Pagine WEB si aprono da sole

[cagnaluia]

Ciao,

sia su I.E.7 sia su Firefox, di tanto in tanto, pagine web di vario contenuto.. pubblicitarie o sconce, si aprono mentre navigo.

Ho scannato con hijackthis,
Ho scannato con SpyBot,

Ma sembrano non trovare l'acaro giusto.

qualche altro programma, consigli?

[wjmat]

Ciao benvenuto nel pronto soccorso di HU.

Per ripulire completamente il pc segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.

Leggi bene tutto questo post, e arriverai in fondo alla guida in perfetta autonomia
salvo in caso di problemi particolari...

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner, vogliamo necessariamente in ordine e anche se non è stato rilevato nulla:

1. log di Malwarebytes Anti-Malware aggiornato ad oggi
2. log di A-squared scansione deep aggiornato ad oggi
3. log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine
4. log di Dr.Web CureIT scaricato oggi
5. log di ESET SysInspector
6. log di HiJackThis
7. log di Gmer
8. log di PrevxCSI

Se il sistema è molto compromesso, e non dovessi riuscire a seguire la guida, prima prova con il rescue cd di avira, a fare una pulizia preliminare.
In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco e della RAM, anche una memoria RAM con qualche giorno di vita può essere la causa di tutti i mali...


Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa è una brevissima guida alla pubblicazione dei log, qui e qui esempi precisi ed ordinati di come vorremmo tu caricassi

link utili per il caricamento log ed immagini
caricamento log fileqube.com, wikisend.com, mediafire.com
caricamento immagini fileqube.com

[asci]

Quote:

Originariamente inviato da cagnaluia

Ciao,

sia su I.E.7 sia su Firefox, di tanto in tanto, pagine web di vario contenuto.. pubblicitarie o sconce, si aprono mentre navigo.

Ho scannato con hijackthis,
Ho scannato con SpyBot,

Ma sembrano non trovare l'acaro giusto.

qualche altro programma, consigli?

Ciao,
scusami volevo sapere se avevi risolto...ma che scocciatura sta cosa!!!!

[wjmat]

Quote:

Originariamente inviato da asci

Ciao,
scusami volevo sapere se avevi risolto...ma che scocciatura sta cosa!!!!

segui anche tu quanto ho già scritto sopra

[cagnaluia]

non ho piu visto.
Avevo installato naomi per chiudere almeno quello sconce come "toppa"...

[asci]

Credo di aver risolto, ho usato ComboFix...speriamo bene.

[wjmat]

Quote:

Originariamente inviato da asci

Credo di aver risolto, ho usato ComboFix...speriamo bene.

se vuoi caricarci il log...

[asci]

Quote:

Originariamente inviato da wjmat

se vuoi caricarci il log...

Se ti riferisci al file ComboFix.txt che ha generato l'applicazione, ok diversamente spiegami come fare e lo carico...

[wjmat]

si a quello, modalità e info tutte nella mia firma

[asci]

Eccolo
http://www.fileqube.com/shared/mzWBmWT122673

[asci]

Quote:

Originariamente inviato da wjmat

si a quello, modalità e info tutte nella mia firma

Ciao,
l'hai visto? Che mi dici?

EDIT:
allego anche il log di hijackthis

Grazie!

EDIT_2:
ho analizzato il log on line e mi sembra ok, tranne per un elemento che pero', a giudizio di altri utenti, è prorpio del sistema di back up dei laptop HP

[wjmat]

da combo emergono queste

Codice:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{415d9c39-4e98-11dd-b907-001b247269ed}]
\shell\AutoRun\command - H:\.\run\autorun.exe
\shell\open\Command - H:\.\run\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{415d9c3e-4e98-11dd-b907-001b247269ed}]
\shell\AutoRun\command - I:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c393908-6d54-11dd-8f59-001b247269ed}]
\shell\AutoRun\command - H:\vl.com
\shell\explore\Command - H:\vl.com
\shell\open\Command - H:\vl.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cf220e34-2962-11dd-9a78-001b247269ed}]
\shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
\shell\Open(&0)\command - Recycled\ctfmon.exe

probabilmente hai in giro chiavette infette, non collegarle per il momento

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe c:\PROGRA~1\BIOSCR~1\VeriSoft\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Google Update] "C:\Users\asci\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O16  - tutte le voci senza riferimenti a microsoft

[asci]

@wjmat

Grazie 1000!
Ecco il nuovo log. Per le chiavette infette che mi hai detto di non collegarle...come faccio allora a formattarle?

