View Full Version : xp si aprono finestre pubblicitarie


Vera70
28-01-2012, 00:04
Buonasera a tutti e piacere sono una nuova iscritta Vera.
Purtroppo ultimamente quando navigo si aprono all'improvviso alcune finestre di siti il cui contenuto non mi interessa per nulla.
Come antivirus uso avira abbinato a malwarebytes

Questo il mio log hijckthis

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 0.03.59, on 28/01/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\Avira\AntiVir Desktop\avmailc.exe
C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Sony\Content Transfer\ContentTransferWMDetector.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\All Users\Documenti\AppData\PoApp\PService.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ContentTransferWMDetector.exe] C:\Programmi\Sony\Content Transfer\ContentTransferWMDetector.exe
O4 - HKLM\..\Run: [PosService] C:\Documents and Settings\All Users\Documenti\AppData\PoApp\PLauncher.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1324927084382
O17 - HKLM\System\CCS\Services\Tcpip\..\{23398F0D-BD65-4140-892B-112AB15BDA1F}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AED95C1-8A07-43D4-BC9F-29AA8A7D6D04}: NameServer = 8.8.8.8,8.8.4.4
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira Mail Protection (AntiVirMailService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira Scheduler (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Realtime Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Web Protection (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe

--
End of file - 5963 bytes

Chill-Out
28-01-2012, 12:24
Ciao, aggiorna MBAM fai scansione completa ed allega il log su uno dei Server remoti qui indicati http://www.hwupgrade.it/forum/showthread.php?t=1751598

Vera70
29-01-2012, 18:36
http://www.mediafire.com/file/10o5dk70krdcz4h/mbam-log-2012-

<a href="http://www.mediafire.com/?10o5dk70krdcz4h" target="_blank">http://www.mediafire.com/?10o5dk70krdcz4h</a>

http://www.mediafire.com/?10o5dk70krdcz4h

Vera70
29-01-2012, 20:24
Incredibile,
ho appena reintsallato spybot che avevo disinstallato in favore di malwarebytes.
Ho avviato la scansione e mi ha trovato ed evidenziato in rosso questo:

toolbar.facemood (che ho provato a sistemare con spybot ma riavviando una nuov scansione me lo ritrova come problema)
C:\Programmi\Mozilla Firefox\searchplugins\fcmdSrch.xml

come mai malwarebytes ed hijack non mi rilevano nulla?

Chill-Out
30-01-2012, 15:31
Incredibile,
ho appena reintsallato spybot che avevo disinstallato in favore di malwarebytes.
Ho avviato la scansione e mi ha trovato ed evidenziato in rosso questo:

toolbar.facemood (che ho provato a sistemare con spybot ma riavviando una nuov scansione me lo ritrova come problema)
C:\Programmi\Mozilla Firefox\searchplugins\fcmdSrch.xml

come mai malwarebytes ed hijack non mi rilevano nulla?

Disinstalla Spybot successivamente scarica HitmanPro 3.6

http://www.surfright.nl/en/downloads/

non necessita installazione, al termine della scansione ed in caso di infezione provvederà alla rimozione gratuita.

Vera70
31-01-2012, 00:32
fatto
purtroppo se ad esempio clicco su questo link

http://forum.wininizio.it/index.php/topic/128003-si-aprono-pagine-tipp-groupon-o-edreams-o-sarenza-non-richieste/

misi apre affianco questa finestra

hxxp://www.groupon.it/?CID=IT_AFF_66_10_1_1&utm_source=aff_66&utm_medium=aff_10&utm_campaign=aff_1&utm_content=aff_1&nlp&zanpid=1599209182761309184

e così per altri siti

Chill-Out
31-01-2012, 15:32
Apri HitmanPro clicca su Setting - History ed allega uno screenshot, successivamente fai girare Combofix esattamente come qui indicato http://www.hwupgrade.it/forum/showthread.php?t=1984665 Punto 3

Vera70
01-02-2012, 22:00
Apri HitmanPro clicca su Setting - History ed allega uno screenshot, successivamente fai girare Combofix esattamente come qui indicato http://www.hwupgrade.it/forum/showthread.php?t=1984665 Punto 3

log2.txt (http://wikisend.com/download/311082/log2.txt)

