[Risolto]Browser impazzito
Salve a tutti. Sono nuova ed è la prima volta che scrivo in un forum. Ho il seguente problema: qualunque browser io utilizzi, i link vengono reindirizzati su siti come thealltimes.com, secure.bidvertiser.com, dressupenjoygames.com, search.bpath.com.
Ho usato malwarebytes, combofix, ccleaner, hijackthis, ma senza successo. Probabilmente sbaglio qualcosa. Potete aiutarmi? Grazie. Rosetta
re: [Risolto]Browser impazzito
Incomincia a presentarti qui:
Presentati alla Community
Segui queste due guide per ripulire il tuo pc:
[Guida] HiJackThis: come creare e allegare il log
[Guida] Come ripulire un computer infetto
Inviaci i log di malwarebytes , combofix e Hijacthis.
NO ai messaggi privati , utilizziamo il forum , grazie per l'attenzione.
re: [Risolto]Browser impazzito
Ciao, tecnico24, grazie per avermi risposto.Originariamente Scritto da tecnico24
Come spiegavo nel primo messaggio, avevo già provato ad lanciare malwarebytes, combofix e hijackthis.
La prima volta che ho lanciato combofix credevo di aver risolto perchè aveva trovato il BootKit Sinowal; durante la procedura, avviata in modalità provvisoria, combofix mi ha chiesto più volte di riavviare il sistema. Alla fine della procedura, come spiegavano in un forum, ho disattivato il ripristino della configurazione di sistema, ho disinstallato combofix con OTC.exe, e ho perso quel prezioso log che non posso allegarti! Alla fine della procedura avrei dovuto riattivare il ripristino della configurazione di sistema, ma stranamente l'ho trovato già attivato. Ho notato anche che l'ultimo punto di ripristino, e anche unico, è il punto di arresto del sistema creato, a guardare l'orario, a conclusione delle operazioni che ti ho illustrato.
Ovviamente, il problema persiste e mi sono iscritta al vostro forum.
Ieri ho rilanciato i tre programmi (sempre in modalità provvisoria) e ti allego i log. Grazie.
ComboFix-quarantined-files.txt:
Codice:2012-02-10 18:36:06 . 2012-02-10 18:36:06 15,319 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg 2012-02-10 17:50:04 . 2012-02-10 18:19:43 153 ----a-w- C:\Qoobox\Quarantine\catchme.logCodice:Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Versione database: v2012.02.08.03 Windows XP Service Pack 3 x86 NTFS (Modalità provvisoria) Internet Explorer 8.0.6001.18702 Rossella :: ROSY-NOTEBOOK [amministratore] 10/02/2012 19.48.31 mbam-log-2012-02-10 (19-48-31).txt Tipo di scansione: Scansione completa Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM Opzioni di scansione disattivate: P2P Elementi esaminati: 531191 Tempo impiegato: 3 ore, 27 minuti, 5 secondi Processi rilevati in memoria: 0 (non sono stati rilevati elementi nocivi) Moduli di memoria rilevati: 0 (non sono stati rilevati elementi nocivi) Chiavi di registro rilevate: 0 (non sono stati rilevati elementi nocivi) Valori di registro rilevati: 0 (non sono stati rilevati elementi nocivi) Voci rilevate nei dati di registro: 0 (non sono stati rilevati elementi nocivi) Cartelle rilevate: 0 (non sono stati rilevati elementi nocivi) File rilevati: 0 (non sono stati rilevati elementi nocivi) (fine)Codice:Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 23.20.11, on 10/02/2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\explorer.exe C:\Programmi\Trend Micro\HijackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe" O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user') O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000 O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {5727FF4C-EF4E-4d96-A96C-03AD91910448} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_ind.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4384EE44-2D3F-4121-995B-B6D0B929C38F}: NameServer = 62.101.93.101,83.103.25.250 O17 - HKLM\System\CCS\Services\Tcpip\..