firefox: si aprono automaticamente schede pubblicitarie mentre navigo

[c0b0ld0]

per il motivo indicato nel titolo (che è cominciato a manifestarsi solo da qualche giorno, prima non succedeva) sono arrivato qui.
mi sono appena registrato, quindi saluto tutti e vi ringrazio per l'eventuale aiuto.

vorrei precisare che si tratta dell'apertura di schede, non di finestre...
le finestre pubblicitarie, infatti, mi si aprivano anche prima in alcuni siti particolari (per esempio: usando il sito di hosting "imageshack", quando si clicca sulla foto caricata per ingrandirla, succede sempre che si aprono delle finestre) però appunto si tratta di una reazione (credo normale) del sito per aver cliccato un'immagine o un link... mentre nel caso che mi turba, le SCHEDE si aprono senza nessun apparente motivo, mentre sto navigando, magari mentre sto lavorando su più schede (aperte da me) passando da una all'altra, all'improvviso: bang! ... sono catapultato su una nuova scheda pubblicitaria apertasi senza click particolari di alcun genere.

il fenomeno però non si manifesta molto spesso (5-6 volte al giorno massimo!).
ma fin'ora nei siti che frequento non succedeva mai una cosa del genere.

ho letto altre risposte date ad altri utenti con problemi analoghi al mio, in questi threads veniva indicato di seguire le istruzioni riportate in queste due discussioni (che ho letto):

http://www.tomshw.it/forum/sicurezz...omputer-infetto-leggere-prima-di-postare.html
http://www.tomshw.it/forum/sicurezza/106542-guida-hijackthis-come-creare-e-allegare-il-log.html


per ora ho fatto l'analisi solo col primo programma consigliato dalla guida: Combofix.
fatemi sapere se devo analizzare il computer con tutto! (malwarebytes, kaspersky TDSSkiller, Adwcleaner, ecc...) o cosa devo fare nello specifico.
inoltre nella discussione "ripulire un computer infetto" nelle istruzioni scritte per usare Combofix viene detto di "Disattivare l'antivirus , il firewall e la connessione in uso"... ma non ho capito se questa cosa bisogna farla per l'utilizzo di tutti i programmi (anche i successivi, che non ho ancora provato) oppure se si tratta di un'azione richiesta solo per Combofix.

l'analisi di combofix comunque è la seguente:
risultato scansione combofix (1).txt

in questa prima analisi che ho effettuato con Combofix, il programma in questione ha operato come segue:
- prima ha fatto quella schermata blu (dove ha rivelato e curato qualcosa... facendomi anche un "sorriso", :-) perchè era riuscito a curare il problema)
- poi ha riavviato automaticamente il PC
- al riavvio del PC mi ha dato i risultati in formato block notes che ho allegato sopra!

al riavvio del PC (oltre che il block notes!) è comparso anche questo avviso:
http://img689.imageshack.us/img689/9234/avvertimentoavastnonost.jpg

la cosa mi è sembrata un po' strana, perchè (come richiesto dalla procedura riportata sulla guida) io avevo disabilitato firewall, antivirus e tutto il resto, inoltre (forse sbagliandomi, in quanto poi dopo non sono più riuscito a trovare niente a riguardo) mi sembrava che "rootkit" l'avessi già sentito da qualche parte in una delle tante discussioni del forum che ho letto prima di registrarmi!)... così ho pensato che la cosa facesse parte delle azioni che stavo facendo con Combofix e ho cliccato sulla "x" in alto a destra, per chiudere la schermata senza intraprendere alcuna azione (prima però ho provveduto a fare lo screenshot che vedete sopra!)

successivamente, però, volevo intraprendere un'azione su questo benedetto "rootkit" segnalatomi chissà come da avast, al riavvio del coputer.
ho provato a ricercarlo su C:\, poi ho cercato di ritrovarlo con una scansione completa di Avast, ma non l'ho più trovato, allora, essendo che la schermata era comparsa dopo il riavvio causato da Combofix, ho pensato di ripetere tutto da capo, così che magari (dopo il riavvio) sarebbe tornata di nuovo anche la schermata di avast che mi segnalava quel "rootkit".

