Pagine web che si aprono da sole

[Androide17]

Durante la navigazione si aprono continuamente delle pagine web bianche con il classico messaggio di firefox che avvisa di non trovare alcuna pagina.
A volte invece mi appare un messaggio di scansione contro malware e subito dopo mi indirizza in un sito di un antivirus, precisamente titola Antivirus 2009.
Esso comincia a fare una scansione che a dire la verità mi sembra totalmente finta.
Qualcuno può aiutarmi?

[Deifobe]

Scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto.
non rimuovere nulla x ora

[Androide17]

Malwarebytes' Anti-Malware 1.31
Versione del database: 1565
Windows 5.1.2600 Service Pack 2

29/12/2008 23.34.40
mbam-log-2008-12-29 (23-29-37).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 123257
Tempo trascorso: 40 minute(s), 13 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 4
Chiavi di registro infette: 13
Valori di registro infetti: 2
Elementi dato del registro infetti: 2
Cartelle infette: 0
File infetti: 21

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
C:\WINDOWS\system32\afbugtpv.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\dsxoseal.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\opnkjjgH.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\uynaat.dll (Trojan.Vundo) -> No action taken.

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{172d647a-4ea4-4600-987e-59ede9ce5164} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{172d647a-4ea4-4600-987e-59ede9ce5164} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{490abe5b-b78c-4982-894f-84045664fb02} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{490abe5b-b78c-4982-894f-84045664fb02} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{490abe5b-b78c-4982-894f-84045664fb02} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{172d647a-4ea4-4600-987e-59ede9ce5164} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\asc3550p (Rootkit.Agent) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\d499f0bd (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\opnkjjgh -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\opnkjjgh -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\opnkjjgH.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\Hgjjknpo.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\Hgjjknpo.ini2 (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\uynaat.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\afbugtpv.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\vptgubfa.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\dsxoseal.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\laesoxsd.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\lvmajcwr.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\rwcjamvl.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ruxjqgtj.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\jtgqjxur.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\config\57605220.Evt (Rootkit.Agent.H) -> No action taken.
C:\Documents and Settings\Francesco\Impostazioni locali\Temporary Internet Files\Content.IE5\50AKO4E0\upd105320[1] (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\dnhjrj.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jakqcegv.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\smmklhtt.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ckmxsvto.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\ieupdates.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Umberto\Dati applicazioni\Microsoft\Internet Explorer\Quick Launch\Antivirus 360.lnk (Rogue.A360Antivirus) -> No action taken.

[Androide17]

Non ho ancora eliminato nulla, come avevi detto tu.
ma mi sa che devo fare al più presto.
Attendo tue info...

[Deifobe]

si, puoi rimuovere tutto..

poi, scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now".

Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Freefilehosting e posta il link ottenuto.

Nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata, ovviamente non lo è.

[Androide17]

Questo è il link:
http://freefilehosting.net/download/43dil


Durante la rimozione con MalwareBytes mi è apparso questo messaggio:

Alcuni elementi non possono essere rimossi! Una parte di loro è nella lista qui sotto. L'elenco completo di tali elementi è stato incluso nella rimozione automatica al riavvio. Riavvia il computer ora. Un file di log è stato salvato nella cartella apposita.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CurrentVersion\Explorer\Browser Helper Objects\{d33b4445-282d-4316-9c1b-de2dec1b62d8}HKEY_CLASSES_ROOT\CLSID\{d33b4445-282d-4316-9c1b-de2dec1b62d8}HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont rolSet\Control\LSA\Authentication Packages Data: c:\windows\system32\opnkjjgh

Adesso non so se il software è riuscito ad eliminare questi files.

[Deifobe]

hai riavviato?

[Deifobe]

Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

files to delete:
C:\WINDOWS\aazalirt.exe
C:\WINDOWS\system32\unlxrtwc.dll
C:\WINDOWS\system32\dfba34c3-.txt
C:\WINDOWS\system32\laesoxsd.ini
C:\WINDOWS\system32\winsrc.dll.tmp
C:\WINDOWS\system32\hgGwTJab.dll
C:\WINDOWS\system32\geBqOijG.dll_old

registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\geBqOijG

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.

nota: accetta le modifiche rilevate da spybot


Poi dovresti farmi una cortesia, se ti va:
visualizza file e cartelle nascoste

1) zippa la cartella c:\Avenger e caricala su Freefilehosting (non chiudere la pagina)

2) zippa la cartella c:\documents and settings\Francesco\dati applicazioni\malwarebytes\Malwarebytes' Anti-Malware\quarantine e carica anche questo su freefilehosting.

Inviami tutte e due i link con un messaggio privato (non postarli sul forum, mi raccomando)

[Androide17]

Ho utilizzato avenger.
Ma ho dimenticato "Automatically disable any rootkits found".
Fa niente?

Tra poco ti invierò i link in privato.
Il file "Quarantine" è lento per l'upload.

[Deifobe]

Originariamente inviato da Androide17
Ho utilizzato avenger.
Ma ho dimenticato "Automatically disable any rootkits found".
Fa niente?

no, tranquillo
Il pc come va?