\{B2E1D44B-F098-4709-B724-6356D98EF27D}: NameServer = 192.168.0.1 O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: GT Detect (GtDetectSc) - OptionNV - C:\WINDOWS\system32\GtDetectSc.exe O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe -- End of file - 4186 bytesCodice:ComboFix 12-02-10.03 - Rossella 10/02/2012 19.25.25.3.1 - x86 MINIMAL Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.2038.1746 [GMT 1:00] Eseguito da: c:\documents and settings\Rossella\Desktop\ComboFix.exe AV: AntiVir Desktop *Disabled/Outdated* {7698207D-3FB0-003F-AC1D-9876381E9876} AV: AntiVir Desktop *Enabled/Updated* {0012F2B4-5CE9-7C92-0300-000100000000} . . ((((((((((((((((((((((((( Files Creati Da 2012-01-10 al 2012-02-10 ))))))))))))))))))))))))))))))))))) . . 2012-02-10 17:39 . 2012-02-10 17:39 388096 ----a-r- c:\documents and settings\Rossella\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe 2012-02-09 18:58 . 2012-02-09 18:58 -------- d-----w- c:\programmi\SecurityXploded 2012-02-08 16:07 . 2012-02-08 16:07 -------- d-----w- c:\documents and settings\Rossella\Dati applicazioni\Malwarebytes 2012-02-08 16:06 . 2012-02-08 16:06 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes 2012-02-08 16:06 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys 2012-02-08 16:06 . 2012-02-08 16:13 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware 2012-02-06 11:58 . 2012-02-06 11:58 119808 --sha-r- c:\windows\system32\iphlpapic.dll 2012-01-22 11:59 . 2012-02-01 18:37 45016 ----a-w- c:\programmi\Mozilla Firefox\mozutils.dll 2012-01-22 11:59 . 2012-01-22 11:59 626688 ----a-w- c:\programmi\Mozilla Firefox\msvcr80.dll 2012-01-22 11:59 . 2012-01-22 11:59 548864 ----a-w- c:\programmi\Mozilla Firefox\msvcp80.dll 2012-01-22 11:59 . 2012-01-22 11:59 479232 ----a-w- c:\programmi\Mozilla Firefox\msvcm80.dll 2012-01-22 11:39 . 2012-01-22 11:39 65024 ----a-w- c:\windows\system32\ieframe.oca 2012-01-22 11:01 . 2012-01-22 11:01 36352 ----a-w- c:\windows\system32\MSADODC.oca 2012-01-22 10:11 . 2012-01-22 10:11 -------- d-----w- C:\Copia di KeepWEB 2012 01 20 2012-01-22 10:09 . 2012-01-22 10:10 -------- d-----w- C:\KeepWEB 2012 01 20 . . . (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-01-22 19:50 . 2009-11-29 19:39 70144 ----a-w- c:\windows\system32\MSDATLST.oca 2012-01-22 11:01 . 2009-11-29 19:39 66048 ----a-w- c:\windows\system32\MSDATGRD.oca 2012-01-22 10:57 . 2009-10-14 12:42 76800 ----a-w- c:\windows\system32\msflxgrd.oca 2012-01-03 09:59 . 2011-09-10 16:44 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2011-11-25 21:57 . 2004-08-19 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll 2011-11-23 14:40 . 2004-08-19 12:00 1859584 ----a-w- c:\windows\system32\win32k.sys 2011-11-20 06:12 . 2004-08-19 12:00 60928 ----a-w- c:\windows\system32\packager.exe 2011-11-16 14:22 . 2004-08-19 12:00 354816 ----a-w- c:\windows\system32\winhttp.dll 2011-11-16 14:22 . 2004-08-19 12:00 152064 ----a-w- c:\windows\system32\schannel.dll 2010-01-27 08:29 . 2010-02-20 17:24 3235154 ----a-w- c:\programmi\npp.5.6.6.Installer.exe 2012-02-01 18:37 . 2011-11-12 15:57 134104 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll . . ((((((((((((((((((((((((((((((((((((( Punti Reg Caricati )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Nota* i valori vuoti & legittimi/default non sono visualizzati. REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296] "Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712] "GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072] "SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2011-04-08 254696] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "DWQueuedReporting"="c:\progra~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" [2008-11-04 435096] . [HKLM\~\startupfolder\C:^Documents and Settings^Rossella^Menu Avvio^Programmi^Esecuzione automatica^Ritaglio schermata e avvio di OneNote 2007.lnk] backup=c:\windows\pss\Ritaglio schermata e avvio di OneNote 2007.lnkStartup . [HKLM\~\startupfolder\C:^Documents and Settings^Rossella^Menu Avvio^Programmi^Esecuzione automatica^Widget vodafone.lnk] backup=c:\windows\pss\Widget vodafone.lnkStartup . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KLOnlineUpdater] ? [?] . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KLProtectionEnabler] ? [?] . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] 2008-10-25 10:44 31072 ----a-w- c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programmi\\Messenger\\msmsgs.exe"= "c:\\Programmi\\TeamViewer\\Version6\\TeamViewer.exe"= "c:\\Programmi\\TeamViewer\\Version6\\TeamViewer_Service.exe"= "%windir%\explorer.exe"= %windir%\explorer.exe . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "65533:TCP"= 65533:TCP:Services "52344:TCP"= 52344:TCP:Services "3246:TCP"= 3246:TCP:Services "2479:TCP"= 2479:TCP:Services "3389:TCP"= 3389:TCP:Remote Desktop "4652:TCP"= 4652:TCP:Services "7804:TCP"= 7804:TCP:Services "6578:TCP"= 6578:TCP:Services "4039:TCP"= 4039:TCP:Services "5410:TCP"= 5410:TCP:Services "9320:TCP"= 9320:TCP:Services "9134:TCP"= 9134:TCP:Services "5087:TCP"= 5087:TCP:Services "2962:TCP"= 2962:TCP:Services "2589:TCP"= 2589:TCP:Services . R3 lgbusenum;LG Bluetooth Bus Enumerator;c:\windows\system32\drivers\lgbtbus.sys [19/06/2009 12.59.02 10496] S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [17/02/2009 12.22.24 691696] S2 GtDetectSc;GT Detect;c:\windows\system32\GtDetectSc.exe [12/06/2009 11.56.06 167936] S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [12/02/2010 7.14.20 135664] S3 Camdrv30;Philips ToUcam XS;c:\windows\system32\drivers\camdrv30.sys [07/09/2009 8.47.48 171264] S3 GTFFBUS;GT FF BUS;c:\windows\system32\drivers\gtffbus.sys [12/06/2009 11.56.04 17024] S3 GTMNDISIRPXP;GT M 3G+ IRP NDIS;c:\windows\system32\drivers\Gtm51Irp.sys [12/06/2009 11.56.06 115840] S3 GTUQBUS;GT UQ BUS;c:\windows\system32\drivers\gtuqbus.sys [12/06/2009 11.56.06 34560] S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [12/02/2010 7.14.20 135664] S3 LgBttPort;LGE Bluetooth TransPort;c:\windows\system32\drivers\lgbtport.sys [19/06/2009 12.59.04 12032] S3 lgmdbus;LG Mobile driver (WDM);c:\windows\system32\drivers\lgmdbus.sys [15/12/2010 4.52.22 89600] S3 lgmdmdfl;LG Mobile USB WMC Modem Filter;c:\windows\system32\drivers\lgmdmdfl.sys [15/12/2010 4.52.22 14976] S3 lgmdmdm;LG Mobile USB WMC Modem Driver;c:\windows\system32\drivers\lgmdmdm.sys [15/12/2010 4.52.22 121344] S3 lgmdmgmt;LG Mobile USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\lgmdmgmt.sys [15/12/2010 4.52.22 114944] S3 lgmdobex;LG Mobile USB WMC OBEX Interface;c:\windows\system32\drivers\lgmdobex.sys [15/12/2010 4.52.22 111232] S3 LGVMODEM;LGE Virtual Modem;c:\windows\system32\drivers\lgvmodem.sys [19/06/2009 12.59.10 12928] S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [01/01/2010 7.08.43 7680] S3 phil2vid;Fotocamera VGA USB Philip;c:\windows\system32\drivers\philcam2.sys [07/09/2009 9.02.52 173696] S3 xpsec;Driver IPSEC;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?] S3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\drivers\ZTEusbnet.sys [01/01/2010 7.09.53 110080] S3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\drivers\zteusbvoice.sys [01/01/2010 7.09.33 104960] S4 msvsmon80;Visual Studio 2005 Remote Debugger;c:\programmi\Microsoft Visual Studio 2005\Common7\IDE\Remote Debugger\x86\msvsmon.exe [09/12/2005 9.39.38 2799808] . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] getPlusHelper REG_MULTI_SZ getPlusHelper . Contenuto della cartella 'Scheduled Tasks' . 2012-02-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programmi\Google\Update\GoogleUpdate.exe [2010-02-12 18:14] . 2012-02-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programmi\Google\Update\GoogleUpdate.exe [2010-02-12 18:14] . 2012-02-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-879983540-839522115-1005Core.job - c:\documents and settings\Rossella\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2010-06-30 13:24] . 2012-02-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-879983540-839522115-1005UA.job - c:\documents and settings\Rossella\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2010-06-30 13:24] . 