1hitman.JPG (http://wikisend.com/download/251306/1hitman.JPG)

Chill-Out
02-02-2012, 00:13
log2.txt (http://wikisend.com/download/311082/log2.txt)

1hitman.JPG (http://wikisend.com/download/251306/1hitman.JPG)

Serve il primo log

Ora fine scansione: 2012-02-01 20:16:57 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2012-02-01 19:16
ComboFix2.txt 2012-02-01 18:57
ComboFix3.txt 2012-01-30 23:13

Vera70
02-02-2012, 14:05
log1.txt (http://wikisend.com/download/939294/log1.txt)

ho notato che navigo in firefox ma le finestre fastidiose si aprono in explorer!!

Chill-Out
02-02-2012, 16:53
log1.txt (http://wikisend.com/download/939294/log1.txt)

ho notato che navigo in firefox ma le finestre fastidiose si aprono in explorer!!

Improbabile, allega questo log C:\QooBox\ComboFix-quarantined-files.txt

Vera70
02-02-2012, 19:56
log.txt (http://wikisend.com/download/189584/log.txt)

Vera70
02-02-2012, 19:57
fatto
purtroppo se ad esempio clicco su questo link

http://forum.wininizio.it/index.php/topic/128003-si-aprono-pagine-tipp-groupon-o-edreams-o-sarenza-non-richieste/

misi apre affianco questa finestra

hxxp://www.groupon.it/?CID=IT_AFF_66_10_1_1&utm_source=aff_66&utm_medium=aff_10&utm_campaign=aff_1&utm_content=aff_1&nlp&zanpid=1599209182761309184

e così per altri siti

Ho provato ora e sembra non farlo più
Problema risolto? :-)

Gioguer
03-02-2012, 01:16
Salve a tutti, anch'io sono una nuova iscritta e ho lo stesso problema di Vera. Tempo fa avevo cercato di risolverlo seguendo per conto mio indicazioni lette su vari forum; con diversi sistemi che non ricordo bene (Navilog, rootkiller, ecc.) avevo trovato e tolto un file di tipo "Conflicker". Ma le finestre pubblicitarie continuano ad aprirsi, anche se con meno frequenza. Le blocco parzialmente con Peerblock. Comunque la navigazione è lenta e ho paura che la sicurezza del PC sia compromessa. Come avrete capito, non sono molto esperta.
Grazie per l'aiuto che mi vorrete dare! :)
P.S. Comunque proprio oggi ho aggiornato Malwarebytes e ho fatto la scansione completa, posso inviare il log

alieno_
03-02-2012, 06:36
Ho provato ora e sembra non farlo più
Problema risolto? :-)
Ciao anche io ho avuto che fare con la toolbar.facemood fastidiossima prova ad andare su : pannello di controllo --> istallazione applicazioni --> toolbar facemood rimuovila
se non riesci a trovare la toolbar li prova :
internet explorer --> e necessario rimpostarlo con la fix it la trovi qui-> http://support.microsoft.com/kb/923737/it premi su correggi il problema
-Se hai problemi con l'esecuzione del "Fix it" reimposta Internet Explorer manualmente:
1 - Opzioni Internet.
2 - Fare clic sulla scheda Avanzate.
3 - Nella finestra di dialogo Reimposta Internet Explorer, fare clic su Reimposta, quindi di nuovo su Reimposta.
4 - Una volta completato il ripristino delle impostazioni predefinite di Internet Explorer, fare clic su Chiudi nella finestra di dialogo Reimposta Internet Explorer.
su Google Chrome --> chrome://extensions --> toolbar facemood rimuovi --> digita : chrome://settings/browser --> controlla che l'opzione pagina iniziale sia messa su nuova scheda,controlla che su apri questa pagina non ci sia il link della facemood
se invece usi firefox --> strumenti --> componenti aggiuntivi -->estensioni --> toolbar facemood --> rimuovi fatto questo scrivi sul browers about:config --> premi su farò attezione prometto -> nella barra in alto scrivi : keyword.URL --> fai doppio click su keyword.URL e rimuovi la url di facemood inserisci quella di http://www.google.it
Se non riesce nemmeno cosi ad eliminarla perchè non la trovi prova a cercare in tutti i file del disco locale c con la opzione di ricerca il nome facemood
se non riesci nemmeno in questo modo scarica Vilma Registry Explorer --> istalla --> apri il programmi --> ci dovrebbe essere un'icona a forma di lente d'ingradimento (ti accorgi che e quella l'icona perchè una volta che la selezioni con la freccieta ti esce scritto sotto FIND)--> la premi e ti esce una casella vuota con scritto "find waith",nello spazio metti facemood cosi controlla se c'e' qualche voce nel registro,quando trovi la voce nel registro trovi il percors dove si trova il file in questo modo puoi eliminare facemood
Se usi firefox ti consiglio di istallare addblock che un software gratuito che blocca qualsiasi forma di pubblicità indesiderata in automatico non bisogna impostare nulla lo puoi trovare gratuitamente qui :https://addons.mozilla.org/it/firefox/addon/adblock-plus/

