Malware http://spns.seriousads.net

[maxxb78]

Buongiorno a tutti.....cercavo il vostro aiuto perche ho un problema che mi fa letteralmente impazzire....
Da quel poco che capisco deve aver beccato un malware nel browser Mozilla (uso W. Xp)....aprendo l home page di alcuni siti (tipo moto.it.. x esempio,nn tutti), quando clicco in un link visualizzo una pagina bianca in quanto l url viene modificato dalla dicitura http://spns.seriousads.net..ecc ecc...
Ho provato a eliminare il problema prima con Spybot....MalwareBytes Anti MAlvare..CC Cleaner, Anti Spyware professional...Adw Cleaner e Combofix (sempre in modalità provvisoria)..ma niente...
Vi è mai capitato??
Vi ringrazio,
Max

[davide72]

carica su wikisend http://wikisend.com/ il log di combofix che si trova in C/combofix.txt e posta il link per analizzarlo

[maxxb78]

ComboFix4.txt
http://wikisend.com/download/105222/ComboFix4.txt

riesci a vederlo?

[davide72]

disinstalla spybot e riavvia il pc
salva questo obbligatoriamente sul desktop http://www.bleepingcomputer.com/downloa ... er/dl/125/
disabilita antivirus , quindi esegui adwcleaner scansione e pulizia e seguente riavvio del pc (posta il log che trovi sul desktop)

dopo il riavvio salva anche questo sul desktop http://www.bleepingcomputer.com/downloa ... ol/dl/131/
disattiva antivirus , quindi esegui jrt , si aprira un prompt dei comandi , lascia finire la scansione senza interferire , al termine riavvia il pc (posta il log che trovi sul desktop)

dopo il riavvio salva sul desktop http://www.bleepingcomputer.com/download/otl/dl/93/ avvialo e clicca su cleanup
riavvia il pc

dopo il riavvio installa il cleaner http://www.piriform.com/ccleaner/download/standard esegui una pulizia dei temporanei internet e temporanei di windows , (pulizia del registro compresa)

[maxxb78]

Ciao..
ho seguito le indicazioni...ecco i files dei due log
http://wikisend.com/download/766856/JRT.txt
http://wikisend.com/download/566656/AdwCleaner[S4].txt

[davide72]

mi sa che non ha pulito bene

riesegui OTL http://www.bleepingcomputer.com/download/otl/dl/93/ e flagga: scan all user , minimal output,
60 days, Lop check e Purity check , quindi clicca su run scan

posta i 2 log OTL ed EXTRA

[maxxb78]

Ecco i files...
http://wikisend.com/download/186402/OTL.Txt

http://wikisend.com/download/320770/Extras.Txt

[davide72]

avvia OTL e nel box bianco inferiore copia incolla questo codice e premi run fix quindi posta il nuovo log

Codice: Seleziona tutto

: OTL
O4 - HKLM..\Run:[PosService] C:\Documents and Settings\AllUsers.WINDOWS.0\Documenti\AppData\PoApp\PLauncher.exe (PLauncher)
SRV - (PowerOffer Service) -- C:\Documents and Settings\Massimo.MAX-XP.000\Impostazioni locali\Dati applicazioni\PosService\Pos.exe (PowerOfferService)
SRV - (SoftwareUpd) -- C:\Documents and Settings\Massimo.MAX-XP.000\Impostazioni locali\Dati applicazioni\SoftwareUpdater\SoftwareUpdService.exe File not found

: command
[emptytemp]
[reboot]


[maxxb78]

ecco il nuovo log...
http://wikisend.com/download/397226/09102014_125953.log

[davide72]

riesegui

Codice: Seleziona tutto

:OTL
O4 - Startup: C:\Documents and Settings\AllUsers.WINDOWS.0\Documenti\AppData\PoApp\PLauncher.exe (PLauncher)
SRV - (PowerOffer Service) -- C:\Documents and Settings\Massimo.MAX-XP.000\Impostazioni locali\Dati applicazioni\PosService\Pos.exe (PowerOfferService)
SRV - (SoftwareUpd) -- C:\Documents and Settings\Massimo.MAX-XP.000\Impostazioni locali\Dati applicazioni\SoftwareUpdater\SoftwareUpdService.exe File not found

:command
[emptytemp]
[reboot]

[maxxb78]

fatto..
ecco il log..
http://wikisend.com/download/494452/09102014_133216.log

[davide72]

sta volta mi sembra che abbia eliminato gli elementi nocivi, vedi se ci sono ancora problemi

[maxxb78]

si ....purtroppo ancora questo problema seccante...
dici che è meglio se reinstallo windows e la faccio finita cosi?

