Ciao a tutti, da qualche giorno quando apro IE7 ogni tanto si aprono delle pagine pubblicitarie, nonostante il blocco popup sia attivato, cosa è successo ho beccato qualche virus o cose del genere? ho scansionato con Ad-Aware ma non trova niente al difuori dei cookie.
Grazie x la risposta che mi darete

Posta un log di hijackthis e aspetta gli esperti...

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Ciao.
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.malwarebytes.org/
Prima di fare la scansione AGGIORNALO.
Esegui una scansione completa del sistema e, una volta terminata la scansione,assicurati che tutti i files evidenziati, siano selezionati, e clicca Rimuovi Selezionati
Posta il log.

Poi:
Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,e dopo aver scaricato COMBOFIX, chiudi la connessione.

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.
Digita 1 premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.

Disinstalla combofix in questo modo: (dopo che avrò visto il log)
Start
Esegui
nella finestra di dialogo, digita (oppure, copia ed incolla) questo comando: Combofix /u e premi invio poi cancella le cartelle in "C" di combofix (qoobox)

Poi posta un nuovo log di HijackThis. (e aggiornalo, che hai una versione stravecchia)
http://www.aiutamici.com/software?ID=11175

Scusami quando lancio "combofix" viene un avviso che dice con scritto:
Avira Antivir PersonalEdition è attivo, quindi mi chiedi di disinstallarlo.
Io questo antivirus l'ho usato parecchio tempo fa e poi l'ho disinstallato con total uninstall.
xkè lo vede ancora? l'ho cercato con cerca senza esito, dove i nasconde come faccio a disinsatallarlo?

ecco il log di "combofix"
ComboFix 09-01-21.04 - Biagio 2009-01-29 22:40:12.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.1023.573 [GMT 1:00]
Eseguito da: c:\documents and settings\Biagio\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Outdated)
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated)
* Creato nuovo punto di ripristino

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Biagio\Impostazioni locali\Dati applicazioni\khebekhe.dat
c:\documents and settings\Biagio\Impostazioni locali\Dati applicazioni\khebekhe.exe
c:\documents and settings\Biagio\Impostazioni locali\Dati applicazioni\khebekhe_nav.dat
c:\documents and settings\Biagio\Impostazioni locali\Dati applicazioni\khebekhe_navps.dat

.
((((((((((((((((((((((((( Files Creati Da 2008-12-28 al 2009-01-29 )))))))))))))))))))))))))))))))))))
.

