UFFICIALE Apertura pagine pubblicitarie

[tecnico24]

I DNS risultano ancora quelli.
Posta il resoconto del fix da:c:\_otl\movedfiles
Dai ipconfig dal prompt e posta tutti i risultati.

 

[Michel84]

Ecco riportati in neretto i dati tramite il comando "ipconfig" e a seguire il log all'interno della cartella c:\_otl\movedfiles.

Cmq ti confermo quello che ti ho scritto ieri sera, le pagine non si aprono più con quella frequenza snervante, al massimo se ne aprono un paio e solo in alcune pagine web...

Comando "ipconfig"

Configurazione IP di Windows

Scheda Ethernet Connessione alla rete locale (LAN):

Suffisso DNS specifico per connessione:
Indirizzo IPv6 locale rispetto al collegamento . : fe80::40f4:8a63:d5ad:a15c%11
Indirizzo IPv4. . . . . . . . . . . . : 192.168.1.101
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Gateway predefinito . . . . . . . . . : 192.168.1.254

Scheda Tunnel isatap.{A10E8C66-D2F9-4090-893F-541A489C65DD}:

Stato supporto. . . . . . . . . . . . : Supporto disconnesso
Suffisso DNS specifico per connessione:

Scheda Tunnel Teredo Tunneling Pseudo-Interface:

Suffisso DNS specifico per connessione:
Indirizzo IPv6 . . . . . . . . . . . . . . . . . : 2001:0:5ef5:79fb:8a1:2ba4:3f57:fe9a
Indirizzo IPv6 locale rispetto al collegamento . : fe80::8a1:2ba4:3f57:fe9a%12
Gateway predefinito . . . . . . . . . : ::

File log

Files\Folders moved on Reboot...
File move failed. C:\Users\user\AppData\Local\Temp\NVIDIA Corporation\NV_Cache\63547c51a55c7182c5c77fb521826c6c_fce8395f8fd8a83d_6229ccd76215aea1_0_0.bin scheduled to be moved on reboot.
File move failed. C:\Users\user\AppData\Local\Temp\NVIDIA Corporation\NV_Cache\63547c51a55c7182c5c77fb521826c6c_fce8395f8fd8a83d_6229ccd76215aea1_0_0.toc scheduled to be moved on reboot.
File move failed. C:\Users\user\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be moved on reboot.
File move failed. C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Grazie ancora...

 

[marcmarco]

Salve, sto cobattendo disperatamente da molti giorni anche io con il problema dei banner pubblicitari e dell'apertura delle pagine pubblicitarie.
Ho seguito tutti i passi della vostra guida, con i diversi software.
Combofix ha trovato dei rootkit: reportcombo.txt.
Questo è il log di Adw:.txt]AdwCleaner[S0].txt
Kaspersky tdss, jrt, malwarebytes non hanno rilevato nulla.
Il problema però è rimasto e del resto, c'è Panda Cloud Cleaner che mi rileva degli hijack, solo che ogni volta seguo la procedura per cancellarli, il programma dice di averli cancellati, ma quelli si ripresentano immediatamente. Nel log di Panda Cloud Cleaner c'è scritto questo:
Malware. REGKEY: HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM[DISABLEREGISTRYTOOLS]. Value: DISABLEREGISTRYTOOLS To be deleted.

Malware. REGKEY: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM[DISABLEREGISTRYTOOLS]. Value: DISABLEREGISTRYTOOLS To be deleted.


Malware. REGKEY: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM[DISABLETASKMGR]. Value: DISABLETASKMGR To be deleted.

E per finire questi sono i log di OTL:
OTL.Txt
Extras.Txt

Aiutatemi, grazie!!

 

[tecnico24]

Apri OTL , incolla queste righe e clicca su run fix
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 5.175.225.133 8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A10E8C66-D2F9-4090-893F-541A489C65DD}: DhcpNameServer = 5.175.225.133 8.8.8.8

​posta il log e verifica.

 

[marcmarco]

Apri OTL , incolla queste righe e clicca su run fix
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 5.175.225.133 8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A10E8C66-D2F9-4090-893F-541A489C65DD}: DhcpNameServer = 5.175.225.133 8.8.8.8

​posta il log e verifica.

