Apertura finestre browser in automatico

[vtdag]

Salve ragazzi, ho appena formattato il pc, adesso è un gioiellino e non potete capire il nervosismo quando da ieri sono entrato in un sito di pronostici sportivi e mi si sono aperte le consuete finestre di pubblicità. Ovviamente le ho chiuse tutte senza nenache guardarle ma quando stamattina ho riacceso il pc la metà delle applicazioni non mi funzionavano dandomi un messaggio di errore ("la memoria non poteva essere ready"). Ho potuto fare solo il ripristino del sistema in modalità provvisoria rivolvendo in parte i problemi, adesso quando apro explorer mi si aprono sempre quelle finestre in automatico (casinò online, il tuo pc è infetto scarica il programma, etc...). Dove posso scovarle?

Il mio sistema è XP e come antivirus ho Avast.

[vtdag]

Ho seguito le istruzioni per la rimozione di eventuale malware ma non ho risolto il problema, continua ad aprirsi pagine mentre navigo.

Posto il log di HijackThis, spero che qualcuno mi possa aiutare.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.04.23, on 15/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\cFosSpeed\spd.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\SPAMfighter\sfus.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\SPAMfighter\SFAgent.exe
C:\Programmi\cFosSpeed\cFosSpeed.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\ASUS WiFi-AP Solo\RtWLan.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.riflessistudio.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://codecs.r8.org/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programmi\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [cFosSpeed] C:\Programmi\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programmi\cFosSpeed\spd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Programmi\SPAMfighter\sfus.exe

--
End of file - 6730 bytes

[Deifobe]

... il log è pulito. Vedo se individuo qualcosa da systemscan..

Scarica SystemScan => disconnetti il pc da internet => esegui systemscan => controlla che siano spuntate tutte le opzioni => clicca su "Scan Now". Finita la scansione, carica il rapporto che trovi in C:\Suspectfile su Freefilehosting e posta il link ottenuto.

Se hai problemi ad eseguirlo, disattiva l'antivirus.

[vtdag]

tutto fatto! Ecco il link:

http://www.freefilehosting.net/download/3dg08

[Deifobe]

ti rispondo al volo ma il rapporto è tutto da vedere ancora, mi ci vorerà un po'

c:\documents and settings\utente\impostazioni locali\dati applicazioni\anzfsmy.exe

Intanto, controllalo su Virustotal perchè non esistono info sul file.

clicca sul file con il tasto destro del mouse e seleziona proprietà.
controlla la data di creazione e il produttore
se sospetto, cestina il file, riavvia e vedi come va.

più tardi ti faccio sapere se trovo altro..

ciao

[vtdag]

quel file nn c'è. Ho anche attivato la visualizzazione dei file nascosti e di sistema, adesso mi si è bloccato anche explorer, ho dovuto riavviarlo.

[Deifobe]

... :P l'ho visto verso la fine del rapporto..

Scarica navilog1.exe_il mafioso sul desktop e installalo.

Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"

Lancia Navilog1.exe, ti guiderà lui. Al menù di scelta seleziona la lingua e poi l'opzione 1 (non scegliere le altre).
Ad un certo punto uscirà una scritta "Analysis ... Terminate", premi un tasto come richiesto e si aprirà un file di testo (il rapporto della scansione).

Nel rapporto devi trovare una parte di testo come il seguente:

File (s) (s) nascosti (hidden) nella cartella C:\...:
C:\documents and settings\Utente\impostazioni locali\dati applicazioni\anzfsmy.dat
C:\documents and settings\Utente\impostazioni locali\dati applicazioni\anzfsmy.exe
C:\documents and settings\Utente\impostazioni locali\dati applicazioni\anzfsmy_nav.dat
C:\documents and settings\Utente\impostazioni locali\dati applicazioni\anzfsmy_navps.dat

Processo di nascosto (s) in C:\...:
C:\documents and settings\Utente\impostazioni locali\dati applicazioni\anzfsmy.exe

NB:
La parte in blu è tipica dell'infezione NaviPromo...
La parte in rosso è una sequenza di caratteri casuali, diversi di caso in caso: devi prendere nota di questa parte nome.

Se è ok ed il file è sempre qusto, riavvia il computer in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).

Lancia nuovamente Navilog1 e scegli l'opzione 4 (Disinfezione manuale per nome), inserisci il nome corrispondente alla parte fissa del nome (solo anzfsmy, per intenderci) e confermalo (ridigitandolo) quando richiesto.

A questo punto, ripulirà c:\documents and settings\Utente\impostazioni locali\dati applicazioni dai file infetti.
Quando finisce, riavvia il pc in modalità normale.

---

Apri il registro (start - esegui - digita regedit e dai l'ok)
Segui questi percorsi:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\AutorunsDisabled

per ciascuno di loro, guarda nella finestra a destra e individua:
"anzfsmy "="c:\documents and settings\Utente\impostazioni locali\dati applicazioni\anzfsmy.exe anzfsmy"
(o il nome che hai trovato nella scansione), clicca sul nome con il tasto destro del mouse e seleziona elimina.

---

Svuota C:\WINDOWS\Prefetch

Scarica e scompatta questo file hosts6.zip => clic con il tasto destro del mouse - "copia" - e "incolla" il file nella cartella C:\Windows\system32\drivers\etc (NB: li' troverai già un altro file hosts, quindi accetta la sostituzione).

Scarica CCleaner e ripulisci sia i file temporanei e cookie (2 volte) che il registro.

Riposta systemscan

ciao

[vtdag]

Sei stato chiarissimo e ti ringrazio anticipatamente per il tempo che stai dedicando.

Ho fatto tutto come da istruzione, l'unica cosa è che su "regedit" nn ho trovato i file che mi dicevi di cancellare.

Ti posto il link del nuovo log: http://www.freefilehosting.net/download/3dgl7

e mi dispiace dirti che il problema nn è stato risolto perchè mentre scrivo mi si aprono continuamente finestre.

[Deifobe]

il problema non si è risolto perchè sta ancora tutto nel tuo pc:
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\anzfsmy.dat 7862 bytes
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\anzfsmy.exe 361984 bytes executable
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\anzfsmy_nav.dat 396721 bytes
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\anzfsmy_navps.dat 323 bytes
C:\Programmi\Navilog1\Backupnavi\ANZFSMY.EXE-24FF635A.pf 38486 bytes


devi ripetere la procedura. Quando digiti il nome del file non devi sbagliare nemmeno una lettera e devi scriverlo correttamente entrambe le volte..

edit: e, saprattutto, ricorda che devi entrare in modalità provvisoria per eliminarli.
Puoi saltare la prima parte; eseguilo direttamente da provvisoria secondo le indicazioni.

[vtdag]

Stranezze su stranezze...

Ho ripetuto il processo ed ho notato che in modalità provvisoria mi da l'ingresso da Amministratore e da utente quando normalmente mi da soltando utente che poi è anche amministratore. Cmq questa volta sono entroto da amministratore e credo che navilog abbia fatto qualcosa in più ma sempre non trovo quei file da cancellare su regedit.

Poi con ccleaner ho fatto la pulizia, ho riavviato ed ho rifatto la pulizia, ogni volta che riavvio, (l'ho fatto 5 volte) mi rigenera un "index.dat" in diverse cartelle fra cui "iexplorer" e "cronologia".

Ti riposto cmq il nuovo report: http://www.freefilehosting.net/download/3dhb0