pc)

l'errore regsrv32 all'avvio l'ho risolto eliminando tutto ciò che c'era di sospetto all'avvio di win (usando ccleaner).
Però ciclicamente il malware si rigenera in
C:\ProgramData\Microsoft\Security\Client\temp
e anche in
C:\Users\utente\AppData\Roaming\Microsoft\Windows\IEUpdate

log di hijack

Codice:

File log di HiJackFree v4.5
Scansione salvata a 00:56:58, on 12/03/2015
Piattaforma: Windows Win7_64  (Windows NT 6.1.7601)
MSIE: Internet Explorer v 9.10  (9.10.9200.16521)

Processi avviati:
C:\Windows\SysNative\smss.exe
C:\Windows\SysNative\csrss.exe
C:\Windows\SysNative\wininit.exe
C:\Windows\SysNative\csrss.exe
C:\Windows\SysNative\services.exe
C:\Windows\SysNative\lsass.exe
C:\Windows\SysNative\winlogon.exe
C:\Windows\SysNative\lsm.exe
C:\Windows\SysNative\svchost.exe
C:\Windows\SysNative\nvvsvc.exe
C:\Windows\SysNative\svchost.exe
C:\Windows\SysNative\svchost.exe
C:\Windows\SysNative\svchost.exe
C:\Windows\SysNative\svchost.exe
C:\Windows\SysNative\svchost.exe
C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
C:\Windows\SysNative\nvvsvc.exe
C:\Windows\SysNative\WUDFHost.exe
C:\Windows\SysNative\svchost.exe
C:\Windows\SysNative\dwm.exe
C:\Windows\explorer.exe
C:\Windows\SysNative\spoolsv.exe
C:\Windows\SysNative\taskhost.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\sttray64.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Program Files\Logitech\SetPointP\SetPoint.exe
C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe
C:\Windows\SysNative\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\OEM02Mon.exe
C:\Program Files\Common Files\LogiShrd\KHAL3\KHALMNPR.exe
C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\acrotray.exe
C:\Windows\SysNative\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_295b5b4710f6d77b\AESTSr64.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Windows\SysNative\svchost.exe
C:\Program Files (x86)\MPICH2\bin\smpd.exe
C:\Windows\SysNative\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_295b5b4710f6d77b\stacsv64.exe
C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
C:\Windows\SysNative\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Program Files (x86)\Avira\My Avira\Avira.OE.ServiceHost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE
C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\SysNative\svchost.exe
C:\Windows\SysNative\svchost.exe
C:\Windows\SysNative\WUDFHost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\DellTPad\hidfind.exe
C:\Program Files\DellTPad\ApntEx.exe
C:\Windows\SysNative\conhost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BluetoothHeadsetProxy.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\SysNative\svchost.exe
C:\Windows\SysNative\taskeng.exe
C:\Windows\SysNative\dllhost.exe
C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Windows\SysNative\taskhost.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Windows\SysNative\wbem\WmiPrvSE.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Emsisoft HiJackFree\a2hijackfree.exe
C:\Windows\SysNative\svchost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Predefinito) = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Lync Browser Helper - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\Office15\OCHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.8.0_31\bin\ssv.dll
O2 - BHO: Guida per l'accesso all'account Microsoft - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO:  - {AE7CD045-E861-484f-8273-0445EE161910} - 
O2 - BHO: Logitech SetPoint - {AF949550-9094-4807-95EC-D1C317803333} - C:\Program Files\Logitech\SetPointP\32-bit\SetPointSmooth.dll
O2 - BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~3\Office15\URLREDIR.DLL
O2 - BHO: Microsoft SkyDrive Pro Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:\PROGRA~2\MICROS~3\Office15\GROOVEEX.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre1.8.0_31\bin\jp2ssv.dll
O2 - BHO:  - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - 
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [OEM02Mon.exe] C:\Windows\OEM02Mon.exe
O4 - HKLM\..\Run: [Avira Systray] C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [AlcoholAutomount] "C:\Program Files (x86)\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" -automount
O4 - HKLM\..\Run: [AdobeBridge] 
O4 - HKLM\..\Run: [EhStorAuthn] "C:\Users\admin\AppData\Roaming\Microsoft\Windows\IEUpdate\EhStorAuthn.exe"
