Analisi log HiJackThis - Firefox non apre i siti

[Gottlieb]

Buongiorno ragazzi, sono iscritto da poche ore ma col cuore quasi da sempre. Ho un problemino e sono sicuro che potete aiutarmi dall'alto della vostra conoscenza.


Da Domenica (dopo aver visitato un sito molesto, suppongo, ovvero downloadzone perchè un amico doveva assolutamente mostrarmi cosa gli era capitato -.-") Firefox sta dando dei problemi che mi hanno portato a fare tutte le operazioni di disinfestazione possibile e immaginabili, da Malwarebytes a CCleaner a Spybot ecc..

Ho trovato tanti piccoli virus da far fuori, percorsi rotti da riparare, ho eliminato 1GB di file temporanei, ho pulito un po' di roba. Il problema di Firefox era principalmente questo: non apriva alcuni siti, altri li apriva ma appena terminato di caricare la pagina la refreshava in automatico e mi dava una pagina bianca, in altri casi ancora mi portava in un URL che recitava un IP di un sito che, analizzato, risultava essere decisamente dannoso.

Dopo tutte le varie cure e i vari interventi ecco cosa succede adesso che non riesco più a trovare virus o malware o batteri o salmonelle: firefox non apre dei siti appartenenti ad una stessa macchina (quindi quei 4/5 hostati su uno stesso server) ma accade solo su questo computer, mentre sugli altri che ho in casa, e che viaggiano con la stessa linea wi fi, si aprono senza problemi. Non so se è concesso nominare il sito, quindi per sicurezza evito, però su questa macchina io ci lavoro e ho anche la casella mail principale, quindi portarmi dietro un portatile per aprire solo questi siti mi è dannoso.

Come faccio a capire che è successo? Come risolvo?
Nel frattempo ho provato ad installare Chrome ma inutile dire che ha dato tanti altri problemi (anche un anno fa lo installai e mi faceva crashare l'intero sistema per motivi ignoti, poi una volta disinstallato tornò tutto a meraviglia).

Vi allego i log di HiJackThis per semplificare la ricerca del colpevole e speriamo di trovarlo!

Grazie davvero tante

 

[R16]

Ciao Gottlieb

Apri SpyBot in modalità avanzata (menù modalità - avanzata) poi vai in utilità - resident e togli la spunta a TeaTimer, e riavvia il pc.

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2102507
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
R3 - URLSearchHook: PHPNukeIT Toolbar - {2c965f3f-8efd-4bfc-a2c5-1672845fdbbf} - C:\Programmi\PHPNukeIT\tbPHPN.dll
O2 - BHO: PriceGong - {1631550F-191D-4826-B069-D9439253D926} - C:\Programmi\PriceGong\2.1.0\PriceGongIE.dll
O2 - BHO: PHPNukeIT Toolbar - {2c965f3f-8efd-4bfc-a2c5-1672845fdbbf} - C:\Programmi\PHPNukeIT\tbPHPN.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SearchSettings] C:\Programmi\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [Prolific2571_OneButton] C:\Programmi\Prolific\PL2571 One Button\OneBtn.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Programmi\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Programmi\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [VeohPlugin] "C:\Programmi\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\UTENTE\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - Global Startup: NetFly U54 Wireless Utility .lnk = ?
O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\UTENTE\Menu Avvio\Programmi\IMVU\Run IMVU.lnk (file missing)
O16 - DPF: {070CA17A-4BD2-4612-83B4-32B1B9159B47} - http://uc.sina.com.cn/download/live/weblive2.4.0.0.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48. cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A91F476-64BD-4458-BC2C-F0E552252E6D}: NameServer = 93.188.163.72,93.188.166.107
O17 - HKLM\System\CCS\Services\Tcpip\..\{D26C2F6A-B65E-4D27-A842-E8FE0A71813F}: NameServer = 93.188.163.72,93.188.166.107
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.163.72,93.188.166.107
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.163.72,93.188.166.107
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 93.188.163.72,93.188.166.107
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.163.72,93.188.166.107

Fai una pulizia con CCleaner .(registro compreso)

Poi fai una scansione con Combofix:
http://www.tomshw.it/forum/sicurezza/105415-guida-come-ripulire-un-computer-infetto.html
Posta il log.

 

[Gottlieb]

R16, grazie mille per la replica rapidissima. Sorge un altro problema ora: installando Spybot mi esce il seguente errore:

Error Sendig request.
The server name or address could not be resolved.


In effetti Spybot non l'avevo avviato in un primo momento perchè quando ero andato a scaricarlo non mi si apriva il sito di download, ho erroneamente detto di averlo usato perchè di solito è il primo programma cui mi affido.


Ho risolto evitando di fargli fare gli aggiornamenti. Procedo col riavvio e il fix della lista che mi hai scritto!

 

[Gottlieb]

Perdonate il doppio post.

Mentre facevo lo scan con Combofix per ben due volte è crashato REGT.cfexe e una volta, a log concluso, regedit.exe.

Di seguito allego il log di combofix.

R16, mi rimetto alla tua bontà :inchino:

 

[R16]

Ciao.
Disistalla AVG8.
Per disinstallare AVG8 usa questa utility
AVG Remover (32 bit)
http://download.avg.com/filedir/util/avg_arm_sup_____.dir/avgremover.exe

Riavvia il pc.

Poi:
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

KillAll::
Folder::
c:\programmi\PriceGong
c:\documents and settings\UTENTE\DoctorWeb
Driver::
avg8wd
npggsvc
a2AntiMalware
a2injectiondriver

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.

Poi:
Disistalla Firefox.
Fai una pulizia con CCleaner (registro compreso) e reistalla l'ultima versione:
http://www.mozilla-europe.org/it/firefox/

Riferisci se riscontri ancora problemi.

 

[Gottlieb]

Allur. Già dopo il primo avvio di ComboFix avevo risolto tutti i problemi che si dovevano risolvere, ora infatti il pc procede bene per la sua strada. Però meglio continuare a prevenire piuttosto che trovarsi a curare come accaduto di recente.

Fatto tutto come dicevi tu, tranne Firefox che ho disinstallato ieri e installato stamattina di nuovo. Unico problema è che, a fine scansione di Combofix, è crashato Regt.exe però stavolta solo una volta.

Ti allego i log. Sempre gentilissimo

 

[R16]

Ciao.
Direi che possiamo concludere con le pulizie.

Disattiva il ripristino configurazione di sistema.

Scarica TFC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "start"
al termine della scansione ti chiederà il riavvio, dai ok.

Per eliminare i vari Tooll scaricati:
Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.

Dai una pulita (registro compreso)con CCleaner.

Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch
SVUOTA IL CESTINO
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

Esegui uno Scandisk.
Fai una deframmentazione del HD.

Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.

Se non riscontri problemi, abbiamo concluso.
Ciao!

 

[Gottlieb]

Ha trovato solo due ADS, nella cartella dei file temporanei.

Eliminati.
Comunque il pc ora va molto meglio a livello di velocità ma ho notato due piccole cose che non vanno più.

1. Quando apro link che mi arrivano tramite msn o skype mi si aprono con IE e non più con Firefox. Come posso impostare l'apertura con Firefox?

2. Sulla tastiera ho delle shortcut in alto a sinistra (posta, internet home e calcolatrice) e hanno dato forfait tutte e tre. Non tanto le prime due ma la terza mi crea difficoltà perchè la uso spesso ed era una shortcut molto interessante. Come le reinposto?


Grazie mille ancora