[XP servicepack3] pagine web pubblicitarie che si aprono da sole

[klizia16]

Ciao ragazzi,

da un po' di tempo, su qualsiasi browser utilizzato (IE, mozilla, chrome), mi si aprono delle schede web in automatico. Quando ad esempio visito amazon o ebay, mi si apre immediatamente un'altra scheda con siti simili (pixmania, fnac). Lo stesso problema capita a volte credo in base ad alcune keyword rilevate: ieri stavo visitando un blog che parla di viaggi, e mi si è aperta una scheda con e-dreams.
Ho consultato forum sull'argomento e queste sono le procedure che ho eseguito fino a ora:

- Ho disattivato il ripristino automatico di sistema
- Scansione completa con Avast, ma si blocca all'85% e non rileva nulla
- Ho quindi scaricato Avira, ho eseguito scansione che ha rilevato 3 minacce, spostate in quarantena
- Ho scaricato e avviato Malwarebytes, la prima scansione ha dato 3 minacce che ho eliminato. Dopo la scansione di Avira, Malwarebytes non ha rilevato nessuna minaccia
- Scaricato Navilog (credevo fosse il virus navipromo) ma non ha rilevato nulla

Cosa mi consigliate di fare?
Il problema persiste, sembra meno frequente, ma c'è.

grazie per il vostro supporto,
alessandra

[klizia16]

scusate... volevo dire che si "aprono" da sole!

[amvinfe]

ho corretto il titolo della discussione

[menatwork]

ciao

visto che hai fatto un bel po' di pulizia puoi postare anche un log di hijackthis?

[klizia16]

ciao

ho caricato il log qui

grazie mille

[menatwork]

klizia16 segui attentamente questi passaggi

esegui nuovamente la scansione con hjt metti la spunta accanto a queste voci e premi fix checked

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com

O2 - BHO: Yontoo Layers - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Programmi\Yontoo\YontooIEClient.dll

O4 - HKLM\..\Run: [PosService] C:\Documents and Settings\All Users\Documenti\AppData\PoApp\PLauncher.exe

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio

Avvia il file avenger.exe

Copia e incolla nella finestra: "Imput script here" questo tersto

files to delete:
C:\Documents and Settings\Ivana\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe
C:\Programmi\Yontoo\YontooIEClient.dll
C:\Documents and Settings\All Users\Documenti\AppData\PoApp\PLauncher.exe


folder to delete:
C:\Documents and Settings\Ivana\Impostazioni locali\Dati applicazioni\ServUpdater
C:\Programmi\Yontoo
C:\Documents and Settings\All Users\Documenti\AppData\PoApp

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

[klizia16]

grazie menatwork.

nel frattempo aggiungo che, dopo averti inviato il log di hijack, è partito in automatico l'aggiornamento di firefox e, al completamento, mi sono ritrovata una pagina iniziale con un motore di ricerca mai visto prima e una toolbar altrettanto nuova. per questo, ti riposto il log di hijack qui, se dovesse servire.

ecco il log di avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "C:\Documents and Settings\Ivana\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe" deleted successfully.

Error: file "C:\Programmi\Yontoo\YontooIEClient.dll" not found!
Deletion of file "C:\Programmi\Yontoo\YontooIEClient.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\Documents and Settings\All Users\Documenti\AppData\PoApp\PLauncher.exe" deleted successfully.

Error: file "folder to delete:" not found!
Deletion of file "folder to delete:" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: "C:\Documents and Settings\Ivana\Impostazioni locali\Dati applicazioni\ServUpdater" is a folder, not a file!
Deletion of file "C:\Documents and Settings\Ivana\Impostazioni locali\Dati applicazioni\ServUpdater" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory


Error: "C:\Programmi\Yontoo" is a folder, not a file!
Deletion of file "C:\Programmi\Yontoo" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory


Error: "C:\Documents and Settings\All Users\Documenti\AppData\PoApp" is a folder, not a file!
Deletion of file "C:\Documents and Settings\All Users\Documenti\AppData\PoApp" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory


Completed script processing.

*******************

Finished! Terminate.

[menatwork]

klizia16 ho dimenticato una S

riesegui il programma avenger copia e incolla questo

Folders to delete:
C:\Documents and Settings\Ivana\Impostazioni locali\Dati applicazioni\ServUpdater
C:\Programmi\Yontoo
C:\Documents and Settings\All Users\Documenti\AppData\PoApp

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

[klizia16]

grazie ancora menatwork

ecco il log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder "C:\Documents and Settings\Ivana\Impostazioni locali\Dati applicazioni\ServUpdater" deleted successfully.
Folder "C:\Programmi\Yontoo" deleted successfully.
Folder "C:\Documents and Settings\All Users\Documenti\AppData\PoApp" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[menatwork]

mi dici quali problemi riscontri ora?