O7 - Regedit - Abilitato
O8 - Oggetto extra nel menù contestuale: &Download by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/201
O8 - Oggetto extra nel menù contestuale: &Grab video by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/204
O8 - Oggetto extra nel menù contestuale: Advanced Email Extractor - res://C:\Program%20Files%20%28x86%29\Advanced%20Email%20Extractor%20PRO\AeePMsie.dll/page.html
O8 - Oggetto extra nel menù contestuale: Aggiungi a PDF esistente - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Oggetto extra nel menù contestuale: Aggiungi destinazione link a PDF esistente - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Oggetto extra nel menù contestuale: Converti destinazione link in Adobe PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Oggetto extra nel menù contestuale: Converti in Adobe PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Oggetto extra nel menù contestuale: Do&wnload selected by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/203
O8 - Oggetto extra nel menù contestuale: Down&load all by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/202
O8 - Oggetto extra nel menù contestuale: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office15\EXCEL.EXE/3000
O8 - Oggetto extra nel menù contestuale: I&nvia a OneNote - res://C:\PROGRA~1\MICROS~3\Office15\ONBttnIE.dll/105
O8 - Oggetto extra nel menù contestuale: Invia immagine alla periferica &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Oggetto extra nel menù contestuale: Invia pagina alla periferica &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Oggetto extra nel menù contestuale: Scan link with AEE - res://C:\Program%20Files%20%28x86%29\Advanced%20Email%20Extractor%20PRO\AeePMsie.dll/link.html
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office15\ONBttnIE.dll
O9 - Extra "Tools" menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office15\ONBttnIE.dll
O9 - Extra button: Lync - Chiamata con un clic - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\Office15\lync.exe
O9 - Extra "Tools" menuitem: Lync - Chiamata con un clic - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\Office15\lync.exe
O9 - Extra button: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\PROGRA~2\MICROS~3\Office15\ONBTTN~1.DLL,103
O9 - Extra "Tools" menuitem: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\PROGRA~2\MICROS~3\Office15\ONBTTN~1.DLL,103
O9 - Extra button: Invia a Bluetooth - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico
O9 - Extra "Tools" menuitem: Invia a periferica &Bluetooth... - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico
O14 - IERESET.INF: SearchAssistant=
O14 - IERESET.INF: CustomizeSearch=
O21 - ShellServiceObjectDelayLoad: WebCheck - 
O23 - Servizio: Adobe Acrobat Update Service - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Servizio: Adobe Flash Player Update Service - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Servizio: Servizio verifica compatibilità applicazioni - C:\Windows\system32\svchost.exe
O23 - Servizio: Andrea ST Filters Service - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_295b5b4710f6d77b\AESTSr64.exe
O23 - Servizio: Servizio Gateway di livello applicazione - C:\Windows\System32\alg.exe
O23 - Servizio: Avira Pianificatore - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Servizio: Avira Real-Time Protection - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Servizio: Servizio identità applicazione - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Informazioni applicazioni - C:\Windows\system32\svchost.exe
O23 - Servizio: AppMgmt - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio stato di ASP.NET - C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_state.exe
O23 - Servizio: Servizio Audio di Windows - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio Audio di Windows - C:\Windows\System32\svchost.exe
O23 - Servizio: Avira Service Host - C:\Program Files (x86)\Avira\My Avira\Avira.OE.ServiceHost.exe
O23 - Servizio: Alcohol Virtual Drive Auto-mount Service - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe
O23 - Servizio: Servizio ActiveX Installer - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio BDE - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio trasferimento intelligente in background - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL servizio Browser di computer - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Supporto Tecnico Bluetooth - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Propagazione certificati smart card Microsoft - C:\Windows\system32\svchost.exe
