Aiuto!!! Pubblicità continue

[Alextheslender]

Vi chiedo, per favore, un aiuto. Da quache tempo, navigando, si aprono in continuazione finestre di explorer con pubblicità di ogni genere (ebay, antivirus, antispyware, incontri on-line, virs removal 2008, ecc.). Poi è comparsa la scritta VIRUS ALERT! affianco all'orologio di sistema e nelle date di ripristino di configurazione di sistema. Facendo tutte le scansioni che il Vs. sito consiglia (Malwarebytes, A-squared, F-secure ecc.), alla fine pare risolto il problema di VIRUS ALERT!, ma continuano comparire le pubblicità. Inoltre, il mio antivirus spesso mi sgnala minacce di dialer e trojan backdoor.
Nei log che ho allegato, non troverete quello di Gmer, perchè, mentre fa la scansione, all'improvviso si riavvia il PC. Ho provato per 2 volte.
Grazie infinite per l'aiuto,

mbam-log-2008-10-20 (15-45-40).txt

a2scan_081020-155952.txt

F-Secure Online Scanner 3_3_1 - Scanning Report - Tuesday, October 21, 2008 004155.txt

CureIt.log

SysInspector-WORK-72EE0C4F51-081021-2333.xml

hijackthis.log

PrevxCSI.log

[xcdegasp]

Quote:

Originariamente inviato da Alextheslender

Vi chiedo, per favore, un aiuto. Da quache tempo, navigando, si aprono in continuazione finestre di explorer con pubblicità di ogni genere (ebay, antivirus, antispyware, incontri on-line, virs removal 2008, ecc.). Poi è comparsa la scritta VIRUS ALERT! affianco all'orologio di sistema e nelle date di ripristino di configurazione di sistema. Facendo tutte le scansioni che il Vs. sito consiglia (Malwarebytes, A-squared, F-secure ecc.), alla fine pare risolto il problema di VIRUS ALERT!, ma continuano comparire le pubblicità. Inoltre, il mio antivirus spesso mi sgnala minacce di dialer e trojan backdoor.
Nei log che ho allegato, non troverete quello di Gmer, perchè, mentre fa la scansione, all'improvviso si riavvia il PC. Ho provato per 2 volte.
Grazie infinite per l'aiuto,

mbam-log-2008-10-20 (15-45-40).txt

a2scan_081020-155952.txt

F-Secure Online Scanner 3_3_1 - Scanning Report - Tuesday, October 21, 2008 004155.txt

CureIt.log

SysInspector-WORK-72EE0C4F51-081021-2333.xml

hijackthis.log

PrevxCSI.log

per il tuo problema c'era una guida specifica che prevedeva meno scansioni ma son contento che tu abbia seguito quella generale perchè in questo modo ci sono più certezze di disinfestare completamente il pc

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

Codice:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ismsaom] "c:\documents and settings\work\impostazioni locali\dati applicazioni\ismsaom.exe" ismsaom
O4 - HKCU\..\Run: [EA Core] C:\Programmi\Electronic Arts\EADM\Core.exe -silent
O4 - HKCU\..\Run: [Player] C:\Documents and Settings\work\Dati applicazioni\Adobe\Player.exe
O4 - HKCU\..\Run: [NetworkService] C:\DOCUME~1\work\IMPOST~1\Temp\IXP000.TMP\svchost.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

dal log di prevx:

Codice:

[u] C:\Programmi\vixy.net\vixy.exe	[PX5: E4904B520084F290104101C500F9E300EB259AD8]

[b] C:\WINDOWS\system32\kkehqwfddcr.exe	[PX5: 1621C7E239EB5D623342019BCF607A0037B7537C]	Malware Group: Malware Dropper

mi potresti far analizzare i due files su www.viruscan.org e www.virusttotal.com ?

