Apertura pagine indesiderate e presunta infezione del pc[era:Stesso problema!!!]

[Awoman]

Buonasera.
Ho anch'io lo stesso problema con pagine di pseudo-antivirus che mi si aprono da sole e messaggi ripetuti di virus e spyware che infestano il mio PC!
Non essendo una gran cima nel campo informatico, per ora mi sono attenuta a scaricare http://www.suspectfile.com/systemscan e ho eseguito la scansione.
Ho ottenuto il file.zip e sono andata su http://www.mytempdir.com/
Ora vi invio la URL e spero possiate aiutami perché non ce la faccio più!

http://www.mytempdir.com/2059885

Resto in attesa di un Vostro aiuto. GRAZIE!!!!!!

[Habanero]

Awoman ben venuta sul forum. Come nuovo utente ti raccomando la lettura del regolamento:
http://forum.html.it/forum/showthrea...hreadid=997970
La prossima volta usa un titolo più appropriato. Grazie.

[Deifobe]

Scarica CCleaner, Superantispyware e SpyBot

Scompatta e aggiorna gli ultimi due programmi.
Disconnettiti
Disattiva il ripristino configurazione di sistema (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema") e l'antivirus.

Esegui CCleaner, clicca su "opzioni", poi su "avanzate", togli la spunta su "cancella file in Windows Temp solo se piu vecchi di 48 ore".
Poi vai in "pulizia" - "analizza" - "avvia pulizia". Fai una ripulita anche nel registro.

Scansiona con i due programmi e posta i link dei risultati come hai già fatto.

NB: ricordati di riattivare antivirus e ripristino conf. di sistema quando finisci con le scansioni

[bdori@no]

Ciao Awoman,

Scarica ATF-Cleaner e ripulisci i files temporanei.

Scarica Combofix da qui o da qui.
Salvalo sul desktop.

1. Doppio click su combofix.exe, comparirà la seguente videata:

2. Digita 1, premi Invio e segui le indicazioni.
3. Al termine, verrà creato un file log chiamato C:\ComboFix.txt.
4. Posta il log creato.

Nota 1: Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.

Nota 2: ComboFix non funziona in modalità provvisoria.

Al termine, fai i passaggi indicati qui.

[bdori@no]

Ho dato un'occhiata al log di systemscan, di seguito le istruzioni per "disabilitare" il virus (credo!)

Scarica questo e scompattalo in una sua cartella non temporanea e non sul desktop

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:

files to delete:
C:\WINDOWS\system32\__c002D421.dat
C:\WINDOWS\system32\awvtq.dll
C:\WINDOWS\system32\tcwrmeoa.dll
C:\WINDOWS\system32\shuqooiw.dll
C:\WINDOWS\system32\bmmnkssp.dll
C:\WINDOWS\system32\gtgknvrh.dll
C:\WINDOWS\system32\hqqaeugh.dll
C:\WINDOWS\system32\mpqmnenu.dll
C:\WINDOWS\system32\puiiaahv.dll
C:\WINDOWS\system32\caqyvmey.exe
C:\WINDOWS\system32\uipgwggc.exe
C:\WINDOWS\system32\qytfrvwf.exe
C:\WINDOWS\Fonts\svchost.exe

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List | C:\WINDOWS\system32\caqyvmey.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List | C:\WINDOWS\system32\uipgwggc.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List | C:\WINDOWS\system32\qytfrvwf.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Host Process
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | b054a325

Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato.

Ci sono anche altri files da eliminare, dopo aggiorna il tuo antivirus e fagli fare una scansione completa. Fai lo stesso con gli antispyware che hai installato.

[Awoman]

Buonasera. Ieri avevo chiesto il vostro aiuto per capire come disinfestare il mio pc. Ho seguito le istruzioni e quindi ho scaricato Ccleaner, Spybot e SuperAntispyware.
Sono a postare i risultati.
IL RISULTATO DI SPYBOT è il seguente:

Win32.BHO.df: [SBI $BCBE3835] Impostazioni di avvio automatico (Valore di registro, nothing done)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs=...C:\WINDO WS\system32\__c00?????.dat...

Virtumonde: [SBI $42352499] Impostazioni utente (Chiave di registro, nothing done)
HKEY_USERS\S-1-5-21-224206637-1344412685-698043059-1005\Software\Microsoft\rdfa

Virtumonde: [SBI $47E741CD] Impostazioni (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws

Virtumonde: [SBI $72423952] Impostazioni (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DomainServic e

Virtumonde: [SBI $08956178] Servizio di sistema (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\D omainService

Virtumonde: [SBI $7342F9D9] Impostazioni (Chiave di registro, nothing done)
HKEY_USERS\S-1-5-21-224206637-1344412685-698043059-1005\Software\Microsoft\aldd

Virtumonde.generic: [SBI $8DF9F290] ID di classe (Chiave di registro, nothing done)
HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}

Virtumonde.generic: [SBI $2C44C86A] ID di classe (Chiave di registro, nothing done)
HKEY_CLASSES_ROOT\CLSID\{A95B2816-1D7E-4561-A202-68C0DE02353A}

Virtumonde.generic: [SBI $B8DFB189] Assistente del browser (BHO) (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}

Virtumonde.generic: [SBI $6ED3869C] Impostazioni utente (Chiave di registro, nothing done)
HKEY_USERS\S-1-5-21-224206637-1344412685-698043059-1005\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{11A69AE4-FBED-4832-A2BF-45AF82825583}

