Pagina che si apre nel browser

[MaD85]

Ciao, ritorno per la seconda volta in questa sezione a chiedere aiuto,

da quando ho installato i driver per delle cuffie nuove della Creative, ogni tanto mi si apre una nuova pagina in Firefox da sola automaticamente, che ha il seguente indirizzo: _http://creative.adsrevenue.net/default/partnerBudsinc.php

In realta' dalla barra vedo che il primo collegamento ad essere aperto e' un altro, ma questa e' la pagina finale (e il reindirizzamento e' troppo veloce per catturarlo).

Ecco tutti i log dopo aver seguito la guida:

Malwarebytes Anti-Malware >> http://www.mediafire.com/?mixxj9zymsq
A-Squared Free >> http://www.mediafire.com/?i5djjmjjyzt
F-Secure OnLine >> http://www.mediafire.com/?mtmlgjqymzz
Dr.Web CureIT >> http://www.mediafire.com/?jmchmzr41zn
ESET SysInspector >> http://www.mediafire.com/?iymizmizdzd
HiJackThis >> http://www.mediafire.com/?54jkrmkvmv5
Gmer >> http://www.mediafire.com/?nvmmwzimzeu

Il programma PrevxCSI non ha trovato niente.

A-Squared mi ha trovato questi file:



Posso togliere dalla quarantena il primo, il secondo ed il quarto?

Il primo e' un file di un programma audio, il secondo e' un file del gioco The Witcher, il quarto e' un file di un programma di diagnostica del procio.

Che faccio? >_<

[wjmat]

ciao

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Codice:

O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab

Fai controllare i file dubbi su www.virustotal.com e su http://virscan.org/

Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema
Alla fine della verifica rimetti le impostazioni originali

[MaD85]

Ecco il log di HJ: http://www.mediafire.com/?my4vtkfdtoe

I fix di Acronis True Image non li ho fatti, tempo fa ho provato a mettere su "Manuale" i servizi corrispondenti per farli partire solo quando avessi avviato il programma, ma facendolo non si avviava proprio, dava errore, e andando a leggere sul forum ufficiale non si poteva fare e bisognava mantenerli attivi.

Quindi se li fixo con HJ non li fara' partire all'avvio e non potro' piu' eseguire il programma giusto? Perche' a quanto ho capito il fix fa la stessa cosa che disabilitare i servizi?

Per i file sospetti da controllare sui due siti online intendi quelli che mi ha dato A-squared?

Grazie mille.

EDIT: in A-squared sono stati messi in quarantena, per controllarli va bene se uso il pulsante "salva copia" nel programma, li salvo sul Desktop, levo l'estensione .DAT e li invio ai due siti online? E' la stessa cosa?

EDIT2: ho fatto come ho scritto, ed ecco i risultati:

File Run.exe:
http://www.virustotal.com/it/analisi...df7cd1bfe7ec46
http://virscan.org/report/75d94560c5...7e92cf985.html

File protect.exe:
http://www.virustotal.com/it/analisi...c4b63e4373d462
http://www.virscan.org/report/b3220a...359961b95.html

File: svchost.exe
http://www.virustotal.com/it/analisi...ecf34934dc9f24
http://www.virscan.org/report/f0eb29...68b54e9f0.html

File dmserver.dll:
http://www.virustotal.com/it/analisi...a00f9ccf5de521
http://www.virscan.org/report/3d4f94...571460aeb.html

[wjmat]

svchost.exe sembra ok

degli altri non me ne piace nemmeno uno, però dipende da dove sono stati recuperati questi programmi/giochi...

aspettiamo comunque il parere di chill e deg

fixare le o4 non fa partire i processi ma i servizi partono comunque poichè sono nelle voci 023, vedi tu che lasciare

[MaD85]

dmserver non ho idea di cosa sia/da dove provenga.

Atmosphere Deluxe l'ho appena cancellato tanto non lo usavo.

svchost sta in quarantena, possibile mi funzioni il pc senza problemi? Non dovrebbe essere un processo importante/vitale?

Aspetto allora il parere di chill e deg.

Per le o4: e' possibile fixarli, vedere se il programma funziona e se nn va ripristinare i fix? Se sì, come?

Grazie ancora.

[wjmat]

Quote:

Originariamente inviato da MaD85

dmserver non ho idea di cosa sia/da dove provenga.

Atmosphere Deluxe l'ho appena cancellato tanto non lo usavo.

svchost sta in quarantena, possibile mi funzioni il pc senza problemi? Non dovrebbe essere un processo importante/vitale?

Aspetto allora il parere di chill e deg.

Per le o4: e' possibile fixarli, vedere se il programma funziona e se nn va ripristinare i fix? Se sì, come?

Grazie ancora.

per il ripristino del fix vedi bigino in firma
attendiamo gli altri pareri

[xcdegasp]

fixa:

Codice:

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O8 - Extra context menu item: Scarica link utilizzando Mega Manager... - C:\Programmi\Mega Manager\mm_file.htm
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab

non vedo antivirus installato

[MaD85]

Grazie per la risposta, allora, facendo con calma e vedendo se ci sono problemi, ho fixato questi:

Codice:

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"

Ma al riavvio ne ho trovati due tra i processi, non sono spariti.

Come mai?

Ecco il log dopo il riavvio: http://www.mediafire.com/?wzc2ymmdeko

Appena ricevo una risposta continuo a fixare il resto.

Grazie ancora.

EDIT: in realta' i due processi che si avviano non corrispondono a questi fixati ora che ho visto meglio, non si puo' fixare nient'altro che me li tolga dall'avvio automatico (come questi fix appena fatti)?



EDIT2: inoltre, di questi



rimane svchost e dmserver, che per il momento sono in quarantena, che ci faccio?

EDIT3: ho fixato tutto quello he mi avete detto e non ho avuto problemi.

Pero' il link maledetto mi ciccia ancora fuori, insomma non si e' risolto, facendoci piu' attenzione mi si apre (in una nuova finestra) quando clicco sulle stringhe dove devo scrivere qualcosa da cercare (tipo motore di ricerca insomma).



EDIT4: questo e' l'ultimo log (fatto ora dopo tutti i fix) di HJ: http://www.fileqube.com/file/DxhwKAP165595

[wjmat]

Fai Start → esegui → digita services.msc (invio)
Cerca i servizi di acronis li selezioni → click dx proprietà → seleziona arresta → sotto Tipo di avvio seleziona manuale → OK

adaware rimuovilo

non vedo ancora sp3

carica un log di Combofix (leggi bene le info)

[xcdegasp]

cmq se non installa un antivirus e firewall è tutto tempo perso

[MaD85]

Quote:

Originariamente inviato da wjmat

Fai Start → esegui → digita services.msc (invio)
Cerca i servizi di acronis li selezioni → click dx proprietà → seleziona arresta → sotto Tipo di avvio seleziona manuale → OK

adaware rimuovilo

non vedo ancora sp3

carica un log di Combofix (leggi bene le info)

Sto usando combofix, mi ha cihesto di riavviare il pc, ha riavviato e si vede solo la finestra blu del programma (senza nessuna icona sul desktop), e c'e' scritto "Attendere prego", sta così da 20 min circa, quanto dovrebbe durare in genere?

[wjmat]

dipende da quanto sei infetto e da altri fattori, dagli ancora tempo

[MaD85]

Uff, ci dev'essere stato qualche papocchio tra Avir, Online Armor e ComboFix.

Andando con ordine:

ho messo il SP3, ho installato Antivir e Online Armor, appena scaricato ComboFix Antivir lo segnala come file infetto.

Domanda: l'unico modo di evitare che si apra la finestrella che indica il file come infetto e' aggiungere il file nelle eccezioni dello scanner e del guard?

Perche' io ho provato a mettere sempre su ignore, ma la finestra ciccia fuori ogni 20 secondi...

Poi le istruzioni di combofix dicevano di togliere firewall e antivirus, ed e' quello che ho fatto, il problema probabilmente e' venuto quando ha riavviato e automaticamente si saranno riaperti al riavvio antivir e OA da soli? Tutto questo lo suppongo perche' mentre si rimaneva aperta la finestrella blu di Combofix la Barra delle Applicazioni era assente.