Vedo che non è comparso il mio post ma solo la tua risposta. Spero che questo non crei confusione.
Grazie intanto per la risposta. Non ho ancora fatto quello che mi hai detto perché c'è una novità e quindi vorrei che mi confermassi se devo fare la stessa operazione.
Allora, mi sono accorto che dopo la pulizia con Combofix, in realtà, il problema con Chrome non c'è più. C'era ancora con Firefox, ma ho ripristinato i valori e adesso va bene pure quello.
Ciò detto, ho rifatto la scansione con Panda Cloud Cleaner: continua a rilevare System Hijack, ma il risultato ora è leggermente diverso ed è comparso anche un Suspicious Policy. Ecco il log attuale:

Suspicious Policy. POLICY: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED[HIDEFILEEXT] to be changed to: 0


Malware. REGKEY: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM[DISABLEREGISTRYTOOLS]. Value: DISABLEREGISTRYTOOLS To be deleted.


Malware. REGKEY: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM[DISABLETASKMGR]. Value: DISABLETASKMGR To be deleted.

Ribadisco che, anche se do il comando Clean, in realtà, alla successiva scansione, ritornano tali e quali.
Alla luce di queste novità, mi confermi la stessa procedura che mi hai detto?
Grazie

 

[tecnico24]

Ciao marcmarco.Il post era riferito a michel84.
Non ho capito il tuo problema sinceramente.

 

[marcmarco]

Ciao marcmarco.Il post era riferito a michel84.
Non ho capito il tuo problema sinceramente.

Avevo mandato un post ieri, non so se l'hai visto. In ogni caso, per farla breve, ora la situazione è questa: da ieri, dopo la pulizia con Combofix, non ho più le aperture di pagine pubblicitarie e banner vari (fino a qualche giorno fa mi uscivano anche le famose pagine Ukash-Polizia di stato). Quindi, apparentemente, la situazione sarebbe risolta, tuttavia Panda Cloud Cleaner continua a segnalarmi la presenza di Malware Hijack, con questo log:

Suspicious Policy. POLICY: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXP LORER\ADVANCED[HIDEFILEEXT] to be changed to: 0


Malware. REGKEY: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POL ICIES\SYSTEM[DISABLEREGISTRYTOOLS]. Value: DISABLEREGISTRYTOOLS To be deleted.


Malware. REGKEY: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POL ICIES\SYSTEM[DISABLETASKMGR]. Value: DISABLETASKMGR To be deleted.

Dopo di che clicco su Clean, per ripulire tutto. Il programma mi dice che il problema è stato risolto, ma se rifaccio la scansione mi dice nuovamente che ho il malware hijack e mi dà sempre lo stesso report che ho appena copiato e incollato.
In sostanza, anche se non ho problemi evidenti al momento, non mi lascia tranquillo sapere che - se Panda ha ragione - ho comunque ancora un Hijack nel mio computer.
Grazie.

 

[tecnico24]

Verifichiamo lo stato del pc.
Esegui una scansione con FRST e posta il log.

P.s:in questi giorni non ci sono e sono impegnato , se aspetti lunedi cerchiamo di concludere.

 

[marcmarco]

Verifichiamo lo stato del pc.
Esegui una scansione con FRST e posta il log.

P.s:in questi giorni non ci sono e sono impegnato , se aspetti lunedi cerchiamo di concludere.

D'accordo. A lunedì allora. Grazie.

 

[marcmarco]

Verifichiamo lo stato del pc.
Esegui una scansione con FRST e posta il log.

P.s:in questi giorni non ci sono e sono impegnato , se aspetti lunedi cerchiamo di concludere.

Ecco qui: FRST.txt

Grazie

 

[tecnico24]

Ciao marcmarco , riesegui FRST in modalità normale e posta il log.
L'eseguibile mettilo in una cartella propria nominata "FRST".

 

[marcmarco]

Ciao marcmarco , riesegui FRST in modalità normale e posta il log.
L'eseguibile mettilo in una cartella propria nominata "FRST".

Ha creato due log: il secondo è denominato Addition.
Eccoli qua:

FRST.txt
Addition.txt

 

[tecnico24]

scarica fixlist.txt nella cartella dove hai salvato FRST.
Avvialo e clicca su fix una sola volta.Posta fixlog.txt generato nella cartella dopo il riavvio.

 

[marcmarco]

scarica fixlist.txt nella cartella dove hai salvato FRST.
Avvialo e clicca su fix una sola volta.Posta fixlog.txt generato nella cartella dopo il riavvio.

Fatto: Fixlog.txt

 

[tecnico24]

Verifica adesso il pc.