Firefox: Reindirizzamento da Google verso sito indesiderato

[wood68]

Salve. Ho un problema quando faccio le ricerche con google tramite il browser
firefox. A volte, quando cerco di aprire un sito risultato di una ricerca, non si apre la pagina
richiesta ma vengo re-indirizzato qui (tra l'altro la pagina resta vuota):

http://adsense.previewmediastation.c...OTJkNjA1NDVhM/
zhhNDk2ODcyOWYzNzI0OHwwLjAwMQ==&rhcpre=aHR0cDovL25 ld2dvb2dsZWFuYWx5emVyLmNvbS9zZWFyY2gucG
hwP3E9bHdvcmxkX3dvbWFuX2NoZXNz=MTcxNDgwN2M0YmY1NWQ yNzBhN2JmYTkxNzdlNzNiNDN8Rmx5Y2VsbC5
pdHwwZTRiZDAwOTJkNjA1NDVhMzhhNDk2ODcyOWYzNzI0OHwwL jAwMQ==&rhcpre=aHR0cDovL25ld2dvb2dsZWFu
YWx5emVyLmNvbS9zZWFyY2gucGhwP3E9bHdvcmxkX3dvbWFuX2 NoZXNz

1- ho lanciato CCcleaner

2- Ho provato a risolvere con:
- antivirus Avira
- Malewarebytes
- spyware terminator

ma non hanno trovato alcunché.


3- A questo punto ho fatto una scannerizzazione on line con Symantec
(Kaspersky non è al momento on line) e mi dice
"sicuro".

4- Dopodiché, dopo una breve ricerca su google, ho visto che sinora il
problema è stato riscontrato rarissime volte, e solo da utenti stranieri e
sembrerebbe, ma non so fino a che punto sia affidabile la cosa, che tutto
dipenda dal trojan backdoor.win32.sinowal.knf.
File che comunque non ho
trovato nel mio pc

A questo punto non so cosa fare. Consigli? Grazie


-------------------------
Posto il logfile di HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.40.28, on 05/03/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\AVG\AVG9\avgchsvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\templ ate\DRIVEN~1\syncer\MCCITR~1.EXE
C:\WINDOWS\system32\TSTMON_N.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\Real\RealPlayer\update\realsched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\PROGRA~1\SPYWAR~1\SpywareTerminatorUpdate.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programmi\ZipGenius 6\zipgenius.exe
C:\DOCUME~1\Massimo\IMPOST~1\Temp\ZGTemp\HijackThi s.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file)
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\I E\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AliceRE_McciTrayApp] C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\templ ate\DRIVEN~1\syncer\MCCITR~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TallyGenicom 9316StatusDisplay] C:\WINDOWS\system32\TSTMON_N.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\Real\RealPlayer\update\realsched.exe " -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Massimo\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SpywareTerminatorUpdate] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorUpdate. exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{466DA88B-8728-4B3D-A68E-CCB723A0D4CD}: NameServer = 85.37.17.17 85.38.28.72
O17 - HKLM\System\CS1\Services\Tcpip\..\{466DA88B-8728-4B3D-A68E-CCB723A0D4CD}: NameServer = 85.37.17.17 85.38.28.72
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free WatchDog (avg9wd) - Unknown owner - C:\Programmi\AVG\AVG9\avgwdsvc.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

--
End of file - 7203 bytes

[SkinBonno]

Ciao,
trova ed elimina questo file:
C:\WINDOWS\system32\TSTMON_N.EXE

Scarica Combofix usando Internet Explorer e salvalo sul desktop. Quando lo salvi, rinominalo in abc.exe. Disconnettiti da internet, disattiva l'antivirus. Avvia Combofix (abc.exe) e attendi la fine della scansione.
Non eseguire nessuna operazione mentre Combofix analizza il pc, non muovere nemmeno il mouse, potresti bloccare la scansione.
Finita la scansione il pc si dovrebbe riavviare e in C: dovresti avere un rapporto Combofix.txt. Carica questo rapporto su Wikisend e riporta sul forum il link che otterrai.

N.B. Nel caso non riesci a fare partire combofix, da start-->esegui copia e incolla questa riga di comando comprese le virgolette e dai invio:

"%userprofile%\desktop\abc.exe" /killall

La scansione dovrebbe partire in automatico.

