Firefox apre pagine da solo...

[tatovm2s]

Ciao a tutti,
ho un piccolo problemino col mio winxp pro...ogni tanto Firefox apre da solo delle altre finestre andando su siti pubblicitari piuttosto che ebay o di programmi anti-spyware...ho avg, gli ho ft fare una ricerca ma niente, idem con a-squared e f-secure online...qlc1 ha qualche idea su come risolvere? Grazie

[Chill-Out]

Ciao segui la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

[tatovm2s]

http://www.fileqube.com/file/dOtZizIO144699 --> malware

http://www.fileqube.com/file/mwfNzUmK144700 --> asquared

http://www.fileqube.com/file/UZJLHg144701 ---> f-secure

http://www.fileqube.com/file/lRjXunQE144702 ---> dr web

http://www.fileqube.com/file/KEJzmP144703 --> sys insp

http://www.fileqube.com/file/mpaGunEL144704 --->gmer

ditemi se ho sbaliato qlcs che magari ho ft qualche cavolata e nn me ne sn accorto. Il log di hijackthis l'ho postato di là e quando me lo analizzano vi fo sapere; mentre per prevxcsi nn ho ft nulla perchè mi rileva qlcs ma ci uvole la licenza per eliminarlo...grazie dell'aiuto!!!

[Chill-Out]

Quote:

Originariamente inviato da tatovm2s

http://www.fileqube.com/file/dOtZizIO144699 --> malware

http://www.fileqube.com/file/mwfNzUmK144700 --> asquared

http://www.fileqube.com/file/UZJLHg144701 ---> f-secure

http://www.fileqube.com/file/lRjXunQE144702 ---> dr web

http://www.fileqube.com/file/KEJzmP144703 --> sys insp

http://www.fileqube.com/file/mpaGunEL144704 --->gmer

ditemi se ho sbaliato qlcs che magari ho ft qualche cavolata e nn me ne sn accorto. Il log di hijackthis l'ho postato di là e quando me lo analizzano vi fo sapere; mentre per prevxcsi nn ho ft nulla perchè mi rileva qlcs ma ci uvole la licenza per eliminarlo...grazie dell'aiuto!!!

Il log di CureIt non è completo, manca il log di Prevx CSI quello di HJT lo guardo di là

[Chill-Out]

1 Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sotto indicate voci:

O4 - HKCU\..\Run: [qykkc] "c:\documents and settings\dario\impostazioni locali\dati applicazioni\qykkc.exe" qykkc
O4 - HKUS\S-1-5-21-583907252-152049171-839522115-1003\..\Run: [qykkc] "c:\documents and settings\dario\impostazioni locali\dati applicazioni\qykkc.exe" qykkc (User '?')

clicca su Fix cheked

2 Fai girare questo tool:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza


3 Provvedi a svuotare il contenuto della cartella Prefetch da Start - Tutti i programmi - Accessori - Esplora risorse il percorso è il seguente C:\WINDOWS\Prefetch mi raccomando devi eliminare SOLO il contenuto NON LA CARTELLA

Riepilogo log da allegare:
Combofix
Nuovo log prevx CSI
Nuovo log HJT

Ciao

[tatovm2s]

http://www.fileqube.com/file/VHOAIp144874 ---> combofix

http://www.fileqube.com/file/RADhlksgv144876 ---> hijackthis

http://www.fileqube.com/file/OMNBzd144879 --->prevx

spero di aver fatto giusto soprattutto per prevx

[wjmat]

prevx rileva un file cancellato da combo...

• disinstallalo
• riavvia il pc
• riscaricalo http://pxnow.prevx.com/zeroL/PREVXCSIFREE_IT.exe
• reinstallalo
• nuovo scan e nuovo log

[tatovm2s]

http://www.fileqube.com/file/YtQOHemSf144923 -->prevxcsi

[Chill-Out]

Quote:

Originariamente inviato da tatovm2s

http://www.fileqube.com/file/YtQOHemSf144923 -->prevxcsi

Dovremmo essere Ok, attendo conferma

[tatovm2s]

Quote:

Originariamente inviato da Chill-Out

Dovremmo essere Ok, attendo conferma

uh figo!!! grazie mille a tutti e due siete stati + che gentili!!! ma in sostanza cosa mi aveva afflitto?

[Chill-Out]

Quote:

Originariamente inviato da tatovm2s

uh figo!!! grazie mille a tutti e due siete stati + che gentili!!! ma in sostanza cosa mi aveva afflitto?

