www.MegaLab.it

[Funkmayer]

Ciao ragazzi, ho un problema abbastanza serio con Firefox e Internet Explorer. Ieri sera mentre stavo visionando un'immagine in un sito indicizzato da Google (niente porcherie XXX o Warez) la pagina mi ha fatto comparire un pop-up pubblicitario del tipo "scarica il software X per proteggere il pc", visto che erano presenti due pulsanti "ok" e "annulla", ho preferito chiudere Firefox tramite task manager per non incorrere nel pericolo di infettarmi con qualche malware. Fatto sta che da quel momento Firefox ha praticamente smesso di funzionare. Apro la pagina iniziale e non carica assolutamente nulla, riprovando dopo qualche secondo mi riporta un avviso di crash per "Runtime Error" che è stato inaspettatamente chiuso per Firefox.exe. IE ha praticamente lo stesso problema solo che non crasha ma anch'esso non carica nulla. La cosa strana è che Chrome (dal quale sto scrivendo) funziona perfettamente...così come il resto degli applicativi che necessitano connessione internet. Ho già provveduto a disinstallare Firefox e a re-installarlo ma senza risultato...avete qualche suggerimento da darmi?

grazie mille!

P.S. Firefox sta girando su XP S.P. 3 e il mio antivirus è Avast aggiornato all'ultima versione disponibile (così come anche le definizioni virus...)

[Funkmayer]

Update: nemmeno un ripristino configurazione di sistema ha risolto il problema....

[FDAC]

- Scarica ed installa Hijackthis dal link sottostante:
http://www.hijackthis.de/downloads/HJTInstall.exe
- lancia Hijackthis
- clicca su Do a system scan and save a logfile
- al termine della scansione verrà rilasciato un file di testo: salvalo sul Desktop perché lo dovrai inviare qui

[Funkmayer]

ecco il log di hijack, tramite questo sito l'ho già controllato e mi ha rilevato un file da cancellare, cosa che ho prontamente fatto. Non ricordo bene il nome del file ma conteneva le parole Hosts e messenger, per cui ho subito pensato fosse collegato al mio problema..

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Replay Media Catcher\FLVSrvc.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Valerio\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Valerio\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Valerio\Documenti\Downloads\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Ask and Record FLV Service] "C:\Programmi\Replay Media Catcher\FLVSrvc.exe" /run
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Valerio\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/Messenger ... E_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 9052341234
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Airytec Switch Off - Task Scheduler (SwOffScheduler) - Airytec - C:\Programmi\Airytec\Switch Off\swoff.exe
O23 - Service: Airytec Switch Off - Web Interface (SwOffWeb) - Airytec - C:\Programmi\Airytec\Switch Off\swoff.exe

Modificato tag code con tag memo - by The Doctor

[The Doctor]

Ciao Funkmayer ti invito a leggere questo post [!!!] Allegare contenuti alle discussioni - nuovo tag [MEMO]

[Funkmayer]

grazie Dctor, la prossima volta userò MEMO al posto di [code]

[The Doctor]

grazie Dctor, la prossima volta userò MEMO al posto di [code]

a te

[FDAC]

Rilancia Hijackthis:
- Do a System Scan Only
- spunta la casellina fianco di ogni singola voce che ti indicherò sotto
- una volta spuntate le voci:
- chiudi tutte le applicazioni aperte
- chiudi tutte le pagine del browser aperte
- in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:
O4 - HKLM\..\Run: [Ask and Record FLV Service] "C:\Programmi\Replay Media Catcher\FLVSrvc.exe" /run
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Valerio\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/Messenger ... E_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 9052341234
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab

POI

Scarica ed installa MalwareBytes:
http://www.aiutamici.com/software?id=80346
Prima di fare la scansione aggiornalo -clicca su Aggiornamento in alto-
Esegui una scansione completa del sistema.
Elimina tutto ciò che trova.
Invia il log.

[Funkmayer]

dunque, ho fixato quei valori in hijackthis, scaricato Malwarebytes, installato ma non si avvia! e per giunta non compare nemmeno tra i processi nel task manager!Ho come l'impressione che il danno sia ad un livello più profondo....

[Uomo_Senza_Sonno]

Esegui un tentativo con combofix rinominandolo con un nome di fantasia, poi posta il log che verrà generato dopo il riavvio del pc.
(a questo punto sarà meglio spostare in sicurezza...)

[FDAC]

Bravo Uomo senza Sonno.
Funk, ti posto la procedura completa per poter utilizzare al meglio Combofix, prendendo appunto spunto dall'intervento azzeccato di Uomo.