[wood68]

Grazie per l'aiuto

1- C:\WINDOWS\system32\TSTMON_N.EXE è un file che c'e da tempo e penso sia della stamante che uso (TallyGenicom)

2- ho scaricato e rinominato (abc.exe) come mi hai chiesto il file. L'Ho lanciato ma ad un certo punto mi ha detto che si "bloccava" perché ha rilevato AVG e non poteva procedere perché si rischiavano dei danni.

Io AVG lo avevo tempo fa, ma poi l'ho disinstallato per caricare AVIRA. Evidentemente sono rimaste delle tracce nel PC

[wood68]

ho appena utilizzato avg unistaller e su HijackThis non appare più. Ma combofix continua a rilevarlo.

[SkinBonno]

Elimina la versione di Combofix che hai scaricato. Poi scarica OTC by OldTimer. Clicca su Cleanup e lascia che il computer si riavvii. Al riavvio controlla che siano state eliminate le cartelle C:\Qoobox e C:\Combofix. Nel caso eliminale tu.

Scarica nuovamente Combofix e riprova la scansione.

[SkinBonno]

In caso non dovessi riuscire nuovamente la scansione con Combofix, segui questa procedura (se riesci con Combofix non serve):
Scarica System Scan
Disconnetti la connessione internet-->Disattiva l'antivirus-->Esegui Systemscan cliccando su Scan Now.
Carica il rapporto che ottieni su Wikisend e posta il link ottenuto sul forum.

N.B.
Systemscan viene riconosciuto, erroneamente, come infetto per il tipo di scansione effettuata.
La procedura è sicura.

[wood68]

- con Combofix mi continua a dire che rileva AVG antivirus.
- scaricato e lanciato System Scan.

questo è il rapporto caricato su Wikisend

http://wikisend.com/download/380738/report.txt

ciao e di nuovo grazie

[SkinBonno]

Ciao, controlla questi file su Virustotal e copia/incolla il log che ti darà fino alla riga MD5:
C:\WINDOWS\system32\roboot.exe
C:\DOCUME~1\Massimo\IMPOST~1\Temp\nsaF.tmp\uuoywfr ygn.exe

non mi sembra di notare qualcos'altro di sospetto nel log..

[R16]

Salve.
Scusate l'intrusione.

C:\DOCUME~1\Massimo\IMPOST~1\Temp\nsaF.tmp\uuoywfrygn.exe

Questo, è l'eseguibile di Systemscan.

Per quanto riguarda la scansione, di Combofix, perchè venga eseguita, basta ignorare i messaggi di Combofix.
Esiste un bug, nel suo motore di rilevamento antivirus.

Quel pc, oltre a essere infetto, è tutto da aggiornare.
Sarà un duro lavoro.
Scusa l'intromissione.
Saluti.

[pegifr]

Salve a tutti,
vorrei sottolineare che già da un mesetto Combofix non è più in grado di girare in presenza di alcuni antivirus tra cui AVG per una incompatibilità come riportato da coloro che se ne occupano. Infatti in queste circostanze viene indicato di disinstallare l'antivirus in quanto la semplice disabilitazione della protezione non servirebbe a nulla.

Quindi sulla base di quanto indicato dall'utente R16:

Per quanto riguarda la scansione, di Combofix, perchè venga eseguita, basta ignorare i messaggi di Combofix.
Esiste un bug, nel suo motore di rilevamento antivirus.

Direi che in questo caso non è questione di ignorare i messaggi ricevuti in quanto Combofix non può proprio coesistere, almeno per il momento, con determinati antivirus.

Devi, quindi, necessariamente disinstallare AVG o attraverso il tool specifico di disinstallazione oppure usando questa applicazione semplice ed efficace:
Scarica AppRemover sul desktop ed eseguilo > http://www.appremover.com/get/appremover.exe
Deseleziona Enable anonymous usage statistics. No personal data will be recorded.
Clicca su Next, assicurati che sia selezionato Remove Security Application e clicca nuovamente su Next .
Attendi la fine della scansione e clicca su Next.
Seleziona AVG e clicca su Next. Accetta il riavvio se richiesto.

Esegui Combofix secondo le modalità indicate da SkinBonno.