Allora ho rifatto tutta la procedura con Combofix... ma questa volta i risultati di Combofix mi sono stati consegnati dal programma senza riavviare il PC, ecco i risultati (su block notes) della SECONDA scansione di Combofix:
risultato scansione combofix (2).txt

inutile dire che alla fine del processo avast non mi ha più tirato fuori quella schermata che segnalava "rootkit"

Ho provato di nuovo (una terza analisi)...ecco i risultati (su block notes) della TERZA analisi di Combofix:
risultato scansione combofix (3).txt

ma anche questa volta l'analisi di combofix si è conclusa senza il riavvio del computer e la schermata di avast (di cui ho fatto lo screenshot) non è riapparsa.

N.B.) da precisare che in queste ultime due analisi (la 2^ e la 3^) nella fase della "schermata blu" Combofix non ha avuto bisogno di curare niente (come invece era successo nella prima analisi!)... mi ha dato infatti direttamente i risultati della scansione, tra l'altro (come ho già detto) senza nemmeno riavviare il PC.

non so se per colpa di combofix, se per aver disattivato il ripristino configurazione di sistema o se per altri motivi, tuttavia ho notato che si crea un icona di internet explorer sul desktop (mi pare ogni volta che si conclude una scansione di Combofix, ma non l'ho appurato con precisione!), inoltre (e questa cosa non mi è piaciuta affatto!) mi si è svuotato il cestino! :mad:
come mai è successo?
posso recuperare le cose che stavano nel cestino prima delle scansioni?


ora,
quello che vorrei sapere da voi è:
- come tolgo il problema delle pubblicità che appaiono su nuove SCHEDE del browser che sto utilizzando
- come trovo di nuovo rootkit (che mi era stato segnalato da avast al riavvio del PC, dopo la prima analisi di Combofix) e se devo eliminarlo.
- come sono andate le analisi rilasciate da combofix
- infine voglio definitivamente analizzare a fondo tutto il PC per ripulirlo alla perfezione da ospiti indesiderati.

infatti alla base di tutta questa storia c'è un altro problema, e cioè i miei contatti MSN messenger mi hanno riferito che quando io non ci sono, loro vengono contattati da me, che ho un nome strano (tipo: nikky nikky o qualcosa del genere) che in realtà non sono io ma dev'essere un bot, che parla inglese e dice sporcellate.
probabilmente ho contratto questo bot da un'altro mio contatto MSN che anche lui aveva lo stesso problema (io venivo contattato dal suo contatto, ma in realtà non era lui, ma un bot!).

allora sono andato su google per vedere come poter risolvere la questione.
nei vari consigli che ho trovato in giro, veniva detto dagli internauti di cancellare il contatto che ti aveva passato questo problema (cosa che ho fatto!), veniva suggerito di cambiare password a MSN (ho fatto anche questo!), poi veniva detto di modificare altre informazioni di hotmail, quali la domanda segreta in caso di smarrimento password, gli indirizzi elettronici alternativi, ecc... (fatto tutto)... poi venivano indicati alcuni programmi antivirus/antibot/malware per MSN, tra cui ho provato i seguenti:
- cureit
- MSNCleaner
- MSN Virus Remover

alla fine, a dire il vero, non so se quel bot su MSN sia stato debellato o no da questi programmi (dovrei chiedere conferma ai miei contatti per vedere se vengono ancora contattati da me quando non ci sono), però, adesso, da circa 2-3 giorni mi appaiono le pubblicità sulle schede di firefox, esattamente da quando ho cercato di ripulire MSN dal bot!
quindi non so se ci sia una relazione tra questi tools che ho usato e le pubblicità indesiderate recentemente apparse su firefox!

inoltre (piccolo appunto che ho già risolto) uno di questi programmi mi ha anche impostato "search.findeer.com" come pagina iniziale di I.E. e Firefox (senza chiedermi niente!).
sono stato attento a deselezionare tutte le cose allegate che venivano offerte in fase di installazione (toolbar, ecc...) ma search.finder come pagina iniziale del browser me l'hanno messo comunque 'sti bastardi! <_<


grazie a tutti per l'aiuto.
aspetto vostri consigli.

ho letto che un'altro tool importante da usare è OTL...
magari stasera provo quello e poi vi posto i risultati! (adesso non ho tempo!)
altrimenti fatemi sapere quale devo usare.

grazie di nuovo!
a dopo! :)

 

[tecnico24]

Ciao.
Catchme è uno scanner per la ricerca dei rootkit integrato in Combofix.
Nella guida viene appunto specificato di disattivare l'antivirus , il firewall e la connessione affinchè non ci siano conflitti.
Deduco quindi che non hai disattivato l'antivirus in modo permanente.
Dal log di combofix si devono eliminare parecchie cose , posta i due report di OTL , configurato come ho descritto nella guida.

 

[c0b0ld0]

sì, l'ho disattivato.
c'era da scegliere di disattivarlo per 10 minuti, 1 ora, fino al prossimo riavvio oppure permanentemente.
io l'ho disattivato PERMANENTEMENTE (per poi riattivarlo a lavoro finito).

quando è uscita quella finestra che ho screenshottato il logo di avast non era presente sulle icone a destra della barra delle applicazioni... ho dovuto attivarlo io successivamente.
questo disgraziato di Avast idividua più cose da spento che non da acceso! :D ahah


- riguardo le cose nel cestino... le ha cancellate combofix?! :(
- devo disattivare firewall/antivirus/connessione anche con tutti gli altri programmi... oppure solo con combofix? (dalla guida sembra sia un'azione da intraprendere solo con combofix)
- riguardo al bot su MSN che parla al posto mio, si può intervenire anche su quello? ... questi programmi riescono a trovarlo?

grazie mille!
allora stasera faccio la scansione con OTL (esattamente come indicato nella guida!) e poi vi posto i report.
fatemi però sapere se devo disabilitare di nuovo firewall/antivirus/connessione e anche i punti di ripristino!


ultima cosa:
io non so come disattivare la connessione in modo "tradizionale"... il mio computer e collegato in automatico (non appena lo si accende)... così per ora sono andato a staccare il cavetto "ADSL" direttamente dal modem!

per favore, fatemi sapere se c'è un modo per interrompere la linea senza dover andare a staccare direttamente i cavi dal modem! (per esempio: dal "centro connessioni di rete e condivisione")... e ovviamente anche come si ripristina!

grazie ancora!
a più tardi! :)

 

[tecnico24]

Meglio disabilitare tutto , mai dire mai che , in qualche fase di rimozione , si vengono a creare conflitti.
Per disabilitare la connessione:
Pannello di controllo
Rete e Internet
Centro connessioni di rete e condivisione
a sinistra Modifica impostazioni scheda
visualizzerai la tua connessione , tasto destro->disabilita.

Aspetto i report di OTL , ciao.

 

[c0b0ld0]

ciao!
son tornato! :)
scusate ma nell'ultima settimana non ho avuto tempo per fare scansoni e roba varia!
adesso invece posso dedicarmici!

ho appena scaricato OTL e procederò con la scansione oggi stesso... solo che in alto (nel centro), sotto alla spunta "scan all users", a differenza di quanto mostrato nell'immagine della guida, manca la voce "Include 64bit scans"...
questa voce non è presente nel programma che ho scaricato... e quindi non posso spuntarla!

proseguo lo stesso?

grazie! :)

 

[tecnico24]

Si , hai un sistema a 32 bit , procedi.

 

[c0b0ld0]

eccoci!
la scansone è termianta!

come dicemmo l'altra volta, prima di far partire OTL ho disattivato:
- punti di ripristino del sistema
- firewall
- antivirus (avast! permanentemente)
- connessione

questi sono i due report che OTL mi ha lasciato sul desktop una volta terminata la scansione (uno si intitola "OTL" e l'altro "Extras"):
OTL.Txt
Extras.Txt

grazie mille per l'aiuto! :)

 

[tecnico24]

Apri OTL
sotto il box custom scans / fixes
copia questo codice in grassetto:

