Ancora pagine internet non richieste

Ciao steve, ho letto qua e la e ho visto che tutto quello di cui hai bisogno per capire se uno è infetto è il log di questo programmino hijackthis. Io l'ho fatto, ho copiato e incollato il risultato:

Codice:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.01.21, on 18/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\SPAMfighter\SFAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\documents and settings\administrator\impostazioni locali\dati applicazioni\mqiko.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programmi\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\Rockstar Games\Rockstar Games Social Club\1_1_3_0\RGSC.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13928&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\pdfforge Toolbar\SearchSettings.dll
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programmi\AskSearch\bin\DefaultSearch.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programmi\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programmi\AskBarDis\bar\bin\askBar.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programmi\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programmi\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programmi\pdfforge Toolbar\WidgiToolbarIE.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programmi\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GEST] m’|\ü
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SearchSettings] C:\Programmi\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programmi\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [mqiko] "c:\documents and settings\administrator\impostazioni locali\dati applicazioni\mqiko.exe" mqiko
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Libro dei ritagli HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Selezione intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{827EF44A-101E-4C33-A441-9C6DC08E4B73}: NameServer = 85.37.17.14 85.38.28.78
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Programmi\AskBarDis\bar\bin\ASKUpgrade.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Programmi\SPAMfighter\sfus.exe


...spero di non aver sbagliato qualcosa.....e so che in molti te l'hanno posto più e più volte questo problema...però AIUTAMI perchè sono veramente stufo di questi c***o di pop-up. Che poi non so neache se siano veramente pop-up o malaware o simili. Come antivirus ho avira, poi ho spybot, e spam fighter, perchè anche nella mail ricevo inutili pubblicità su casinò, viagra e altre stupidaggini!!! Grazie!!!

Stefano1986


Effettivamente il tuo log presenta sintomi di infezione. Non preoccuparti, segui le indicazioni che seguono e vedi che risolviamo presto tutto.

* Scarica e installa Ccleaner
(Quando lo installi ricordati che se lasci le spunte di defaut ,verrà installata anche la toolbar yahoo)

* Disconnetti completamente da Internet (cavo tirato o modem spento)

* Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) metti la spunta su: Visualizza file e cartelle nascoste
2) Disattiva: nascondi file protetti di sistema

* Avvia in modalità provvisoria
(F8 all'avvio del sistema)

* Disinstalla da installazioni / applicazioni:
- Ask Toolbar
- pdfforge Toolbar

* Avvia hijackthis, metti la spunta alle voci che andro ad elencarti e con tutte le applicazioni chiuse premi su fix checked (Ovviamente se qualcuna la conosci trascurala)

R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Search_URL = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Search,Default_Search_URL = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R1 - HKCU\\Software\\Microsoft\\Internet Explorer\\SearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\\Programmi\\pdfforge Toolbar\\SearchSettings.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\\Programmi\\AskBarDis\\bar\\bin\\askBar.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\\Programmi\\pdfforge Toolbar\\WidgiToolbarIE.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\\Programmi\\pdfforge Toolbar\\SearchSettings.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\\Programmi\\pdfforge Toolbar\\WidgiToolbarIE.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\\Programmi\\AskBarDis\\bar\\bin\\askBar.dll
O4 - HKLM\\..\\Run: [GEST] m’|\\ü
O4 - HKLM\\..\\Run: [SearchSettings] C:\\Programmi\\pdfforge Toolbar\\SearchSettings.exe
O4 - HKCU\\..\\Run: [mqiko] "c:\\documents and settings\\administrator\\impostazioni locali\\dati applicazioni\\mqiko.exe" mqiko
O23 - Service: ASKUpgrade - Unknown owner - C:\\Programmi\\AskBarDis\\bar\\bin\\ASKUpgrade.exe

* Cerca ed elimina;(potrebbero non esserci tutte)
C:\\Programmi\\AskBarDis -> Cartella
C:\\Programmi\\pdfforge Toolbar-> Cartella
c:\\documents and settings\\administrator\\impostazioni locali\\dati applicazioni\\mqiko.exe

* Dai una ripulita a cookie,cache e prefetch con Ccleaner
(prima di usarlo vai in Opzioni/avanzate e togli la spunta da :Elimina file temp di Windows solo se piu vecchi di 48 ore)

* Svuota la cartella C:\\Windows\\Tasks

* Ritorna in modalità normale

* Ri-connettiti ad internet

* Scarica e installa MalwareBytes Antimalware
http://www.majorgeeks.com/downloadget.php?id=5756&file=15&evp=693ee0b20204960edfd909666f809b26
aggiornalo, fai uno scan completo del sistema ed elimina quello che trova
Posta il suo log
_____________________________________________
Alla fine delle procedure di pulizia è fondamentale :
1) ri-nascondere i file e le cartelle di sistema
2) Disattivare / Riattivare il ripristino configurazione di sistema (XP / ME / Vista)
3) Creare un nuovo punto di ripristino

stefano1986,
Ciao

Oltre alle raccomandazioni di Steve75, sarebbe opportuna l'installazione di Internet Explorer 7 anche se il tuo browser pdredefinito è Firefox.
IE6 fa parte del SO e può comunque essere un veicolo di ingresso di infezioni virali.

Nautilus

Quindi mi stai dicendo che dovrò disinstallare firefox, non usarlo più, e usare come browser soltanto internet explorer 7 ????

Nono Stefano tranquillo..

Puoi tranquillamente continuare ad usare Firefox, ti sta solo dicendo di aggiornare lo stesso Internet Explorer anche se non lo usi.