2012-02-10 c:\windows\Tasks\ZIXJOLPRZI.job - c:\windows\system32\iphlpapic.dll [2012-02-06 11:58] . . ------- Scansione supplementare ------- . uStart Page = hxxp://www.google.it/ uInternet Connection Wizard,ShellNext = iexplore IE: E&sporta in Microsoft Excel - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000 Trusted Zone: intesasanpaolo.com\www TCP: Interfaces\{4384EE44-2D3F-4121-995B-B6D0B929C38F}: NameServer = 62.101.93.101,83.103.25.250 TCP: Interfaces\{B2E1D44B-F098-4709-B724-6356D98EF27D}: NameServer = 192.168.0.1 FF - ProfilePath - c:\documents and settings\Rossella\Dati applicazioni\Mozilla\Firefox\Profiles\c874q5lp.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/ FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2012-02-10 19:40 Windows 5.1.2600 Service Pack 3 NTFS . scansione processi nascosti ... . scansione entrate autostart nascoste ... . Scansione files nascosti ... . Scansione completata con successo Files nascosti: 0 . ************************************************************************** . --------------------- CHIAVI DI REGISTRO BLOCCATE --------------------- . [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\|˙˙˙˙À|ù9~*] "0140710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*] "OODEFRAG12.00.00.01PROFESSIONAL"="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" . --------------------- Dlls caricate dai processi in esecuzione --------------------- . - - - - - - - > 'explorer.exe'(344) c:\windows\system32\WININET.dll . Ora fine scansione: 2012-02-10 19:45:19 ComboFix-quarantined-files.txt 2012-02-10 18:45 . Pre-Run: 31.529.541.632 byte disponibili Post-Run: 31.513.645.056 byte disponibili . - - End Of File - - D632D9415BF13280F60E8577F6C75A4F
re: [Risolto]Browser impazzito
Ciao Rosetta ,
Mi è utile il log di Hijackthis in modalità normale e non in quella provvisoria.
Poi procedo alla lettura dei vari log e vedremo se si tratta di bootkit.
NO ai messaggi privati , utilizziamo il forum , grazie per l'attenzione.
re: [Risolto]Browser impazzito
Ciao, ti allego il log di Hijackthis in modalità normale. Avevo dimenticato un particolare, non so se può essere importante: combofix mi ha sempre segnalato la presenza di un antivirus in esecuzione, anche se avevo disinstallato Avira e anche rimosso le chiavi di registro con un programma trovato su internet.
Ti ringrazio.
Codice:Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 18.41.04, on 10/02/2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\GtDetectSc.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Java\jre6\bin\jqs.exe C:\Programmi\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\Programmi\Mozilla Firefox\plugin-container.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\msiexec.exe C:\Programmi\Trend Micro\HijackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe" O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user') O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000 O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {5727FF4C-EF4E-4d96-A96C-03AD91910448} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_ind.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4384EE44-2D3F-4121-995B-B6D0B929C38F}: NameServer = 62.101.93.101,83.103.25.250 O17 - HKLM\System\CCS\Services\Tcpip\..\{B2E1D44B-F098-4709-B724-6356D98EF27D}: NameServer = 192.168.0.1 O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: GT Detect (GtDetectSc) - OptionNV - C:\WINDOWS\system32\GtDetectSc.exe O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe -- End of file - 4831 bytes
re: [Risolto]Browser impazzito
Avvia Hijackthis
dal menu principale ( Main Menu ) clicca su Open the misc tools selection
Clicca sulla voce Open ADS spy
Leva la spunta da Quick scan ( Windows base folder only )
Clicca sul pulsante Scan
Attendi , ed al termine seleziona le voci ( tutte ) e clicca sul pulsante Remove Selected.
Scaricati questo tool - link alternativo http://www.smartestcomputing.us.com/...otkit-remover/
e salvalo nel disco locale C:\.
Avvialo e si aprirà una finestra ( prompt dei comandi ) per eseguire le istruzioni stesse del tool
bene a questo punto vai in Start-esegui e digita C:\remover.exe fix \\.\PhisicalDrive0
conferma con ok e anche per il riavvio del pc.
N . B: l'ultima operazione riscrive il boot sector.
In caso di problemi avrai bisogno del cd di windows xp ed utilizzare i comandi fixboot e fixmbr.