Quindi mi confermi che sei ok, niente più finestre? Giusto?

Avevi un trojan che scorrazzava libero nel tuo Pc

[tatovm2s]

Quote:

Originariamente inviato da Chill-Out

Quindi mi confermi che sei ok, niente più finestre? Giusto?

Avevi un trojan che scorrazzava libero nel tuo Pc

azz...un trojan? e cm è entrato? niente siti schifidi, niente download particolari, comodo, avg... Sì, cmq mi sembra proprio sia tutto ok, grazie!

[wjmat]

basta una chiavetta per infettarsi
se ti sembra di essere a posto leggi bene il trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

[Seviath]

Quote:

Originariamente inviato da tatovm2s

Ciao a tutti,
ho un piccolo problemino col mio Winxp Home: ogni tanto Firefox apre da solo delle altre finestre

Ciao a tutti, anche io ho riscontrato un problema simile (firefox che apre pagine da solo), ma sinceramente non saprei se ho anche altri problemi che magari ancora non si sono manifestati.

Ho seguito le istruzioni della Guida alla disinfezione. Purtroppo ho avuto dei problemi con il punto 3 (a2cmd), in quanto la pagina linkata non funziona e la versione da riga di comando non mi parte (anche se ho aggiornato il PATH). Inoltre lo scan con F-secure non mi funzionava in un primo momento, così ho proseguito con gli altri. Successivamente ho provato nuovamente con F-secure e questa volta è andato tutto liscio, così allego anche questo log (eseguito però dopo tutti gli altri appunto).

Ecco i logs:

2. Malwarebytes Anti-Malware -> allegato: mbam-log-2008-12-10 (10-55-58).txt
4. F-Secure OnLine -> parsed Fsecure log e FSecure.txt non parsed log
5. Dr.Web CureIT -> parsed CureIT log
6. ESET SysInspector -> SysInspector-IAIO-081210-1658.xml
7. HiJackThis -> hijackthis.log
8. Gmer -> Gmer.log
9. PrevxCSI ->prevxcsi.JPG
-> Prevxcsi.log

Grazie in anticipo a chiunque vorrà darmi una mano-

[wjmat]

Fai controllare su www.virustotal.com e su http://virscan.org/

Codice:

D:\Programmi\pdfsam\uninstall.exe

Una volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema
Alla fine della verifica rimetti le impostazioni originali

Scarica Avenger da qui
Lancialo → Clicca Ok → Copia e Incolla TUTTO il codice segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato il log in c:\avenger.txt. caricalo per verificare che l'operazione abbia funzionato.

Codice:

Files to delete:
c:\documents and settings\luca\impostazioni locali\dati applicazioni\gfiaa.exe

[Seviath]

1. Risultato analisi www.virustotal.com:
virus totoal

2. Risultato analisi virscan.org/:
virus scan

Riguardo avenger:
Ho dovuto fare il riavvio manuale, in allegato c'è il log.

[wjmat]

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)

Codice:

O4 - HKCU\..\Run: [gfiaa] "c:\documents and settings\luca\impostazioni locali\dati applicazioni\gfiaa.exe" gfiaa
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)

sysprep l'hai impostato tu?

[Seviath]

Non ho ancora completato le operazioni suggerite, ma avrei un paio di domanda:
1. cosa è sysprep?
2. mettendo la spunta nelle varie voci cosa sto chiedendo al programma di fare? Si tratta di una specie di msconfig avanzato? Quindi si tratta di far partire o meno in automatico alcuni programmi o servizi? Se è così ne tolgo anche altri che con msconfig avevo lasciato perché non capivo cosa fossero ed avevo paura di togliere qualcosa di importante.
3. Perché, ad esempio, non trovo la riga O4 che mi segnalavi tu. Forse perché l'avevo tolta appunto con msconfig?

[wjmat]

1 http://www.google.it/search?hl=it&cl...ysprep&spell=1

2 leggi sopra nelle note in piccolo
si
si

3 se l'hai tolta con ms qui non la vedi più
con ms però lo disattivi con hjt la elimini, quindi riattivala e fixala

[Seviath]

Grazie per le risposte immediate!

Ho eseguito le operazioni suggerite (riattivando la gfiaa), allego il log. Tuttavia la voce 23 è rimasta, ho provato altre due volte a fixarla, ma resta sempre.

Se puo' servire, quando riavvio il pc mi si apre una finestra di Prevx CSI che mi comunica che un "Malware Dropper" si trova in "D:\Programmi\pdfsam\unistall.exe".