PDA

Visualizza la versione completa : Internet Explorer si avvia da solo, Firefox apre pagine pubblicitarie


 
Fxyz4ever
13-04-2009, 23:51
Ciao a tutti...
Ho 2 problemi:

1) all'avvio di Windows, sul Task Manager, sui processi c'è un iexplore che occupa circa 20 mega di RAM.
Ho accertato tramite il programma procexp che questo processo proviene dal file C:\Program Files\Internet Explorer\iexplore. Quindi non è un virus che si chiama iexplore, ma qualche malware che fa avviare da solo Internet Explorer. Però se da procexp vado a vedere la command line, vedo scritto


"C:\Program Files\Internet Explorer\Iexplore.exe" http://www.fulldotfind.com/pubac/ac.php?aid=90&sid=v300

Come se qualche malware facesse aprire internet explorer per visualizzare quel sito pubblicitario. Ho provato anche ad aprire quel sito fulldotfind.com ma è inesistente.

Chiarisco che c'è soltanto il processo, mentre l'applicazione vera e propria di Internet Explorer non si apre.

Se invece elimino i processi iexplore, e successivamente apro Internet Explorer, mi dice che c'è stato un crash e mi chiede se voglio ripristinare le pagine. Se clicco di sì, ecco il panico, si aprono una ventina di finestre di Internet Explorer, che neanche ho fatto in tempo a vedere in che sito puntano visto che mi ha impallato tutto il pc e ho dovuto spegnerlo dal pulsante :dhò:

2) Su Firefox a volte ma non sempre, se clicco su un link, vengo hijackato su altri siti, a volte su un sito che dice di installare webmediaplayer, altre volte un sito di casinò, altre volte dice nothind found, altre volte un finto sito antivirus...

Già fatto scansione con Kaspersky, ad aware, ccleaner, spyware terminator, a squared, atf cleaner, Dr Web CureIt, CWShredder.

Invece Spybot si installa ma non parte, invece per superantispyware, malware bytes non parte neanche l'installer...

Non so più che fare...

Questo è il mio log HiJackThis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:44:19, on 2009-4-12
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Pure Networks Shared\Platform\nmsrvc.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\HiJackThis\lastchancescan.com.exe

O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - D:\装机文件\ComDlls\TDAtOnce_Now.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\装机文件\ComDlls\xunleiBHO_Now.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SafeMon Class - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - I:\Programmi\360safe\safemon\safemon.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.v bs" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.v bs" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.v bs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.v bs" (User 'Default user')
O8 - Extra context menu item: &使用超级旋风下载 - C:\Program Files\Tencent\QQDownload\geturl.htm
O8 - Extra context menu item: &使用超级旋风下载全部链接 - C:\Program Files\Tencent\QQDownload\getAllurl.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: 使用迅雷下载 - D:\装机文件\Program\geturl.htm
O8 - Extra context menu item: 使用迅雷下载全部链接 - D:\装机文件\Program\getallurl.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O9 - Extra button: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - D:\装机文件\Thunder.exe
O9 - Extra 'Tools' menuitem: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - D:\装机文件\Thunder.exe
O9 - Extra button: 网页流量保护状态 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program Files\Paltalk Messenger\Paltalk.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.icbc.com.cn
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA ~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPE R~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Linksys Updater (LinksysUpdater) - Unknown owner - C:\Program Files\Linksys\Linksys Updater\bin\LinksysUpdater.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Pure Networks Platform Service (nmservice) - Pure Networks, Inc. - C:\Program Files\Common Files\Pure Networks Shared\Platform\nmsrvc.exe

--
End of file - 7245 bytes

Gas75
14-04-2009, 01:24
Ciao, ti dico subito che di regola Internet Explorer dovrebbe stare in questa posizione:
C:\Programmi\Internet Explorer
quindi quello che ti occupa CPU (non RAM: Process Explorer dice chi occupa il processore...) sembra essere un falso browser...

Su HiJackThis sembra tu abbia un malware di nome Thunder.exe, nascosto nella partizione D, quindi ti consiglio di scansionare quella con Malwarebytes, dopo aver fixato da HiJackThis queste voci ed aver fatto una pulizia del registro con Ccleaner:

O8 - Extra context menu item: 使用迅雷下载 - D:\装机文件\Program\geturl.htm

O8 - Extra context menu item: 使用迅雷下载全部链接 - D:\装机文件\Program\getallurl.htm

O9 - Extra button: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - D:\装机文件\Thunder.exe

O9 - Extra 'Tools' menuitem: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - D:\装机文件\Thunder.exe

Secondo me i problemi dei due browser sono collegati da questa stessa causa.

Suggerisco allo staff di spostare il topic in Sicurezza.

darkkik
14-04-2009, 09:35
Visto che hai un problema di malware, postare nel forum "Sicurezza informatica e virus" mi sembra la cosa più corretta...sposto.