O23 - Servizio: Microsoft .NET Framework NGEN v2.0.50727_X86 - C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Servizio: Microsoft .NET Framework NGEN v2.0.50727_X64 - C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe
O23 - Servizio: Microsoft .NET Framework NGEN v4.0.30319_X86 - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
O23 - Servizio: Microsoft .NET Framework NGEN v4.0.30319_X64 - C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe
O23 - Servizio: CodeMeter Runtime Server - C:\Program Files (x86)\CodeMeter\Runtime\bin\CodeMeter.exe
O23 - Servizio: COMSysApp - C:\Windows\system32\dllhost.exe
O23 - Servizio: Servizi di crittografia - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL servizio CSC - C:\Windows\System32\svchost.exe
O23 - Servizio: Utilità di deframmentazione dischi Microsoft - C:\Windows\system32\svchost.exe
O23 - Servizio: Dell Data Vault - C:\Program Files\Dell\DellDataVault\DellDataVault.exe
O23 - Servizio: Dell Data Vault Wizard - C:\Program Files\Dell\DellDataVault\DellDataVaultWiz.exe
O23 - Servizio: Servizio Client DHCP - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL API client DNS - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio configurazione automatica reti cablate - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Microsoft EAPHost - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio EFS - C:\Windows\System32\lsass.exe
O23 - Servizio: Windows Media Center Receiver Service - C:\Windows\ehome\ehRecvr.exe
O23 - Servizio: Windows Media Center Scheduler Service - C:\Windows\ehome\ehsched.exe
O23 - Servizio: Servizio registrazione eventi - C:\Windows\System32\svchost.exe
O23 - Servizio: EventSystem - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL risorse Microsoft Fax - C:\Windows\system32\fxssvc.exe
O23 - Servizio: Servizio Host provider di individuazione funzioni - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Pubblicazione risorse per individuazione - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio cache tipi di carattere Windows - C:\Windows\system32\svchost.exe
O23 - Servizio: Host Windows Presentation Foundation - C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe
O23 - Servizio: Servizio Google Update (gupdate) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Servizio: Servizio Google Update (gupdatem) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Servizio: Servizio HID - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio di gestione delle chiavi - C:\Windows\System32\svchost.exe
O23 - Servizio: Gruppo Home di Windows - C:\Windows\System32\svchost.exe
O23 - Servizio: Gruppo Home di Windows - C:\Windows\System32\svchost.exe
O23 - Servizio: InstallDriver Table Manager - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Servizio: Service Model Installer Resource Library - C:\Windows\Microsoft.NET\Framework64\v3.0\Windows Communication Foundation\infocard.exe
O23 - Servizio: Estensione IKE - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL enumeratore bus IP PnP-X - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio che offre connettività IPv6 su una rete IPv4. - C:\Windows\System32\svchost.exe
O23 - Servizio: KeyIso - C:\Windows\system32\lsass.exe
O23 - Servizio: KtmRm - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL di servizio server - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL di servizio Workstation - C:\Windows\System32\svchost.exe
O23 - Servizio: Logitech Bluetooth Service - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
O23 - Servizio: Risorse individuazione topologia livelli di collegamento - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL servizi trasporto NetBios TCPIP - C:\Windows\system32\svchost.exe
O23 - Servizio: Risorse Media Center - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Utilità di pianificazione classi multimediali - C:\Windows\system32\svchost.exe
O23 - Servizio: Mozilla Maintenance Service - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Servizio: MPICH2 Process Manager, Argonne National Lab - C:\Program Files (x86)\MPICH2\bin\smpd.exe
O23 - Servizio: Windows Firewall API - C:\Windows\system32\svchost.exe