Virtumonde.generic: [SBI $CF6EBC66] Impostazioni utente (Chiave di registro, nothing done)
HKEY_USERS\S-1-5-21-224206637-1344412685-698043059-1005\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{A95B2816-1D7E-4561-A202-68C0DE02353A}


--- Spybot - Search & Destroy version: 1.5 (build: 20070810) ---

2007-08-17 blindman.exe (1.0.0.6)
2007-08-17 SDMain.exe (1.0.0.4)
2007-08-17 SDUpdate.exe (1.0.6.3)
2007-08-17 SDWinSec.exe (1.0.0.8)
2007-08-17 SpybotSD.exe (1.5.1.14)
2007-08-17 TeaTimer.exe (1.5.0.9)
2007-11-14 unins000.exe (51.46.0.0)
2007-08-17 Update.exe (1.4.0.5)
2007-08-17 advcheck.dll (1.5.3.0)
2007-04-02 aports.dll (2.1.0.0)
2007-04-02 DelZip179.dll (1.79.5.3)
2007-08-17 SDHelper.dll (1.5.0.8)
2007-08-17 Tools.dll (2.1.2.0)
2007-11-14 Includes\Cookies.sbi (*)
2007-10-31 Includes\Dialer.sbi (*)
2007-11-14 Includes\DialerC.sbi (*)
2007-11-07 Includes\Hijackers.sbi (*)
2007-11-14 Includes\HijackersC.sbi (*)
2007-10-04 Includes\Keyloggers.sbi (*)
2007-11-14 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2007-11-07 Includes\Malware.sbi (*)
2007-11-14 Includes\MalwareC.sbi (*)
2007-10-24 Includes\PUPS.sbi (*)
2007-11-14 Includes\PUPSC.sbi (*)
2007-11-14 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-11-14 Includes\SecurityC.sbi (*)
2007-11-07 Includes\Spybots.sbi (*)
2007-11-14 Includes\SpybotsC.sbi (*)
2007-11-06 Includes\Tracks.uti
2007-11-14 Includes\Trojans.sbi (*)
2007-11-14 Includes\TrojansC.sbi (*)
2008-12-24 Plugins\TCPIPAddress.dll

Il risultato di SuperAntispyware è:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 11/14/2007 at 05:07 PM

Application Version : 3.9.1008

Core Rules Database Version : 3259
Trace Rules Database Version: 1270

Scan type : Complete Scan
Total Scan Time : 00:39:38

Memory items scanned : 515
Memory threats detected : 4
Registry items scanned : 5446
Registry threats detected : 5
File items scanned : 29624
File threats detected : 10

Unclassified.Unknown Origin/System
C:\WINDOWS\SYSTEM32\AWVTQ.DLL
C:\WINDOWS\SYSTEM32\AWVTQ.DLL

Adware.eZula
C:\WINDOWS\SYSTEM32\LRYWPELT.EXE
C:\WINDOWS\SYSTEM32\LRYWPELT.EXE
C:\WINDOWS\Prefetch\LRYWPELT.EXE-00EB3C28.pf

Trojan.Downloader-NewJuan/VM
C:\WINDOWS\SYSTEM32\FEBIMDLP.DLL
C:\WINDOWS\SYSTEM32\FEBIMDLP.DLL
C:\WINDOWS\SYSTEM32\HGXSOMYQ.DLL
C:\WINDOWS\SYSTEM32\HGXSOMYQ.DLL

Adware.Vundo Variant
HKLM\Software\Classes\CLSID\{A34B6015-FD90-40BC-AB95-5647CD038F55}
HKCR\CLSID\{A34B6015-FD90-40BC-AB95-5647CD038F55}
HKCR\CLSID\{A34B6015-FD90-40BC-AB95-5647CD038F55}\InprocServer32
HKCR\CLSID\{A34B6015-FD90-40BC-AB95-5647CD038F55}\InprocServer32#ThreadingModel
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{A34B6015-FD90-40BC-AB95-5647CD038F55}

Adware.Tracking Cookie
C:\Documents and Settings\WinXP\Cookies\winxp@faststat[2].txt
C:\Documents and Settings\WinXP\Cookies\winxp@atdmt[3].txt
C:\Documents and Settings\WinXP\Cookies\winxp@atdmt[2].txt
C:\Documents and Settings\WinXP\Cookies\winxp@bs.serving-sys[2].txt
C:\Documents and Settings\WinXP\Cookies\winxp@serving-sys[2].txt


Grazie ancora.

[Habanero]

attenta a rispondere alla discussione invece di crearne una nuova. Ho unito i thread.

[Deifobe]

scarica combofix e segui le indicazioni di bdori@no.

[axel9973]

Salve a tutti, ho avuto problemi con avg2012 che mi ha segnalato la presenza di questo virus quando già aveva fatto danni: ho disinstallato avg e scansionato il pc da modalità provvisoria con malwarebytes. Ho eliminato files infetti e nelle scansioni successive tutto sembra a posto solo che il pc in modalità normale non si connette più ad internet wifi e ogni tanto su internet (in modalità provvisoria) si aprono pagine di pubblicità.

Avrei bisogno di aiuto...

Grazie
Axel

[menatwork]

ti sei accodata a una discussione vecchia, oramai continua qui

Scarica OTL e salvalo sul desktop

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta su minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend,