Ad ogni avvio di windows 7 mi trovo il processo Firefox.exe già avviato. Non crea problemi in quanto poi firefox funziona regolarmente lanciandolo e creando un secondo processo firefox.exe, ma non è regolare, perchè succede?

Perché succede? Boh... :) e chi può dirlo con certezza? Nel migliore dei casi è stato inserito un link in esecuzione automatica, nel peggiore qualche malware ha preso possesso del PC.


Comincia quindi con il vedere se per caso inavvertitamente non l'hai trascinato in esecuzione automatica, se lì non c'è ti conviene usare Autoruns

http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

Per cercare di capire da quale sezione del registro viene invocato l'avvio, e disabilitarlo.

Non escludo, anche se non te lo auguro, che possa essere necessario ricorrere alla sezione sicurezza del forum.


Saluti.

Vai in msconfig scheda avvio e dai un'occhiata se risulta tra quei processi

No, nei processi in avvio non c'è appena posso (adesso sono con un altro pc) provo autoruns e vediamo.
Non ho detto che è solo il processo ad essere avviato non il programma vero e proprio, infatti me ne sono accorto per caso.

dove si vedono solo i programmi in avvio in autorun?

Non l'ho trascinato in esecuziona autmatica per errore e anche nel registro c'è solo la voce dell'antivirus in avvio automatico.

Hai fatto qualche scansione antivirus?

si, avira 9

Fanne anche altre con HjiackThis e MalwareBytes

Questi sono i log di HjiackThis, uno dopo che ho arrestato firefox e l'altreo a pc appena avviato:

C:\Program Files\EVEREST Ultimate Edition\everest.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Ale\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min -nosplash
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Java\java.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Java\java.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF5D2593-15A1-46D5-88CB-B4CB43AA6EE6}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{CF5D2593-15A1-46D5-88CB-B4CB43AA6EE6}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS2\Services\Tcpip\..\{CF5D2593-15A1-46D5-88CB-B4CB43AA6EE6}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Unknown owner - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe (file missing)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at Ale 12:34:41, on 13/07/2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\EVEREST Ultimate Edition\everest.exe
C:\ProgramData\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Ale\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min -nosplash
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Java\java.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Java\java.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF5D2593-15A1-46D5-88CB-B4CB43AA6EE6}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{CF5D2593-15A1-46D5-88CB-B4CB43AA6EE6}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS2\Services\Tcpip\..\{CF5D2593-15A1-46D5-88CB-B4CB43AA6EE6}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Unknown owner - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe (file missing)

questo mi da Malwarebytes, ho fatto foto perchè che chiedo il log mi si chiude il programma:

http://img17.imageshack.us/img17/3143/catturajv.jpg (http://img17.imageshack.us/i/catturajv.jpg/)

in autorun non ci capisco niente
P.S.: il nome utente è diverso... e' normale, lo avevo cambiato io nel log..

mi pare di aver risolto: ho scannato con un porgramma che si chiama trojan remover ed ho eliminato due voci relative a java che mi sembra che coincidessero con le 2 ultime voci del registro che Malwarebytes mi segnalava come back door.

mi pare di aver risolto: ho scannato con un porgramma che si chiama trojan remover ed ho eliminato due voci relative a java che mi sembra che coincidessero con le 2 ultime voci del registro che Malwarebytes mi segnalava come back door.

Bene, se hai risolto tanto meglio. Comunque per quanto riguarda il log postato, senza analizzarlo affondo ma solo guardando le prime righe c'è questo che stride più di una frenata a ruote bloccate di una F1:

Running processes:
C:\ProgramData\Mozilla Firefox\firefox.exe

Io un giro con un antirootkit (Gmer ad esempio) lo farei. Poi regolati tu come meglio credi :)


Riguardo Autoruns, i programmi in esecuzione automatica all'avvio del sistema operativo, li trovi di norma nella scheda "Logon", dove compaiono anche programmi normalmente non visualizzabili con l'apposita funzione di msconfig. Poi ci sono tutte le altre schede che offrono la visualizzazione anche del restante in esecuzione all'avvio dell'OS, ma questa è un'altra storia :)


Saluti.

Anche queste due voci mi sembrano sospette:

O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Java\java.exe

O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Java\java.exe

Se fossi in te mi trasferirei nella sezione rimozione malware ;)

Anche queste due voci mi sembrano sospette:

O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Java\java.exe

O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Java\java.exe

Se fossi in te mi trasferirei nella sezione rimozione malware ;)

si infatti le ha eliminate trojan remover.

Bene, se hai risolto tanto meglio. Comunque per quanto riguarda il log postato, senza analizzarlo affondo ma solo guardando le prime righe c'è questo che stride più di una frenata a ruote bloccate di una F1:

Running processes:
C:\ProgramData\Mozilla Firefox\firefox.exe

Si, è il processo di firefox che trovavo gia' avviato all'avvio di windows, cosa stride? Che non dovrebbe esserci?

Riguardo Autoruns, i programmi in esecuzione automatica all'avvio del sistema operativo, li trovi di norma nella scheda "Logon", dove compaiono anche programmi normalmente non visualizzabili con l'apposita funzione di msconfig
Ok allora: coincidono con quelli in msconfig.

domani provo ancora e se non ho risolto definitivamente sposto in "rimozione malware".
grazie a tutti.

Si, è il processo di firefox che trovavo gia' avviato all'avvio di windows, cosa stride? Che non dovrebbe esserci?


Certo che non dovrebbe esserci, firefox non può essere installato in ProgramData. Quella directory serve ai programmi, ma non deve contenerne.

Mozilla Firefox di norma dovrebbe stare in C:\Program Files o C:\Program Files (x86).

Come giustamente evidenziato da Eress lo stesso fatto di avere segnalato un \Java nella root di C: dovrebbe fare riflettere e portare a credere che si tratti di malware travestito con nomi di programmi noti in modo da eludere i controlli. Se poi con un controllo visivo non li vedi neppure, come a volte accade, la sirena "allarme rootkit" non la smette più :)

Saluti.

ok, adesso capisco (pensa che invece di "program data" avevo letto "program files"), è che non ho piu' la pazienze di stare dietro al pc, domani controllo in C e in Program data... se no formatto tutto in un attimo.

OK a posto, le voci relative a java le ha tolte il trojan remover e la cartella mozilla in program data l'ho buttata manualmente.
Adesso il log sembra normale e il processo firefox non c'è piu' all'avvio di windows.
Grazie dei suggerimenti.