Precedente :: Successivo |
Autore |
Messaggio |
losisat Mortale devoto

Registrato: 16/03/11 10:06 Messaggi: 13
|
Inviato: 16 Mar 2011 10:11 Oggetto: * info virus |
|
|
salve a tutti
penso di essere infetto....spesso quando clicco da goglee verso un sito vengo reindirizato verso siti con pubblicità o altro.. inoltre la navigazione è lenta e si blocca..sono costretto alcune volte al riavvio..
alcune volte non riesco a scaricare prg in quanto non me lo permette..inoltre al riavvio conmpare un msg dove dice che csrss non è un file......
ho disattivato ripristino configurazioni di sistema ed effettuato alcune scansioni con vari software (cureit,prevx 3, adware,eminsoft,scc.)
cosa faccio?
Grazie
ecco i log
CureIt.txt
Gmer.txt
HiJackThis.txt
kap.txt
mbam-log-2011-03-15 (08-35-37).txt
ids_110315-084205.txt
prevx.log
cureit filtrato.txt |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 16 Mar 2011 12:55 Oggetto: |
|
|
Ciao losisat,
quando si fanno le scansioni, è importante rispettare anche una determinata sequenza.
Dal log di MBAM vedo che sono stati riconosciuti alcuni virus che, curiosamente, risultano ancora presenti nel log di hijackthis.
Dopo MBAM, hai provveduto a riavviare il pc come consigliato?
A parte CureIT, tutti gli altri log presentano la stessa anomalia.
Quindi, i casi sono 2:
- o, dopo la rimozione, sono stati ri-eseguiti i files contenenti i virus/malware, (e ti sei ribeccato le infezioni).
- o non hai riavviato il pc tra una scansione e l'altra.
Vediamo di fare un controllo approfondito.
Fai queste operazioni preliminari:
- Pulisci i files temporanei con CCleaner (controlla bene di aver impostato correttamente le opzioni consigliate)
- Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
- Segui le istruzioni di questo topic per usare MBAM.
- scarica e installa la versione Free di SuperAntispyware:
la configuri come da immagini:
http://www.zeusnews.it/zz_upload/img/PSV/SAS/7477731.jpg
http://www.zeusnews.it/zz_upload/img/PSV/SAS/9926902.jpg
esegui una scansione completa del sistema
- Segui le indicazioni di questa discussione per postare i logs di OTL.
- Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
Le operazioni vanno eseguite una alla volta e, quando richiesto, riavvia il pc (non aspettare di aver completato anche la altre operazioni). |
|
Top |
|
 |
losisat Mortale devoto

Registrato: 16/03/11 10:06 Messaggi: 13
|
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 16 Mar 2011 20:14 Oggetto: |
|
|
Hai fatto anche la scansione con SuperAntiSpyware?
Nel caso, riesci a postarne il log?
- Avvia SuperAntiSpyware
- Clicca Preferences... / Preferenze...
- Clicca Statistics/Logs / Statistiche/Registri
- Clicca View log... / Visualizza il registro...
- Ti si apre il Blocco note con il contenuto del file
- salvalo con un nuovo nome sul desktop
- carica il nuovo file su FreeFileHosting come indicato qui e posta il forum link che ti viene assegnato.
Fai anche questa scansione con Kaspersky |
|
Top |
|
 |
losisat Mortale devoto

Registrato: 16/03/11 10:06 Messaggi: 13
|
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 17 Mar 2011 20:43 Oggetto: |
|
|
Bene, SuperAntiSpyware ha eliminato anche tracce di Vundo.
Si, anche di Kaspersky dovrai postare il log al termine della scansione.
Una volta che avrai postato il log di Kaspersky e l'avrò controllato, ti darò ulteriori informazioni.
Sii paziente.  |
|
Top |
|
 |
losisat Mortale devoto

Registrato: 16/03/11 10:06 Messaggi: 13
|
Inviato: 18 Mar 2011 09:46 Oggetto: |
|
|
allora ho effettuato lasione con Kapersky e non ha trovato nulla
ti allego il log
kap.txt
Che devo fare ora?
Rigrazie  |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 18 Mar 2011 14:00 Oggetto: |
|
|
Ottimo!
Se non risconti ulteriori problemi, ti faccio fare alcuni aggiornamenti e poi passiamo alle ultime operazioni.
Da Installazione applicazioni rimuovi i seguenti programmi:
- Java(TM) 6 Update 2
- Java(TM) 6 Update 3
- Java(TM) 6 Update 5
- Java(TM) 6 Update 7
- Java(TM) 6 Update 14
- Java(TM) 6 Update 23
- Ask Toolbar
- MarketResearch
- Vuze_Remote Toolbar
- NOD32 v3.0.642 FiX1.2
- Emsisoft Anti-Malware 5.1
- Ad-Aware
- a-squared Free 3.1
Procedi con i seguenti aggiornamenti:
- Aggiorna Videolan VLC
- Installa l'ultima versione di Java scaricando la versione Offline e installandola
- Scarica e installa l'ultima versione di Adobe Reader o, meglio ancora, un lettore PDF alternativo (PDF X-Change Viewer, FoxIT Reader, Nitro PDF Reader, SumatraPDF)
- Aggiorna Skype
- Scarica la versione aggiornata di Hijackthis e salvalo in una sua cartella non temporanea e non sul desktop.
- Aggiorna Adobe FlashPlayer:
- Scarica il programma di disinstallazione di FlashPlayer
- Scarica l'ultima versione di FlashPlayer per Internet Explorer (Windows 7/Vista/XP/2003/2000):
Sito 1
Sito 2
FlashPlayer per Internet Explorer (Windows 98/ME)
- Scarica l'ultima versione di FlashPlayer per Mozilla, Opera, Chrome, etc...:
Sito 1
Sito 2
- Chiudi tutti i browser (IE, Opera, Firefox, Chrome, etc)
- Esegui il programma di disinstallazione scaricato al punto 1.
- Esegui il programma di installazione scaricato al punto 2.
- Esegui il programma di installazione scaricato al punto 3.
Una volta terminate le operazioni, segui le indicazioni di questa discussione per postare i logs di OTL.
Posta anche un log aggiornato di HijackThis. |
|
Top |
|
 |
losisat Mortale devoto

Registrato: 16/03/11 10:06 Messaggi: 13
|
Inviato: 18 Mar 2011 14:25 Oggetto: |
|
|
sto eseguendo le operazioni in sequenza ..non trovo le app da disinstalare
ask toolbar e market research
dove sono?
ho scaricato l'utility x disinstallare flash ma non riesco ad usarla in quanto mi dice che ho messenger aperto ma non lo trovo nei programmi aperti
ora vado avanti
riririgrazie  |
|
Top |
|
 |
losisat Mortale devoto

Registrato: 16/03/11 10:06 Messaggi: 13
|
Inviato: 18 Mar 2011 15:03 Oggetto: |
|
|
Allora..ricapitolando
ho fatto tutto solo non riesco ad disistallare quei 2 programmini ask e...
FAtto scansione con OTL pero mi ha generao 1 solo log e non 2 come c'era scritto sul post...eccolo
OTL.Txt
Che faccio?
una cosa....adesso il pc mi si avvia con amministraore e non con il mio profilo come si fa a farlo avviare in auto senza pw cn il mio profilo?
grazie |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 18 Mar 2011 15:53 Oggetto: |
|
|
Le due toolbar nascoste dovrebbero essere riconducibili a myBabylon English Toolbar e PandoraTV Toolbar.
Per rimuovere la richiesta password all'avvio/avviare automaticamente l'utente:
- Clicca Start
- Clicca Esegui...
- Digita:
Codice: | control userpasswords2 |
Clicca su ok
Nella finestra che compare:
- seleziona il tuo nome utente
- togli il segno di spunta a Per utilizzare questo computer è necessario che l'utente immetta il nome e la password
- Clicca su Applica
- Compare una nuova finestra, lascia le password in bianco e clicca Ok
- Clicca su Ok
Dal prossimo avvio non dovrebbe più chiederti la password e dovrebbe avviare automaticamente l'utente pre-selezionato.
Postami anche un log aggiornato di HijackThis. |
|
Top |
|
 |
losisat Mortale devoto

Registrato: 16/03/11 10:06 Messaggi: 13
|
Inviato: 18 Mar 2011 17:05 Oggetto: |
|
|
ecco il log di hack
hijackthis.log
devo fixare?non l'ho fatto..come le levo quei programmi di cui sopra?
grazie |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 18 Mar 2011 22:27 Oggetto: |
|
|
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:
Citazione: | R3 - URLSearchHook: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Programmi\myBabylon_English\tbmyB2.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\ConduitEngine.dll
O2 - BHO: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Programmi\myBabylon_English\tbmyB2.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: PandoraTV Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Programmi\myBabylon_English\tbmyB2.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\ConduitEngine.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe" |
clicca fix checked
Rifai il log di hijackthis e postalo
Ho un dubbio sugli indirizzi DNS 4.2.2.4, 4.2.2.6 che, apparentemente appartengono a Verizon.
Li hai impostati tu? |
|
Top |
|
 |
losisat Mortale devoto

Registrato: 16/03/11 10:06 Messaggi: 13
|
Inviato: 20 Mar 2011 11:37 Oggetto: |
|
|
Allora ho fatto il fix delle voci che mi hai richiaesto ed ho rieseguito hack...
ecco il log nuovo
hijackthis.log
Devo fare altre operazioni in merito???
Per quanto riguarda i dns io ogni tanto utiizzo Dns Jumper che ricerca i dns veloci ....infati proprio venerdi risultavano i piu veloci quelli da te citati.....faccio bene?consigli in merito?
Per l'avvio fo risolto come ki hai detto..grazie
Se volessi controllare una chiavetta dati che cosa mi consigli?
Mille Grazie  |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 20 Mar 2011 11:53 Oggetto: |
|
|
DnsJumper non lo conosco e non so dirti se sia valido o meno.
Se non ti ha mai creato problemi, continua pure a usarlo.
Nel log di hijackthis vedo che sono rimasti un paio di BHO da eliminare:
Codice: | O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\ConduitEngine.dll
O2 - BHO: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Programmi\myBabylon_English\tbmyB2.dll |
Consiglio:
quando installi programmi gratuiti (e anche a pagamento) presta massima attenzione alle domande che ti vengono fatte.
Hanno la bruttissima tendenza a installare porcherie di ogni genere (esempio toolbars riconducibili a Conduit, noto sito spia). |
|
Top |
|
 |
losisat Mortale devoto

Registrato: 16/03/11 10:06 Messaggi: 13
|
Inviato: 21 Mar 2011 10:13 Oggetto: |
|
|
ho eliminato le 2 voci ..ecco il nuovo log
hijackthis.log
per quanto riguarda i dns cosa mi consigli?
che faccio ora?
Grazie |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 21 Mar 2011 10:19 Oggetto: |
|
|
Mi sono accorto solo ora di un'impostazione strana in IE:
- Pannello di controllo
- Opzioni internet
- Connessioni
- Impostazioni LAN
- togli il segno di spunta a:
Ignora server proxy per indirizzi locali
Utilizza un server proxy per le connessioni LAN
- OK
- OK
Se non riscontri ulteriori problemi, direi che possiamo concludere l'intervento:
- Disabilita il ripristino di sistema.
Così andiamo a eliminare eventuali punti di ripristino infetti.
- Riavvia il pc
- Riabilita il ripristino di sistema, seguendo il procedimento inverso al punto 1
- Crea un nuovo punto di ripristino:
- Start
- Programmi
- Accessori
- Utilità di sistema
- Ripristino configurazione di sistema
- Crea un punto di ripristino
- Clicca Avanti
- Inserisci una descrizione
- Clicca Crea e attendi pazientemente la fine delle operazioni
- Pulizia dei files temporanei con CCleaner
- Deframmentazione del disco
|
|
Top |
|
 |
losisat Mortale devoto

Registrato: 16/03/11 10:06 Messaggi: 13
|
Inviato: 21 Mar 2011 11:25 Oggetto: |
|
|
Per quanto riguarda il rpimo passaggio le voci che hai descritto no corrispondono ti allego un immagine x capirci
Immagine.JPG
procedo con il resto poi ti faccio sapere
problemi penso di non averli |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 21 Mar 2011 11:34 Oggetto: |
|
|
Curioso.
Elimina queste altre voci da Hijackthis:
Codice: | R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:54970
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local |
|
|
Top |
|
 |
losisat Mortale devoto

Registrato: 16/03/11 10:06 Messaggi: 13
|
Inviato: 21 Mar 2011 12:03 Oggetto: |
|
|
losisat ha scritto: | Per quanto riguarda il rpimo passaggio le voci che hai descritto no corrispondono ti allego un immagine x capirci
Immagine.JPG
procedo con il resto poi ti faccio sapere
problemi penso di non averli |
con questo cosa faccio?
ti allego un nuovo log di hackj dopo aver eliminato le 2 voci
hijackthis.log
Ho fatto l'oeprazione con cccleaner tutt ok
ho scaricato purandefrag come lo setto?
che Dns consigli?
Rigrazie infinatamente |
|
Top |
|
 |
|