PS L'ultima versione di IE è la 8.

aah ok ho capito!!!! TAnTE GRAZIE!!!!!

ma il pc come và? le pagine publicitarie sono sparite?

sto facendo proprio l'ultimo passaggio con malawarebytes....e lantivirus avira mi ha trovato un virus....l'ho eliminato...adesso attendo che malawarebytes finisca la scansione, poi aggiorno IE....e poi vedrò

ecco il log di malaware bytes :

Codice:


Malwarebytes' Anti-Malware 1.36
Versione del database: 2162
Windows 5.1.2600 Service Pack 3

21/05/2009 15.09.36
mbam-log-2009-05-21 (15-09-27).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 132504
Tempo trascorso: 17 minute(s), 17 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)


cosa ne pensate??? adesso per finire aggiorno IE!!!

brutte notizie per me.....ho fatto tutto ma le pagine mi si aprono comunque... anche accedendo al vostro sito mi si apre una pagina di "zone alarm"....un'offerta di un antivirus....

ancora una cosa..... Il mio caro rivenditore di pc mi ha fregato perchè casualmente si è dimenticato di mettermi il windows xp ORIGINALE!!! conta anche questo sulla vulnerabilità del mio pc???

Ciao Stefano, tranquillo vedrai che risolviamo.
Se hai completato tutto quello che ti ha indicato Steve ed il problema persiste fai così:

Scarica ed esegui combofix come descritto qui.

Al termine della scansione posta il log che troverai in c:\combofix.txt.

stefano86
Ciao
Dal file report di Malawarebytes, a fianco del residuo virale, è scritta la voce:
No action taken
Significa:
Nessuna azione presa.
In poche parole quello che è stato rilevato da Malawarebytes è ancora presente nel PC.
Per cancellare le infezioni rilevate bisogna ripetere la scansione e appena terminata è necessario eseguire:
● Importante::
Al termine della scansione cliccare sul pulsante:
- Mostra Risultati:
- Selezionare tutti i file infetti eventualmente trovati
- Eliminarli premendo il pulsante:
- Rimuovi gli elementi selezionati
(Pulsante in basso a sinistra)

Nautilus

ecco ragazzi...questo è il log dopo ciò che mi avete detto...che pne pensate?

Codice:


Malwarebytes' Anti-Malware 1.36
Versione del database: 2162
Windows 5.1.2600 Service Pack 3

22/05/2009 19.03.27
mbam-log-2009-05-22 (19-03-27).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 127788
Tempo trascorso: 15 minute(s), 54 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)


Ciao Stefano, devi eseguire anche questo:

Torukk ha scritto:
Se hai completato tutto quello che ti ha indicato Steve ed il problema persiste fai così:

Scarica ed esegui combofix come descritto qui.

Al termine della scansione posta il log che troverai in c:\combofix.txt.

Ciao ragazzi!! Volevo ringraziarvi per aver risolto questo problema, infatti dopo aver finito tutte le scansioni avevo "disinfettato" a tal punto che è venuto fuori che il mio sistema operativo era fasullo.
Così sono andato dal mio rivenditore e mi sono fatto dare la licenza originale. Ora la mia domanda è, avendo ricevuto raccomandazioni dal mio rivenditore di NON AGGIORNARE MAI IL SISTEMA OPERATIVO (in questo caso windows xp), faccio bene quindi a NON AGGIORNARE MAI IL SISTEMA OPERATIVO?

Direi proprio di no....e direi che questa raccomandazione che ti ha fatto è perlomeno strana...

Siamo proprio sicuri che ti abbia dato una licenza originale?

@stefano1986
@Torukk
Ciao a entrambi.

Un rivenditore che si comporta così, dando dei suggerimenti del genere, non è solo strano, ma sicuramente anche un disonesto verso il cliente.
Infatti un sistema operativo, non aggiornato, è senza dubbio potenzialmente pericoloso per se stesso e per gli altri PC con i quali va in contatto. Le molteplici infezioni virali sfruttano la vulnerabilità del SO che viene eliminata, in parte, dagli aggiornamenti di sicurezza Microsoft.
Il ripetersi di deficienze nel sistema sicurezza, ti vedrà stefano1986 , soggetto a molteplici e continue infezioni virali.
Mi piacerebbe vedere la licenza originale che ti ha dato.
Se è un documento postalo nel topic dopo averlo scanerizzato.

Nautilus

Nautilus39 ha scritto:@stefano1986
@Torukk
Ciao a entrambi.

Un rivenditore che si comporta così, dando dei suggerimenti del genere, non è solo strano, ma sicuramente anche un disonesto verso il cliente.
Infatti un sistema operativo, non aggiornato, è senza dubbio potenzialmente pericoloso per se stesso e per gli altri PC con i quali va in contatto. Le molteplici infezioni virali sfruttano la vulnerabilità del SO che viene eliminata, in parte, dagli aggiornamenti di sicurezza Microsoft.
Il ripetersi di deficienze nel sistema sicurezza, ti vedrà stefano1986 , soggetto a molteplici e continue infezioni virali.
Mi piacerebbe vedere la licenza originale che ti ha dato.
Se è un documento postalo nel topic dopo averlo scanerizzato.

Nautilus

Si', e' un rivenditore da evitare
Se ti ha venduto Win XP dovresti avere in mano un bel CD oro luccicante coi riflessi arcobaleno...

Concordo benissimo!!!! GRAZIE ancora per i consigli!!!!