[davide72]

no aspetta , ti preparo un altro codice , nel frattempo disinstalla spyhunter

[maxxb78]

ok..sisi gia disinstallato

[Luke57]

Ciao, prova questo:

:OTL
PRC - C:\Documents and Settings\All Users.WINDOWS.0\Documenti\AppData\PoApp\PService.exe (PService)
SRV - (SoftwareUpd) -- C:\Documents and Settings\Massimo.MAX-XP.000\Impostazioni locali\Dati applicazioni\SoftwareUpdater\SoftwareUpdService.exe File not found
SRV - (PowerOffer Service) -- C:\Documents and Settings\Massimo.MAX-XP.000\Impostazioni locali\Dati applicazioni\PosService\Pos.exe (PowerOfferService)
O4 - HKLM..\Run: [PosService] C:\Documents and Settings\All Users.WINDOWS.0\Documenti\AppData\PoApp\PLauncher.exe (PLauncher)

:Files
C:\Documents and Settings\All Users.WINDOWS.0\Documenti\AppData\PoApp
C:\Documents and Settings\Massimo.MAX-XP.000\Impostazioni locali\Dati applicazioni\SoftwareUpdater

[davide72]

grazie Luke57

Codice: Seleziona tutto

:OTL
DRV - (WDICA) -- File not found
DRV - (PDRFRAME) -- File not found
DRV - (PDRELI) -- File not found
DRV - (PDFRAME) -- File not found
DRV - (PDCOMP) -- File not found
DRV - (PCIDump) -- File not found
DRV - (PCASp50) -- System32\Drivers\PCASp50.sys File not found
DRV - (MRENDIS5) -- C:\PROGRA~1\COMMON~1\Motive\MRENDIS5.SYS File not found
DRV - (lbrtfdc) -- File not found
DRV - (i2omgmt) -- File not found
DRV - (esgiguard) -- C:\Programmi\Enigma SoftwareGroup\SpyHunter\esgiguard.sys File not found
DRV - (Changer) -- File not found
DRV - (androidusb) -- System32\Drivers\lgandadb.sys File not found
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-21-1547161642-1592454029-682003330-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 1A B6 BE BE 4C CB CF 01 [binary data]
FF - user.js - File not found
[2012/09/28 20.17.57 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Massimo.MAX-XP.000\Dati
applicazioni\Mozilla\Extensions
[2014/09/07 17.52.22 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Massimo.MAX-XP.000\Dati
applicazioni\Mozilla\Firefox\Profiles\7xuovdh4.default\extensions
[2014/09/07 20.52.30 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Massimo.MAX-XP.000\Dati
applicazioni\Mozilla\Firefox\Profiles\9q5y31eh.default-1410111534810\extensions
[2014/09/07 20.47.53 | 000,967,685 | ---- | M] () (No name found) -- C:\Documents and Settings\Massimo.MAX-XP.000\Dati
applicazioni\Mozilla\Firefox\Profiles\9q5y31eh.default-1410111534810\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2014/09/07 13.14.56 | 000,000,000 | ---D | M] (No name found) -- C:\Programmi\Mozilla Firefox\extensions
[2014/09/07 13.14.57 | 000,000,000 | ---D | M] (No name found) -- C:\Programmi\Mozilla Firefox\browser\extensions
[2014/09/05 00.58.18 | 000,000,000 | ---D | M] (No name found) -- C:\Programmi\Mozilla Firefox\updated\browser\extensions

:Commands
[reboot]

[davide72]

esegui anche questo

Codice: Seleziona tutto

:OTL
O1 - Hosts: 127.0.0.1 localhost
O3 - HKU\S-1-5-21-1547161642-1592454029-682003330-1005\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found

:Commands
[RESETHOST]
[Reboot]

[maxxb78]

ecco i tre logs...
ho riavviato ma continua ad esserci il problema...
questo è un esempio dell url che mi compare..
http://spns.seriousads.net/reaf.php?aid ... index.html

http://wikisend.com/download/711596/6..log
http://wikisend.com/download/322608/7.log
http://wikisend.com/download/916102/8.log

[davide72]

per il link che hai postato , a me compare un pagina bianca =D ma scusa con tutti gli antivirus che installato come fai ad avere ancora reindirizzamenti di pagina ?
quindi dovresti entrare nelle opzioni del browser e rimuovere manualmente estensioni e motori di ricerca strani o sospetti
prova anche a resettare il router modem , entrare nella pagine del modem e nella sezione security e disattivare connessioni remote
e attivare la protezione SPI ( se rientra nelle funzionalità del router) alcuni router non ce l' hanno la protezione SPI che è molto utile contro gli intrusi