O23 - Servizio: MSDTC - C:\Windows\System32\msdtc.exe
O23 - Servizio: API di individuazione iSCSI - C:\Windows\system32\svchost.exe
O23 - Servizio: Messaggi internazionali di Windows® Installer - C:\Windows\system32\msiexec.exe
O23 - Servizio: Runtime del servizio Agente quarantena - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL Servizi Accesso rete - C:\Windows\system32\lsass.exe
O23 - Servizio: Gestione connessioni di rete - C:\Windows\System32\svchost.exe
O23 - Servizio: Service Model Installer Resource Library - C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
O23 - Servizio: Service Model Installer Resource Library - C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
O23 - Servizio: Gestione elenco reti - C:\Windows\System32\svchost.exe
O23 - Servizio: Service Model Installer Resource Library - C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
O23 - Servizio: Service Model Installer Resource Library - C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
O23 - Servizio: Riconoscimento presenza in rete 2 - C:\Windows\System32\svchost.exe
O23 - Servizio: Server RPC Interfaccia archivio di rete - C:\Windows\system32\svchost.exe
O23 - Servizio: NVIDIA Network Service - C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe
O23 - Servizio: NVIDIA Streamer Service - C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe
O23 - Servizio: NVIDIA Display Driver Service - C:\Windows\system32\nvvsvc.exe
O23 - Servizio: Office 64 Source Engine - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
O23 - Servizio: Office Software Protection Platform - C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
O23 - Servizio: DLL del servizio PNRP - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizi Peer-to-Peer - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio Risoluzione problemi compatibilità programmi - C:\Windows\system32\svchost.exe
O23 - Servizio: PCDSRVC{3B54B31B-D06B6431-06020200}_0 - PCDR Kernel Mode Service Helper Driver - c:\program files\dell\supportassist\pcdsrvc_x64.pkms
O23 - Servizio: Servizio BranchCache - C:\Windows\System32\svchost.exe
O23 - Servizio: Host contatore prestazioni x86 - C:\Windows\SysWow64\perfhost.exe
O23 - Servizio: Avvisi e registri di prestazioni - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio Plug-and-Play modalità utente - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL servizio automatico PNRP - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL del servizio PNRP - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL di archiviazione criteri - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio alimentazione modalità utente - C:\Windows\system32\svchost.exe
O23 - Servizio: ProfSvc - C:\Windows\system32\svchost.exe
O23 - Servizio: Provider predefinito Archiviazione protetta - C:\Windows\system32\lsass.exe
O23 - Servizio: Windows NT - C:\Windows\\system32\svchost.exe
O23 - Servizio: Gestione composizione automatica di accesso remoto - C:\Windows\System32\svchost.exe
O23 - Servizio: Connection Manager di Accesso remoto - C:\Windows\System32\svchost.exe
O23 - Servizio: Gestione interfaccia dinamica - C:\Windows\System32\svchost.exe
O23 - Servizio: RemoteRegistry - C:\Windows\system32\svchost.exe
O23 - Servizio: Agente mapping endpoint RPC - C:\Windows\system32\svchost.exe
O23 - Servizio: Localizzatore RPC - C:\Windows\system32\locator.exe
O23 - Servizio: Server di Gestione risorse smart card - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Utilità di pianificazione - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio Propagazione certificati smart card Microsoft - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Microsoft® Windows Backup - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio di notifica eventi di sistema (SENS) - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio luce ambientale Microsoft Windows - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Configurazione Desktop remoto - C:\Windows\System32\svchost.exe
O23 - Servizio: Componenti helper NAT Microsoft - C:\Windows\System32\svchost.exe
O23 - Servizio: Dll di servizi shell di Windows - C:\Windows\System32\svchost.exe
O23 - Servizio: Skype Updater - C:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Servizio: Trap SNMP - C:\Windows\System32\snmptrap.exe
O23 - Servizio: Servizio piattaforma protezione software Microsoft - C:\Windows\system32\sppsvc.exe