2009-01-29 19:23 . 2009-01-29 19:23 <DIR> d-------- c:\programmi\Windows Defender
2009-01-29 18:34 . 2009-01-29 18:34 <DIR> d-------- c:\programmi\Malwarebytes' Anti-Malware
2009-01-29 18:34 . 2009-01-29 18:34 <DIR> d-------- c:\documents and settings\Biagio\Dati applicazioni\Malwarebytes
2009-01-29 18:34 . 2009-01-29 18:34 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-01-29 18:34 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-29 18:34 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-28 16:21 . 2009-01-28 16:31 <DIR> d-------- c:\windows\system32\NtmsData
2009-01-25 22:55 . 2009-01-29 22:43 4,096 --ahs---- C:\VSNAP.IDX
2009-01-25 17:31 . 2009-01-25 17:31 <DIR> d-------- c:\documents and settings\Biagio\Dati applicazioni\Symantec
2009-01-25 17:26 . 2007-03-28 20:29 131,944 --a------ c:\windows\system32\drivers\symsnap.sys
2009-01-25 17:26 . 2007-03-28 20:49 128,104 --a------ c:\windows\system32\drivers\WimFltr.sys
2009-01-25 17:26 . 2007-03-28 20:12 109,360 --a------ c:\windows\system32\GEARAspi.dll
2009-01-25 17:26 . 2007-03-28 20:29 37,864 --a------ c:\windows\system32\drivers\v2imount.sys
2009-01-25 17:26 . 2007-03-28 20:12 15,664 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys
2009-01-25 17:26 . 2007-03-28 20:23 14,072 --a------ c:\windows\system32\drivers\vproeventmonitor.sys
2009-01-25 17:25 . 2009-01-25 17:25 <DIR> d-------- c:\programmi\File comuni\Symantec Shared
2009-01-25 16:22 . 2004-03-09 00:00 152,848 --a------ c:\windows\system32\comdlg32.OCX
2009-01-25 16:22 . 2004-03-09 00:00 124,688 --a------ c:\windows\system32\mswinsck.ocx
2009-01-23 18:30 . 2009-01-23 18:30 <DIR> d-------- c:\windows\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP
2009-01-23 17:19 . 2009-01-23 17:19 <DIR> d-------- c:\programmi\Lavasoft
2009-01-23 17:19 . 2009-01-23 17:19 <DIR> d-------- c:\programmi\File comuni\Wise Installation Wizard
2009-01-21 21:47 . 2009-01-25 17:35 <DIR> d-------- c:\programmi\CONEXANT
2009-01-21 21:47 . 2001-08-17 21:57 16,128 --a------ c:\windows\system32\drivers\MODEMCSA.sys
2009-01-21 21:47 . 2001-08-17 21:57 16,128 --a--c--- c:\windows\system32\dllcache\modemcsa.sys
2009-01-21 19:23 . 2009-01-21 19:23 0 --a------ c:\windows\nsreg.dat
2009-01-19 20:38 . 2009-01-25 17:25 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Symantec
2009-01-19 20:37 . 2009-01-25 17:25 <DIR> d-------- c:\programmi\Norton Ghost
2009-01-18 18:51 . 2001-08-17 21:56 7,552 --a------ c:\windows\system32\drivers\SONYPVU1.SYS
2009-01-18 18:51 . 2001-08-17 21:56 7,552 --a--c--- c:\windows\system32\dllcache\sonypvu1.sys
2009-01-17 13:41 . 2009-01-17 13:41 <DIR> d-------- c:\documents and settings\Biagio\WINDOWS
2009-01-16 19:10 . 2004-02-19 03:03 65,536 --a------ c:\windows\system32\E_S00RP1.EXE
2009-01-10 12:33 . 2000-06-26 10:37 43 --a------ c:\windows\system32\drivers\DISK1
2009-01-10 12:33 . 2000-06-26 10:37 43 --a------ c:\windows\system\DISK1
2009-01-10 12:32 . 2000-12-18 08:03 216,090 --a------ c:\windows\system\CnxAdslH.chm
2009-01-07 16:39 . 2009-01-07 16:39 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-06 17:59 . 2009-01-06 17:59 <DIR> d-------- c:\programmi\Alcohol Soft
2009-01-06 17:56 . 2009-01-06 17:56 717,296 --a------ c:\windows\system32\drivers\sptd.sys
2009-01-03 16:16 . 2009-01-28 23:24 <DIR> d-------- c:\programmi\eMule
2009-01-02 15:03 . 2009-01-02 15:03 <DIR> d-------- c:\documents and settings\Biagio\Dati applicazioni\Samsung
2009-01-02 15:01 . 2009-01-02 15:01 <DIR> d-------- c:\programmi\Samsung
2009-01-02 13:18 . 2009-01-02 13:18 <DIR> d-------- c:\documents and settings\Biagio\Bluetooth Software
2009-01-02 13:14 . 2009-01-02 13:14 <DIR> d-------- c:\programmi\D-Link
2009-01-02 13:11 . 2005-07-26 15:19 77,824 -ra------ c:\windows\system32\btw_ci.dll
2009-01-02 13:11 . 2005-07-26 14:11 56,648 --a------ c:\windows\system32\drivers\btwusb.sys
2009-01-02 11:56 . 2009-01-21 19:36 <DIR> d-------- c:\documents and settings\LocalService\Dati applicazioni\SACore
2009-01-01 18:15 . 2009-01-01 18:15 <DIR> d-------- c:\programmi\File comuni\McAfee
2009-01-01 18:14 . 2009-01-02 11:55 <DIR> d-------- c:\programmi\McAfee
2008-12-31 20:50 . 2009-01-25 17:26 <DIR> d----c--- c:\windows\system32\DRVSTORE
2008-12-31 20:50 . 2008-12-31 20:50 <DIR> d-------- c:\programmi\DIFX
2008-12-31 20:50 . 2006-05-03 22:53 174,592 --a------ c:\windows\system32\framedyn.dll
2008-12-31 20:49 . 2009-01-02 15:03 <DIR> d-------- c:\windows\system32\Samsung_USB_Drivers
2008-12-31 20:49 . 2006-07-24 16:05 5,632 --a------ c:\windows\system32\drivers\StarOpen.sys
2008-12-31 20:49 . 2005-08-28 20:51 766 --a------ c:\windows\system32\Uninstall.ico
2008-12-31 18:09 . 2009-01-01 18:16 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\SiteAdvisor
2008-12-31 18:09 . 2009-01-01 18:15 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\McAfee
2008-12-30 17:57 . 2009-01-17 16:41 69 --a------ c:\windows\NeroDigital.ini
2008-12-30 17:50 . 2009-01-13 20:36 1,374 --a------ c:\windows\imsins.BAK
2008-12-30 17:45 . 2008-12-30 17:49 <DIR> d-------- c:\windows\system32\XPSViewer
2008-12-30 17:45 . 2008-12-30 17:45 <DIR> d-------- c:\programmi\Reference Assemblies
2008-12-30 17:44 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll
2008-12-29 14:33 . 2008-12-29 14:33 <DIR> d-------- c:\programmi\MSXML 4.0