[B]:OTL
PRC - C:\Users\Public\Documents\AppData\PoApp\PService.exe (PService)
SRV - (PowerOffer Service) -- C:\Users\Regina\AppData\Local\PosService\Pos.exe (PowerOfferService)
SRV - (ServUpdater) -- C:\Users\Regina\AppData\Local\ServUpdater\ServiceUpd.exe (ServiceUpd)
SRV - (SoftwareUpd) -- C:\Users\Regina\AppData\Local\SoftwareUpdater\SoftwareUpdService.exe (SoftwareUpdService)
[/B][B]IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com[/B]
[B]IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
IE - HKU\S-1-5-21-2384529337-2830509014-1939793327-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programmi\Ask.com\GenericAskToolbar.dll (Ask)
[/B][B]IE - HKU\S-1-5-21-2384529337-2830509014-1939793327-1000\..\SearchScopes\{39F1E2B5-5E3C-4633-9126-BAAA88B1E8F9}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=0E21DE07-A6B6-473E-825E-95AA73012ACE&apn_sauid=81494EA2-C13F-4117-913C-19D855259150[/B]
[B]IE - HKU\S-1-5-21-2384529337-2830509014-1939793327-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6PQzbMd6h3&i=26
IE - HKU\S-1-5-21-2384529337-2830509014-1939793327-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555
[/B][B]FF - prefs.js..browser.search.defaultengine: "Ask.com"[/B]
[B]FF - prefs.js..browser.search.defaultenginename: "MyStart Search"[/B]
[B]FF - prefs.js..browser.search.order.1: "Ask.com"[/B]
[B]FF - prefs.js..browser.search.selectedEngine: "Google"[/B]
[B]FF - prefs.js..browser.startup.homepage: "http://www.google.it/"[/B]
[B]FF - prefs.js..extensions.enabledAddons: %7BCAFEEFAC-0016-0000-0034-ABCDEFFEDCBA%7D:6.0.34[/B]
[B]FF - prefs.js..extensions.enabledAddons: %7BCAFEEFAC-0016-0000-0035-ABCDEFFEDCBA%7D:6.0.35[/B]
[B]FF - prefs.js..extensions.enabledAddons: %7BCAFEEFAC-0016-0000-0037-ABCDEFFEDCBA%7D:6.0.37[/B]
[B]FF - prefs.js..extensions.enabledAddons: wrc%40avast.com:7.0.1474[/B]
[B]FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:17.0.1[/B]
[B]FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}:6.0.31[/B]
[B]FF - prefs.js..extensions.enabledItems: wrc@avast.com:7.0.1426[/B]
[B]FF - prefs.js..extensions.enabledItems: {336D0C35-8A85-403a-B9D2-65C292C39087}:2.0.0.439[/B]
[B]FF - prefs.js..keyword.URL: "http://mystart.incredimail.com/?loc=ff_address_bar&search="
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1: C:\Program Files\Yahoo!\Common\npyaxmpb.dll (Yahoo! Inc.)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox [2012/09/13 01.01.15 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}: C:\Program Files\PriceGong\2.1.0\FF [2010/07/10 02.54.13 | 000,000,000 | ---D | M]
[/B][B][2012/07/23 07.20.27 | 000,216,359 | ---- | M] () (No name found) -- C:\Users\Regina\AppData\Roaming\mozilla\firefox\profiles\p3zio552.default\extensions\OneClickDownloader@OneClickDownloader.com.xpi[/B]
[B][2012/06/01 22.22.07 | 000,002,203 | ---- | M] () -- C:\Users\Regina\AppData\Roaming\mozilla\firefox\profiles\p3zio552.default\searchplugins\MyStart Search.xml
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: [PosService] C:\Users\Public\Documents\AppData\PoApp\PLauncher.exe (PLauncher)
[/B][B]O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1883A962-D1D4-406F-8B6E-5837E2AEA712}: NameServer = 176.31.229.24,176.31.229.25[/B]
[B]O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3a539854-6a70-11db-887c-806e6f6e6963}: NameServer = 176.31.229.24,176.31.229.25[/B]
[B]O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{99662DB2-9B82-4D70-B6EA-5F5A6CB5B1A3}: NameServer = 176.31.229.24,176.31.229.25
[/B][B][2012/11/27 19.24.38 | 000,000,000 | ---D | C] -- C:\Users\Regina\AppData\Local\PowerOffer[/B]
[B][2012/11/27 19.24.37 | 000,000,000 | ---D | C] -- C:\Users\Regina\AppData\Local\ServUpdater[/B]
[B][2012/11/27 19.24.37 | 000,000,000 | ---D | C] -- C:\Users\Regina\AppData\Local\PosService[/B]
[B][2012/11/27 19.17.09 | 000,000,000 | ---D | C] -- C:\Program Files\MyPcCleaner[/B]
[B][2012/11/27 18.54.57 | 000,000,000 | ---D | C] -- C:\Users\Regina\AppData\Local\SoftwareUpdater
[/B][B][2012/11/27 02.54.47 | 000,000,000 | ---D | C] -- C:\Users\Regina\DoctorWeb
[/B][B][2010/10/07 09.49.54 | 000,000,020 | ---- | C] () -- C:\Users\Regina\AppData\Roaming\oidzga.dat[/B]
[B][2009/12/17 18.10.49 | 000,001,356 | ---- | C] () -- C:\Users\Regina\AppData\Local\d3d9caps.dat
[2008/07/08 08.35.39 | 000,003,224 | ---- | C] () -- C:\Users\Regina\AppData\Roaming\wklnhst.dat
[2012/11/27 19.24.36 | 000,004,082 | ---- | C] () -- C:\Users\Regina\AppData\Local\unins000.dat
[2009/05/10 08.05.52 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat 
@[URL="http://www.tomshw.it/forum/member.php?u=102884"]alt[/URL]ernate Data Stream - 64 bytes -> C:\Users\Regina\Documents\restiamo in attesa di un suo intervento presidente.avi:TOC.WMV

