Il Browser mi reindirizza a delle pagine strane

ture911

Il Browser mi reindirizza a delle pagine strane

Ciao ragazzi, sono nuovo di qui, trovo il forum molto interessante e so che siete rinomati per l'aiuto che date agli utenti pertanto adesso vi chiedo cosa posso fare per sistemare la mia situazione che vi riporto. L'altro ieri, Ieri torno a casa e vedo che firefox, il mio browser predefinito ha qualche problema, se faccio una ricerca qualsiasi su google la pagina sembra caricarsi correttamente ma vengo reindirizzato a varie pagine straniere non attinenti alla ricerca che faccio, la navigazione su internet sembra essersi rallentata, il pc momentaneamente non sembra dare problemi parlando di sistema operativo, un'altra cosa, non riesco a scaricare file dal browser, sia questo firefox che internet explorer, mi scarica sempre file da 0 KB. Leggendo in giro ho visto che POTREBBE trattarsi del file csrss.exe o del dwm.exe, controllando nei miei processi vedo che entrambi sono presenti in duplice copia quando dovrebbe essercene solo 1, se vedo il percorso file noto che 1 è su system32, l'altro su C:\Users\main\AppData\Local\Temp, questo per quanto riguardo csrss.exe, mentre per dwm.exe uno è su system23 l'altro su C:\Users\main\AppData\Roaming. Come notate dal printscreen trattasi di win 7 ultimate 32 bit, se volete vi riporto anche le caratteristiche hw del pc:

phenom quad core 9650 2.13 ghz
4 gb di ram

Come antivirus uso avira, fatto fare una scansione, qualche rilevamento ma "secondo me" nulla di imporate, riporto il log:

Avvio della scansione: lunedì 28 febbraio 2011 14:35

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'DllHost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'DllHost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'plugin-container.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'firefox.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'NASvc.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'DllHost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wmpnetwk.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'CCC.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'sidebar.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'E_FATICAE.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'BlueBirds.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'SearchIndexer.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'WUDFHost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'DTLite.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'NBAgent.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'realsched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'CloneCDTray.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'DivXUpdate.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'jusched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'brs.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'PDVD9Serv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'RtHDVCpl.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'MOM.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'conhost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'dwm.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'Explorer.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'WLIDSvcM.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'WLIDSVC.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'StarWindServiceAE.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'conhost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avshadow.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'SeaPort.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'PnkBstrA.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'conhost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'KMService.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'srvany.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'Dwm.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'E_S40RP7.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'taskhost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'atieclxx.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'atiesrxx.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'lsm.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wininit.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '1' modulo(i) scansionato(i)

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 1
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 2
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:'
[INFO] Nessun virus è stato trovato!
Record di avvio 'D:'
[INFO] Nessun virus è stato trovato!
Record di avvio 'F:'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
C:\Program Files\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\Startup.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Delfsnif.DX.388

Il registro è stato scansionato ( 478 file ).

Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:'
C:\Program Files\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\KMSActivation.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Delfsnif.DX.380
C:\Program Files\Electronic Arts\Crytek\Crysis WARHEAD\Bin32\Crysis.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
C:\Program Files\FlashFXP 4\Patch.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.258560.15
C:\Users\main\AppData\Local\Temp\eB5zxy7I.zip.part
[0] Tipo di archivio: ZIP
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dldr.Genome.byrt
--> DSCN1039.scr
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dldr.Genome.byrt
C:\Users\main\AppData\Local\Temp\ns3.exe
[0] Tipo di archivio: 7-Zip SFX (self extracting)
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Malex.E.16
--> explorer.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Malex.E.17
Inizia con la scansione di 'D:'
D:\2 eMule\eMule Finiti\tony colombo si accettano scommesse by giuseppe.rar
[0] Tipo di archivio: RAR
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
--> Setup.exe
--> Object
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
D:\2 eMule\eMule Finiti\Tony Colombo - Baciami (note di primavera 2008).zip
[0] Tipo di archivio: ZIP
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
--> setup.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
D:\2 eMule\eMule Finiti\Tony Colombo - Batte forte (note di primavera 2008).zip
[0] Tipo di archivio: ZIP
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
--> setup.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
D:\2 eMule\eMule Finiti\Tony Colombo - Un vero amore (note di primavera 2008).zip
[0] Tipo di archivio: ZIP
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
--> 7zip.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
D:\4 Ture\5 Altro\Programmi\FlashFXP 4\Patch.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.258560.15
Inizia con la scansione di 'F:'
F:\JDownloader\Vallanzasca\Vallanzasca.Gli.Angeli.Del.Male.2010.iTALiAN.PROPER.LD.SCREENER.XviD-N-D.7z.001
[AVVISO] Impossibile leggere il file!

