Finestre internet explorer indesiderate e dirottamenti in sito porno.

[Toro Scatenato]

Salve a tutti gente!
E' un pò che non scrivevo, infatti grazie ai vostri insegnamenti e consigli sono diventato sufficientemente bravo da cavarmela da solo per ogni virus o problema riscontrato in questo periodo...
Tuttavia ora ho 2 problemi di cui non riesco proprio a liberarmi, quindi mi rimetto nuovamente nelle vostre mani. Vi illustro la situazione:

1- Durante la nagivazione con Firefox (Ultima versione) alcune volte vengo dirottato in un maledettissimo sito porno, e non riesco a capire di quale virus si tratti, nonostante scansioni con Hijackthis, Avast, Spyware Terminetor, Spybot S&D. Non so se capita anche con I.E., poichè utilizzo I.E. solo per leggere le email. Qualcuno sa dirmi cosa fare?

2- Da oggi, non so come nè perchè, di tanto in tanto mi si apre una finestra di Internet Explorer che ha come intestazione "Errore di sintassi non valida", la pagina è impossibile da visualizzare, e l'URL a cui la pagina tenta di accedere è il codice html di una pagina web, che è impossibile da aprire in quanto non è un indirizzo. Ciò comunque che verrebbe fuori se salvassi questo codice in .html è una pagina bianca con scritti in nero "Login" e "Password" sotto...
Strano vero? Avete qualche soluzione?

Precisazione: Con Spybot S&D tutte le volte che scansiono, viene trovato il virus Virtumonde.atr, direttamente collegato al file seneca.sys, che teoricamente dovrebbe stare in Windows/System32/Drivers... Ma non c'è!
E quando correggo il problema, puntualmente alla successiva scansione lo ritrovo.

Grazie mille per l'attenzione e spero possiate aiutarmi!

[Deifobe]

mah... vediamo..

scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[Toro Scatenato]

Ecco il file!

PS: Mi sa tanto che ho risolto i rallentamenti, i redirezionamenti e le aperture di pagine indesiderate di I.E., tuttavia non riesco a raggiungere alcun sito di antivirus, e alcuni tool di rimozione non si avviano a meno che non modifichi il loro nome.
Stavo pensando al beagle, ma le cose non tornano, riesco perfettamente ad utilizzare software come Avast, Spyware Terminetor, e Hijackthis, più altre utility varie... Per utilizzare Avenger però, ho dovuto rinominare l'eseguibile. Che può essere? Allego il log di systemscan.

http://www.savefile.com/files/2043732

[Deifobe]

Esegui systemscan, clicca sul pulsante "Removal Script" nella finestra principale di Systemscan e, nella finestra che si apre, copia/incolla questo script:

folders to delete:
C:\DOCUME~1\Enakin\IMPOST~1\Temp\Rar$EX00.532
C:\DOCUME~1\Enakin\IMPOST~1\Temp\Rar$EX00.859
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX4
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX5
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX2
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX3
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX8
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX9
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX6
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX7
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX10
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX11
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX15
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX1
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX13
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX14
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX12

files to delete:
C:\WINDOWS\system32\cpzro.dll

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset001\services\i ycieu
HKEY_LOCAL_MACHINE\system\controlset002\services\i ycieu
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\iycieu
HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_iycieu
HKEY_LOCAL_MACHINE\system\controlset002\enum\root\ legacy_iycieu
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_iycieu

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.


scarica questa Utility ed attiva solo:
14) Abilita servizio "Aggiornamenti AutomaticI" (Wuauserv & BITS)


scarica/installa questa patch WindowsXP-KB958644-x86-ENU.exe (sclegli al lingua)


vedi come va

ciao

[Toro Scatenato]

Direi che ce l'hai fatta, riesco ad accedere al sito di Avast, al sito Virustotal e altri, il Centro Sicurezza PC pare funzionare, la patch non l'ho ancora installata... ........ Comunque il problema sembra risolto. Mi spieghi come hai fatto a capire che quella DLL era la causa di tutto?

Incollo di seguito il log di systemscan:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\wiwmdtap

*******************

Script file located at: \??\C:\WINDOWS\system32\pgxxpwmn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\Rar$EX00.532 not found!
Deletion of folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\Rar$EX00.532 failed!

Could not process line:
C:\DOCUME~1\Enakin\IMPOST~1\Temp\Rar$EX00.532
Status: 0xc0000034



Folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\Rar$EX00.859 not found!
Deletion of folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\Rar$EX00.859 failed!