2008-12-29 12:31 . 2008-12-29 12:31 <DIR> d-------- c:\documents and settings\Biagio\Dati applicazioni\EPSON
2008-12-29 12:31 . 2008-12-29 12:31 29 --a------ c:\windows\DEBUGSM.INI
2008-12-29 12:20 . 2008-04-13 11:45 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2008-12-29 12:20 . 2008-04-13 11:45 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-15 13:41 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2009-01-29 21:44 --------- d-----w c:\programmi\DNA
2009-01-29 21:44 --------- d-----w c:\documents and settings\Biagio\Dati applicazioni\DNA
2009-01-29 21:35 --------- d-----w c:\documents and settings\Biagio\Dati applicazioni\BitTorrent
2009-01-23 16:20 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Lavasoft
2009-01-19 19:35 --------- d-----w c:\programmi\File comuni\InstallShield
2009-01-07 15:39 --------- d-----w c:\programmi\Java
2009-01-02 14:01 --------- d--h--w c:\programmi\InstallShield Installation Information
2008-12-30 16:46 --------- d-----w c:\programmi\MSBuild
2008-12-28 20:11 --------- d-----w c:\documents and settings\Biagio\Dati applicazioni\Nero
2008-12-28 18:45 --------- d-----w c:\programmi\File comuni\Nero
2008-12-28 18:44 --------- d-----w c:\programmi\Nero
2008-12-28 18:12 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Nero
2008-12-28 17:42 --------- d-----w c:\programmi\SlySoft
2008-12-24 17:02 --------- d-----w c:\programmi\Total Uninstall 5
2008-12-24 16:57 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Martau
2008-12-23 18:32 --------- d-----w c:\programmi\ESET
2008-12-23 18:24 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\ESET
2008-12-23 13:20 --------- d---a-w c:\documents and settings\All Users\Dati applicazioni\TEMP
2008-12-22 18:59 --------- d-----w c:\programmi\Windows Sidebar
2008-12-22 15:23 --------- d-----w c:\programmi\File comuni\Adobe
2008-12-19 18:08 --------- d-----w c:\documents and settings\Biagio\Dati applicazioni\Media Player Classic
2008-12-18 20:46 --------- d-----w c:\programmi\BitTorrent
2008-12-18 20:17 --------- d-----w c:\documents and settings\Biagio\Dati applicazioni\com.adobe.ExMan
2008-12-18 19:49 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\FLEXnet
2008-12-18 18:57 --------- d-----w c:\programmi\File comuni\Adobe AIR
2008-12-18 18:43 --------- d-----w c:\programmi\File comuni\Macrovision Shared
2008-12-16 20:39 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Kodak
2008-12-16 20:33 441,760 ----a-w c:\windows\system32\drivers\timntr.sys
2008-12-16 20:33 44,384 ----a-w c:\windows\system32\drivers\tifsfilt.sys
2008-12-16 20:32 368,480 ----a-w c:\windows\system32\drivers\tdrpman.sys
2008-12-16 20:32 129,248 ----a-w c:\windows\system32\drivers\snapman.sys
2008-12-16 20:32 --------- d-----w c:\programmi\File comuni\Acronis
2008-12-16 20:31 --------- d-----w c:\programmi\Acronis
2008-12-15 19:31 --------- d-----w c:\programmi\Windows Media Connect 2
2008-12-15 11:59 --------- d-----w c:\programmi\Microsoft Works
2008-12-14 16:01 --------- d-----w c:\documents and settings\LocalService\Dati applicazioni\Acronis
2008-12-14 15:59 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Acronis
2008-12-14 15:40 --------- d-----w c:\programmi\EPSON
2008-12-14 15:34 --------- d-----w c:\programmi\File comuni\Python
2008-12-14 15:21 --------- d-----w c:\programmi\K-Lite Codec Pack
2008-12-14 15:17 --------- d-----w c:\programmi\File comuni\Java
2008-12-14 14:48 --------- d-----w c:\programmi\microsoft frontpage
2008-12-14 14:45 --------- d-----w c:\programmi\Servizi in linea
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2008-04-13 1695232]
"BitTorrent DNA"="c:\programmi\DNA\btdna.exe" [2008-12-19 342848]
"AlcoholAutomount"="c:\programmi\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-11-23 203720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-01-07 136600]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"TrueImageMonitor.exe"="c:\programmi\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-03-10 2617808]
"AcronisTimounterMonitor"="c:\programmi\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-03-10 909592]
"Acronis Scheduler2 Service"="c:\programmi\File comuni\Acronis\Schedule2\schedhlp.exe" [2008-03-10 140568]
"egui"="c:\programmi\ESET\ESET NOD32 Antivirus\egui.exe" [2008-10-08 1451264]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"CloneCDTray"="c:\programmi\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
"Norton Ghost 12.0"="c:\programmi\Norton Ghost\Agent\VProTray.exe" [2007-03-28 2037352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
BTTray.lnk - c:\programmi\D-Link\Software Bluetooth\BTTray.exe [2005-07-26 577597]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programmi\\File comuni\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programmi\\DNA\\btdna.exe"=
"c:\\Programmi\\BitTorrent\\bittorrent.exe"=
"c:\\Programmi\\eMule\\emule.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2008-10-08 34312]
R4 ekrn;Eset Service;c:\programmi\ESET\ESET NOD32 Antivirus\ekrn.exe [2008-10-08 468224]
R4 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\programmi\McAfee\SiteAdvisor\McSACore.exe [2009-01-01 206096]
R4 WinDefend;Windows Defender;c:\programmi\Windows Defender\MsMpEng.exe [2006-11-03 13592]
S4 EsetNod32Fix;Nod32 AV;c:\windows\regedit.exe [2008-04-13 151552]
.
Contenuto della cartella 'Scheduled Tasks'