Gioguer
03-02-2012, 17:47
Ciao anche io ho avuto che fare con la toolbar.facemood fastidiossima
Ciao, scusa non ho capito se la tua risposta è riferita a me, e non sapevo che le finestre pubblicitarie fossero causate da questa toolbar.facemood.
Cmq sto facendo quello che consigli ma per ora non ho trovato niente: sto finendo di fare la ricerca sul disco C e poi passo a Vilma Registry Explorer.
Grazie, ti faccio sapere.

Chill-Out
03-02-2012, 19:59
Ciao, scusa non ho capito se la tua risposta è riferita a me, e non sapevo che le finestre pubblicitarie fossero causate da questa toolbar.facemood.
Cmq sto facendo quello che consigli ma per ora non ho trovato niente: sto finendo di fare la ricerca sul disco C e poi passo a Vilma Registry Explorer.
Grazie, ti faccio sapere.

Scarica HitmanPro 3.6

http://www.surfright.nl/en/downloads/

non necessita installazione, al termine della scansione ed in caso di infezione provvederà alla rimozione gratuita.

Gioguer
03-02-2012, 20:06
se non riesci nemmeno in questo modo scarica Vilma Registry Explorer
Solo con Vilma Registry Explorer ho trovato un file in cui risultava facemoods, l'ho cancellato, ho riavviato, ma purtroppo le finestre pubblicitarie si aprono ancora.
Si aprono solo se vado su certi siti (tipo Expedia) e sono sempre dello stesso tipo: ad.zanox.com/
Non si aprono del tutto grazie a Peerblock.
Che fare?

Chill-Out
03-02-2012, 20:07
Solo con Vilma Registry Explorer ho trovato un file in cui risultava facemoods, l'ho cancellato, ho riavviato, ma purtroppo le finestre pubblicitarie si aprono ancora.
Si aprono solo se vado su certi siti (tipo Expedia) e sono sempre dello stesso tipo: ad.zanox.com/
Non si aprono del tutto grazie a Peerblock.
Che fare?

http://www.hwupgrade.it/forum/showpost.php?p=36856214&postcount=17

Gioguer
03-02-2012, 20:10
Scarica HitmanPro 3.6

http://www.surfright.nl/en/downloads/

non necessita installazione, al termine della scansione ed in caso di infezione provvederà alla rimozione gratuita.

Salve.
Grazie mille, adesso ci provo.

Gioguer
03-02-2012, 21:44
Fatto... HitmanPro ha trovato ed eliminato un Malware Remnant, ma purtroppo le finestre ad.zanox.com/ continuano ad aprirsi e, se non bloccate, portano a Edreams, Sarenza, ecc.

alieno_
03-02-2012, 22:03
Fatto... HitmanPro ha trovato ed eliminato un Malware Remnant, ma purtroppo le finestre ad.zanox.com/ continuano ad aprirsi e, se non bloccate, portano a Edreams, Sarenza, ecc.
molto strano percaso con Vilma Registry Explorer ti porta ancora la voce del registro di facemood? se e si la puoi perfavore incollare qui? prova a vedere quando ti apre le finestre i link che ti apre,li selezioni -> strumenti -> componenti aggiuntivi -> add block -> opzioni --> aggiungi filtro --> metti i link e li blocchi
usi firefox?

