| Precedente :: Successivo |
| Autore |
Messaggio |
bastardinside
Eroe in grazia degli dei
Registrato: 22/01/08 01:50
Messaggi: 132
Residenza: A casa mia...di solito...
|
 Inviato: 26 Apr 2012 12:11 Oggetto: Problema ai browser! |
 |
|
Ho installato recentemente Ultracleaner e l'ho disinstallato subito dopo ma purtroppo mi si è inserito nei browser con strani collegamenti, ho già cambiato la home page dei vari browser ma quando digito una parola/frase nella barra degli indirizzi il motore di ricerca di base non è più google ma h**p://se*rch.rapidns.net/main?, non so se sia un virus, ho provato a cancellare o comunque modificare questa cosa ma niente di fatto.
Ecco la pagina web che mi appare digitando qualcosa nella barra degli indirizzi:
link
Grazie anticipatamente per l'aiuto. |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 26 Apr 2012 15:56 Oggetto: |
|
|
Ciao bastardinside,
Fai questa scansione con OTL
Poi, per sicurezza:
- Scarica TDSSKiller.zip e salvalo sul desktop
- Apri il file appena scaricato ed estrai il file TDSSKiller.exe
- Avvia TDSSKiller.exe
- Clicca Start scan e attendi pazientemente la fine dei lavori
- Se viene rilevata qualche infezione, TDSSKiller ti proporrà direttamente le operazioni da svolgere. In questo caso, clicca Continue
- Al termine del lavoro di scansione ed ventuale rimozione, clicca Close
- Il log viene creato nella cartella principale del disco C:
Es.: C:\TDSSKiller.2.7.29_20.04.2012_10.20.43_log.txt
- Posta il log creato, secondo le solite modalità
Scarica MBRCheck e avvialo, ti si aprirà una finestra DOS simile a questa:
| Citazione: | MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0200000d
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`065f9a00 (NTFS)
Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Windows XP code detected
SHA1: 84B95CE8A54B7C5C3AAF149934FC46FB70FF8365
Done!
Press ENTER to exit... |
Al termine, troverai sul desktop un file con un nome simile a MBRCheck_04.20.12_10.21.01.txt.
I logs caricali su FreeFileHosting o WikiSend o WikiFortio come indicato qui. |
|
| Top |
|
|
bastardinside
Eroe in grazia degli dei
Registrato: 22/01/08 01:50
Messaggi: 132
Residenza: A casa mia...di solito...
|
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 26 Apr 2012 21:49 Oggetto: |
|
|
Ne manca un pezzo... 
|
|
| Top |
|
|
bastardinside
Eroe in grazia degli dei
Registrato: 22/01/08 01:50
Messaggi: 132
Residenza: A casa mia...di solito...
|
|
| Top |
|
|
bastardinside
Eroe in grazia degli dei
Registrato: 22/01/08 01:50
Messaggi: 132
Residenza: A casa mia...di solito...
|
| Inviato: 29 Apr 2012 17:10 Oggetto: |
|
|
| Niente ancora? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 30 Apr 2012 09:16 Oggetto: |
|
|
Ciao bastardinside,
scusa, mi sono distratto... 
Nelle impostazioni di connessione del tuo Firefox, viene indicato un proxy di dubbia serietà.
- Avvia nuovamente OTL (dal desktop)
- Copia e incolla il testo seguente nel riquadro
 :
| Citazione: | :OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\TEMP\SiwIo.sys -- (SIWIO)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4
FF - prefs.js..network.proxy.ftp: "180.242.59.172"
FF - prefs.js..network.proxy.ftp_port: 8080
FF - prefs.js..network.proxy.gopher: "180.242.59.172"
FF - prefs.js..network.proxy.gopher_port: 8080
FF - prefs.js..network.proxy.http: "180.242.59.172"
FF - prefs.js..network.proxy.http_port: 8080
FF - prefs.js..network.proxy.socks: "180.242.59.172"
FF - prefs.js..network.proxy.socks_port: 8080
FF - prefs.js..network.proxy.ssl: "180.242.59.172"
FF - prefs.js..network.proxy.ssl_port: 8080
@Alternate Data Stream - 109 bytes -> C:\ProgramData\TEMP:DBBD301A
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"
:Commands
[EMPTYTEMP]
[EMPTYFLASH]
[EMPTYJAVA] |
clicca 
Se richiesto, riavvia il pc
clicca 
segui le istruzioni di questo topic per usare MBAM.
carica i nuovi logs su uno dei servizi di hosting indicati in questa discussione
edit by bdoriano: Script corretto! Avevo dimenticato un'istruzione importante. |
|
| Top |
|
|
bastardinside
Eroe in grazia degli dei
Registrato: 22/01/08 01:50
Messaggi: 132
Residenza: A casa mia...di solito...
|
| Inviato: 06 Mag 2012 17:29 Oggetto: |
|
|
ciao bdoriano, perdona la risposta tardiva ma sono stato impegnato col lavoro, il nuovo log di OTL:
04302012_093037.log
Per quanto rigurda quello di MBAM dopo 2 ore e mezza di scan non ha rilevato infezioni e, pensando si salvasse in automatico, non ho salvato il log.
Attendo tue e grazie ovviamente  |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 06 Mag 2012 20:59 Oggetto: |
|
|
Ciao bastardinside, 
tranquillo, anch'io ho qualche problemino di incostanza... 
Se vuoi recuperare il log di MBAM, puoi procedere così:
- Avvia MBAM
- Clicca File di log
- Seleziona il file di log nell'elenco che ti compare
- Clicca Apri
- Ti si apre il Blocco note con il contenuto del file
- salvalo con un nuovo nome sul desktop
- carica il nuovo file su uno dei servizi indicati qui e posta il forum link che ti viene assegnato.
Quando puoi, fai una nuova scansione con OTL e posta il log al solito modo.
edit:
Ci dev'essere stato un problema con le istruzioni precedenti... non hanno svolto il loro compito. 
Puoi ripetere le operazioni precedenti e verificare di avere inserito tutte le istruzioni indicate? |
|
| Top |
|
|
bastardinside
Eroe in grazia degli dei
Registrato: 22/01/08 01:50
Messaggi: 132
Residenza: A casa mia...di solito...
|
| Inviato: 06 Mag 2012 21:29 Oggetto: |
|
|
| okok, lo faccio subito. |
|
| Top |
|
|
bastardinside
Eroe in grazia degli dei
Registrato: 22/01/08 01:50
Messaggi: 132
Residenza: A casa mia...di solito...
|
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 06 Mag 2012 22:16 Oggetto: |
|
|
Perfetto! Ora ci siamo! 
Appena puoi, postami un nuovo log di OTL. |
|
| Top |
|
|
bastardinside
Eroe in grazia degli dei
Registrato: 22/01/08 01:50
Messaggi: 132
Residenza: A casa mia...di solito...
|
| Inviato: 07 Mag 2012 01:28 Oggetto: |
|
|
Ecco a te:
OTL.Txt |
|
| Top |
|
|
bastardinside
Eroe in grazia degli dei
Registrato: 22/01/08 01:50
Messaggi: 132
Residenza: A casa mia...di solito...
|
| Inviato: 12 Mag 2012 15:13 Oggetto: |
|
|
| Ancora niente bdoriano? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 13 Mag 2012 09:04 Oggetto: |
|
|
Ciao bastardinside,
le voci che volevo farti cancellare non ci sono più.
Ho notato che hai parecchie estensioni installate in FireFox. Andrebbero verificate manualmente ed eliminate quelle ritenute inutili.
In Firefox è impostato, come motore di ricerca principale, un certo Facemoods... sulla cui affidabilità ho seri dubbi.
Per rimuoverlo, procedi così:
- clicca sull'icona a fianco della casella di ricerca di Firefox (in alto a destra)
- Gestione motori di ricerca...
- nella nuova finestrella aperta, scegli il motore Facemoods
- clicca Rimuovi
- clicca OK
Sono rimasti da rimuovere i DNS di rapidDNS:
- Start
- Pannello di controllo
- Visualizza per: Icone grandi
- Centro connessioni di rete e condivisione
- Modifica impostazioni scheda
- Seleziona la prima connessione che trovi nell'elenco
- Tasto destro del mouse e Proprietà
- Protocollo Internet versione 4
- Proprietà
- Se trovi leseguenti impostazioni:
Utilizza i seguenti server DNS:
DNS preferito: 176.31.229.24
DNS alternativo: 176.31.229.25
- Assicurati di impostare Ottieni indirizzo server DNS automaticamente
- OK
- OK
- Dovrai ripetere l'operazione per tutti le connessioni presenti nell'elenco
|
|
| Top |
|
|
bastardinside
Eroe in grazia degli dei
Registrato: 22/01/08 01:50
Messaggi: 132
Residenza: A casa mia...di solito...
|
| Inviato: 16 Mag 2012 09:10 Oggetto: |
|
|
| Nei motori di ricerca già lo rimossi di fatto non c'era, per quanto riguarda i DNS già erano impostati su "Ottieni indirizzo server DNS automaticamente". Posso fare altro? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
|
| Top |
|
|
bastardinside
Eroe in grazia degli dei
Registrato: 22/01/08 01:50
Messaggi: 132
Residenza: A casa mia...di solito...
|
| Inviato: 21 Mag 2012 14:42 Oggetto: |
|
|
Ecco il Log:
hijackthis.log
Grazie anche a te |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 21 Mag 2012 17:56 Oggetto: |
|
|
Ciao.
Clicca con il tasto destro sull'icona di hijackthis,e scegli "Esegui come Amministratore".
Metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked":
| Citazione: | O17 - HKLM\System\CCS\Services\Tcpip\..\{4074B274-8489-4444-B391-6AC5B8F7780F}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{604CD5B8-D9E3-40B2-8DED-101458950BCA}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{8493DA73-D2D7-4893-BB57-4A41A81A568C}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A1F7AD0-2255-49D0-BFA6-89576C245BAD}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF03B372-71E8-4EAE-9DB2-43CE52A197D9}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{FADBB572-B5D0-4B66-BB86-14BB30F6E19C}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB149BBA-A081-44D2-B8A5-1D242368B593}: NameServer = 176.31.229.24,176.31.229.25
O23 - Service: Serv Updater (ServUpdater) - ServiceUpd - C:\Users\Shadow\AppData\Local\ServUpdater\ServiceUpd.exe
|
Fai una pulizia con CCleaner. (registro compreso.)
Riavvia il pc.
Ripeti la scansione con hijackthis, e controlla se quelle voci (solo quelle) effettivamente siano state eliminate.
Se le trovi ancora, dovremo usare metodi "maleducati".  |
|
| Top |
|
|
bastardinside
Eroe in grazia degli dei
Registrato: 22/01/08 01:50
Messaggi: 132
Residenza: A casa mia...di solito...
|
| Inviato: 21 Mag 2012 22:20 Oggetto: |
 |
|
Tu sei un DIO!
Tutto ok, adesso la ricerca è reindirizzata di nuovo a google, PERFETTO!
Non so come ringraziare sia te che bdoriano che comunque c'ha provato
Grazie infinite ragazzi |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