Scarica ComboFix da qui:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Quando lo salvi hai la possibilità di rinominare il file: rinomina l’exe in pippo.exe

● posiziona pippo.exe sul Desktop
● disconnettiti da Internet
● sconnetti, fisicamente, il modem dal computer
● accedi al sistema in modalità provvisoria con un account con privilegi di Amministratore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● senza eseguire altre operazioni, lascia che il tool completi la scansione e la fase di creazione del log
● al termine della operazione, il sistema verrà riavviato automaticamente (in caso contrario, riavvialo tu)

Note - durante la scansione:
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● potrebbe venire rilasciato un messaggio in relazione all' antivirus in uso: prosegui ignorando il messaggio
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consenti pure)

Verrà creato un log in Disco Locale C: dal nome combofix.txt che dovrai inviare qui.

Conclusa la scansione:
● riavvia il sistema in modalità normale
● ricollega, fisicamente, il modem al computer
● connettiti a Internet e invia il file di testo

N.B. Se non riuscissi in alcun modo ad utilizzare Combofix, segui questi semplici passi:

start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\pippo.exe" /killall
Premi OK, si dovrebbe avviare la scansione.

[Funkmayer]

Innanzitutto ringrazio tutti per la collaborazione e vi aggiorno sulla situazione. Basandomi sul fatto che veniva inibito l'avvio di MalwareBytes ho googlato un po' e ho scoperto di essere infetto dal famigerato rootkit TDSS. Ho immediatamente scaricato il tool di rimozione compilato da Kapersky che me l'ha prontamente individuato e successivamente eliminato. Successivamente in modalità provvisoria e con privilegi da amministratore ho dato una ripassata con ComboFix, SmitfraudFix e MalwareBytes (che naturalmente era tornato a funzionare insieme a Firefox e IE). Di seguito i log dei 3 tool:

Combofix:

ComboFix 10-10-19.04 - Valerio 20/10/2010 21.22.24.1.1 - x86 NETWORK
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.1023.829 [GMT 2:00]
Eseguito da: c:\documents and settings\Valerio\Documenti\Download\ComboFix.exe
AV: avast! antivirus 4.8.1296 [VPS 101020-1] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2010-09-20 al 2010-10-20 )))))))))))))))))))))))))))))))))))
.

2010-10-20 18:56 . 2010-10-20 18:56 -------- d-----w- c:\documents and settings\Valerio\Dati applicazioni\Malwarebytes
2010-10-20 17:58 . 2010-10-20 17:58 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-10-20 17:58 . 2010-10-20 17:58 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-10-20 17:53 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-20 17:53 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-20 15:21 . 2010-10-20 15:21 -------- d-----w- c:\programmi\CCleaner
2010-10-20 12:12 . 2010-10-20 12:12 -------- d-----w- c:\windows\system32\wbem\Repository
2010-10-15 23:36 . 2010-10-15 23:36 -------- d-----w- c:\documents and settings\Valerio\Dati applicazioni\Airytec
2010-10-15 23:36 . 2010-10-15 23:36 -------- d-----w- c:\programmi\Airytec
2010-10-14 01:07 . 2008-04-14 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll
2010-10-08 19:06 . 2010-10-08 19:06 -------- d-----w- c:\programmi\File comuni\Adobe
2010-10-05 22:15 . 2010-10-05 22:15 -------- d-----w- c:\programmi\iPod
2010-10-05 22:14 . 2010-10-05 22:15 -------- d-----w- c:\programmi\iTunes
2010-10-05 22:10 . 2010-10-05 22:10 -------- d-----w- c:\programmi\Bonjour
2010-09-30 09:43 . 2010-10-18 14:03 -------- d-----w- C:\FarmVilleBot_2.1
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\programmi\Mozilla Firefox\plugins\nppdf32.dll
2010-09-21 10:09 . 2010-09-21 10:09 -------- d-----w- c:\documents and settings\Valerio\Impostazioni locali\Dati applicazioni\Identities

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 77824]
"StartCCC"="c:\programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-07-14 98304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Programmi\\Charles\\Charles.exe"=
"c:\\Programmi\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [20/09/2010 14.04.27 691696]
S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [14/07/2010 0.39.55 111184]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [14/07/2010 0.39.55 20560]
S2 SwOffScheduler;Airytec Switch Off - Task Scheduler;c:\programmi\Airytec\Switch Off\swoff.exe -service c:\programmi\Airytec\Switch Off\swoff.exe -service
S2 SwOffWeb;Airytec Switch Off - Web Interface;c:\programmi\Airytec\Switch Off\swoff.exe -service c:\programmi\Airytec\Switch Off\swoff.exe -service
.
Contenuto della cartella 'Scheduled Tasks'

2010-10-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-117609710-1659004503-1801674531-1003Core.job
- c:\documents and settings\Valerio\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2010-08-31 14:05]

