PDA

Visualizza la versione completa : Mi si cambia sempre la pagina iniziale di Mozilla Firefox


 
pcg4m3s
11-02-2011, 17:52
Su firefox mi si imposta sempre come pagina inziale questa: http://eninicio.com/en/index.html

Ho fatto una scansione con malwarebyte's e mi ha rilevato e cancellato 9 minacce.
Ho fatto una scansione con spybot search e destroy e niente.

Eccovi il log di Hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.52.04, on 11/02/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\PROGRA~1\CACHEM~1\CachemanXP.exe
C:\Programmi\FileZilla Server\FileZilla Server.exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
C:\Programmi\ASUS\Wireless Console\wcourier.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Documents and Settings\Francesco\Dati applicazioni\Dropbox\bin\Dropbox.exe
C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Documents and Settings\Francesco\Desktop\eMule0.50a\emule.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://iniredi.in
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Programmi\KeyScrambler\KeyScramblerIE.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~4\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [Wireless Console] C:\Programmi\ASUS\Wireless Console\wcourier.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dropbox.lnk = C:\Documents and Settings\Francesco\Dati applicazioni\Dropbox\bin\Dropbox.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office14\EXCEL.EXE/3000
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programmi\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler Options - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programmi\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1258228147875
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: CachemanXP (CachemanXPService) - Outertech - C:\PROGRA~1\CACHEM~1\CachemanXP.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programmi\FileZilla Server\FileZilla Server.exe
O23 - Service: KMService - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: spmgr - Unknown owner - C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe

--
End of file - 7842 bytes

SkinBonno
11-02-2011, 18:05
Ciao, da hijack non risulta nulla di anomalo..proviamo una scansione per vedere se c'è qualcosa.
Scarica Combofix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) usando Internet Explorer e salvalo sul desktop. Quando lo salvi, rinominalo in abc.exe. Disconnettiti da internet, disattiva l'antivirus. Avvia Combofix (abc.exe) e attendi la fine della scansione.
Non eseguire nessuna operazione mentre Combofix analizza il pc, non muovere nemmeno il mouse, potresti bloccare la scansione.
Finita la scansione il pc si dovrebbe riavviare e in C: dovresti avere un rapporto Combofix.txt. Carica questo rapporto su Wikisend (http://wikisend.com/) e riporta sul forum il link che otterrai.

N.B. Nel caso non riesci a fare partire combofix, da start-->esegui copia e incolla questa riga di comando comprese le virgolette e dai invio:

"%userprofile%\desktop\abc.exe" /killall

La scansione dovrebbe partire in automatico.

pcg4m3s
11-02-2011, 19:24
Originariamente inviato da SkinBonno
Ciao, da hijack non risulta nulla di anomalo..proviamo una scansione per vedere se c'è qualcosa.
Scarica Combofix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) usando Internet Explorer e salvalo sul desktop. Quando lo salvi, rinominalo in abc.exe. Disconnettiti da internet, disattiva l'antivirus. Avvia Combofix (abc.exe) e attendi la fine della scansione.
Non eseguire nessuna operazione mentre Combofix analizza il pc, non muovere nemmeno il mouse, potresti bloccare la scansione.
Finita la scansione il pc si dovrebbe riavviare e in C: dovresti avere un rapporto Combofix.txt. Carica questo rapporto su Wikisend (http://wikisend.com/) e riporta sul forum il link che otterrai.

N.B. Nel caso non riesci a fare partire combofix, da start-->esegui copia e incolla questa riga di comando comprese le virgolette e dai invio:

"%userprofile%\desktop\abc.exe" /killall

La scansione dovrebbe partire in automatico.

ComboFix.txt (http://wikisend.com/download/392154/ComboFix.txt)

mi dice che c'era antivir attivo quando io invece ho avast come antivirus e l'ho disattivato.

una curiosità: perchè mi hai fatto rinominare l'eseguibile in abc.exe?