Ultima modifica di tecnico24; 12-02-2012 alle 20:35 Motivo: link
NO ai messaggi privati , utilizziamo il forum , grazie per l'attenzione.
re: [Risolto]Browser impazzito
Ciao, grazie per avermi risposto.
Ho rimosso tutte le voci elencate da hijackthis; erano moltissime.
Ho scaricato il tool (l'eseguibile che ho scaricato dal link alternativo si chiama bootkit_remover.exe e non remover.exe, spero sia lo stesso).
Il primo avvio mi ha dato il seguente risultato:
MBR Status: OK <DOS/Win32 Boot code found>
Il secondo (da start+esegui) mi ha dato un errore:
CreateFile <> ERROR 2 - Can't open physical disk device.
Dopo il riavvio del sistema (non richiesto dal programma) osservo il seguente comportamento del browser:
alcuni link funzionano benissimo (quelli di pagine mai visitate, mi sembra ad una prima analisi), altri danno il solito problema.
Ad esempio, ricerca di Michelin, poi click su Itinerari, vengo spedita sul sito lp.imesh.com (download music) passando per:
thealltimes.com, 0da5.credit-crush.com, 0da.drink-connection.com, 66.230.138.117, aff.ringtonerpartner.com, Download Free Songs - Free iPod Music Downloads - Top Songs - iMesh.com Music (li vedo nella cronologia e sono preceduti tutti da un quadratino tratteggiato).
Cosa ne pensi?
Grazie per l'attenzione. Rosa
re: [Risolto]Browser impazzito
Scarica Navilog1:
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
Salvalo sul desktop
Disconnettiti da internet
Chiudi l'antivirus e il firewall
Esegui il tool e seleziona la lingua italiana
scegli l'opzione 1
Dopo aver finito la scansione premi l'opzione 2 e dopo il riavvio posta nel forum il suo log che trovi in C:\ [ cleannavi.txt ]
Scarica Tcp/ip Repair
http://www.xp-smoker.com/downloads/xptcprep.exe
Chiudi la connessione
Avvia il tool
Clicca su Reset TCP/IP
Riavvia il Computer
Scarica DelDomains
http://www.mvps.org/winhelp2002/DelDomains.inf
salvalo sul desktop.
Tasto destro su di esso e clicca su Installa.
Scarica Ccleaner:
http://download.html.it/software/get...ccleaner-free/
Dalla sezione Pulizia clicca su Analizza ed attendi la fine della scansione...al termine clicca su "Avvia Pulizia".
Nella sezione Registro clicca su Trova problemi e quando ha finito su Ripara Selezionati cliccando su si per il Backup.
NO ai messaggi privati , utilizziamo il forum , grazie per l'attenzione.
re: [Risolto]Browser impazzito
Ciao, ho eseguito il punto 1 di navilog1. Il punto 2 mi chiede il nome dell'archivio da pulire, ma, visto che non ha trovato nulla, non è stato possibile eseguirlo.
Ti posto il log:
Procedo comunque con le altre operazioni?Codice:Fix Navipromo version 4.1.1 scansione iniziata il 13/02/2012 19.33.18,31 !!! Attenzione,questa scansione potrebbe rilevare archivi/programmi legittimi !!! !!! Postate questo log all'interno dei Forum per farlo analizzare !!! Fix effettuato da C:\navilog1 Aggiornamento del 05.11.2011 delle ore 20h00 effettuata da IL-MAFIOSO Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3 X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.60GHz ) BIOS : Ver 1.00PARTTBLX USER : Rossella ( Administrator ) BOOT : Normal boot Antivirus : AntiVir Desktop 10.0.1.56 (Activated) C:\ (Local Disk) - NTFS - Total:74 Go (Free:29 Go) F:\ (CD or DVD) La Ricerca è stata effettuata in modalità normale Nessuna Infezione Navipromo/Egdaccess trovata *** Scan terminato 13/02/2012 19.33.53,10 ***
Grazie. R.
re: [Risolto]Browser impazzito
Ciao, ho completato tutte le operazioni che mi hai indicato, ma il problema persiste. Grazie, comunque. Rosa
re: [Risolto]Browser impazzito
Ciao rosetta ,
i log che ho analizzato sono puliti.
