Malware che apre automaticamente schede nel browser

max1584

Digital-Forum Gold Master
Registrato
7 Settembre 2007
Messaggi
3.848
Località
Volla (NA)
Un saluto a tutti, come da titolo ho un problema di malware sul mio notebook Dell Vostro 1000 sistema operativo Windows Vista 32 bit, e come browser utilizzo Google Chrome 47. Qualche giorno fa scaricando un programma freeware da internet avrò beccato questo malware che mi apre da solo le schede nel browser e parte da indirizzi internet come newpoptab.com, oppure explore-land.com ecc. per poi reindirizzarmi a siti internet pubblicitari, ho provato ad eseguire scansioni con vari anti-malware, ed anti-spyware, del tipo Malwarebytes, Super-AntiSpyware, ed ho provato anche ad eseguire una scansione dell'intero PC con l'antivirus AVG ma pur rilevando e rimuovendo degli elementi infetti, il problema rimane. Inoltre ho controllato anche tra le estensioni di Google Chrome ma non risulta nessuna estensione anomala, quindi come posso risolvere questo problema?
 
Ciao, vai nella sezione apposita ed inserisci il log post scansione di Hijackthis in questo modo gli amministratori del forum ti controlleranno se hai voci sospette o infette da fixare ed eleminare.
 
Ciao Corry grazie per la risposta. Siccome non sono esperto, dove trovo il log post? E come faccio a postarlo sul forum? Devo allegare proprio il file o va bene anche un copia-incolla del contenuto? Grazie ancora. ;)
 
Ciao Corry grazie per la risposta. Siccome non sono esperto, dove trovo il log post? E come faccio a postarlo sul forum? Devo allegare proprio il file o va bene anche un copia-incolla del contenuto? Grazie ancora. ;)

Devi fare un copia e incolla del contenuto del file di testo che viene salvato dopo aver effettuato la scansione con hijackthis 2.0.5
 
@alfry e ANDREMALES

Grazie per le risposte, ho scaricato il programma Hijachthis 2.0.5 ed eseguito la scansione come mi avete indicato, quindi posto il contenuto del file log .txt che ne è uscito.

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 16.07.03, on 08/01/2016
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v9.00 (9.00.8112.16514)

FIREFOX: 38.0.1 (x86 it)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\PC Tools\sMonitor\SSDMonitor.exe
C:\Program Files\Sony\PMB\PMBVolumeWatcher.exe
C:\Program Files\Dell\DW WLAN Card\WLTRAY.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\AVG\Av\avgui.exe
C:\Program Files\AVG Web TuneUp\vprot.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\sttray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\AVG\Framework\Common\avguix.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\ctfmon.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Users\MoMo\Downloads\HijackThis (1).exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it/ig/dell?hl=it&client=dell-row&channel=it&ibd=2090113
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig/dell?hl=it&client=dell-row&channel=it&ibd=2090113
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer fornito da Dell
O1 - Hosts: ::1 localhost
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SSDMonitor] C:\Program Files\Common Files\PC Tools\sMonitor\SSDMonitor.exe
O4 - HKLM\..\Run: [Google Desktop Search] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIEJE.EXE /FU "C:\Windows\TEMP\E_S3A57.tmp" /EF "HKCU"
O4 - HKLM\..\Run: [PMBVolumeWatcher] C:\Program Files\Sony\PMB\PMBVolumeWatcher.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\Program Files\Dell\DW WLAN Card\WLTRAY.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AVG_UI] "C:\Program Files\AVG\Av\avgui.exe" /TRAYONLY
O4 - HKLM\..\Run: [InstallerLauncher] "C:\Program Files\Bitdefender\Antivirus Free Edition\Install\setuplauncher.exe" /run:"C:\Program Files\Bitdefender\Antivirus Free Edition\Install\Installer.exe"
O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
O4 - HKLM\..\Run: [vProt] "C:\Program Files\AVG Web TuneUp\vprot.exe"
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS6ServiceManager] "C:\Program Files\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\sttray.exe
O4 - HKLM\..\Run: [bit4id csp store register (M)] "RUNDLL32.EXE" "C:\Windows\system32\bit4upki-store.dll",RunImportServer
O4 - HKLM\..\Run: [AvgUi] "C:\Program Files\AVG\Framework\Common\avguix.exe" /fmw.trayonly
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: Locate Spot on Map by GPS - C:\Program Files\Opanda\IExif 2.3\IExifMap.htm
O8 - Extra context menu item: View Exif/GPS/IPTC with IExif - C:\Program Files\Opanda\IExif 2.3\IExifCom.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - https://biz.lgservice.com/DATA/cab/djvuctrl-6.1.4-en-r34387.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Program Files\SUPERAntiSpyware\SASCORE.EXE
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: AK910SwitchService - Unknown owner - C:\Program Files\AK910SwitchService\svc\AK910SwitchService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AvgAMPS - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\Av\avgamps.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\Av\avgidsagent.exe
O23 - Service: AVG Service (avgsvc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\Framework\Common\avgsvcx.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\Av\avgwdsvcx.exe
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Key4SwitchService - bit4id srl - http://www.bit4id.com - C:\Program Files\Key4SwitchService\svc\k4swsvc.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: PC Tools Startup and Shutdown Monitor service (PCToolsSSDMonitorSvc) - Unknown owner - C:\Program Files\Common Files\PC Tools\sMonitor\StartManSvc.exe
O23 - Service: Management Service smart card embedded in a MicroSD (SCSD_Service) - Unknown owner - C:\Program Files\Oberthur Technologies\ID-One Cosmo microSD Driver 2.1.3\SC_SD_Service.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\STacSV.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: vToolbarUpdater40.2.4 - Unknown owner - C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\40.2.4\ToolbarUpdater.exe
O23 - Service: Namirial WakeUpSD Service (WakeUpSvc) - Unknown owner - C:\Windows\system32\Namirial\WakeUpSDService.exe
O23 - Service: DW WLAN Tray Service (wltrysvc) - Unknown owner - C:\Program Files\Dell\DW WLAN Card\WLTRYSVC.EXE
O23 - Service: WtuSystemSupport - Unknown owner - C:\Program Files\AVG Web TuneUp\WtuSystemSupport.exe