O23 - Servizio: Servizio di notifica SPP - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL del servizio SSDP - C:\Windows\system32\svchost.exe
O23 - Servizio: Fornisce le funzionalità per l'utilizzo di SSTP (Secure Socket Tunneling Protocol) per la connessione a computer remoti tramite VPN. - C:\Windows\system32\svchost.exe
O23 - Servizio: SigmaTel Audio Service - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_295b5b4710f6d77b\STacSV64.exe
O23 - Servizio: StarWind AE Service - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Servizio: NVIDIA Stereoscopic 3D Driver Service - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Servizio: Servizio periferiche acquisizione immagini - C:\Windows\system32\svchost.exe
O23 - Servizio: Dell SupportAssist Agent - C:\Program Files (x86)\Dell\SupportAssistAgent\bin\SupportAssistAgent.exe
O23 - Servizio: Provider software servizio Copia Shadow del volume Microsoft® - C:\Windows\System32\svchost.exe
O23 - Servizio: Host del servizio Ottimizzazione avvio - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio di input Microsoft Tablet PC - C:\Windows\System32\svchost.exe
O23 - Servizio: Server di Telefonia Microsoft® Windows(TM) - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio TBS - C:\Windows\System32\svchost.exe
O23 - Servizio: TeamViewer 10 - C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
O23 - Servizio: Gestione connessioni remote server Host sessione Desktop remoto - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL servizio temi shell di Windows - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio Utilità di pianificazione classi multimediali - C:\Windows\system32\svchost.exe
O23 - Servizio: Rilevamento servizi interattivi - C:\Windows\system32\UI0Detect.exe
O23 - Servizio: Servizio Redirector dispositivi Servizi Desktop remoto - C:\Windows\System32\svchost.exe
O23 - Servizio: Host di dispositivi UPnP - C:\Windows\system32\svchost.exe
O23 - Servizio: Gestione finestre desktop - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio Gestione credenziali - C:\Windows\system32\lsass.exe
O23 - Servizio: Servizio dischi virtuali - C:\Windows\System32\vds.exe
O23 - Servizio: Servizio Copia Shadow del volume Microsoft® - C:\Windows\system32\vssvc.exe
O23 - Servizio: Servizio Ora di Windows - C:\Windows\system32\svchost.exe
O23 - Servizio: Windows Activation Technologies UX - C:\Windows\system32\Wat\WatAdminSvc.exe
O23 - Servizio: Eseguibile del Servizio modulo di backup a livello di blocco Microsoft® - C:\Windows\system32\wbengine.exe
O23 - Servizio: Servizio di biometria Windows - C:\Windows\system32\svchost.exe
O23 - Servizio: Windows Connect Now - Servizio Registro configurazioni - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL WcsPlugInService - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL di Web DAV Service - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Raccolta eventi - C:\Windows\system32\svchost.exe
O23 - Servizio: Segnalazioni di problemi e soluzioni - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio Segnalazione errori Windows - C:\Windows\System32\svchost.exe
O23 - Servizio: WinDefend - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizi HTTP Windows - C:\Windows\system32\svchost.exe
O23 - Servizio: WMI - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio WS-Management - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL servizio configurazione automatica WLAN di Windows - C:\Windows\system32\svchost.exe
O23 - Servizio: Windows Live ID Sign-in Assistant - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
O23 - Servizio: Scheda di inversione delle prestazioni WMI - C:\Windows\system32\wbem\WmiApSrv.exe
O23 - Servizio: WMPNetworkSvc - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe
O23 - Servizio: Servizio filtri Controllo genitori di Windows - C:\Windows\system32\svchost.exe
O23 - Servizio: Enumeratore dispositivi mobili - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Centro sicurezza PC Windows - C:\Windows\System32\svchost.exe
O23 - Servizio: Microsoft Windows Search Indexer - C:\Windows\system32\SearchIndexer.exe
O23 - Servizio: Agente di Windows Update - C:\Windows\system32\svchost.exe
O23 - Servizio: Windows Driver Foundation - Servizio Framework driver modalità utente - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio di configurazione automatica WWAN - C:\Windows\system32\svchost.exe