[/B][B]:Files
[/B][B]ipconfig /flushdns /c[/B]
[B]netsh int ip reset c:\resetlog.txt /c[/B]
[B]C:\Programmi\Ask.com[/B]
[B]
:reg[/B]
[B][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command][/B]
[B]""=""%1" %*" [/B]

[B]:commands[/B]
[B][purity][/B]
[B][emptytemp][/B]
[B][RESETHOSTS][/B]
[B][EMPTYFLASH][/B]
[B][start explorer][/B]
[B][CLEARALLRESTOREPOINTS][/B]
[B][Reboot][/B]

Clicca in alto su

Aspetta le operazioni senza interferire

Il pc si riavvierà , al ritorno ti apparirà un log , salvalo e postalo qui.

 

[c0b0ld0]

gli altri bottoni devo riposizionarli come spiegato nella guida...
oppure questa volta devo lasciarli così come sono (senza depennare niente)?

 

[tecnico24]

gli altri bottoni devo riposizionarli come spiegato nella guida...
oppure questa volta devo lasciarli così come sono (senza depennare niente)?

Non devi fare nulla.

 

[c0b0ld0]

ciao
ho fatto come mi hai detto, OTL si era messo a lavorare così me ne sono andato a fare altro...
quando sono tornato il PC si era riavviato (come previsto) e si era fermato nella schermata in cui dover digitare la password per accedere alle sessione "regina" (come si chiama il PC)... sono entrato ma all'accesso c'era solo il desktop (niente icone, niente barre e niente sidebar di vista).... era così come lo avevo lasciato prima del riavvio causato da OTL (infatti quando ho cliccato Run Fix e OTL aveva iniziato a lavorare, aveva tolto tutto dal desktop (come credo che sia normale).

io non ho cliccato altro... anzi: come ho detto, dopo aver copiato/incollato il testo che mi hai dato e cliccato Run Fix, me ne sono andato e son tornato un po' di tempo più tardi per vedere se si era riavviato.

come dicevo: al riavvio causato da OTL, non c'era niente (a parte il desktop) però, da una parte dello schermo, c'era solo la parte superiore di una finestra (solo il pezzo dove ci sono i comandi: riduci a icona, ingrandisci, chiudi).
ho provato a vedere se riuscivo a visualizzare il contenuto di questa finestrella (oltre che l'inutile pezzo di barra di cui ho detto sopra) ed effettivamente sono riuscito a vedere che si trattava di quelle finestrelle che appaiono quando qualcosa non funziona, quelle classiche finestre dove c'è scritto:

- "OTL a smesso di funzionare, se il problema persiste contattare il fornitore del programma". (o una cosa del genere, non ricordo esattamente).

