Apertura popup internet a singhiozzi

[marklenders]

Salve a tutti,
windows vista 64 ha iniziato da un po' a fare i capricci aprendomi continuamente popup pubblicitare sia navigando con firefox che con IE. In oltre molto spesso quando visito una pagina mi viene ritornato immediatamente un errore 404 not found ma se riaggiorno la pagina viene caricata correttamente naturalmente dopo che è partita una nuova popup.

Ho eseguito la scansione con AVG, Ad-Aware e spy-boot sia in modalità normale che in modalità provvisoria ma il problema persiste. Allora ho fatto una scansione con SystemScan come suggerito in diversi post già aperti. Ho spulciato il report (è da stamani che spulcio) ma ahimè non riesco davvero a tirarci fuori un ragno da un buco.

Qualcuno potrebbe darmi una mano?

Meglio fare la scansione con navilog?

Grazie anticipatamente

report -> http://www.savefile.com/files/1927410

[Deifobe]

infatti è navipromo.. però ho visto che hai già scaricato navilog1.
Eseguilo, scegli la lingua e, al menù di scelta, seleziona l'opzione 1 (non scegliere le altre). Ad un certo punto uscirà una scritta "Analysis ... Terminate", premi un tasto come richiesto e si aprirà un file di testo (il rapporto della scansione che dovrai postare).



poi riesegui systemscan, clicca su unselect all e spunta solo la scansione Master Boot Record. Posta il risultato sul forum

systemscan evidenziava questo:
device: opened successfully
user: MBR read successfully
kernel: error reading MBR
vorrei riverificarlo..

[marklenders]

Navilog non mi funge maledizione! Credo che sia dovuto alla versione di vista a 64 bit... ho aperto il file navilog.bat e ho visto che il path non viene correttamente valorizzato ( va a cercare la roba in Progam Files mentre navilog viene installato su Program Files (x86) ). O provato a modificare il percorso a mano, tutti i check vanno a buon fine ma quando scelgo l'opzione 1 va in errore con

C:\unpffc02.txtImpossibile trovare il file specificato.
\Navilog1 non atteso.

ho provato a crearlo a mano ma quando lancio il bat lo rimuove e poi probabilmente non riesce a ricrearlo.... che 2 cojones!!

Nessuno l'ha mai fatto girare su vista 64? Mi pare impossibile...

[Deifobe]

magari è solo questione di disattivare l'UAC di Vista

visualizza i file nascosti ed elimina manualmente i 5 file:

C:\Users\Mark\AppData\Local\fwohq_navps.dat
C:\Users\Mark\AppData\Local\fwohq.dat
C:\Users\Mark\AppData\Local\fwohq.bat
C:\Users\Mark\AppData\Local\fwohq_nav.dat
C:\Users\Mark\AppData\Local\fwohq.exe

(quelli che iniziano con fwohq, praticamente)

poi esegui systemscan come indicato.

[marklenders]

L'UAC è una delle prime cose che ho disattivato di vista..

Allora ho eliminato i files che mi hai indicato e ho fatto girare SystemScan con Check Master Boot e basta. Questo e il report

SystemScan - www.suspectfile.com - ver. 3.6.0 (code: holifay & bReAkdOWn)
Running on: Windows VISTA , Service Pack 1 (6001.6.0)
System directory: C:\Windows
SystemScan file: C:\Users\Mark\Desktop\sys36667.exe
Running in: User mode Date: 12/12/2008 Time: 20.45.14
Output limited to:
-Master Boot Record =====================
MASTER BOOT RECORD =====================
device: opened successfully user:
MBR read successfully kernel:
error reading MBR
==========================================
Scan completed in 0 minutes End of report ~~~~~~~~~~~~~~~~~~~~~-----CREDITS-----~~~~~~~~~~~~~~~~~~~~~ SystemScan uses some freeware tools that remain property of their authors: * SteelWerX Registry Console Tool, Who Am I (Bobby Flekman: www.xs4all.nl/~fstaal01) --> "Registry scan", "PC accounts " * dumphive (Markus Stephany)--> "Registry scan" * Listdlls (M.Russinovich, B.Cogswell: www.sysinternals.com) --> "Loaded modules" * Catchme & MBR Rootkit detector (gmer: www.gmer.net) --> "Hidden objects", "Alternate Data Streams" & "Master Boot Record" ---> NOTE: SystemScan integrates "The Avenger" from Swandog46 (http://swandog46.geekstogo.com) to allow you to remove malwares found in this log Thanks to all of them for their hard work

Grazie ancora per il supporto


ce l'ho fatta a far girare navilog (ho copiato i file che ha installato nella directory che mi segnala sul file navilog.bat)

Nel report credo che questa ricga sia significativa

*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!

HKEY_CURRENT_USER\Software\Lanconfig found !

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"fwohq"="\"c:\\users\\mark\\appdata\\local\\fwohq. exe\" fwohq"


Ti posto tutto il file tante volte ci fosse qualcosaltro ma non credo?

[Deifobe]

apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Lanconfig]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"fwohq"=-
;

salvalo sul desktop come
nome: fix.reg
tipo di file: tutti i file

chiudilo ed eseguilo (dura solo un attimo)


le pagine pubblicitarie dovrebbero non esserci più, confermi?

[marklenders]

ho eliminato la chiave direttamente dal registro... dovrebbe andare bene lo stesso giusto?

Sembrava tutto ok e invece si ripresenta lo stesso problema.. ma possibile che in 5 anni di windows xp non ho mai baccato un virus e in 1 mese di vista l'ho beccato subito e non riesco a toglierlo? La tentazione di tornare al buon vecchio Xp è davvero tanta.....

Provo a modificare come mi hai suggerito ma sono davvero dubbioso... domani ti faccio saper


Grazie ancora e buonanotte...

PS. davvero molto/gentile

[Deifobe]

prova ad eliminarli da disconnesso e poi riavvia
è probabile che ci sia qualche connessione (i file si scaricano)

fai così e vedi se funaziona...