notare riga 103: ehstorauthn.exe, chiaramente è il malware, però rimuoverlo dall'avvio ed eliminarlo non risolve. Come ho detto, ciclicamente (ogni giorno) si ripresenta con altri nomi.

[ciocia]

surfer, mi hai ricordato che non avevo guardato la sezione avvio con ccleaner.
Ricopio solo quelli che non conosco:

HKCU:Run Akamai NetSession Interface Akamai Technologies, Inc. "C:\Users\Carlo\AppData\Local\Akamai\netsession_win.exe"
Akamai dovrebbe essere installato da terze parte, non dovrebbe dare problemi.

HKCU:Run AVworks Microsoft Corporation C:\Windows\SysWOW64\regsvr32.exe C:\Users\Carlo\AppData\Local\Afworks\New.dll
Ecco chi mi cerca il file new.dll AVworks di microsoft, cosa è? Lo blocco?

HKCU:RunOnce AsrOMG_Day0
HKCU:RunOnce AsrOMG_Day1
HKCU:RunOnce AsrOMG_Day2
HKCU:RunOnce AsrOMG_Day3
HKCU:RunOnce AsrOMG_Day4
HKCU:RunOnce AsrOMG_Day5
HKCU:RunOnce AsrOMG_Day6
HKCU:RunOnce AsrOMG_Run 1
HKCU:RunOnce DEFAULT_BCLK 100.00
Queste righe diavolo sono?!?!?!Mi sa sia qui il problema

HKLM:Run ShadowPlay Microsoft Corporation C:\Windows\system32\rundll32.exe C:\Windows\system32\nvspcap64.dll,ShadowPlayOnSystemStart
Questo shadow credo sia installato dai driver nvidia, quindi pulito

[thewebsurfer]

io credo che siano sospetti, ma non so darti la certezza.
Intanto il fatto che ogni giorno il malware si ripresenti mi ha fatto indagare negli eventi pianificati, infatti ho trovato "whoami" ma anche "forfiles"
Sono chiaramente due malware (basta vedere il percorso del file).
Spero che queste info siano d'aiuto a chiunque si imbatta in questo bastardissimo malware.

[thewebsurfer]

ancora non risolto..avira continua a rilevare malware, io li elimino, ma ciclicamente si ripresentano

[ciocia]

navighiamo nello stesso mare. Continuano ad apparirmi dei file dentro quella cartella eliminati poi da kaspersky o emsisoft.

[thewebsurfer]

qualora qualcuno fosse interessato: i problemi (descritti prima) con questo maledetto malware sono a cadenza quotidiana, per ora non posso formattare, ma conto di farlo il più presto possibile.
Ho notato che quando il laptop si rallenta è sempre colpa del malware, così in quei momenti cerco di indagare sui processi attivi, e c'è sempre qualcosa di sospetto con descrizione nel task manager "Macromedia Flash Update" o "Microsoftqualcosa".
Oggi però è successo dell'incredibile: di punto in bianco ho sentito l'audio di un porno
Ho aperto taskmanager ed ho visto molti processi iexplorer.exe (che non uso e non risultava avviato nella barra delle applicazioni) durante l'arresto di win7 ho visto per giusto un'istante la finestra di internet explorer, come se fosse "dietro" al desktop. Ho eliminato i file di tutti i processi attivi sospetti, ma il problema non è stato risolto. Riavviando il laptop si sentiva l'audio di uno streaming di gossip.it o qualcosa di simile.

Così ho disinstallato internet explorer 10. Da questo pomeriggio non si è presentato più alcuna traccia del malware. Posso concludere con una certa sicurezza che il tutto è scaturito da una vulnerabilità di IE10.

[ciocia]

Io invece a quanto pare ho risolto, ma senza fare nulla in più.
O meglio, per curiosità tutti i file tmp presenti in quella cartella ( non gli exe virus ), non sapendo che fossero ( se servivano a qualcosa ) li ho messi provvisoriamente in una cartella creata appositamente. Sembra che da allora si sia stabilizzata la cosa. Proprio poco fa ho cancellato questa cartella.
Cmq per la cronaca, avevo installato malwarebyte, ma mi andava prima in conflitto con superantispyware, poi mi son accorto che ad ogni avvio pc mi bloccava internet per 5 minuti prima di poter navigare.
Disinstallato e rimesso superantispyware ed emsisoft antimalware ( ma solo versione free che mi scade tra 3 gg purtroppo )

[thewebsurfer]

io ho fatto il danno finale formattando, come ho spiegato nell'altro thread ora ho tutti i documenti criptati..e sembra che per ora non ci sia speranza di recuperarli.
roba da prendere a calci chi crea sti malware..