[wjmat]

Pulizia generica di chiavette e dischi esterni

Prima di fare pulizia sulla chiavetta/e, hard disk esterni dobbiamo assicurarci che al loro inserimento non venga infettato nuovamente il pc.

Metodo1

Tieni premuto il tasto Shift (quello con la freccia in su situato tra Ctrl e Cap Lock) prima dell'inserimento

Metodo2

Disabilità la riproduzione automatica dei dispositivi ottici (CD/DVD) e rimovibili (chiavette usb/hard disk esterni)...

Per disabilitare la funzione di riproduzione automatica su XP pro
Start → Esegui → digita gpedit.msc (invio) → Configurazione computer → Modelli amministrativi → Sistema → Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica → Seleziona Attivata → Nella tendina che si accende scegli Tutte le unità → OK

Per disabilitare la funzione di riproduzione automatica su Vista
Start → Esegui → digita gpedit.msc (invio) → Configurazione computer → Modelli amministrativi → Componenti di Windows → Criteri Autoplay → Nella finestra di destra doppio click su Disattiva Autoplay → Seleziona Attivata → Nella tendina che si accende scegli Tutte le unità → OK



Una volta collegato il supporto sottoponilo a scansioni antivirus e antispyware con i programmi aggiornati.

Programmmi consigliati:
antivirus: Antivir

antispyware: Malwarebytes Anti-Malware + A-squared


Per la pulizia vai su Risorse computer -> tasto destro sul supporto e scansiona con:
Antivir (o il tuo antivirus)
Malwarebytes
A-Squared

Al termine delle scansioni, riabilita la riproduzione automatica, se l'avevi disattivata in precedenza

[Chill-Out]

Quote:

Originariamente inviato da wjmat

Pulizia generica di chiavette e dischi esterni

Prima di fare pulizia sulla chiavetta/e, hard disk esterni dobbiamo assicurarci che al loro inserimento non venga infettato nuovamente il pc.

Metodo1

Tieni premuto il tasto Shift (quello con la freccia in su situato tra Ctrl e Cap Lock) prima dell'inserimento

Metodo2

Disabilità la riproduzione automatica dei dispositivi ottici (CD/DVD) e rimovibili (chiavette usb/hard disk esterni)...

Per disabilitare la funzione di riproduzione automatica su XP pro
Start → Esegui → digita gpedit.msc (invio) → Configurazione computer → Modelli amministrativi → Sistema → Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica → Seleziona Attivata → Nella tendina che si accende scegli Tutte le unità → OK

Per disabilitare la funzione di riproduzione automatica su Vista
Start → Esegui → digita gpedit.msc (invio) → Configurazione computer → Modelli amministrativi → Componenti di Windows → Criteri Autoplay → Nella finestra di destra doppio click su Disattiva Autoplay → Seleziona Attivata → Nella tendina che si accende scegli Tutte le unità → OK



Una volta collegato il supporto sottoponilo a scansioni antivirus e antispyware con i programmi aggiornati.

Programmmi consigliati:
antivirus: Antivir

antispyware: Malwarebytes Anti-Malware + A-squared


Per la pulizia vai su Risorse computer -> tasto destro sul supporto e scansiona con:
Antivir (o il tuo antivirus)
Malwarebytes
A-Squared

Al termine delle scansioni, riabilita la riproduzione automatica, se l'avevi disattivata in precedenza

aggiungigi tranquillamente DrWeb CureIt

[wjmat]

chill dai un occhio ai mountpoints2 segnati sopra post12
asci ha fatto girare solo combo e non so che altri programmi abbia installato...

[asci]

Quote:

Originariamente inviato da wjmat

chill dai un occhio ai mountpoints2 segnati sopra post12
asci ha fatto girare solo combo e non so che altri programmi abbia installato...

Grazie a tutti!
Volevo sapere se ora il mio lap è a posto, considerando l'ultimo log allegato...
Grazie ancora!

[wjmat]

Quote:

Originariamente inviato da asci

Grazie a tutti!
Volevo sapere se ora il mio lap è a posto, considerando l'ultimo log allegato...
Grazie ancora!

avendo caricato solo il log di combo non possiamo assicurarti nulla
se vuoi la certezza la procedura l'hai vista

[asci]

Quote:

Originariamente inviato da wjmat

avendo caricato solo il log di combo non possiamo assicurarti nulla
se vuoi la certezza la procedura l'hai vista

No, ho caicato anche il log hijackthis.log.txt, un paio di post sopra...QUI

[wjmat]

si ok, ma non bastano purtroppo...
dobbiamo ancora sistemarti una cosa nel registro...