Popup su Firefox e rallentamenti vari

[Gottlieb]

Spero sia la sezione adatta, altrimenti vogliate scusarmi, però suppongo si tratti sempre di essere infetti.
Mentre navigo normalmente su internet (browser Firefox) mi si aprono, circa ogni 3 minuti, pagine di popup di qualsivoglia pubblicità sicuramente fastidiosa e dannosa. Altrove hanno pensato che ci fosse qualche intruso malgradito nel mio sistema e mi hanno consigliato di fare una scansione online con HouseCall (AVG non trova niente da eliminare al momento). Sto facendo la scansione che dovrebbe terminare tra 3 ore e mezza (o_o).
Per il resto ho notato in mattinata un rallentamento del browser e il computer mi ha dato un paio di segnali di errori (ho dovuto ripristinare l'ultima configurazione funzionante perchè avevo pensato che fosse stato Spybot a crearmi più problemi del dovuto, e infatti).
Avete altro da consigliarmi mentre finisce la scansione?

[wjmat]

ciao

carica secondo queste modalità il log classico di HiJackThis

[Gottlieb]

Ok ho caricato come allegato il log (spero di aver preso quello giusto).
Se ho fatto qualche errore vogliate scusarmi ma è la prima volta che mi trovo in queste condizioni.
Grazie per l'attenzione

[wjmat]

Ciao
questo 3d verrà chiuso salvo tu abbia anche altri problemi, segui qui la guida per la rimozione di Bagle e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità

oltre a bagle hai un altro ospite che verrà sistemato da combofix già presente nella guida di bagle

[Chill-Out]

Sono residui del Bagle, AVG risulta in Run quindi funzionante

Segui queste istruzioni

1 Disabilita il ripristino configurazione sistema -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737

2 Fai pulizia con ATF Cleaner -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737

3 Fai girare questo tool http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

4 Scansione completa con A-Squared come indicato qui -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737 al Punto 3

[Gottlieb]

Quote:

Originariamente inviato da Chill-Out

N.B.: - spariranno tutte le icone del desktop -

Per tutte intendi anche quelle che ci sono adesso o solo quelle che si verranno a creare durante l'analisi? Sarebbe un bel problema se cancellasse tutte quelle che ci sono adesso visto che il desktop è pieno di icone :/

[Chill-Out]

Quote:

Originariamente inviato da Gottlieb

Per tutte intendi anche quelle che ci sono adesso o solo quelle che si verranno a creare durante l'analisi? Sarebbe un bel problema se cancellasse tutte quelle che ci sono adesso visto che il desktop è pieno di icone :/

E' solo una cosa momentanea, poi riappaiono

[Gottlieb]

ATF cancella tutte le cronologie? Se si, è un processo che si può evitare? La cronologia è una cosa vitale per me

Edit. Combofix dice che AVG è in esecuzione ma non è aperto da nessuna parte. Come faccio a chiuderlo? Devo disinstallarlo?

(quanti problemi che vi sto dando ._.)

[Chill-Out]

Quote:

Originariamente inviato da Gottlieb

ATF cancella tutte le cronologie? Se si, è un processo che si può evitare? La cronologia è una cosa vitale per me

Non cancella i Preferiti

[Gottlieb]

Avendo una versione strana di AVG (Free 8.5 che non risponde a nessun tentativo di disattivazione) non sono riuscito a disattivare il controllo in real time, ho provato a disinstallarlo ma trovava un'errore e non me lo ha fatto disinstallare, di conseguenza ComboFix non parte.
Se avete una soluzione anche a questo ennessimo assurdo problema lo accolgo a braccia aperte, altrimenti fa niente, mi tengo il Blage come compagno di giochi: sono sicuro che andremo d'accordo

[Chill-Out]

Se hai dinstallato AVG non vedo il motivo per cui Combo non debba funzionare, ed il perchè di tutti questi problemi

[Gottlieb]

Quote:

Originariamente inviato da Gottlieb

ho provato a disinstallarlo ma trovava un'errore e non me lo ha fatto disinstallare

Qui sta il problema. Sono così fortunato che non mi si disinstallano nemmeno i programmi lol

Local machine: installation failed
Installation:
Error: Action failed for registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: creating registry key....
Error 0x80070005

[Chill-Out]

Quote:

Originariamente inviato da Gottlieb

Qui sta il problema. Sono così fortunato che non mi si disinstallano nemmeno i programmi lol

Local machine: installation failed
Installation:
Error: Action failed for registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: creating registry key....
Error 0x80070005

Spiegami che errore ti da Combofix

[Gottlieb]

Beh dice che AVG è ancora attivo e che proseguire nell'usare ComboFix potrebbe comportare problemi. Se premo OK dà un altro avviso nel quale chiarisce che proseguire provoca un alto rischio e lì ovviamente ho chiuso. Non ho idea di che potenza "distruttiva" hanno questi programmi

[Chill-Out]

Quote:

Originariamente inviato da Gottlieb

Beh dice che AVG è ancora attivo e che proseguire nell'usare ComboFix potrebbe comportare problemi. Se premo OK dà un altro avviso nel quale chiarisce che proseguire provoca un alto rischio e lì ovviamente ho chiuso. Non ho idea di che potenza "distruttiva" hanno questi programmi

AVG hai detto di averlo disinstallato comunque la procedura de seguire è questa http://www.hwupgrade.it/forum/showpo...22&postcount=5

[Gottlieb]

Oddio forse non riesco a spiegarmi.
ho provato a disinstallare AVG ma trovava un'errore e non me lo ha fatto disinstallare: l'errore te l'ho incollato nel post precedente.
La procedura l'ho seguita, ma mi sono bloccato al momento in cui si deve avviare ComboFix che non parte perchè AVG è attivo e non si disinstalla.

[Chill-Out]

Quote:

Originariamente inviato da Gottlieb

Oddio forse non riesco a spiegarmi.
ho provato a disinstallare AVG ma trovava un'errore e non me lo ha fatto disinstallare: l'errore te l'ho incollato nel post precedente.
La procedura l'ho seguita, ma mi sono bloccato al momento in cui si deve avviare ComboFix che non parte perchè AVG è attivo e non si disinstalla.

Combo parte lo stesso quello e solo un messaggio informativo, per spegnere AVG tast dx del mouse sull'icona vicino all'orologio

[Gottlieb]

Che non c'è lol altrimenti l'avrei premuta già.
Ok allora faccio lavorare Combo senza problemi? Mi disconnetto solo da internet e lo lascio partire? O posso evitare anche questo?

[Gottlieb]

Fatta la scansione con ComboFix, allego il log a fine post.
Ora sto facendo la scansione con a-squared e poi penso di aver finito.

Ho delle osservazioni da fare: quando ComboFix ha terminato la scansione, mi sono ritrovato un'icona di IE7 sul desktop e avviando Firefox mi è stato chiesto se volevo renderlo browser predefinito, poi mi è comparso un avviso nel quale mi veniva chiesto se volevo sbloccare Skype e MSN o continuare a bloccarli per proteggere meglio il computer. A quanto ho capito quindi ComboFix ha resettato un paio di scelte effettuate su questa macchina, giusto?

Comunque ditemi se devo fare altro leggendo il log o se sono riuscito ad eliminare gli intrusi dal mio computer.
Grazie ancora

P.S. Siccome il file txt superava il limite ho dovuto dividerlo: metto il primo log in allegato, invece le poche righe rimanenti le incollo come codice, dato che posso allegare un solo file.

Codice:

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-03 09:59:03
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ... 

scansione entrate autostart nascoste ... 

Scansione files nascosti ... 

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-746137067-1078081533-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:7d,e5,40,da,99,7d,b7,46,ef,21,44,16,6b,78,e8,66,0c,2d,bb,f9,8c,65,fe,
   7c,7f,4d,59,35,b9,3c,47,e0,87,d8,29,5f,e8,34,2c,f1,48,65,e7,63,3a,fb,1e,bb,\
"??"=hex:a3,e6,96,8f,36,81,10,82,7c,92,73,d3,5c,b5,fe,93

[HKEY_USERS\S-1-5-21-746137067-1078081533-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:9e,60,bb,1d,df,0d,01,53,7a,47,67,99,92,3f,c3,a9,d0,3b,c2,6e,8f,
   4b,b4,b4,19,30,24,49,e2,f5,83,3d,c9,89,88,14,6a,53,e4,a5,b1,1d,c8,2e,6a,ea,\
"rkeysecu"=hex:c4,1b,f5,37,b3,67,07,5e,5f,3c,3b,eb,7f,c5,1d,06
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(608)
c:\windows\system32\SHSVCS.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\CLBCATQ.DLL

- - - - - - - > 'lsass.exe'(664)
c:\windows\system32\WLDAP32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
c:\windows\system32\ipsecsvc.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programmi\a-squared Free\a2service.exe
c:\windows\system32\ati2evxx.exe
c:\programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programmi\Bonjour\mDNSResponder.exe
c:\programmi\AVG\AVG8\avgrsx.exe
c:\progra~1\AVG\AVG8\avgnsx.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\windows\system32\IoctlSvc.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\PSIService.exe
c:\programmi\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V2.00\SiSWLSvc.exe
c:\programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\progra~1\SPEEDB~1\VideoAcceleratorService.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\progra~1\SPEEDB~1\VideoAcceleratorEngine.exe
c:\windows\system32\rundll32.exe
c:\programmi\MessengerDiscovery\MessengerDiscovery Live.exe
c:\programmi\Skype\Plugin Manager\skypePM.exe
.
********************************************
.
Ora fine scansione: 2009-04-03 10:04:02 - Il pc è stato riavviato
ComboFix-quarantined-files.txt  2009-04-03 08:03:59

Pre-Run: 105.815.846.912 byte disponibili
Post-Run: 105,758,199,808 byte disponibili

415	--- E O F ---	2008-01-20 08:58:27