Infezione winlogon.exe all'avvio di win7

[rommerli]

Salve a tutti
mi rimetto a scrivere dopo po' per chiedere aiuto su win7 che arriva fino alla schermata finale e poi si blocca.A quel punto si apre una finestrella con scritto
Configurazione personalizzata winlogon.exe e poi il percorso della cartella.
Ora io accedo al Task Manager e killo tutti gli winlogon tranne quello di SYSTEM e win7 parte,pero' vedo nel Task Manager che e' aperto il processo di Firefox (anche impiegando poche risorse)anche se io non l'ho ancora aperto.
Ho gia' fatto varie scansioni con diversi tool antivirus,ma non ho ancora risolto,
allego il file di Hijackthis
Grazie a tutti

[vicky67]

Apri hijackthis e fixa le seguenti voci(se qualcuna non te la fa fixare vai avanti con la guida)

Codice:

O1 - Hosts: 74.208.10.249 gs.apple.com
O4 - HKCU\..\Run: [winlogon] C:\Program Files\Winlogon\winlogon.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Program Files\Winlogon\winlogon.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Program Files\Winlogon\winlogon.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-4/CursorManiaInitialS etup1.0.1.1.cab
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://ccfiles.creative.com/Web/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15112/CTPID.cab

Esegui le scansioni con questi 2 programmi e poi posta il loro log

• Malwarebytes Anti-Malware -> Malwarebytes Anti-Malware - Free software downloads and software reviews - CNET Download.com
dopo averlo installato è necessario aggiornarlo e solo dopo eseguire la scansione completa del sistema, è altresì richiesto eliminare tutti gli oggetti identificati e salvare il log della scansione (il file di log da allegare per il controllo si trova nel Tab "File di log").

• disattiva il controllo real time del tuo antivirus,scarica combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe , salvalo sul desktop e disconnettiti dalla rete
Una volta scaricato il programma non devi cliccare sull'icona del programma, clicca il tasto windows(logo bandierina)+R e nello spazio bianco di esegui copia e incolla questo comando, cosi' com'e':

"%userprofile%\desktop\combofix.exe" /killall <==copia e incolla

Premi OK, dovrebbe partire la scansione che puo' durare molto, durante la scansione non fare assolutamente niente con il pc.dopo il riavvio allega il log C:\combofix.txt

[rommerli]

Prima di tutto grazie per il tuo sbattimento
premetto che i processi che devo killare al riavvio sono a volte anche 6 o 7
solo quando li ho killati tutti allora parte come se niente fosse(pero' con un processo del browser di default attivo)
nel frattempo ho installato Spybot (come vedrai nel log di hijackthis)
Ora procedo con Malwarebytes e Combofix
ti ringrazio ancora
stay tuned!!!

Ecco servito il secondo piatto (se si puo' chiamare cosi')
Qui provvedo subito ad eliminare
Stay tuned!!!

[vicky67]

Non postare ogni singolo log.Inserisci tutti i log in un unico post.Il log di malwarebytes devi estrarlo dopo la rimozione degli elementi eliminati e non prima.

[rommerli]

3° atto
Malwarebyte al termine mi ha chiesto di riavviare ed è ripartito tutto normale.
ho guardato ancora nel Task Manager ed il processi di winlogon è solo quello di SYSTEM,niente processi da killare e neanche aperto il processo del browser di default
per tagliare la testa al toro ora faccio anche una scansione con Combofix
a dopo!!

e questo è il report di combofix
a te l'ardua sentenza
a parte gli scherzi grazie per l'aiuto che mi hai dato e scusa ancora per i miei troppi post
non sono abituato a scrivere nei forum (pero' leggo molto)
un saluto ancora

[vicky67]

E' tutto a posto.
Per disinstallare combofix:
Scarica OTC by OldTimer sul desktop
doppio clic per eseguirlo
clicca su "CleanUP" > "Yes" > "Yes"
riavvia.
http://oldtimer.geekstogo.com/OTC.exe

Usa ccleaner per pulire il sistema.
Trovi una guida qui.

Malwarebytes puoi tenerlo.Ciao