Olimpo Informatico

[Danielix71]

Ciao a tutti, vi spiego il mio problema:
giorni fa sono incappato in un malware che mi ha nascosto le icone sul desktop compresi tutti i documenti e i programmi.
Sono riuscito a far ricomparire il tutto grazie ad un programmino che ho trovato cercando su google la soluzione del mio problema, ed ho eliminato il malware con Mbam e Spybot search e destroy.
Ora il computer mi funziona, anche se noto tre inconvenienti:

1) Nella cronologia esplorazione di IE mi ritrovo pagine web mai visitate e che non ho mai visualizzato.

2) Ogni tanto mi spuntano messaggi di errori di script di IE relativi ai siti web che poi mi ritrovo in cronologia esplorazione.

3) Se mi collego a facebook od ad un forum che prevede la log in mi ritrovo in log out dopo qualche minuto se non subito e devo rifare la procedura di log in.

Sto impazzendo, non riesco a trovare la causa del problema, tutte le scansioni antivirus e antimalware sono nulle, cosa mi consigliate di fare??

[Luko]

Ciao Danielix71
Benvenuto nell' Olimpo
Sposto il tuo 3D in Pronto Soccorso Virus.

Facciamo un controllo

N.B: Esegui queste procedure una alla volta seguendo questo ordine

• Pulisci i files temporanei con CCleaner (registro compreso)
  http://forum.zeusnews.com/viewtopic.php?p=282670#282670
  
  
• Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
  C:\Windows\Prefetch
  
  
• Segui le istruzioni di questo topic per eliminare gli ADS:
  http://forum.zeusnews.com/viewtopic.php?t=45223
  
  
• Scarica e installa la versione Free di SuperAntispyware:
  linklo configuri come da immagini :
  http://www.zeusnews.it/zz_upload/img/PSV/SAS/7477731.jpg
  http://www.zeusnews.it/zz_upload/img/PSV/SAS/9926902.jpg
  Aggiornalo ed esegui una scansione completa ed elimina quello che è stato trovato.
  
  
• Segui le istruzioni di questo topic per usare MBAM:
  http://forum.zeusnews.com/viewtopic.php?p=297823#297823
  Aggiornalo ed esegui una scansione completa, elimina gli eventuali file infetti trovati.
  
  
• Segui le istruzioni di questo topic per postare un log di Hijackthis (scarica la nuova versione qui)
  http://forum.zeusnews.com/viewtopic.php?p=194964#194964
  
  
• Segui le istruzioni di questo topic per postare un log di OTL
  
  
  
• Carica i log di SuperAntispyware, Mbam, Hijackthis e OTL su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
  link

[Danielix71]

Grazie per l'aiuto, vi allego i files che mi avete chiesto:

link

link

link

link

link

Perchè i link non funzionano??

edit by staff: sistemati i links

[Luko]

C'è un po' di lavoro da fare (aggiornare programmi, rimuovere alcune cose...), ma infezioni non ne vedo...

Fai una scansione con Bitdefender Online e posta il log al solito modo
N.B: Devi utilizzare I.E. per effettuare la scansione.

Che siti appaiono nella cronologia?
Il punto tre può dipendere anche dalla connessione, se "cadi" spesso potresti essere disconnesso da alcuni servizi (vedi msn, skype, alcuni forum...)

Puoi postare le vecchie scansioni che avevi fatto, o almeno dirci come hai risolto il problema?

P.S: I.E. fa palesemente schifo, prova a cambiare abitudini scaricando Firefox 4.0 (stabile, estremamente personalizzabile, molto sicuro. Forse un po' troppo pesante.) oppure Google Chrome (leggero, molto veloce. Purtroppo poco personalizzabile). L' interfaccia grafica dei due browser è molto simile per quanto riguarda la navigazione.

[Danielix71]

Ho fatto la scansione con Bitdefender ONline, ecco il file:

http://www.freefilehosting.net/scanbitdefender

i siti che appaiono più frequentemente in cronologia sono:

www.findbrass.org
www.searchnecessary.org
www.finduptight.com
http://newslinker.info/search

La connessione ad internet c'è sempre, io mi scollego solo dal log-in di facebook o di un forum (come questo), per quanto riguarda altri servizi uso msn, e questo non da nessun problema.

posto altre scansioni che ho fatto nei giorni precedenti:

http://www.freefilehosting.net/a2scan110427-183819

http://www.freefilehosting.net/cureitfiltrato

Il problema fino ad ora è sempre lo stesso, però mi sembra che la scansione di bitdefender qualcosa abbia evidenziato.

Una cosa strana che ho notato è che ogni volta che clicco su "Alice ti aiuta", l'help software del mio provider, mi dice sempre che nel mio computer sono cambiati i parametri della connessione e mi invita a ripristinarli cliccando su un tasto.

Spero di essere stato chiaro ed esaustivo nell'esporre il mio problema.
Grazie per l'aiuto.

[Luko]

Si, ha trovato ed eliminato molte cose in quarantena e... delle backdoor?
mbam avrebbe dovuto rilevarle...

Utilizza Combofix e posta un log.

P.S: Hai interrotto Dr.Web prima che terminasse la scansione, comunque si è limitato a cancellare la quarantena di avira e ne ha eliminato uno vagante.
Emsisoft Anti-Malware lo hai utilizzato senza la scansione euristica e non ha trovato nulla.

[Danielix71]

Gentilissimo amico, ti ringrazio dell'aiuto che mi stai dando!!

Ora sono al lavoro e sto leggendo il tuo messaggio (il computer infetto è a casa), da premettere che non sono un grande esperto di informatica, leggo qualcosina e cerco di tenermi aggiornato.

In merito ai tuoi quesiti, Doctor Web l'ho interrotto perchè aveva avviato automaticamente la scansione rapida e l'ho subito stoppato per avviare quella completa.

Per quanto riguarda la scansione euristica di Emsisoft, scusa la mia ignoranza ma non so manco cosa vuol dire.

Non so perchè mbam non rilevi le backdoors, quello è un mistero, comunque a mente fredda sto pensando di recuperare (se è possibile) il log della scansione che ho effettuato nel momento che mi sono liberato della rogue che mi ha infettato il computer, dovrebbe essere disponibile nella partizione log del programma o sbaglio?

Mi consigli di usare Combofix, non è un pò pericoloso??
Ho letto che magari c'è il rischio che cancelli qualche file sbagliato compromettendo la stabilità del computer, è un mio errato timore?
(magari prima eseguo un bel back up di tutti i documenti)

Ho intenzione in seguito di utilizzare Firefox, ma installando la versione 8 di IE non c'è la possibilità che magari tutto si aggiusti?? Ho letto che nell'installazione di IE8 viene a rilevare e rimuovere malware ed altri virus e installa anche elementi di protezione.

Comunque la mia impressione è che quando accedo su IE è come se si aprano due sessioni di navigazione: una quello che vedo io e un'altra a me invisibile che si carica in cronologia, facendo sfasare i normali parametri di configurazione di accesso ad internet, in questo caso non ci dovrebbe essere una chiave infetta di IE???

Grazie ancora per la tua gentilezza.

[Luko]

[Danielix71]

Ti invio i log che ho trovato su mbam, sono relativi ai due giorni in cui il computer era infettato:

http://www.freefilehosting.net/mbam-log-2011-04-2401-17-42

http://www.freefilehosting.net/mbam-log-2011-04-2301-37-39

Per quanto riguarda Combofix, ho un computer HP, se si può evitare è meglio se no, per favore, dammi qualche giorno per salvare i dati più importanti, anche perchè il computer lo usa anche mia moglie e devo aspettare che anche lei salvi i suoi files.

Ti ringrazo sempre per l'aiuto!!

[Luko]

I dati salvali comunque per sicurezza (tutti dovrebbero avere una copia di backup).
Dato che hai un pc HP non rischio con combofix, comunque ho notato qualcosa analizzando meglio i log che ci hai dato, dammi un po' di tempo.

[Danielix71]

[Danielix71]

Scusa la mia ignoranza, ma non converrebbe fare un'altra scansione con bit defender on line e vedere il risultato??
E' l'unico programma che ha evidenziato qualcosa e se non ho capito male qualcosina l'ha eliminata.

Una cosa strana che ho notato è che ad ogni accensione del computer viene automaticamente messa la spunta sul completamento automatico dei moduli a cui ci si arriva cliccando su proprietà di IE con il tasto dx del mouse e si segue questo percorso: Contenuto e poi clicco su Impostazioni di Completamento automatico.
Anche se tolgo la spunta su "Riempimento moduli", questa riappare ad ogni riaccensione del computer e mi evidenzia le username che sono state utilizzate quando voglio fare la login in un forum. Questo è normale??

Un'ultima domanda, devo disattivare la funzione rispristino di sistema?

Ciao e ancora grazie per la tua pazienza!!

[Luko]

[Danielix71]

Dopo che ho copiato quei files in OTL dove devo cliccare???

Non ho Java, devo installarlo?

Mentre aspettavo la tua risposta ho voluto fare una scansione con il Kaspersky tool removal 2010 che mi ha consigliato un amico, qualcosa ha trovato, ecco il risultato:

link
Nonostante tutto il problema è rimasto

Dimmi per piacere cosa devo fare in base a OTL e Java, oppure non basta?

[Luko]

Sono felicissimo che Kaspersky abbia trovato e rimosso qualcosa, ma ti consiglio di non fare scansioni a caso e di avere pazienza.
Si deve avere criterio altrimenti ti avrei indirizzato qui e ti avrei invitato a fare tutte le scansioni dei 3D segnalati come importanti

Installa Java e posta un altro log di OTL, vediamo se è cambiato qualcosa.

[Danielix71]

[Luko]

Guarda che possiamo recuperarlo, ti ricordi il nome del file eliminato?
"Non si accende" in che senso? (fin dove arriva?)

Mi spiace per quel che è successo
La prossima volta ascolta chi ti da una mano

P.S: Tranquillo, al 99.9% i dati saranno facilissimi da recuperare, puoi farlo anche tu, scaricati una distro live di Linux e procedi al recupero, se necessiti di assistenza contattami o scrivi nell' apposito forum.

[Danielix71]