--
End of file - 9278 bytes
 
Per prima cosa devi aggiornare firefox, hai una versione vecchissima

Inizia a rimuovere

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it/ig/dell?hl=it&c...it&ibd=2090113

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig/dell?hl=it&c...it&ibd=2090113

Cancella tutti cache e cookies di tutti i browser, cancella tutto il contenuto della cartella Temp

C:windows/temp

Guarda nei programmi installati se ci sono programmi installati di recente, rimuovi il programma che hai installato l'altro giorno
 
Aggiungo 2 cose:

1 Posta il log anche nell'apposito thread indicato da Vianello

2 Per agiornare firefox alla versione corrente 43.0.4 vai su AIUTO > INFORMAZIONI SU FIREFOX
 
Secondo me, si è beccato il trojan che ha infettato anche me, e non lo togli facilmente.
I sintomi sono :
1) se internet è scollegato, tutto fluisce tranquillamente.
2) se ti connetti in internet, Firefox continua ad aprire pagine (in basso a sinistra i link che scorrono) rallentando moltissimo la navigazione, e senza aprire pagine. Poi si aprono pagine assurde in autonomia e ridotte ad icona (senti l'audio e ti rendi conto che è aperta nonostante ridotta a icona), e successivamente a destra con offerte.
3) se lanci Explorer, la cosa è notevolmente inferiore, ma sembra che attacchi il browser predefinito.
 
Ok capisco "mosquito", ci ricordi in sintesi poi alla fine come sei riuscito a rimuoverlo questo trojan? :eusa_think:
 
@corry744,

alla fine, scocciato anche di altre cose, ho messo Linux al fianco di windows.
Da rammentare che anche se disinstalli firefox e lo reinstalli, la cosa non cambia.
 
Per prima cosa devi aggiornare firefox, hai una versione vecchissima

Inizia a rimuovere

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it/ig/dell?hl=it&c...it&ibd=2090113

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig/dell?hl=it&c...it&ibd=2090113

Cancella tutti cache e cookies di tutti i browser, cancella tutto il contenuto della cartella Temp

C:windows/temp

Guarda nei programmi installati se ci sono programmi installati di recente, rimuovi il programma che hai installato l'altro giorno

Grazie per la risposta ERCOLINO, volevo chiederti come faccio ad eliminare quelle due chiavi dal registro del sistema? Devo utilizzare sempre Hijackthis, oppure la procedura è un'altra?

Per Firefox ed altri browser non mi interessa aggiornare, anzi penso che lo disinstallerò perché tanto non lo utilizzo al pari di altri browser, uso solo Google Chrome come browser che è già aggiornato all'ultima versione, infatti si aggiorna da solo automaticamente.

Grazie anche a tutti gli altri, seguirò anche i vostri consigli. ;)
 
Sempre Hijackthis selezionandole e premendo il pulsante Fix

Aggiorna in ogni caso anche gli altri browser
 
Come ti ho anche detto l'altro giorno guarda nei programmi installati se ci sono programmi installati di recente strani, rimuovi il programma che hai installato l'altro giorno
 
Si il programma l'ho già disinstallato da un po' anche perché alla fine non mi è stato di alcuna utilità in quanto non era ciò che cercavo. Comunque già eliminando quelle due chiavi di registro ho notato un miglioramento, non vorrei pronunciarmi con troppa fretta ma non sto più notando aperture di schede non richieste in Chrome. Ad ogni modo, siccome non ne ho avuto ancora il tempo, provvederò quanto prima a cancellare cronologia e cache di tutti i browser come mi hai consigliato, e verificherò eventuali programmi sospetti, anche se per ora non ho notato nulla di strano.

Comunque continuerò a monitorare la situazione per vedere se il problema si ripresenterà, e vi aggiornerò sugli sviluppi. Intanto grazie per l'aiuto. ;)
 
Indietro
Alto Basso