Durante tutto il tempo che la finestra era rimasta aperta dal riavvio, non dava piu' le scritte come prima del riavvio (quelle in cui dava informazioni sui file cancellati e non so cosa).

Fatto sta che ho forzato il riavvio e non funzionava piu' niente, ho dovuto ripristinare il backup con Acronis.

Ora chiedo: per usare combofix allora e' meglio disabilitare antivirus e firewall da msconfig? Così non dovrebbero riavviarsi al riavvio del pc a meno che non li riabiliti io?

Aspetto conferme o smentite. Tnx.

[wjmat]

Quote:

Originariamente inviato da MaD85

Uff, ci dev'essere stato qualche papocchio tra Avir, Online Armor e ComboFix.

Andando con ordine:

ho messo il SP3, ho installato Antivir e Online Armor, appena scaricato ComboFix Antivir lo segnala come file infetto.

Domanda: l'unico modo di evitare che si apra la finestrella che indica il file come infetto e' aggiungere il file nelle eccezioni dello scanner e del guard?

Perche' io ho provato a mettere sempre su ignore, ma la finestra ciccia fuori ogni 20 secondi...

Poi le istruzioni di combofix dicevano di togliere firewall e antivirus, ed e' quello che ho fatto, il problema probabilmente e' venuto quando ha riavviato e automaticamente si saranno riaperti al riavvio antivir e OA da soli? Tutto questo lo suppongo perche' mentre si rimaneva aperta la finestrella blu di Combofix la Barra delle Applicazioni era assente.

Durante tutto il tempo che la finestra era rimasta aperta dal riavvio, non dava piu' le scritte come prima del riavvio (quelle in cui dava informazioni sui file cancellati e non so cosa).

Fatto sta che ho forzato il riavvio e non funzionava piu' niente, ho dovuto ripristinare il backup con Acronis.

Ora chiedo: per usare combofix allora e' meglio disabilitare antivirus e firewall da msconfig? Così non dovrebbero riavviarsi al riavvio del pc a meno che non li riabiliti io?

Aspetto conferme o smentite. Tnx.

teoricamente basta disattivarli dall'icona accanto all'orologio
di oa avevi attivo sia firewall che controllo programmi?
che errore dava all'avvio?

[MaD85]

Al riavvio (dopo il riavvio forzato perche' ComboFix si era impantanato), non c'era piu' l'avvio veloce, i programmi che si avviavano all'avvio (anywallpaper, antivir, OA, i controlli volume, insomma ogni cosa) non si avviavano piu', se provavo ad avviare qlss programma, sia questi che firefox ad esempio, si apriva una finestra con il segnalino rosso di errore che mi diceva che non si potevano aprire (messaggio preciso non ricordo).

Ora, quando riavvio il pc mi da una BSOD, il codice della schermata e':

STOP: 0x000000F4 (0x00000003, 0x8A17E020, 0x8A17E194, 0x805D297C)

L'evento:

Quote:

Originariamente inviato da wjmat

teoricamente basta disattivarli dall'icona accanto all'orologio

Ma facendo così rimangono tutti e due disattivati anche al riavvio? O si riavviano e si attivano da soli? Perche' non potevo neanche controllare, la barra delle applicazioni non c'era proprio. Pero' i processi in bg si possono sempre avviare penso.

EDIT: ho arrestato il sistema e mi ha dato questo errore:

STOP: 0x000000F4 (0x00000003, 0x8A26E890, 0x8A26EA04, 0x805D297C)

Le parti in grassetto sono uguali alla stringa della precedente BSOD.

Leggermente diverso anche il mess dell'evento: http://img56.imageshack.us/img56/1908/anonimolb2.jpg

Il messaggio e questo, cambia solo la stringa dell'errore: http://img104.imageshack.us/img104/9793/dsc01333jl6.jpg, questa foto non l'ho fatta io.