cercando di non farmi prendere dal panico ho aspettato comunque un po' (visto che si diceva che avrei dovuto ricevere e salvare un log al riavvio.... ma in realtà non succedeva niente, daltronde "OTL aveva smesso di funzionare"....

a un certo punto ho quindi fatto ctrl+alt+canc per chiudere la sessione, spegnere il PC e poi riavviarlo (l'unica cosa rimasta da fare).

mentre che il PC si riavviava ho pregato in cinese nella speranza che non si fosse cancellato tutto il contenuto della sessione "regina".
all'accesso, fortunatamente sembrava che non si fosse cancellato niente (questa volta icone, barra dello start, ecc... erano al loro posto!).

questa volta, dopo aver dovuto riavviare il PC personalmente, c'era effettivamente una pagina di block notes aperta, che diceva che era avvenuta l'eliminazione di voci di registro al riavvio:
vado per salvarla (come mi hai detto) ma mi dice che ce n'è già una copia su C:\_OTL
eccola qua:
12112012_033950.log


inoltre, sul desktop, c'erano due nuove icone (dei fogli di block notes semitasparenti con un ingranaggio sopra) chiamate:
- desktop.ini
- desktop.ini
(se servono vi carico anche queste).
queste però non erano aperte al riavvio, stavano sul desktop e basta... e se le apri ci sono delle brevi scritte anche qui.


dopo aver constatato tutto questo, riavvio firewall+punto di ripristino+internet+avast (che avevo disattivato prima di iniziare con OTL), accedo a firefox ma come pagina iniziale c'era la "pagina predefinita" (ovvero la: "pagina iniziale di mozila firefox").
sono andato su firefox>opzioni e ho rimesso come pagina iniziale "google".

sono andato nei classici siti che frequento e sembrava che l'intera struttura grafica di firefox fosse andata persa!!! (su google invece sembrava tutto normale).

alcuni siti presentavano il problema in modo minore, altri invece (tra cui anche questo forum) avevano tutte le scritte da cliccare elencate come se fosse un documento word (o poco più) anzichè un sito!
un po' come accade quando salvi una pagina web; in questi casi si salva sia la pagina web, sia una cartella (che contiene tutte le relative immagini da visualizzare nella pagina) se tu cancelli la cartella in questione e poi apri la pagina web, questa viene visualizzata tutta male!!... con il testo come dicevo prima!
non so se mi sono spiegato...

nonostante le pessime condizioni grafiche ho tentato di orientarmi sul forum per raggiungere questa sezione e rispondere, ma arrivato a questa discussione e cliccando "rispondi" firefox si metteva a caricare ma non andava anvanti!

ho dovuto spegnere Firefox e aprire I.E. (nella speranza che almeno questo funzionasse normalmente).
infatti era così...
I.E. aveva mantenuto google come pagina iniziale, e la sua grafica nei vari siti non era stata compromessa... ora sto usando I.E. per scrivere questo messaggio (altrimenti non avrei potuto).


spero che quanto successo sia riparabile...
ora più che sapere se c'è un ipotetico virus sul mio PC preferisco risolvere questo problema (che è ben più tangibile di qualsiasi altro virus possa annidarsi sul mio PC!).

in base hai comandi che erano presenti in quel codice vorrei sapere se risulta che potrebbe essere avvenuto un danno alla grafica di firefox (cioè: se c'è della compatibilità con quanto è avvenuto) e (sempre orientandosi sulla base dei comandi del codice) fatemi sapere se ci sono delle altre aree del computer che potrebbero aver subito danni, ma che ancora non ho riscontrato (che ne so, magari - conoscendo gli interventi che si stava apprestando a fare OTL, mi dici: "vai a vedere se il programma "tizio" e "caio" funzionano bene o no").

mi auguro che la cosa sia riparabile senza dover reinstallare firefox, (o peggio resettare il PC) in quanto ho vari siti, segnalibri, ecc... salvati su quel browser, che non vorrei perdere.

infine (sperando di riuscire a risolvere tutto)...
fammi sapere se devo ripetere di nuovo il processo con OTL (sperando che questa volta non vada in crash al riavvio o succedano altri disastri).

grazie!


ripeto: ora operiamo per capire cosa e successo e cosa si è modificato/cancellato (i virus sono passati in secondo piano per quel che mi riguarda)...
vorrei ripristinare la situazione precedente del PC al 100%
per ora riscontro le cause di quanto è successo solo su firefox ma non so se sia tutto qui o no!

grazie!