SkinBonno
12-02-2011, 14:47
L'eseguibile te l'ho fatto rinominare perchè molti virus bloccano combofix, rinominando l'eseguibile si può ingannare il virus se presente.
comunque oltre il file eliminato non mi sembra di vedere altro..hai ancora il report di malwarebytes?

pcg4m3s
12-02-2011, 16:47
Originariamente inviato da SkinBonno
L'eseguibile te l'ho fatto rinominare perchè molti virus bloccano combofix, rinominando l'eseguibile si può ingannare il virus se presente.
comunque oltre il file eliminato non mi sembra di vedere altro..hai ancora il report di malwarebytes?

no purtroppo non ho più il report di malwarebyte's.
fatto sta che non ho risolto ancora nulla.
imposto google come pagina iniziale di firefox e se non chiudo il browser e clicco sulla home mi riporta correttamente alla pagina iniziale impostata. se però chiudo firefox e lo riapro allora la pagina iniziale diventa http://eninicio.com/en/index.html

inoltre secondo te perchè combofix mi rilevava antivir attivo quando invece antivir non ce l'ho più installato ed ho avast (che ho disattivato al momento della scansione con combofix)?

SkinBonno
12-02-2011, 16:56
Originariamente inviato da pcg4m3s
.... perchè combofix mi rilevava antivir attivo quando invece antivir non ce l'ho più installato ed ho avast (che ho disattivato al momento della scansione con combofix)?

sinceramente non saprei dirti, non è la prima volta che mi capita che combofix si comporti in questa maniera, e ancora non ho trovato risposta alla tua domanda, anche se penso sia relativo al fatto di qualche residuo lasciato da avira sul pc (se l'avevi in passato) che combofix rileva..
in questo momento devo uscire, non riesco a controllare più accuratamente combofix, scusa. in serata o al più tardi domani riesco a guardarlo meglio.
intanto fai un'altra scansione completa con malwarebytes, e nel caso rilevi qualcosa di infetto posta il log.

SkinBonno
13-02-2011, 04:38
Ciao, volevo dirti che sono riuscito a dare un'occhiata al log, e non mi sembra presenti nulla di particolare. Esegui una nuova scansione completa con Malwarebytes (aggiornalo prima di eseguirla) e posta il log generato.

pcg4m3s
13-02-2011, 15:54
ho cercato meglio ed ho trovato il log di quando malwarebyte's ha rilevato le minacce.
eccoti il risultato:




Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 5709

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/02/2011 14.00.03
mbam-log-2011-02-08 (14-00-03).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 332196
Tempo trascorso: 2 ore, 6 minuti, 10 secondi

Processi infetti in memoria: 1
Moduli di memoria infetti: 0
Chiavi di registro infette: 4
Valori di registro infetti: 1
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 3

Processi infetti in memoria:
c:\WINDOWS\kmservice.exe (RiskWare.Tool.CK) -> 2752 -> Unloaded process successfully.

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Settings\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\InstallShield Update Service (Backdoor.Bot) -> Value: InstallShield Update Service -> Quarantined and deleted successfully.

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\WINDOWS\kmservice.exe (RiskWare.Tool.CK) -> Delete on reboot.
c:\WINDOWS\qpservice.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\system volume information\_restore{c2af9b5b-f0c7-4421-9281-3e2256a8df7b}\RP293\A0107994.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

SkinBonno
13-02-2011, 16:37
Aggiorna Malwarebytes (siamo alla versione 5753 del database) e riesegui una scansione completa, se rileva qualcosa di infetto posta il log.

Per il resto non saprei, prova una scansione online con Eset (http://www.eset.com/online-scanner) a vedere se trova qualcos'altro.

pcg4m3s
14-02-2011, 11:36
ho aggiornato malwarebytes e fatto una scansione veloce.
è stato trovato 1 elemento infetto.
eccoti il log:


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 5758

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14/02/2011 11.34.37
mbam-log-2011-02-14 (11-34-37).txt

Tipo di scansione: Scansione veloce
Elementi esaminati: 147120
Tempo trascorso: 12 minuti, 22 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 1
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://iniredi.in) Good: (http://www.google.com) -> Quarantined and deleted successfully.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

Loading