Olimpo Informatico

Giaco · Mortale devoto Registrato: 04/10/10 13:29 Messaggi: 9

Salve ha tutti.
Ho un problema con un virus (Credo sia) che si presenta solo con l'utilizzo di firefox.
Il problema è in alcuni redirect che vengono effettuati a ripetizione su alcuni siti in cui navigo, mi si apre per un attimo la pagina e poi mi fa il redirect spesso ad una pagina bianca con indirizzo www.google-analytics.com. A volte invece la pagina si apre ma in bassi a sx invece di uscire la scritta "Completato" vedo che continua a fare redirect a siti assurdi anche se poi la pagina riesco a visitarla. A volte ancora mi appare un avviso al centro dello schermo dal titolo :" Warning il pc è affetto...bla bla" e mi fa il redirect ad un ip assurdo dove mi si apre una finta pagina di risorse del computer dove fa finta di scansionare il pc.
Ripeto che il problema è solo con firefox..con ie tutto funziona.
Quello che ho provato a fare:

Scansione con Hijackthis (niente di strano)
Cancellati ADS sempre con Hijackthis
Scansione con Spybot e tolte alcune cose
MBAM scaricato ma non riesco ad aggiornare le definizioni
Cancellato firefox completamente e reinstallato
Pulizia con ATF Cleaner

Il problema resta sempre....HELP!

Grea[t]! · Eroe in grazia degli dei Registrato: 08/05/10 17:12 Messaggi: 82

Ciao Gianco.
Hai lo stesso mio problema. Falsa pagina di scan con avviso di virus Killing Hazard. Nell'attesa di una risposta da parte dello staff, puoi dare un'occhiata alla discussione che ho aperto da un po' insieme ad R1. Purtroppo è una infezione di ultima generazione, leggermente rognosa da togliere: virus Alureon.

http://forum.zeusnews.com/viewtopic.php?t=51097

Giaco · Mortale devoto Registrato: 04/10/10 13:29 Messaggi: 9

Ciao ho appena letto la discussione.
Io sono riuscito a far partire sia Combofix che Superantispyware ma non trova nulla di nulla.
Ho letto in giro che potrebbe essere un virus che intacca la cache di firefox.

Grea[t]! · Eroe in grazia degli dei Registrato: 08/05/10 17:12 Messaggi: 82

Come hai potuto leggere, a me Avira ha trovato 3 file infetti da Alureon. Devo dire la verità, non mi pare mi siano ricapitati i problemi durante la navigazione, cioè il caricamento delle pagine bianche google analitycs. Però ho ancora dubbi, in quanto tutti gli altri programmi di sicurezza non rilevano nulla e, ultima sorpresa, facendo una nuova scansione in modalità normale con Avira, il pc si riavvia da solo.
Attendiamo R16, lui saprà guidarci. Dobbiamo essere fiduziosi e pazienti.

bdoriano

Ciao Giaco,

Fai questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato.

Giaco · Mortale devoto Registrato: 04/10/10 13:29 Messaggi: 9

Grazie bdoriano...ecco fatto:
06_10_2010_01_59_report.zip

bdoriano

Dovresti provare ad avviare Firefox in modalità provvisoria:

Start
Programmi
Mozilla Firefox
Mozilla Firefox (Modalità provvisoria)
Metti il segno di spunta alle seguenti voci:
- Disattiva tutti i componenti aggiuntivi
- Ripristina le barre degli strumenti e i controlli
- Ripristina i motori di ricerca predefiniti
Clicca Applica le modifiche e riavvia

Giaco · Mortale devoto Registrato: 04/10/10 13:29 Messaggi: 9

Ciao bdoriano ho scoperto che questi redirect li fa anche con ie...solo che li apre in una nuova finestra...la cosa strana è che se ho il pc spento e mi collego tramite wifi tipo con l'iphone durante la navigazione con safari fa anche in questo caso i redirect! Puó un virus infettare un router?

bdoriano

Si, esiste un virus che infetta i router...
funziona solo se si lascia la password standard (admin o password o altra similare) al router senza cambiarla alla prima installazione.

Marca e modello del router?

Oltre all'iPhone, puoi provare con un altro pc (giusto per sicurezza)?

Giaco · Mortale devoto Registrato: 04/10/10 13:29 Messaggi: 9

Ho un portatile di mia sorella con cui potrei provare ma non vorrei infettarlo.
Ho provato con l'IPAD ed anche lo fa!
Fa sia i redirect sia la finta pagina di risorse con finta scansione.
La pass che è nel router è proprio admin.
Il modello è : Linksys WAG200G

bdoriano

E' proprio uno dei modelli infettabili dal virus psyb0t.

Devi resettare alle impostazioni di fabbrica il tuo router (guarda sul suo manuale per le istruzioni) e cambiare la password admin in qualcosa di inimmaginabile per il virus.

Ovviamente, dovrai usare un pc pulito (possibilmente con sistema Linux) o Windows intonso.

Dopodiché si dovrà andare alla caccia dell'untore...

Giaco · Mortale devoto Registrato: 04/10/10 13:29 Messaggi: 9

Allora devo entrare nel router con un pc pulito 198.168.1.1 resetto alle impostazioni di fabbrica e cambio pass.
Poi dopo?

bdoriano

No, il reset lo fai a livello hardware. C'è un bottoncino (solitamente incassato) da premere per un tot di secondi per riportare il tuo modem/router alle impostazioni di fabbrica.
Dopo, con un pc pulito (meglio se con Linux), reimposti il tuo modem/router per la tua ADSL e cambi la password di accesso alle impostazioni.
Dopodiché, si va a caccia dell'untore (il pc infetto).
Ma è indispensabile, prima, resettare il modem/router, altrimenti ti ribecchi l'infezione appena colleghi il pc al modem/router.

Giaco · Mortale devoto Registrato: 04/10/10 13:29 Messaggi: 9

Perfetto!
Mi attivo.

PS Prima di fare il reset sono entrato nel router per vedere le impostazioni ed ho trovato la voce DHCP attiva con 3 IP messi in DNS1 DNS2 DNS3.
I primi 2 erono ip classici ma che io non ho mai inserito mentre il DNS3 era un ip che mi ha colpito 1.1.1.1