2010-10-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-117609710-1659004503-1801674531-1003UA.job
- c:\documents and settings\Valerio\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2010-08-31 14:05]
.
.
------- Scansione supplementare -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Valerio\Dati applicazioni\Mozilla\Firefox\Profiles\24ww12yh.default\
FF - prefs.js: browser.startup.homepage - www.google.it
FF - component: c:\programmi\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\documents and settings\Valerio\Impostazioni locali\Dati applicazioni\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

SafeBoot-klmdb.sys


.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(784)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1684)
c:\windows\system32\WININET.dll
.
Ora fine scansione: 2010-10-20 21:25:47
ComboFix-quarantined-files.txt 2010-10-20 19:25

Pre-Run: 20.100.669.440 byte disponibili
Post-Run: 20.103.077.888 byte disponibili

SmitfraudFix

SmitFraudFix v2.423

Scan done at 22.19.02,35, 20/10/2010
Run from C:\Documents and Settings\Valerio\Documenti\Download\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\Valerio\Documenti\Download\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Valerio


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Valerio\IMPOST~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Valerio\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Valerio\PREFER~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programmi


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Pagina iniziale corrente"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"RequireSignedAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller - Miniport dell'Utilità di pianificazione pacchetti
DNS Server Search Order: 10.0.0.1
DNS Server Search Order: 10.0.0.2

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5C9D10BA-32B3-4DEE-8BCA-CB5B6BB3D972}: DhcpNameServer=10.0.0.1 10.0.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5C9D10BA-32B3-4DEE-8BCA-CB5B6BB3D972}: DhcpNameServer=10.0.0.1 10.0.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\..\{5C9D10BA-32B3-4DEE-8BCA-CB5B6BB3D972}: DhcpNameServer=10.0.0.1 10.0.0.2
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.1 10.0.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.1 10.0.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.1 10.0.0.2


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

MalwareBytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4895

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

20/10/2010 22.37.41
mbam-log-2010-10-20 (22-37-41).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 182424
Tempo trascorso: 16 minuti, 9 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

Potreste dare uno sguardo per controllare se è tutto ok? Grazie di nuovo!

[The Doctor]

(a questo punto sarà meglio spostare in sicurezza...)

Provvedo Vi ricordo che chiunque può segnalare qualsiasi post (per qualunque motivo ritenuto opportuno) cliccando sul punto esclamativo facilitando il lavoro a noi mod

[Uomo_Senza_Sonno]

Secondo me il tool di kaspersky ha rimosso tutto, infatti dai log postati non si nota nulla di sporco. Non dovresti avere nemmeno problemi con i browser, e nemmeno di navigazione.

rovvedo Vi ricordo che chiunque può segnalare qualsiasi post (per qualunque motivo ritenuto opportuno) cliccando sul punto esclamativo facilitando il lavoro a noi mod

Senz'altro, mi sono dimenticato di questa funzione Doc

[Funkmayer]

Secondo me il tool di kaspersky ha rimosso tutto, infatti dai log postati non si nota nulla di sporco. Non dovresti avere nemmeno problemi con i browser, e nemmeno di navigazione.

infatti ora tutto è tornato alla normalità e i browser funzionano alla perfezione, mi spiace solo che Avast non me l'abbia individuato, di solito è molto solerte con le minacce provenienti dalla rete...

[Uomo_Senza_Sonno]

Se non è aggiornatissimo è soggetto anche lui a queste sviste... a meno che non usi insieme un firewall come comodo (articoli sull'argomento ovviamente qui, su MLI)

[Funkmayer]

a distanza di un giorno dalla risoluzione tutto sembra essere tornato alla normalità e non c'è piu stato nessun problema. Mi pare giusto quindi ringraziare Uomo_senza_sonno, FDAC e Doctor per essermi venuti in aiuto. Una volta ancora questo forum (e naturalmente il sito) si conferma come uno dei migliori!

[FDAC]

Di nulla Fanky.
P.S. Fai pulizia con questi due programmini standalone, dopo riavvi, li cestini, e sei a posto :)

• Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.

• Scarica TFC by OldTimer sul desktop (serve per ripulire le cartelle Temp, di tutti gli account)
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "start"
al termine della scansione ti chiederà il riavvio, dai ok.

[gianpietro]

Ciao FDAC vorrei segnalarti un problema con i due link che sono stati inseriti nella tua ultima risposta
cercando di accedere il mio sistema di protezione basato su:TrendMicro protezione per Ps3 ne
impedisce l'accesso segnalandoli come siti pericolosi.

Complimenti a tutti voi per l'ottima assistenza fornita nel risolvere il problema in questione.

[FDAC]

I link a mio parere sono puliti :)
Grazie e ciao!