Could not process line:
C:\DOCUME~1\Enakin\IMPOST~1\Temp\Rar$EX00.859
Status: 0xc0000034



Folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX4 not found!
Deletion of folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX4 failed!

Could not process line:
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX4
Status: 0xc0000034



Folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX5 not found!
Deletion of folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX5 failed!

Could not process line:
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX5
Status: 0xc0000034



Folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX2 not found!
Deletion of folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX2 failed!

Could not process line:
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX2
Status: 0xc0000034



Folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX3 not found!
Deletion of folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX3 failed!

Could not process line:
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX3
Status: 0xc0000034



Folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX8 not found!
Deletion of folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX8 failed!

Could not process line:
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX8
Status: 0xc0000034



Folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX9 not found!
Deletion of folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX9 failed!

Could not process line:
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX9
Status: 0xc0000034



Folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX6 not found!
Deletion of folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX6 failed!

Could not process line:
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX6
Status: 0xc0000034



Folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX7 not found!
Deletion of folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX7 failed!

Could not process line:
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX7
Status: 0xc0000034



Folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX10 not found!
Deletion of folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX10 failed!

Could not process line:
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX10
Status: 0xc0000034



Folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX11 not found!
Deletion of folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX11 failed!

Could not process line:
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX11
Status: 0xc0000034



Folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX15 not found!
Deletion of folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX15 failed!

Could not process line:
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX15
Status: 0xc0000034



Folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX1 not found!
Deletion of folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX1 failed!

Could not process line:
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX1
Status: 0xc0000034



Folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX13 not found!
Deletion of folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX13 failed!

Could not process line:
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX13
Status: 0xc0000034



Folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX14 not found!
Deletion of folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX14 failed!

Could not process line:
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX14
Status: 0xc0000034



Folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX12 not found!
Deletion of folder C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX12 failed!

Could not process line:
C:\DOCUME~1\Enakin\IMPOST~1\Temp\RarSFX12
Status: 0xc0000034

File C:\WINDOWS\system32\cpzro.dll deleted successfully.


Registry key HKEY_LOCAL_MACHINE\system\controlset001\services\i ycieu not found!
Deletion of registry key HKEY_LOCAL_MACHINE\system\controlset001\services\i ycieu failed!

Could not process line:
HKEY_LOCAL_MACHINE\system\controlset001\services\i ycieu
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\system\controlset002\services\i ycieu deleted successfully.


Registry key HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\iycieu not found!
Deletion of registry key HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\iycieu failed!

Could not process line:
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\iycieu
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_iycieu not found!
Deletion of registry key HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_iycieu failed!

Could not process line:
HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_iycieu
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\system\controlset002\enum\root\ legacy_iycieu deleted successfully.


Registry key HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_iycieu not found!
Deletion of registry key HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_iycieu failed!

Could not process line:
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_iycieu
Status: 0xc0000034

Program C:\Documents and Settings\Enakin\Desktop\sys3542.exe successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.

[Deifobe]

ho... moderato in una parte il tuo ultimo post... rifletti un attimo su quello che ho tolto...
Regolamento....

avevi il conflicker.. non e' difficile riconoscerlo...

Scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto.

ciao

[Toro Scatenato]

Ehm... Vero, ho infranto una regola, chiedo scusa

Comunque il logfile è questo

Malwarebytes' Anti-Malware 1.34
Versione del database: 1860
Windows 5.1.2600 Service Pack 2

17/03/2009 23.34.56
mbam-log-2009-03-17 (23-34-48).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 109966
Tempo trascorso: 25 minute(s), 55 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 3
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\activedesktop\NoChangingWallpa per (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\NoActiveDesktopChange s (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)


//

Comunque ho ricevuto un altro ridirezionamento verso lo stesso sito, tuttavia l'URL era differenzte... Riesco ancora ad accedere ai siti di antivirus et simile, che fare?
Grazie ancora.

[Deifobe]

Apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\ActiveDesktop]
"NoChangingWallpaper"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\activedesktop]
"NoChangingWallpaper"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer]
"NoSetActiveDesktop"=-
"NoActiveDesktopChanges"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"NoActiveDesktopChanges"=-
"NoDispBackgroundPage"=-
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file
chiudi ed eseguilo. accetta le modifiche (dura solo un attimo)

posta un nuovo systemscan
ciao