Quote:

C:\Programmi\vixy.net\vixy.exe
C:\WINDOWS\system32\kkehqwfddcr.exe

a fine di ogni scansione basta che copi (e incolli qui nel forum) l'url che mostra il browser

manca il log di gmer e credo possa essere molto utile

[Alextheslender]

Innanzitutto, grazie infinite per la pronta risposta e per i consigli.
Ho fixato con HiJack This le righe che mi hai indicato. Dopo, navigando un pò, mi sembra che per ora non si aprano le pubblicità che tanto mi tormentavano. Tuttavia, PrevxCSI, che prima mi segnalava 2 infezioni (C:\windows\system32\kkehqwfddcr.exe e C:\documents and settings\work\impostazioni locali\dati applicazioni\ismsaom.exe) adesso mi segnala ancora la prima.
Questo è proprio uno dei 2 file che mi hai chiesto di far analizzare su www.viruscan.org e www.virusttotal.com. Ecco l'url delle scansioni:

http://www.virustotal.com/it/analisi...fd714cb4c0d027

http://www.virustotal.com/it/analisi...69a25018eca08a.

Infine, per quanto riguarda gmer, come ti ho scritto nel primo messaggio, quando avvio la scansione con gmer, dopo un pò il PC si spegne e si riavvia senza completare la scansione. Però sono riuscito a copiare una riga che compare scritta in rosso:Service system32\drivers\TDSSpqlt.sys(***hidden***) [SYSTEM] TDSSserv.
Ti allego i log di PrevxCSI e HiJack This rifatti dopo aver fixato come mi hai detto. Attendo tue istruzioni. Grazie.

PrevxCSI2.log

hijackthis2.txt

[Chill-Out]

Scarica SDFix sul Desktop
Doppio click su SDFix.exe il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Aprire la cartella SDFix in C:\ e fare doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premere un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovreste visualizzare il messaggio "Finished"
Premere un tasto per terminare lo script e ricaricare le icone del desktop
Il log da allegare per il controllo sarà visualizzato automaticamente, altrimenti potrete trovarlo in C:\SDFix\Report.txt

[Alextheslender]

Fatto! Ho lanciato SDFix di cui ti allego il report.
Navigando, pare risolto il problema dei popup pubblicitari.
Tuttavia PrevxCSI mi continua a segnalare i 2 file infetti che ti avevo già segnalato (anzi, il secondo che era sparito dopo i fix di HiJackThis, ora è ricomparso): C:\windows\system32\kkehqwfddcr.exe e C:\documents and settings\work\impostazioni locali\dati applicazioni\ismsaom.exe.
Che faccio? Grazie.

Report.txt

P.S. Ti allego anche i logs di PrevxCSI e HiJackThis fatti dopo SDFix

PrevxCSI3.log

hijackthis3.txt

[xcdegasp]

Quote:

Originariamente inviato da Alextheslender

Fatto! Ho lanciato SDFix di cui ti allego il report.
Navigando, pare risolto il problema dei popup pubblicitari.
Tuttavia PrevxCSI mi continua a segnalare i 2 file infetti che ti avevo già segnalato (anzi, il secondo che era sparito dopo i fix di HiJackThis, ora è ricomparso): C:\windows\system32\kkehqwfddcr.exe e C:\documents and settings\work\impostazioni locali\dati applicazioni\ismsaom.exe.
Che faccio? Grazie.

Report.txt

P.S. Ti allego anche i logs di PrevxCSI e HiJackThis fatti dopo SDFix

PrevxCSI3.log

hijackthis3.txt

dal log prevx ora risulta:

Codice:

[b] C:\WINDOWS\system32\kkehqwfddcr.exe	[PX5: 1621C7E239EB5D623342019BCF607A0037B7537C]	Malware Group: Malware Dropper


[BPN] c:\documents and settings\work\impostazioni locali\dati applicazioni\ismsaom.exe	[PX5: 8714505600C533A920AE0403312E75005F6ABC24]	Malware Group: Fraudulent Security Program

fixa:

Codice:

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Exif Launcher 2.lnk = ?

su viruscan.org e virustotal.com potresti scansionarmi anche questo:
c:\documents and settings\work\impostazioni locali\dati applicazioni\ismsaom.exe

poi prova a rifare un log con gmer

[Alextheslender]

Ho fixato le righe che mi hai indicato. Ti allego la scansione del file con virustotal, oltre ai log aggiornati di PrevxCSI e HiJackThis.

http://www.virustotal.com/it/analisi...e37576444b7b94

PrevxCSI4.log

hijackthis4.txt

Come ti ho detto, appena lancio gmer si riavvia il PC.