Scarica Kaspersky TDSS Killer:
http://support.kaspersky.com/downloa...tdsskiller.exe
● Chiudi tutti i programmi aperti
● Clicca su Start Scan per avviare la scansione
● Se trova file infetti l'azione da intrapendere sarà Cure , invece se trova quello sospetto su Skip
● Al termine posta il suo relativo log caricandolo su Wikisend: free file sharing service
Hai eseguito correttamente l'operazione con Deldomains?internet explorer apre sempre pagine indesiderate?
NO ai messaggi privati , utilizziamo il forum , grazie per l'attenzione.
re: [Risolto]Browser impazzito
Ciao, ho eseguito Deldomains (tasto destro + installa).
Stasera ho eseguito Kaspersky TDSS Killer e questo è il link per il download:
Wikisend: free file sharing service
Ha trovato il Malware Backdoor.win32.Sinowal.knf e dovrebbe averlo curato.
Ma, dopo il riavvio del sistema, ho sempre il solito problema: mozilla, al primo click sul link del vostro forum, mi ha spedito su homecasinogame.com.
Però alcuni link funzionano normalmente.
Vorrei farti notare che, come ti ho scritto nel messaggio dell'11/02 delle 10:58, anche combofix aveva trovato il bootkit Sinowal.
Non so se dico una sciocchezza, ma mi sembra che si autoreplichi! Forse ho fatto qualche pasticcio quando ho provato a disinstallare combofix. Ti dispiacerebbe rileggere quel messaggio?
Ti ringrazio ancora. E' un caso senza speranza?
re: [Risolto]Browser impazzito
La speranza è sempre ultima a morire
Disattiva il ripristino configurazione di sistema:
Tasto destro su Risorse del computer
Scheda Ripristino configurazione di sistema
spunta il flag su disattiva
Applica e dai Ok.
Scarica MBRCheck:
http://ad13.geekstogo.com/MBRCheck.exe
Salvalo direttamente in C:\
doppio click su di esso ed attendi il termine della scansione.
Se esce:
Windows xp MBR code detected
Allora il pc è pulito.
Se esce:
Found non-standard or infected MBR
l'mbr è infetto.
Posta ovviamente il suo report.
In caso di infezione provvederemo a riscrivere toltamente l'mbr tramite il CD di windows XP.
Inserisci il CD di installazione di XP
Tramite il menu portati alla console di ripristino con il tasto R
Dal prompt dei comandi digita:
fixboot c: - INVIO
fixmbr -INVIO
Riavvia il computer.
NO ai messaggi privati , utilizziamo il forum , grazie per l'attenzione.
re: [Risolto]Browser impazzito
Ciao,
il programma MBRCheck non ha rilevato nulla poichè mi ha dato Windows xp MBR code detected.
Ti segnalo che, prima di mandarlo in esecuzione, avevo reinstallato Avira.
Subito dopo il download di MBRCheck, ma prima di avviarlo, Avira ha trovato il Malware 'TR/Crypt.ULPM.Gen' nel file C:\Document and Setting\....\tdsskiller.exe (cioè proprio nel programma che ho usato ieri!) e sempre lo stesso Malware in C:\System Volume Information\...\A0002854.exe. Ci può essere un collegamento?
Ho riattivato il ripristino configurazione di sistema.
Ho sempre il solito problema. Ti faccio un esempio: cerco su Google TomshW, click su Forum, mi manda su Puzzleovergames.com/find/?query=tomshw&n=1329328583 e, subito dopo, su fightingpowergames.com/find?query=tomshw&sid=1&saff=100.
Ho attivato dagli strumenti di Mozilla "Avvisa se un sito web cerca di reindirizzare o ricaricare la pagina" e, a volte Mozilla impedisce alla pagina il reindirizzamento automatico verso un'altra pagina, a volte consente il reindirizzamento senza segnalare nulla, a volte funziona tutto normalmente.
Ti ringrazio per l'attenzione.
re: [Risolto]Browser impazzito
Ciao , il file che ti rileva avira è inerente a TDSS killer e al ripristino configurazione : non dovevi riattivarlo , non ti era stato scritto.
Per quanto riguarda le pagine pubblicitarie , io riscriverei l'mbr che , anche se mbrcheck segnala pulito , è stato "infettato" da un malware.
Da lì potremmo trarre molte conclusioni
Saluti.
NO ai messaggi privati , utilizziamo il forum , grazie per l'attenzione.
Ci sono attualmente 1 utenti che stanno visualizzando questa discussione. (0 utenti e 1 ospiti)
Permessi di Scrittura
Internet
LinkBack URL
About LinkBacks
Rispondi Citando
