Quando apro chrome si apre spesso anche un altra pagina con pubblicità varie.

Ho fatto una scansione con gmer e trova questo:

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-12-23 16:42:07
Windows 6.1.7601 Service Pack 1
Running: 7bjw9b5s.exe


---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c44619f0be6e
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c44619f0be6e (not active ControlSet)

---- EOF - GMER 1.0.15 ----

Come procedo?
Li cancello da regedit?

grazie,

ciao

Scarica AdwCleaner http://www.bleepingcomputer.com/download/adwcleaner/

Avvia il programma, clicca sul tasto Search, attendi il termine della scansione ed allega il log.

Scarica AdwCleaner http://www.bleepingcomputer.com/download/adwcleaner/

Avvia il programma, clicca sul tasto Search, attendi il termine della scansione ed allega il log.

certo, eccolo:
.txt]AdwCleaner[R2].txt (http://wikisend.com/download/275622/AdwCleaner[R2)

grazie mille

certo, eccolo:
.txt]AdwCleaner[R2].txt (http://wikisend.com/download/275622/AdwCleaner[R2)

grazie mille

Riesegui AdwCleaner clicca sul tasto Search e successivamente su Delete, ti verrà chiesto di riavviare, allega il log.

Riesegui AdwCleaner clicca sul tasto Search e successivamente su Delete, ti verrà chiesto di riavviare, allega il log.

dovrebbe aver pulito tutto:


-\\ Internet Explorer v9.0.8112.16457

[OK] Registro Pulito.

-\\ Google Chrome v23.0.1271.97

File : C:\Users\ciopper\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] File Pulito.

grazie mille!!!

mi ero illuso...
eseguo la pulizia, riavvio e il log è pulito ma dopo un pò il problema torna.

ecco il nuovo log:

.txt]AdwCleaner[R10].txt (http://wikisend.com/download/247248/AdwCleaner[R10)

grazie,

ciao

mi ero illuso...
eseguo la pulizia, riavvio e il log è pulito ma dopo un pò il problema torna.

ecco il nuovo log:

.txt]AdwCleaner[R10].txt (http://wikisend.com/download/247248/AdwCleaner[R10)

grazie,

ciao

Evidentemente visiti un determinato sito, che compromette il Browser.

Evidentemente visiti un determinato sito, che compromette il Browser.

subito dopo aver ripulito con adw mi è ricomparsa quella pagina visitando ebay quindi credo non sia quello il problema
Ho installato un programma scaricato da emule ed è iniziato il problema solo che pur avendolo disinstallato non risolvo e l'antivirus non rileva niente.

grazie comunque

ciao

subito dopo aver ripulito con adw mi è ricomparsa quella pagina visitando ebay quindi credo non sia quello il problema
Ho installato un programma scaricato da emule ed è iniziato il problema solo che pur avendolo disinstallato non risolvo e l'antivirus non rileva niente.

grazie comunque

ciao

Fai girare Combofix esattamente come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1984665

salve ragazzi
io ho lo stesso problema con firefox
mi apre pubblicità e quando apro youtube a volte mi apre una chat per adulti
eseguo lo stesso procedimento suggerito per l'utente ciopper ed allego il log?

edit:
ho eseguito adwcleaner
e gmer
allego i log
gmer log:
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-12-29 11:19:32
Windows 6.1.7601 Service Pack 1
Running: g6ekjwow.exe


---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\d0df9a87f71e
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\d0df9a87f71e (not active ControlSet)

---- EOF - GMER 1.0.15 ----

Fai girare Combofix esattamente come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1984665

ho fatto girare combofix, ecco il log:
comb.txt (http://wikisend.com/download/520996/comb.txt)

grazie,

ciao

ho fatto girare combofix, ecco il log:
comb.txt (http://wikisend.com/download/520996/comb.txt)

grazie,

ciao

Ciao, mi serve questo log ComboFix2.txt 2012-12-27 23:08 in alternativa ComboFix-quarantined-files.txt, allega anche un log di HJT.

Ciao, mi serve questo log ComboFix2.txt 2012-12-27 23:08 in alternativa ComboFix-quarantined-files.txt, allega anche un log di HJT.

ho riavviato combo, ecco la nuova scansione (file salvato in c:):

ComboFix.txt (http://wikisend.com/download/442730/ComboFix.txt)

di seguito il file HJT:

hijackthis.log (http://wikisend.com/download/748658/hijackthis.log)

combofix2:

ComboFix2.txt (http://wikisend.com/download/323024/ComboFix2.txt)

ComboFix-quarantined-files:

ComboFix-quarantined-files.txt (http://wikisend.com/download/129442/ComboFix-quarantined-files.txt)
grazie!

Scusate se ne approfitto ma ho lo stesso problema con FireFox 17.0.1 si aprono pagine di pubblicità a caso :mad:

Allego tutti i log effetuati con i vari programmi :

ComboFix (http://wikisend.com/download/903356/ComboFix.txt)

ComboFix-quarantined-files (http://wikisend.com/download/376318/ComboFix-quarantined-files.txt)

AdwCleaner[R1] (http://wikisend.com/download/262328/AdwCleaner[R1].txt)

AdwCleaner[S1] (http://wikisend.com/download/448576/AdwCleaner[S1].txt)

Se servono altre prove chiedete pure ... ringrazio anticipatamente per l'aiuto :)

ho riavviato combo, ecco la nuova scansione (file salvato in c:):

ComboFix.txt (http://wikisend.com/download/442730/ComboFix.txt)

di seguito il file HJT:

hijackthis.log (http://wikisend.com/download/748658/hijackthis.log)

combofix2:

ComboFix2.txt (http://wikisend.com/download/323024/ComboFix2.txt)

ComboFix-quarantined-files:

ComboFix-quarantined-files.txt (http://wikisend.com/download/129442/ComboFix-quarantined-files.txt)
grazie!

- Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix cheked:

TUTTI GLI 017 ovvero:

O17 - HKLM\System\CCS\Services\Tcpip\..\{20C8EC7D-6924-469F-888E-3F6CD5F60789}: NameServer = 176.31.229.24,176.31.229.25

- Pannello di controllo - Programmi e disinstalla PowerOffer

- Start - nel box "inizio ricerca" digita services.msc e batti invio

individua i seguenti servizi:

Serv Updater
PowerOffer Service

doppio click e modifica il Tipo di avvio in disabilitato per entrambi.

salve ragazzi
io ho lo stesso problema con firefox
mi apre pubblicità e quando apro youtube a volte mi apre una chat per adulti
eseguo lo stesso procedimento suggerito per l'utente ciopper ed allego il log?

edit:
ho eseguito adwcleaner
e gmer
allego i log
gmer log:
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-12-29 11:19:32
Windows 6.1.7601 Service Pack 1
Running: g6ekjwow.exe


---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\d0df9a87f71e
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\d0df9a87f71e (not active ControlSet)

---- EOF - GMER 1.0.15 ----

Fai girare Combofix esattamente come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1984665 ed allega anche un log di HJT

- Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix cheked:

TUTTI GLI 017 ovvero:



- Pannello di controllo - Programmi e disinstalla PowerOffer

- Start - nel box "inizio ricerca" digita services.msc e batti invio

individua i seguenti servizi:

Serv Updater
PowerOffer Service

doppio click e modifica il Tipo di avvio in disabilitato per entrambi.

power offer rimosso
Serv Updater disabilitato
PowerOffer Service non èpresente
con HJT non mi rimuove le voci 017

grazie,

ciao

power offer rimosso
Serv Updater disabilitato
PowerOffer Service non èpresente
con HJT non mi rimuove le voci 017

grazie,

ciao

Allega un nuovo log di HJT

Allega un nuovo log di HJT

ecco il nuovo log:

hijackthis2.txt (http://wikisend.com/download/343380/hijackthis2.txt)

grazie

ecco il nuovo log:

hijackthis2.txt (http://wikisend.com/download/343380/hijackthis2.txt)

grazie

Controlla bene il servizio è presente

Service: Pos Service (PowerOffer Service) - PowerOfferService - C:\Users\ciopper\AppData\Local\PosService\Pos.exe

pertanto ripeti questo passaggio:

- Start - nel box "inizio ricerca" digita services.msc e batti invio

individua il seguente servizio:

Serv Updater

successivamente ripeti il Fix

- Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix cheked:

TUTTI GLI 017

ed allega nuovo log

Controlla bene il servizio è presente



pertanto ripeti questo passaggio:

- Start - nel box "inizio ricerca" digita services.msc e batti invio

individua il seguente servizio:

Serv Updater

successivamente ripeti il Fix

- Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix cheked:

TUTTI GLI 017

ed allega nuovo log

ho rimosso le cartelle che si erano create qui:
C:\Users\ciopper\AppData\Local

poi ho rimosso le stringhe di poweroffer nel registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

con HJT ho finalmente eliminato le voci 017.
Vedi altre cose strane nel nuovo log?

hijackthis3.txt (http://wikisend.com/download/118354/hijackthis3.txt)

grazie

scusate il ritarto
allego il log di combofix e hjt
buon anno a tutti =)
https://www.dropbox.com/sh/gm3wk8y3zirfpng/OEFM-gurI4

ho rimosso le cartelle che si erano create qui:
C:\Users\ciopper\AppData\Local

poi ho rimosso le stringhe di poweroffer nel registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

con HJT ho finalmente eliminato le voci 017.
Vedi altre cose strane nel nuovo log?

hijackthis3.txt (http://wikisend.com/download/118354/hijackthis3.txt)

grazie

Dovremmo essere ok

Dovremmo essere ok

Grazie mille per l'aiuto e Buon Anno!