[Chill-Out]

Prima di procedere fammi questa controllo:

Abilita la visualizzazione dei file e cartelle nascosti* e dimmi se all'interno della cartella Dati Applicazioni C:\documents and settings\work\impostazioni locali\dati applicazioni\ismsaom.exe trovi anche i seguenti file:

ismsaom File DAT
ismsaom_nav
ismsaom_navps

NB: potrebbere avere anche un nome random (a caso)

*Clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Applica - OK

[Alextheslender]

E' proprio come dici: nella cartella dati applicazioni, oltre a ismsaom.exe, ci solo anche ismsaom.dat, ismsaom_nav e ismsaom_navps.

[Chill-Out]

Quote:

Originariamente inviato da Alextheslender

E' proprio come dici: nella cartella dati applicazioni, oltre a ismsaom.exe, ci solo anche ismsaom.dat, ismsaom_nav e ismsaom_navps.

Fai girare questo tool:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza


Provvedi a svuotare il contenuto della cartella Prefetch da Start - Tutti i programmi - Accessori - Esplora risorse il percorso è il seguente C:\WINDOWS\Prefetch mi raccomando devi eliminare SOLO il contenuto NON LA CARTELLA

Riepilogo log da allegare:
Combofix
Nuovo log prevx CSI
Nuovo log HJT

Ciao

[Alextheslender]

Dopo aver seguito le tue ultime istruzioni, Prevx CSI mi segnala solo 1 file infetto: C:\windows\system32\kkehqwfddcr.exe.
Ti allego i logs che mi hai chiesto:

ComboFix.txt

PrevxCSI5.log

hijackthis5.txt.

E ora?

[Chill-Out]

Quote:

Originariamente inviato da Alextheslender

Dopo aver seguito le tue ultime istruzioni, Prevx CSI mi segnala solo 1 file infetto: C:\windows\system32\kkehqwfddcr.exe.
Ti allego i logs che mi hai chiesto:

ComboFix.txt

PrevxCSI5.log

hijackthis5.txt.

E ora?

Hai fatto girare Combo 2 volte mi serve il primo log

[Alextheslender]

Sì, perchè la 1° volta sembrava si fosse bloccato. Il 1° log è questo:

log combofix.txt

[Chill-Out]

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Quote:

Files to delete:
C:\WINDOWS\system32\kkehqwfddcr.exe

clicca su Execute, al termine il Pc si dovrebbe riavviare se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

[Alextheslender]

Penso che ce l'abbiamo fatta!!! PrevxCSI non ha rilevato infezioni!!

SIETE MITICI!!!!!

GRAZIE INFINITE.

[Chill-Out]

Quote:

Originariamente inviato da Alextheslender

Penso che ce l'abbiamo fatta!!! PrevxCSI non ha rilevato infezioni!!

SIETE MITICI!!!!!

GRAZIE INFINITE.

Allega il log di Avenger che trovi in C:\Avenger.txt e il log di Prevx ciao.

[Sky_80]

Anch'io ho lo stesso problema. su 2 pc.

Uno con Vista Home Premium.
Uno con XP SP3.

Mi sa che è una falla di IE7.
Perchè usando ASUS eee900 con IE6... Questi POPUP nn ci sono.
Cmq oggi provo la guida. Speriamo di risolvere.

[Alextheslender]

Ecco i logs che mi hai chiesto. Ti allego anche il log di HiJackThis perchè, nel frattempo, sto eseguendo tutto il trattamento posti infezione. Gli puoi dare un'occhiata per vedere se è tutto a posto? Grazie.
Ciao.

avenger.txt

PrevxCSI6.log

hijackthis6.txt

[Sky_80]

e tutto il giorno che provo a scaricare il programma.
Ma nn ci riesco.

Succede solo a me???

[Alextheslender]

Quale programma??