Internet Explorer "infetta" il mio pc

[pascale90]

Buongiorno a tutti.
Mi sta succedendo una cosa strana. Mentre utilizzavo il mio pc con windows 8.1, all'improvviso, ho iniziato a sentire strane registrazioni vocali e canzoni (come un annuncio pubblicitario). Ho chiuso tutte le applicazioni ma non trovavo nulla! Dando un occhiata al controllo volume mi sono accorto che era internet explorer a "emettere" questa musica, ma internet explorer ERA CHIUSO!!! Ma non nel task manager, nel taskmanager era aperto e mi stava anche consumando RAM!
Insomma, interrompo il processo e smette di "cantare". Dopo non molto si è ripresentato il problema. All'avvio mi sono accorto che NOD32 rileva questo evento

27/02/2015 14:32:19 Protezione file system in tempo reale FILE C:\ProgramData\Microsoft\Security\Client\SecurityHelper.dll una variante di Win64/Sathurbot.A trojan horse Risolto tramite eliminazione - messo in quarantena PC-Fisso\paskiddu Si è verificato un evento in un nuovo file creato dall'applicazione: C:\Windows\explorer.exe.

Come devo comportarmi?
Grazie a chi vorrà aiutarmi!

[Totocellux]

dovresti scaricare ed avviare la scansione, con privilegi amministrativi, della versione di
FRST (Farbar Recovery Scan Tool) relativa alla tipologia del tuo s.o. (x86 o x64):

Farbar Recovery Scan Tool Download

avendo cura di selezionare anche l'opzione Addition.txt

Al termine della scansione provvederai ad allegare nel tuo prossimo messaggio i due
file di testo che troverai nella stessa cartella dal quale hai avviato FRST:

1. frst.txt
2. addition.txt

[pascale90]

Ecco a te! FRST.txtAddition.txt

[Totocellux]

HKU\S-1-5-21-1874365707-2021298146-155945237-1001\...\Run: [YfPack] => C:\Windows\SysWOW64\regsvr32.exe C:\Utenti\*TUOPROFILO*\AppData\Local\YfPack\New.dll

HKU\S-1-5-21-1874365707-2021298146-1559452337-1001\...\Run: [Anworks] => regsvr32.exe C:\Utenti\*TUOPROFILO*\AppData\Local\Anworks\New.dll

(al posto di *TUOPROFILO* dovrai inserire il tuo username)


Hai una configurazione software da gamer diciamo appassionato ed è un po difficoltoso districarsi
in tempi brevi tra i risultati di FRST.

Se quelle cartelle (quindi quei files) non appartengono a programmi da te installati, credo possano
essere ciò che stiamo cercando

NOD32 è aggiornato e attivo?

[pascale90]

Cioè dovrei cancellare quei file?

[Totocellux]

teoricamente, si.

Nella pratica la faccenda è alquanto più complessa.

Se NOD32 fosse di suo già disabilitato, la situazione è ben più complicata.

[pascale90]

Nod32 spesso è disabilitato mentre gioco.. Se formatto risolvo? Tanto è un pc da gaming, Nn ho problemi a formattare.


Inviato dal mio iPhone 5s utilizzando Tapatalk

[Totocellux]

si, per il semplice motivo che non ho notizia e neppure trovo traccia di una dll di sistema dal nome
NEW.DLL.

Se la tua necessità è di uscirtene al più presto, credo che la formattazione sia la soluzione più veloce
ed indolore. Purtroppo.

Bisognerebbe, nella circostanza, azzerare però anche il Master Boot Record (per prevenire il riapparire
della presenza di un eventuale rootkit).

Questa operazione va fatta prima della formattazione e della successiva reinstallazione di Windows.

Ti direi, nell'occasione, di seguire questa semplice guida:

How To Fix Windows 8 MBR (Master Boot Record) | Redmond Pie

Se dovessi avere difficoltà, faccelo sapere.

[pascale90]

Avevo fatto una scansione con nod nel MBR e non era uscito nulla di che... Ora è già partita la formattazione.. Vediamo che ne esce


Inviato dal mio iPhone 5s utilizzando Tapatalk