Chill-Out
04-02-2012, 00:20
Fatto... HitmanPro ha trovato ed eliminato un Malware Remnant, ma purtroppo le finestre ad.zanox.com/ continuano ad aprirsi e, se non bloccate, portano a Edreams, Sarenza, ecc.

Fai girare Combofix esattamente come qui indicato http://www.hwupgrade.it/forum/showthread.php?t=1984665 Punto 3

Gioguer
04-02-2012, 14:03
Fai girare Combofix esattamente come qui indicato http://www.hwupgrade.it/forum/showthread.php?t=1984665 Punto 3

Ecco fatto, allego il log.
Però c’è stato un problema: pur avendo completamente disattivato Avira Antivirus Premium 2012 (disattivando l’avvio del programma anche da Task Manager e riavviando il PC), Combofix mi ha rilevato la presenza di realtime protection due volte all’inizio (ho ignorato) e mi è comparsa diverse volte l’alert di realtime protection sia all’inizio della scansione Combofix che durante la preparazione del report finale (ignorato).
E alla fine del procedimento, sul desktop mi sono trovata non più una ma due icone Internet Explorer:
- una con Proprietà Internet e pagina iniziale: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
- l’altra sembrerebbe il normale collegamento "C:\Programmi\Internet Explorer\iexplore.exe"
Come risultato, adesso se clicco su un link mi si apre con Internet Explorer invece che con Firefox (diversamente da come originariamente impostato).
Boh… :-)

Gioguer
04-02-2012, 14:07
molto strano percaso con Vilma Registry Explorer ti porta ancora la voce del registro di facemood? se e si la puoi perfavore incollare qui? prova a vedere quando ti apre le finestre i link che ti apre,li selezioni -> strumenti -> componenti aggiuntivi -> add block -> opzioni --> aggiungi filtro --> metti i link e li blocchi
usi firefox?

Guarda, purtroppo non so copiare e incollare direttamente la voce dal registro di Vilma, ti digito quello che vedo:
Name: find0
Path: HKEY_USERS/S-1-5-21-823518204-1767777339-725345543-1003\Software\Vilma\RegExp\Search
Report: The search for “facemood” complete. Found matches: 1

Sì, uso Firefox e AdBlock plus da anni. Però, più che bloccarle, vorrei proprio che non comparissero finestre! Cmq adesso ho usato il temutissimo Combofix, vedremo come va... :-)

Gioguer
04-02-2012, 14:18
Come risultato, adesso se clicco su un link mi si apre con Internet Explorer invece che con Firefox (diversamente da come originariamente impostato).
Boh… :-)

Ho provato a navigare... adesso anche usando Firefox le finestre pubblicitarie mi si aprono con Internet Explorer...

Chill-Out
05-02-2012, 15:37
Ecco fatto, allego il log.
Però c’è stato un problema: pur avendo completamente disattivato Avira Antivirus Premium 2012 (disattivando l’avvio del programma anche da Task Manager e riavviando il PC), Combofix mi ha rilevato la presenza di realtime protection due volte all’inizio (ho ignorato) e mi è comparsa diverse volte l’alert di realtime protection sia all’inizio della scansione Combofix che durante la preparazione del report finale (ignorato).
E alla fine del procedimento, sul desktop mi sono trovata non più una ma due icone Internet Explorer:
- una con Proprietà Internet e pagina iniziale: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
- l’altra sembrerebbe il normale collegamento "C:\Programmi\Internet Explorer\iexplore.exe"
Come risultato, adesso se clicco su un link mi si apre con Internet Explorer invece che con Firefox (diversamente da come originariamente impostato).
Boh… :-)

Ho provato a navigare... adesso anche usando Firefox le finestre pubblicitarie mi si aprono con Internet Explorer...

Normale, Combofix ripristina alcuni parametri, i colegamenti sul Desk li puoi eliminare e ripristinare FF come Browser predefinito.

Gioguer
05-02-2012, 16:28
Normale, Combofix ripristina alcuni parametri, i colegamenti sul Desk li puoi eliminare e ripristinare FF come Browser predefinito.

Scusami, non mi sono spiegata bene. Volevo dire che purtroppo le finestre pubblicitarie si aprono lo stesso, anche se adesso con Explorer.