[wjmat]

a quando risale l'immagina ripristinata di acronis?
puo darsi che gli manchino driver di periferiche aggiunte successivamente?

carica un nuovo log di hjt

[MaD85]

Non e' possibile, l'immagine l'ho creata stamattina, appena installati SP3, Antivir e OA.

Log di HJ: http://www.fileqube.com/file/cgjxzhhWC165794

Sto provando ad escludere da msconfig antivir e oa per vedere se sono loro a creare problemi. Mi sa che devo provare a disinstallarli, due processi di oa rimangono cmq in avvio nel task.

EDIT: ho disinstallato antivir e OA e il problema e' scomparso.

Penso sia stato per OA, dopo aver visto che l'apprendimento manuale o come si chiama dava fiducia a molti processi/programmi che non volevo far connettere a internet, ho messo a tutta la lista "non fidato" e "chiedi", probabilmente c'e' stato qualche papocchio perche' non funziona solo da firewall tradizionale (accesso a internet) ma permette/non permettere ai programmi o processi di modificare qualsiasi cosa.

L'unica soluzione allora e' spulciarsi la lista e non permette ai programmi che voglio io in particolare di non connettersi immagino...

Ripristino il backup ancora una volta, aggiusto OA, e uso ComboFix,

l'unica cosa che mi chiedo e' quella che ho gia' scritto sopra:

Quote:

Disattivandoli dal loro menu cliccando col dx sulla loro tray icon, rimangono poi disattivati anche al riavvio? O si riavviano e si attivano da soli? Perche' non potevo neanche controllare, la barra delle applicazioni non c'era proprio. Pero' i processi in bg si possono sempre avviare penso.

Perche' senno' si impapocchia di nuovo lol.

[wjmat]

sicuramente OA appena installato impone delle grosse restrizioni, facilmente sbloccabili con il learning mode

la barra non la vedevi più perchè avevi già lanciato combo immagino?

avevi provato a riavviare in modalità provvisoria?

ora non ho sottomano entrambi i programmi..., prova a disabilitarli solo dalla tray e riavviare senza usare combo così verifichi il successivo riavvio

altrimenti da msconfig togli la spunta agli eseguibili e ai servizi

[xcdegasp]

se chiudi completamente OA e disabiliti l'antivirus al riavvio saranno attivi nuovamente

[MaD85]

Quote:

Originariamente inviato da wjmat

la barra non la vedevi più perchè avevi già lanciato combo immagino?

Io ho chiuso OA e disabilitato Antivir cliccando sulla tray di quest'ultimo e levando la spunta alla voce del Guard.

Ho avviato ComboFix e ha iniziato a darmi dei risultati su file cancellati e nn so cos'altro.

Poi ha chiesto di riavviare, ho premuto ok o un tasto, nn ricordo com'era precisamente, e il pc si e' riavviato, al riavvio si e' aperta solamente la finestra blu di ComboFix, la barra delle applicazioni non e' comparsa, e aveva scritto sopra "Attendere prego", e nn si e' mosso per mezz'ora, ho riavviato spegnendo a forza il pc (prima ero entrato nel task manager con ctrl-alt-canc e avevo provato ad avviare explorer come processo, per poter aprire firefox e postare qua, ma explorer ne' firefox si avviavano dandomi errore).

Una volta riavviato ci sono stati i problemi che vi ho detto.

Probabilmente mentre Antivir e' rimasto disabilitato al riavvio (ma non ne sono sicuro domani controllo se rimane disabilitato togliendo semplicemente la spunta), OA invece no.

E s'e' impallato tutto.

Quindi probabilmente si disabilita anch'esso dal suo menu a tendina, e probabilmente rimane disabilitato anche al riavvio.

Domani provo a fare come ho scritto, se rimangono cmq attivi uso l'msconfig, e poi vado di ComboFix e postero' il log.

Quote:

avevi provato a riavviare in modalità provvisoria?

Ma quando ComboFix mi dice di riavviare, ammettendo di aver levato firewall e antivirus e connessione a internet, quando riavvia automaticamente devo far andare il pc in modalita' provvisoria, oppure lo faccio riavviare normalmente e pensa a tutto ComboFix?