EDIT:

dimenticavo di dire che sempre nella cartella C:\_OTL (che non ho creato io, probabilmente si è fatta quanto ho installato il programma) c'è (oltre al foglio blocknotes che ho caricato) una cartella chiamata "MovedFiles".
dentro a "MovedFiles" c'è un'altra cartella che si chiama come il file di blocknotes che ho caricato "12112012_033950"
dentro ci sono altre quattro cartelle "C_Program Files" / "C_ProgramData" / "C_Programmi" / "C_Users"

ogn'una di queste ha altra roba dentro...
non so... potrei sbagliarmi ma l'impressione che ho è che sia una specie di backup di tutte le zone su cui ha operato (o ha tentato di operare) OTL atraverso quel codice che gli ho ipartito.... le a messe lì... da una parte... è possibile?
fatemi sapere cosa devo fare con queste cartelle (e se possono essere utili per ripristinare i danni verificatisi!).

inoltre ho appena provato a spostare le due "icone semitrasprenti con ingranaggio" di cui dicevo prima, apparse sul desktop.
ma appena le metto nella cartella che voglio mi esce una finestrella che mi dice:

.
spostare il file di sistema?
se si sposta questo file, è possibile che Windows o altri programmi non funzionino più correttamente.
.
​

per ora le o lasciate sul desktop... fatemi sapere cosa ci devo fare!
grazie.


PS) un'ultima cosa:
non so se lo faceva anche prima (in quanto I.E. non lo uso mai), ma ogni volta che clicco una pagina (per lo meno in questo sito) mi appare una finestrella che mi dice:

.
Si sta per abbandonare una connessione sicura Internet.
Altre persone potrebbero visualizzare le informazioni inviate.
Continuare?
.
​

... e ogni volta devo dire: "Sì", "Sì", "Sì"... ad ogni pagina del forum che clicco.

 

[tecnico24]

Ciao.
Con OTL abbiamo eliminato in firefox qualche estensione inutile e le toolbar che rallentavano il broswer , mi sembra strano tutto ciò.
Potrebbero esserci stati dei conflitti , forse l'antivirus ha interrotto qualche operazione.
Il report che mi hai postato non è quello giusto , quindi allega tutti i file che trovi in C:\_OTL e verifichiamo.

 

[c0b0ld0]

ciao!
come ho spiegato sopra, prima di avviare il processo con OTL ho disattivato firewall, antivirus, internet e punti di ripristino (come mi avevi consigliato di fare ad ogni operazione che avrei eseguito!)

sulla cartella C:\_OTL\MovedFiles (unica cosa prensente su C:\_OTL a parte il file che ho già caricato) ci sono un sacco di sottocartelle che contengono a loro volta altre cartelle e files, chiavi di registro e anche programmi (.exe)...
non so come caricare tutto... c'è la possibilità di passarti direttamente la cartella?

cercando di interpretare il significato dei codici che mi hai dato, mi pare di capire che questo gruppo di cartelle, sia una specie di annotazione (di backup) delle zone operate da OTL, in quanto le sottocartelle che ho menzionato nel messaggio precedente, nominate: "C_Program Files" / "C_ProgramData" / "C_Programmi" / "C_Users" sono le stesse nominate nel codice (e sulle quali immagino si voleva intervenire).
in pratica: tutte le zone su cui è passato OTL sono state archiviate dentro questa cartella "MovedFiles" (almeno questa è la mia impressione!)

l'altra impressione che mi sono fatto è che OTL sia andato in crash mentre lavorava... quindi magari sono saltati dei file di registro o roba varia che stava processando/analizzando...
quando chiedevo se nei comandi impartiti ad OTL c'era della compatibilità con quanto avvenuto, non intendevo dire solo relativamente ai files da eliminare... ma anche relativamente ai files su cui OTL era stato incaricato solamente di guardate o cose analoghe.
se il processo si è interrotto sul più bello... magari alcune cose sotto analisi di OTL si sono spostate o cancellate! (magari finendo proprio dentro la cartella "MovedFiles").