Deifobe
14-04-2009, 12:12
Grazie darkkik :)

Thunder.exe appartiene a Thunder Download ....(download manager cinese)
l'hai installato tu?

=====

Scarica navilog1.exe_il mafioso (http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe) sul desktop e installalo.
Eseguilo, scegli la lingua e, al menù di scelta, seleziona l'opzione 1 (non scegliere le altre). Ad un certo punto uscirà una scritta "Analysis ... Terminate", premi un tasto come richiesto e si aprirà un file di testo (il rapporto della scansione).


Controlla dal menu di Firefox Strumenti -> Componenti Aggiuntivi se nella lista dei componenti vedi qualcosa che non riconosci, qualche componente che non hai installato o che ti sembra comunque sospetto.. E fammi sapere..


Inoltre, scarica questo GooredFix (tool http://jpshortstuff.247fixes.com/GooredFix.exe) ed esegui l'opzione numero 1 (solo quella). Verrà creato un log e aperto nel notepad. Fammi avere anche quello..


:)

Fxyz4ever
15-04-2009, 23:20
Scusate se ho sbagliato sezione, non avevo notato questa sezione sulla sicurezza in homepage, chissà perché...

Comunque io sono cinese, quindi ho Windows in lingua cinese, e invece di C:\Programmi ho C:\Program Files, che tra l'altro è così anche nei Windows in lingua inglese.
Per lo stesso motivo uso Thunder, un download manager cinese, che lo uso solo perché esiste da tanti anni e ci sono più familiare, per il resto non è molto diverso dai download manager occidentali...
Quelle voci in HiJackThis sono solo dei bottoni che permettono di scaricare con un click tramite Thunder, funzione utile ma non indispensabile...

Comunque grazie Deifobe, ora seguo il tuo suggerimento e vedo se funziona!

Fxyz4ever
17-04-2009, 23:01
Allora... scusate il ritardo ma questi giorni ho avuto da fare...

Il mio Firefox non ha nessun componente aggiuntivo, ma proprio nessuno...

Ecco il log di navilog:




Search Navipromo version 3.7.6 began on ??? 2009-04-15 at 22:25:17.79

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Program Files\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3300+ )
BIOS : Award Medallion BIOS v6.00PG
USER : Administrator ( Administrator )
BOOT : Normal boot

Antivirus : 卡巴斯基全功能安全软件 8.0.0.506 (Activated) ***Nota aggiunta da me: si tratta del Kaspersky
Firewall : 卡巴斯基全功能安全软件 8.0.0.506 (Activated) ***Nota aggiunta da me: si tratta del Kaspersky

A:\ (USB)
C:\ (Local Disk) - NTFS - Total:24 Go (Free:9 Go)
D:\ (Local Disk) - NTFS - Total:36 Go (Free:29 Go)
I:\ (Local Disk) - NTFS - Total:87 Go (Free:80 Go)
J:\ (CD or DVD)


Search done in normal mode


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Program Files" ***


*** Search folders in "C:\Documents and Settings\All Users\「开始~1\程序" *** ******Menu start... anche più giù i strani simboli cinesi o quadratini che vedete si riferiscono al menu start...


*** Search folders in "C:\Documents and Settings\All Users\「开始~1" ***


*** Search folders in "c:\docume~1\alluse~1\applic~1" ***


*** Search folders in "C:\Documents and Settings\Administrator\applic~1" ***


*** Search folders in "C:\Documents and Settings\Administrator\locals~1\applic~1" ***


*** Search folders in "C:\Documents and Settings\Administrator\「开始~1\程序" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Documents and Settings\Administrator\locals~1\applic~1" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Documents and Settings\Administrator\locals~1\applic~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on ??? 2009-04-15 at 22:37:11.32 ***




Invece questo è il log di gooredfix:



GooredFix v1.92 by jpshortstuff
Log created at 21:53 on 17/04/2009 running Option #1 (Administrator)
Firefox version 3.0.8 (zh-CN)

=====Suspect Goored Entries=====

=====Dumping Registry Values=====

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Firefox 3.0.8\extensions]
"Plugins"="C:\Program Files\Mozilla Firefox\plugins"

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Firefox 3.0.8\extensions]
"Components"="C:\Program Files\Mozilla Firefox\components"



In pratica niente...

Deifobe
17-04-2009, 23:57
infatti sono puliti.

vediamo se si vede qualcosa da qui.. scarica SystemScan (http://www.suspectfile.com/forum/viewtopic.php?f=8&t=466&start=0) - disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile (http://www.savefile.com/) e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

Fxyz4ever
18-04-2009, 23:33
ecco il log:
http://www.savefile.com/files/2081561

Non so se ciò sia in qualche modo correlato a questo problema...:

http://forum.html.it/forum/showthread.php?threadid=1324845

Ti ringrazio per la pazienza Neifobe, ma qui la vedo dura, se entro breve non si risolve, formatto :)

Fxyz4ever
20-04-2009, 22:14
Grazie neifobe, comunque ho già risolto facendo una ulteriore ricerca su Internet.