Avvio della disinfezione:
D:\4 Ture\5 Altro\Programmi\FlashFXP 4\Patch.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.258560.15
[AVVISO] Il file è stato ignorato.
D:\2 eMule\eMule Finiti\Tony Colombo - Un vero amore (note di primavera 2008).zip
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
[NOTA] Il file è stato eliminato.
D:\2 eMule\eMule Finiti\Tony Colombo - Batte forte (note di primavera 2008).zip
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
[NOTA] Il file è stato eliminato.
D:\2 eMule\eMule Finiti\Tony Colombo - Baciami (note di primavera 2008).zip
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
[NOTA] Il file è stato eliminato.
D:\2 eMule\eMule Finiti\tony colombo si accettano scommesse by giuseppe.rar
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
[NOTA] Il file è stato eliminato.
C:\Users\main\AppData\Local\Temp\ns3.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Malex.E.16
[NOTA] Il file è stato eliminato.
C:\Users\main\AppData\Local\Temp\eB5zxy7I.zip.part
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dldr.Genome.byrt
[NOTA] Il file è stato eliminato.
C:\Program Files\FlashFXP 4\Patch.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.258560.15
[NOTA] Il file è stato spostato in quarantena con il nome '4901658a.qua'!
C:\Program Files\Electronic Arts\Crytek\Crysis WARHEAD\Bin32\Crysis.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
[AVVISO] Il file è stato ignorato.
C:\Program Files\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\KMSActivation.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Delfsnif.DX.380
[AVVISO] Il file è stato ignorato.
C:\Program Files\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\Startup.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Delfsnif.DX.388
[AVVISO] Il file è stato ignorato.

Fine della scansione: lunedì 28 febbraio 2011 16:35
Tempo impiegato: 1:58:30 Ora(e)

La scansione è stata completamente eseguita.

23993 Directory scansionate
1003151 I file sono stati scansionati
12 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
6 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
1 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
1003139 File non infetti
7293 Archivi scansionati
5 Avvisi
7 Note
Attendo buone nuove. Grazie, saluti

ture911

Se vi serve vi posso postare il log di hjt

wolf.otakar

Ciao ture911 e benvenuto nel Forum GT!

Carica il log su filefactory.com e riporta sul forum in link "inattivo" tipo:

• vvv.filefactory.com
• w.w.w.filefactory.com

ture911

Ciao wolf, ho provato con filecatory ma mi da "server error", l'ho caricato comunque con 4shared:

w.w.w.4shared.com/file/-ZuKEZYV/hijackthis.html

wolf.otakar

Dai una ripulita con ccleaner ed effettua una scansiona con superantispyware e malwarebytes "aggiornati" e posta un nuovo log con hijack!

ture911

Ripulito con ccleaner e fatta scansione con malwarebytes, ti riporto il nuovo log di hjt e se può esserti utile il log di malwarebytes:

Malwarebytes' Anti-Malware 1.50.1.1100

01/03/2011 17:07:51
mbam-log-2011-03-01 (17-07-51).txt

Tipo di scansione: Scansione completa (C:|)
Elementi esaminati: 478254
Tempo trascorso: 1 ore, 9 minuti, 21 secondi

Processi infetti in memoria: 4
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 3
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 10

Processi infetti in memoria:
c:\Windows\kmservice.exe (RiskWare.Tool.CK) -> 1788 -> Unloaded process successfully.
c:\Users\main\AppData\Roaming\dwm.exe (Spyware.Passwords.XGen) -> 2360 -> Unloaded process successfully.
c:\Users\main\AppData\Roaming\microsoft\conhost.exe (Spyware.Passwords.XGen) -> 2504 -> Unloaded process successfully.
c:\Users\main\AppData\Local\Temp\csrss.exe (Trojan.Agent) -> 2756 -> Unloaded process successfully.

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Spyware.Passwords.XGen) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Attivazione_Office_2010 (Trojan.Downloader) -> Value: Attivazione_Office_2010 -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\Windows\kmservice.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\Users\main\AppData\Roaming\dwm.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Users\main\AppData\Roaming\microsoft\conhost.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Windows\System32\attivazione automatica office\Setup_1.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\main\AppData\Local\Temp\ns2.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\program files\common files\microsoft shared\officesoftwareprotectionplatform\KMS.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\program files\elaborate bytes\clonedvd2\keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\Windows\System32\attivazione automatica office\KMS.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\Windows\System32\attivazione automatica office\Setup_0.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\main\AppData\Local\Temp\csrss.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Ti dico subito che dopo la scansione di malwarebytes e la rimozioni di tutti i file ritenuti infetti la situazione è molto migliorata, tra i processi adesso non vedo il doppio csrss ma solo 1 ne il doppio dwm ma solo 1, immagino quello di sistema, non vengo + reindirizzato a pagine strane se faccio una ricerca su google, e la navigazione sembra aver ripreso la sua velocità standart, sapresti dirmi quale tra quei file eliminati possa essere stata la causa del problema?

ture911

LOG HJT

w.w.w.4shared.com/file/76rieVBP/hijackthis_2.html

wolf.otakar

..... ripulito anche con superantispyware?

ture911

No a dirti la verità quello non l'ho usato, devo?

wolf.otakar

..... meglio effettuare un controllo "antispyware"!

ture911

Ok fatta scansione anche con superantispyware, ha trovato solo 2 file temporanei potenzialmente dannosi che abbiamo eliminato, probabilmente perchè il grosso l'aveva fatto malware bytes. Tutto ok comunque adesso, grazie mille.

wolf.otakar