comunque (come dicevo prima) nella cartella MovedFiles c'è un dedalo di sottocartelle e file... che a stimare conterrà 20-30 files se apro tutte le cartelle...
fammi sapere se c'è un modo per passarti direttamente la cartella!
oltre a questa cartella e al file che ho già caricato, non c'è nient'altro su _OTL, mentre sul desktop ci sono quei due files "semitrasparenti" di cui dicevo nel messaggio precedente (nominati: desktop.ini)

questi sono gli screenshot dell'home page di youtube e di questo forum visto con firefox dopo che (fallito il riavvio di OTL) ho dovuto riavviare io il PC:
http://img145.imageshack.us/img145/4964/youtubedopoilguaio.jpg
http://img51.imageshack.us/img51/258/sdopoildisastro.jpg

grazie per il supporto.



- - - Updated - - -

EDIT:



dannazione ho appena scoperto che molte cartelle del computer sono disseminate da questi file .ini che ho riscontrato sul desktop:
come ad esempio:
- Data Base File (.db)
- File TMP (.tmp)
- File batch Windows (.bat)
- File ISS (.iss)
- File di sistema (.sys)
- File SQM (.sqm)

tutta roba tecnica che si è sparpagliata (o è apparsa) nelle varie cartelle del PC.
alcune sono semitrasparenti (come quelle su desktop... che poi anche il desktop è una certella del PC)... altre invece non sono semitrasparenti!

che disastro!!
se sapevo mi tenevo il virus su MSN (anche perchè non lo uso quasi mai!)

vorrei riportare tutto a posto e far sparire queste cartelle/file apparse in giro per il PC!
per favore!!!!

 

[tecnico24]

Allora , innanzitutto non ci allarmiamo.
Per quanto riguarda quei files a cui ti riferisci , sono quelli nascosti dal sistema operativo.
Quindi procedi cosi:
Start
Pannello di controllo
Aspetto e personalizzazione
opzioni cartella
Nel tab visualizzazione
spunta Non visualizzare cartelle , file e unità nascosti
e sotto su Nascondi i file protetti di sistema(consigliato)
Applica->OK.

vedi se riappaiono.

2)Ti avevo detto , in precedenza , che dopo il fix dovevi postare il report che ti appariva appena entravi sul desktop , ma hai postato solo la parte finale.
Quindi non serve caricare niente , ne allarmarsi di ciò che ha eliminato , perchè era tutta robaccia.

3)Per quanto riguarda firefox , verifica se adobe flash player sia attivo o rienstallalo.
Ripeto abbiamo eliminato alcuni plugin ed estensioni che favorivano l'apertura delle pagine , quindi non dobbiamo ripristinare nulla : se riesci , nella cartella Moved files visualizza il report .txt con le eliminazioni e postalo.

 

[c0b0ld0]

1) ok, grazie! ... ora i file sono scomparsi! :)

2) dopo il riavvio (che tra l'altro ho dovuto fare io, perchè quello di OTL aveva dato solo lo sfondo desktop come risultato!), oltre a quello che ti ho caricato non è apparso nient'altro (non è che mi metto a copiare solo le parti finali di un documento... quello che ti ho caricato era il documento per itero).
daltronde non mi pare che sia andato tutto come doveva andare... per cui non c'è da stupirsi se anche il log non era come avrebbe dovuto essere.

3) scusa la mia ignoranza ma non so come si fa a verificare se flash player è attivo.
inoltre ho dato uno sguardo alle cartelle che ci sono su "Movedfiles" ma non ce n'è nessuna in formato .txt.
volevo caricarti un filmatino per farti vedere quante cartelle ci sono dentro "movedfiles" e quanto è intricato guardarle tutte... però ho appena scoperto che non funziona più neanche "Camstudio" (un programma con cui registravo in formato video porzioni di desktop).
questo è quello che esce fuori quando cerco di fare il video:
http://img43.imageshack.us/img43/2330/camstudiononfunzionapi.jpg

inoltre mi pare che alcuni documenti word siano passati da .doc a .docx (anche se funzionano ancora).