Dato che le pagine che si aprivano in Firefox spesso portavano al sito onlinecasino555.com ho cercato questa parola su Google, e ho trovato la soluzione in questo forum inglese:

http://www.pchelpforum.com/progress-hijackthis-logs/66130-online555casino-malware.html

In pratica, questo malware mi impediva di installare alcuni software antispyware come Superantispyware e MalwareBytes' Antimalware, oppure programmi che si riescono a installare ma non partono se si fa doppio click su di essi come Spybot Search & Destroy. Così ho seguito ciò che dicevano sul forum, cioè copiare l'installer o l'eseguibile nella stessa cartella e rinominarlo.

E... per magia, tutto funziona! Ho risolto facendo delle scansioni con Spybot, Superantispyware e MalwareBytes.

Sempre nello stesso forum in un altro topic un utente ha postato il log della scasione di MalwareBytes:



Files Infected:
D:\WINDOWS\system32\UACgxrtjnlq.dll (Rootkit.TDSS) -> No action taken.
D:\WINDOWS\system32\UACpparuktg.dll (Trojan.TDSS) -> No action taken.
D:\WINDOWS\system32\UACtgkvwwfo.dll (Trojan.TDSS) -> No action taken.
D:\WINDOWS\system32\UACuoyljsnp.dll (Rootkit.TDSS) -> No action taken.
D:\WINDOWS\system32\UACvjejuclm.dll (Trojan.TDSS) -> No action taken.
D:\WINDOWS\system32\drivers\UACbgrkrdsm.sys (Rootkit.TDSS) -> No action taken.
D:\WINDOWS\Temp\UAC1412.tmp (Trojan.TDSS) -> No action taken.
D:\WINDOWS\Temp\UAC44c1.tmp (Trojan.TDSS) -> No action taken.
D:\WINDOWS\Temp\UAC5b65.tmp (Trojan.TDSS) -> No action taken.
D:\WINDOWS\Temp\UACac2b.tmp (Trojan.TDSS) -> No action taken.
D:\WINDOWS\Temp\UACb974.tmp (Trojan.TDSS) -> No action taken.
D:\WINDOWS\Temp\UACde74.tmp (Trojan.TDSS) -> No action taken.
D:\WINDOWS\Temp\UACe4ec.tmp (Trojan.TDSS) -> No action taken.
D:\WINDOWS\Temp\UACf884.tmp (Trojan.TDSS) -> No action taken.
D:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> No action taken.
D:\WINDOWS\system32\UACetqijwtp.log (Trojan.Agent) -> No action taken.
D:\WINDOWS\system32\UACtqoynmwf.dat (Trojan.Agent) -> No action taken.


Che grosso modo coincide con il mio log di Spybot:



Win32.TDSS.rtk: [SBI $6FDF273A] File (File, nothing done)
C:\WINDOWS\system32\UACamthsrsn.dll
Properties.size=0
Properties.md5=09435CA0D5C89B188E80C1596D64D8F9

Win32.TDSS.rtk: [SBI $6FDF273A] File (File, nothing done)
C:\WINDOWS\system32\UACirrilxjo.dll
Properties.size=0
Properties.md5=1C0EAF6FA05F48145AE106688DD03548

Win32.TDSS.rtk: [SBI $6FDF273A] File (File, nothing done)
C:\WINDOWS\system32\UAClwwarree.dll
Properties.size=0
Properties.md5=0AF0CBA1D4B1F49050CAB3F5A1BDE7F0

Win32.TDSS.rtk: [SBI $6FDF273A] File (File, nothing done)
C:\WINDOWS\system32\UACpusjrudl.dll
Properties.size=0
Properties.md5=42CA3AB3CFCFF3DC6642E44C98D96588

Win32.TDSS.rtk: [SBI $6FDF273A] File (File, nothing done)
C:\WINDOWS\system32\UACvparqsxb.dll
Properties.size=0
Properties.md5=A802D69C6E5A787073E6C6ABF67DDFEB

Win32.TDSS.rtk: [SBI $F5C07D5F] File (File, nothing done)
C:\WINDOWS\system32\drivers\UACxwbompxe.sys
Properties.size=0
Properties.md5=143B3692365C5F1EF93270A3294BA5B4


I file infetti sono sempre dei file situati in C:\WINDOWS\system32 e iniziano sempre per "UA", di cui uno risiede in C:\WINDOWS\system32\drivers, oltre a qualche chiave nel registro infetta.

Comunque problema risolto! Ora non mi appaiono più pagine durante le ricerche in Firefox e iexplore non parte più automaticamente all'avvio di Windows!

Loading