Chill-Out
05-02-2012, 21:30
Scusami, non mi sono spiegata bene. Volevo dire che purtroppo le finestre pubblicitarie si aprono lo stesso, anche se adesso con Explorer.

Improbabile, fai girare ancora Combofix ed allega il log.

Gioguer
07-02-2012, 00:09
Improbabile, fai girare ancora Combofix ed allega il log.

Ok fatto, ecco il log.
Purtroppo il problema non si è risolto neanche stavolta.
Forse è dovuto al fatto che il realtime protection ha di nuovo interferito con Combofix, nonostante io abbia del tutto disattivato Avira.
Non so davvero che pensare. Oltretutto si tratta di finestre pubblicitarie con la stessa identica "matrice" (ad.zanox.com), che poi aprono pagine web coerenti con i dati inseriti sul motore di ricerca (voli aerei --> edreams; ecc.)

Chill-Out
07-02-2012, 16:44
Ok fatto, ecco il log.
Purtroppo il problema non si è risolto neanche stavolta.
Forse è dovuto al fatto che il realtime protection ha di nuovo interferito con Combofix, nonostante io abbia del tutto disattivato Avira.
Non so davvero che pensare. Oltretutto si tratta di finestre pubblicitarie con la stessa identica "matrice" (ad.zanox.com), che poi aprono pagine web coerenti con i dati inseriti sul motore di ricerca (voli aerei --> edreams; ecc.)

Scarica questo Tool http://download.bleepingcomputer.com...iniToolBox.exe chiudi il Browser, metti il segno di spunta su:

Flush DNS - Reset IE Proxy Settings - Reset FF Proxy Settings

clicca su GO

poi imposta il blocco dei PopUp

Gioguer
07-02-2012, 21:25
Scarica questo Tool http://download.bleepingcomputer.com...iniToolBox.exe chiudi il Browser, metti il segno di spunta su:

Flush DNS - Reset IE Proxy Settings - Reset FF Proxy Settings

clicca su GO

poi imposta il blocco dei PopUp

Grazie della tua infinita pazienza, Chill-Out. L'ho fatto, ma il problema persiste. Qualunque cosa sia, è incredibilmente tenace.

Riku
07-02-2012, 21:50
Ciao, prova a fare una scansione completa con Emsisoft Anti-Malware e allega il log

http://www.emsisoft.com/en/software/antimalware/#download

Gioguer
08-02-2012, 23:42
Ciao, prova a fare una scansione completa con Emsisoft Anti-Malware e allega il log

http://www.emsisoft.com/en/software/antimalware/#download

Grazie Riku, fatto, ecco il log. Ha trovato 4 file: 3 a rischio basso che non devo cancellare, 1 a rischio alto che ho messo in quarantena.
Ma purtroppo, mi si aprono sempre le stesse finestre pubblicitarie... :-(

Gioguer
08-02-2012, 23:47
Scarica questo Tool http://download.bleepingcomputer.com...iniToolBox.exe chiudi il Browser, metti il segno di spunta su:

Flush DNS - Reset IE Proxy Settings - Reset FF Proxy Settings

clicca su GO

poi imposta il blocco dei PopUp

Chill-Out, ci sei ancora?
Non ho ancora risolto, ma forse mi puoi aiutare vedendo il file di quarantena che l'ultima scansione di Combofix aveva lasciato in Qoobox, te lo allego...

Gioguer
12-02-2012, 02:03
Ringrazio tutti.
Dopo aver cercato sul vostro e altri forum, ho capito che il problema era causato dal file PLauncher.exe (anche chiamato PoService), che era in una cartella chiamata Documents and Settings\All Users\Documenti\AppData\PoApp sul disco C.
Dopo aver reinstallato gli ultimi aggiornamenti di protezione Windows Xp, finalmente le finestre pubblicitarie hanno smesso di comparire. Però il file PLauncher era ancora presente nella stessa cartella e dava messaggi di errore; ho provato a eliminarlo in diversi modi, ma non c'era verso, ricompariva anche dopo hijackthis in modalità provvisoria. Alla fine me ne sono liberata con cccleaner in modalità provvisoria.
Segnalo che Emsisoft, pur non avendo cancellato PLauncher, ha comunque messo in blocco la sua azione dopo che io ho cercato di eliminarlo.