PDA

Visualizza versione completa : Possibile trojan apre Firefox automaticamente


apusoft
20-12-2007, 09.51.04
Ciao a tutti. Da qualche giorno ho un fastidioso problema durante la navigazione. A intervalli irregolari si apre automaticamente una nuova finestra di Firefox che apre delle URL che variano, ma quasi sempre legate a tradedoubler.

Ho provato a cercare dei trojan con AdAware, Spybot e Avast! ma non trovano nessun problema.
Che altro posso fare?

Vi riporto il log di HijackThis, se può essere utile...
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Pidgin\pidgin.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Andrea\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~2\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [VD] C:\Program Files\VitalDesktopVideo\vd.exe
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [Pidgin] C:\Program Files\Pidgin\pidgin.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DE7AC71-88A2-436F-8190-D1D9D7FE7D71}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

leofelix
20-12-2007, 18.29.40
ciao,
mi pare che manchi una parte essenziale del log, potresti postare anche quella per favore?

Inoltre noto che il winsock è stato modificato da dei software apple


O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll

Tuttavia, per il momento direi di non rimuovere queste voci, rischi di perdere la connettività anche per quanto ne so.

In ogni caso sospetto che tu abbia contratto qualche 'rogue application" qualche applicazione fuorviante intendo come falsi antivirus o falsi pulitori di registro, che in fase di navigazione di avvisano che avresti il sistema terribilmente infetto (ed è falso) ti invitano ad eseguire una scansione coi loro prodotti che nella maggior parte dei casi invece ti infetta il sistema.

Potresti quindi provare quindi per verificare - i sintomi del tuo sistema sembrano appunto proprio quelli di una infezione da rogue application - a scaricare installare aggiornare ed eseguire il SUPERAntispyware free 3.9
http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe

quindi scarica, installa e fai una scansione col RogueRemover free 1.23 da

http://www.malwarebytes.org/rogueremover.php


Anche il VundoFix potrebbe tornarti utile, lo trovi qui
http://www.atribune.org/ccount/click.php?id=4

salvalo sul desktop, eseguilo con tutte le finestre chiuse, cercherà le varianti di Vundo nel sistema, se le trova ti chiederà di rimuoverle, nel caso non ci riuscisse lo farà al riavvio del sistema, non temere se il desktop durante la scansione sembri sparire: è perfettamente normale.

Attendo allora la prima parte mancante del log di HiJackThis e gli esiti spero positivi dopo l'uso dei software che ti ho suggerito di utilizzare.

In bocca al lupo:)

apusoft
21-12-2007, 10.25.46
Grazie mille per la risposta. Ho fatto le scansioni con tutti i programmi che mi hai suggerito ma nessuno ha rilevato malware.. Intanto però continuano ad aprirsi finestre di Firefox che mandano a vari siti. Spesso anche quelle che invitano a scaricare antivirus come dicevi tu.

La parte che manca all'inizio del log di HijackThis è
Logfile of HijackThis v1.99.1
Scan saved at 10.23.15, on 21/12/2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)altro non c'è

Cos'altro posso tentare?

leofelix
21-12-2007, 11.50.41
prego figurati,
vedo ora che utilizzi Windows Vista, che conosco poco.

non ti appare nel log anche qualcosa del genere?

[esempio]

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nod32.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

[fine esempio]

Hai fatto una scansione completa del sistema col SuperAntispyware free (in genere rimuove anche l' "impossibile") o solo veloce o personalizzata?

Un'alternativa in genere è lo 'SmitFraudFix" che si scarica da qui
http://siri.geekstogo.com/SmitfraudFix.php

ma è compatibile con Win2000/XP, non ho idea se funzioni anche con sistemi Vista.
Tentar non nuoce a questo punto, direi di provare a scaricarlo sul desktop e seguire queste istruzioni:
Esegui il file SmitfraudFix.exe
Ti si dovrebbe aprire una finestra DOS
Dove lampeggia il cursore digita 2 e dai l'invio
Alla domanda "Do you want to clean the registry?" digita Y e dal l'invio
Alla successiva domanda "Replace infected file?" digita Y e dal l'invio
Al riavvio il sistema dovrebbe risultare disinfettato, mi auguro.


N.B alcuni antivirus lo segnalano come "risk tool" (non è un virus tanto meno una forma di malware)

---------

Ho notato ora questo file
"O4 - HKCU\..\Run: [VD] C:\Program Files\VitalDesktopVideo\vd.exe"

potresti provare a inviarlo su www.virustotal.com per controllare che non sia infetto?

Inoltre io fossi in te controllerei la presenza di eventuali rootkit con
il Trend Micro Rootkit Buster 1.6 da
http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip

E farei una scansione on line tramite Internet Explorer per esempio via

http://www.nanoscan.com/

Incrocio le dita e attendo (magari anche l'aiuto di qualche altro wintricker che conosce meglio Vista)

leofelix
21-12-2007, 12.38.26
Ecco, spero che questi tools possano aiutarti,
scarica

1) il Norman Malware Cleaner (http://www.norman.com/Virus/Virus_removal_tools/) link diretto per il download (http://download.norman.no/public/Norman_Malware_Cleaner.exe) sul desktop quindi con tutte le finestre chiuse (Navigatore, programma di chatting e cliet di posta etc etc) eseguilo e fagli fare una scansione
(compatibile Win98/ME/2k/XP/Vista)

2) il PREVX CSI (http://info.prevx.com/download.asp?grab=prevxcsi) sempre sul desktop.
E' uno strumento di diagnostica che ricerca nel sistema virus, spyware e altro malware, ma si limita a rilevare senza rimuovere. Richiede la connessione attiva e i permessi del Firewall.

Se non altro con questo secondo tool dovresti sapere che 'robaccia' di preciso hai contratto e si potrebbero tentare altre soluzioni