Grazie mille per l'aiuto e Buon Anno!

Anche a te, ciao.

Eccomi, buona domenica :cool:

Dopo aver brillantemente risolto il problema con il virus della Polizia Postale mi rivolgo nuovamente a voi con quest'altro delle pagine pubblicitarie :(

In sintesi:

Win 7 Pro/ITA, Mozilla 18, Avira e Malwarebytes presenti praticamente da sempre, sempre aggiornati e fatti girare con periodicità.

Anche a me si aprono, solamente con Mozilla, pagine pubblicitarie: per esempio quando vado su http://it.finance.yahoo.com/ il virus (se si può definire tale) "legge" la parola "mutui" e mi apre una pagina relativa ai mutui. Lo stesso succede, con altre proposte, se apro IKEA oppure Euronics.

Per assurdo, delle volte quando sono su Chrome e visito una determinata pagina, la pubblicità non si apre su Chrome, ma su Mozilla! :eek:

Ho quasi capito che il problema si chiama Ad.zanox, già citato qui:

http://www.hwupgrade.it/forum/showthread.php?t=2443244

Ho fatto girare Avira, Malwarebytes, Combofix, ADWcleaner senza risolvere il problema. Vi allego, se ci riesco, il risultato di Combofix e di ADWcleaner sperando nel vostro aiuto.

Grazie :)

ComboFix.txt (http://wikisend.com/download/293372/ComboFix.txt)

.txt]AdwCleaner[R1].txt (http://wikisend.com/download/777586/AdwCleaner[R1)

Eccomi, buona domenica :cool:

Dopo aver brillantemente risolto il problema con il virus della Polizia Postale mi rivolgo nuovamente a voi con quest'altro delle pagine pubblicitarie :(

In sintesi:

Win 7 Pro/ITA, Mozilla 18, Avira e Malwarebytes presenti praticamente da sempre, sempre aggiornati e fatti girare con periodicità.

Anche a me si aprono, solamente con Mozilla, pagine pubblicitarie: per esempio quando vado su http://it.finance.yahoo.com/ il virus (se si può definire tale) "legge" la parola "mutui" e mi apre una pagina relativa ai mutui. Lo stesso succede, con altre proposte, se apro IKEA oppure Euronics.

Per assurdo, delle volte quando sono su Chrome e visito una determinata pagina, la pubblicità non si apre su Chrome, ma su Mozilla! :eek:

Ho quasi capito che il problema si chiama Ad.zanox, già citato qui:

http://www.hwupgrade.it/forum/showthread.php?t=2443244

Ho fatto girare Avira, Malwarebytes, Combofix, ADWcleaner senza risolvere il problema. Vi allego, se ci riesco, il risultato di Combofix e di ADWcleaner sperando nel vostro aiuto.

Grazie :)

ComboFix.txt (http://wikisend.com/download/293372/ComboFix.txt)

.txt]AdwCleaner[R1].txt (http://wikisend.com/download/777586/AdwCleaner[R1)

Allega un log di HJT

Allega un log di HJT

Ti ringrazio per aver risposto, però ormai va finire a stasera quando sono a casa.
Nel frattempo, considerando anche che NON sono un utente esperto vorrei sapere:

1) se è questo il link ufficiale da cui scaricare il rpogramma: http://www.bleepingcomputer.com/download/hijackthis/

2) se puoi sintetizzare i passi necessari per l'utilizzo del programma senza fare troppi danni... :mc:

A presto :)

Nel frattempo ho cominciato con questo

http://www.hwupgrade.it/forum/showthread.php?t=937676

e ho letto che per Win 7 64 bit (cioé il mio) bisogna usare questa versione:

http://www.hijackfree.com/en/

Problema: tutte le guide come questa

http://www.winmagazine.it/forum/index.php?topic=21015.0

riportano schermate di esempio diverse da quelle che utilizza il HiJackFree per i 64 bit...