2009-01-29 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programmi\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKCU-Run-khebekhe - c:\documents and settings\biagio\impostazioni locali\dati applicazioni\khebekhe.exe
HKCU-Run-AdobeBridge - (no file)
HKU-Default-RunOnce-tscuninstall - c:\windows\system32\tscupgrd.exe


.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.msn.it/
uInternet Connection Wizard,ShellNext = iexplore
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Invia a &Bluetooth - c:\programmi\D-Link\Software Bluetooth\btsendto_ie_ctx.htm
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-29 22:44:53
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(668)
c:\windows\system32\Ati2evxx.dll
c:\programmi\File comuni\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'lsass.exe'(724)
c:\windows\system32\relog_ap.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programmi\Lavasoft\Ad-Aware\aawservice.exe
c:\programmi\File comuni\Acronis\Schedule2\schedul2.exe
c:\programmi\D-Link\Software Bluetooth\bin\btwdins.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
c:\programmi\Norton Ghost\Agent\VProSvc.exe
c:\programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\programmi\File comuni\Acronis\Fomatik\TrueImageTryStartService.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Ora fine scansione: 2009-01-29 22:48:50 - Il pc è stato riavviato [Biagio]
ComboFix-quarantined-files.txt 2009-01-29 21:48:46

Pre-Run: 63,000,748,032 byte disponibili
Post-Run: 68,383,477,760 byte disponibili

229 --- E O F --- 2009-01-13 19:36:49

Ok lo faccio subito

Le pagine pubblicitarie di tanto in tanto continuano a comparire

l'ho fatto mi ha cancellato 4 chiavi di registro, ho provato a rilanciare combofix e il messaggio è ricomparso
avira c'è ancora

no non l'ho e non ho riavviato
lo faro domani poi ti faccio sapere.
Ti auguro buona notte e grazie x il tuo tempo

Ciao, come mi hai consigliato ieri sera ho ripetuto l'operazione con Combofix, l'avviso di Avira compare ancora.
Poi ho fatto pulizia con CCleaner eliminando diversi file, sempre con CCleaner ho controllato il registro riscontrando diversi problemi che ho fatto correggere al programma stesso, x adesso tutto funziona perfettamente e nessuna pagina pubblicitaria è comparsa.
Nel log di HijackThis hai riscontrato anomalie, devo fare qualche altra operazione o basta cosi.
Grazie