Per adesso quindi sono in stand-by :(

Ti ringrazio per aver risposto, però ormai va finire a stasera quando sono a casa.
Nel frattempo, considerando anche che NON sono un utente esperto vorrei sapere:

1) se è questo il link ufficiale da cui scaricare il rpogramma: http://www.bleepingcomputer.com/download/hijackthis/

2) se puoi sintetizzare i passi necessari per l'utilizzo del programma senza fare troppi danni... :mc:

A presto :)

Si lo puoi scaricare anche da qui http://www.bleepingcomputer.com/download/hijackthis/

Doppio click su HijackThis.exe messo preventivamente in una cartella dedicata
Cliccare su Do a system scan and save a log file ed allegare il .txt per il controllo

OK grazie, credo di aver fatto tutto il dovuto (ho anche disabilitato il ripristino del sistema) e in allegato il risultato. Appena potete ditemi che ne pensate. A presto :)

hijackthis1.txt (http://wikisend.com/download/851856/hijackthis1.txt)

OK grazie, credo di aver fatto tutto il dovuto (ho anche disabilitato il ripristino del sistema) e in allegato il risultato. Appena potete ditemi che ne pensate. A presto :)

hijackthis1.txt (http://wikisend.com/download/851856/hijackthis1.txt)

- Pannello di controllo - Programmi e disinstalla PowerOffer

- Start - nel box "inizio ricerca" digita services.msc e batti invio

individua i seguenti servizi:

Serv Updater
PowerOffer Service

doppio click e modifica il Tipo di avvio in disabilitato per entrambi.

- Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix cheked:

TUTTI GLI 017 ovvero:

O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 176.31.229.24,176.31.229.25

al termine allega un nuvo log di HJT

Allora, eccomi a casa.

1) PowerOffer lo avevo già disinstallato, non so se tu lo vedi presente in qualche modo. E' presente ancora OfferBox: è una bestia della stessa natura da togliere? Per adesso c'è.

2) Credo di essere riuscito ad arrivare ai "servizi" dove ho disabilitato ServUpdater; quello di PowerOffer service invece non l'ho trovato (vedi punto precedente).

3) Ho eseguito HJT e ho fixato tutti gli 017, segue in allegato il .txt di oggi.

4) Ho fatto restart, sono andato sulla home page di http://it.finance.yahoo.com/ , la bestia che ho dentro (e cioè Ad.zanox che è quella che vedo...) ha letto la parola mutui e mi ha subito aperto una pagina pubblicitaria sui mutui. Stessa cosa con Euronics :(

5) Direi quindi che non ha funzionato :cry:

hijackthis18gen2013.txt (http://wikisend.com/download/419574/hijackthis18gen2013.txt)

A presto :)

Allora, eccomi a casa.

1) PowerOffer lo avevo già disinstallato, non so se tu lo vedi presente in qualche modo. E' presente ancora OfferBox: è una bestia della stessa natura da togliere? Per adesso c'è.

2) Credo di essere riuscito ad arrivare ai "servizi" dove ho disabilitato ServUpdater; quello di PowerOffer service invece non l'ho trovato (vedi punto precedente).

3) Ho eseguito HJT e ho fixato tutti gli 017, segue in allegato il .txt di oggi.

4) Ho fatto restart, sono andato sulla home page di http://it.finance.yahoo.com/ , la bestia che ho dentro (e cioè Ad.zanox che è quella che vedo...) ha letto la parola mutui e mi ha subito aperto una pagina pubblicitaria sui mutui. Stessa cosa con Euronics :(

5) Direi quindi che non ha funzionato :cry:

hijackthis18gen2013.txt (http://wikisend.com/download/419574/hijackthis18gen2013.txt)

A presto :)

- Certo, disinstalla anche OfferBox

O23 - Service: Pos Service (PowerOffer Service) - PowerOfferService - C:\Users\Zio Peppe\AppData\Local\PosService\Pos.exe

controlla bene il servizio è presente, disabilitalo.

Eccomi eh? Avevate sperato che vi avessi abbandonato? :D :cool:

Ho voluto aspettare qualche giorno prima di dichiarare il cessato allarme: bene, oggi lo cesso! :D

Direi che non ho più problemi, anche se dopo aver fatto girare Combofix per il virus della Polizia e HJT per il problema della pubblicità non voluta sono rimasti sul campo alcuni feriti (di poco conto). Eccoli:

1) Quando clicco sull'icona Mio Computer si apre la finestra e mi mostra le icone del disco C e D: prima avevo C a sinistra e D a destra (nello schermo), adesso viceversa :confused:

2) Quando inserivo una penna USB prima Avira mi diceva che aveva bloccato il processo automatico di lettura (qualcosa del genere...) adesso non più :confused:

3) Prima di fixare gli 017 (che credo riguardino i DNS) riuscivo ad accedere ad un sito di riviste che la Mondadori ha fatto oscurare con sentenza di Tribunale, adesso (che presumo utilizzo i DNS di Alice) non riesco più ad accedere :mc:

Grazie a tutti per l'aiuto: alla prossima! :sofico: