Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Infezione dopo aver cliccato un banner
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
k2
Mortale pio
Mortale pio


Registrato: 13/10/13 00:38
Messaggi: 24

MessaggioInviato: 05 Giu 2017 13:15    Oggetto: Rispondi citando

ciao

1)
L'operazione per Guest è riuscita.

Per la seconda non lo so. Allego l'immagine della finestra

Immagine cmd.png

Attivare l'account "Administrator" comporta far comparire la scelta tra lui e co all'avvio del sistema?

2)
Mi hai scritto che confrontando il log FRST pre e post reinstallazione:

"Si è aggiunto l'account "DefaultAppPool" che contiene l'app di Google Chrome"

E' una cosa relativa a windows che ci può stare o un profilo malevolo dell'infezione? Si può correggere?

3)
La spunta da "Reti pubbliche" e metterla su "Reti private", non ho capito se va fatto soltanto quando compare l'avviso del firewall per una app.

Ho aperto utorrent e il firewall ha dato l'avviso.
Prima dell'infezione questi avvisi non c'erano. Si potrebbe intervenire nei settaggi generali del firewall e configuralo correttamente come era prima?

4)
La partizione di dati D: mi hai scritto che potrebbe essere stata infetta, però scansionata con mbam non risultano malware.

Vorrei rimetterle l'icona e il nome originale "Disco locale D" che c'era prima in esplora risorse. C'è un metodo corretto per farlo?

Immagine esplora.png
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 05 Giu 2017 17:31    Oggetto: Rispondi citando

Ciao .
Premetto che NON avendo installato Windows 10 sui miei pc, non posso rispondere in modo adeguato a tutte le richieste.
In ogni caso ho chiesto supporto a un collega che l'ha installato, quindi siamo in 2 per cercare di risolverti i problemi.

Citazione:
Per la seconda non lo so. Allego l'immagine della finestra

Sembra ci sia un errore di sintassi.
Prova questa stringa sempre dal Prompt:
net user administrator /active:yes
Rispetta gli spazi, oppure fai il copia\incolla.
Poi digita exit e riavvi a il pc.

Citazione:
E' una cosa relativa a windows che ci può stare o un profilo malevolo dell'infezione? Si può correggere?

Non è un profilo malevolo, che si possa correggere aspetta il mio collega.

Citazione:
La spunta da "Reti pubbliche" e metterla su "Reti private", non ho capito se va fatto soltanto quando compare l'avviso del firewall per una app.

Il discorso è che quel Google Chrome è connesso in una Rete pubblica, e probabilmente il firewall interverrà ogni volta che lo usi.
Citazione:
Ho aperto utorrent e il firewall ha dato l'avviso.

Se sei "sicuro" di quello che scarichi dal torrent, puoi metterlo nelle "Eccezzioni" del Firewall.
Top
Profilo Invia messaggio privato
k2
Mortale pio
Mortale pio


Registrato: 13/10/13 00:38
Messaggi: 24

MessaggioInviato: 05 Giu 2017 19:07    Oggetto: Rispondi citando

Quindi dove agire per togliere la connessione di chrome e di tutte le app alle reti pubbliche e magari bonificare tutto quanto?

Secondo te, il fatto che interviene il firewall quando apro la prima volta un programma, è un sintomo che c'è qualcosa di anomalo sotto l'aspetto Sicurezza, conseguente a modifiche apportate dalla infezione? Ripeto: per il motivo che in precedenza non c'erano.

Riguardo le impostazioni della rete, in alcuni articoli avevo letto che con rete pubblica ci fosse più protezione rispetto a rete privata, per il pc che deve accedere alla rete.
Però mi fido di quello che mi hai detto tu in precedenza.

Sul pc era tutto lasciato con le impostazioni originali, che non prevedevano per l'appunto il dover far scegliere una opzione di fronte a un avviso di protezione.

Grazie se vorrai darmi altre indicazioni e attendo anche il tuo collega.

La stringa del promt dei comandi è andata bene.

FRST.txt
Addition.txt
Top
Profilo Invia messaggio privato
Maary79
Moderatrice Sistemi Operativi e Software
Moderatrice Sistemi Operativi e Software


Registrato: 08/02/12 12:23
Messaggi: 12224

MessaggioInviato: 06 Giu 2017 09:10    Oggetto: Rispondi citando

Per cambiare il nome all'unità D:

Premi il tasto Win+X - gestione disco - premi il dx del mouse sopra a D: - sul menù a tendina seleziona: "proprietà" e poi metti il nome che vuoi.

Sempre da li dovresti vedere la partizione di ripristino di Windows 7, che se non usi più puoi formattare, così recuperi un po' di spazio, nel dubbio posta un'immagine di gestione disco, che non vai a formattare la partizione di ripristino di Windows 10.
In tal caso non succede niente di che, ma non potresti più ripristinare come hai fatto in precedenza, bensì dovresti fare una reinstallazione pulita del sistema (sul sito di MS trovi sempre l'ultima build).

------------

Il ripristino che hai fatto tu non crea problemi, li risolve in modo drastico casomai, ti stai complicando la vita secondo me con Chrome. Ogni volta che fai la sincronizzazione ti spara dentro tutti i plugin, estensioni, componenti aggiuntivi vari, se non sono stati rimossi dalla precedente pulizia lo dovrai fare tu a mano.

Apri Chrome - tasto 3 puntini - altri strumenti - estensioni
oppure digita sulla barra degli indirizzi:
chrome://extensions/

e visto che ci sei controlla anche i plugin, digitando sulla barra degli indirizzi:
chrome://plugins/

Dopo il ripristino è comunque normale che non ti trovi più i programmi e le app, solo i dati, compresi eventuali eseguibili di applicazioni portatili, sia nella partizione di sistema che in altre partizioni.
Invece una reinstallazione pulita cancella tutta la partizione di sistema, ma anche in questo caso se hai i dati in una partizione separata li salvi (come te ad esempio che hai D: )

---------

Per gli utenti in più, se li vuoi cancellare:
Premi i tasti Win + X - pannello di controllo - account utente - gestisci altro account - lo selezioni e da li poi puoi decidere se eliminare qualche account o trasformarlo in amministratore.

----------

Segui questa guida per trasformare la rete da pubblica a privata.

link

Se non trovi queste opzioni dimmi che build stai usando.
Dunque vai su impostazioni - sistema - informazioni su - versione.
Io ad esempio ho la 1607

Devo dire che comunque anche io ce l'ho impostata su rete pubblica, sempre stato così, e non ho mai riscontrato problemi di firewall, nell'apertura di programmi, dove il firewall non dovrebbe aprirsi (non Utorrent link dunque).

Ho anche seguito quella guida per trasformare la rete da pubblica a privata e nonostante la modifica continuo a vederla pubblica (ho disconnesso e riconnesso) ma forse c'è da riavviare...Rolling Eyes

Se posso permettermi, prova Transmission link per i torrent.

-------------

R16, forse è il caso di segnalarlo nella guida, di non usare OTL su W10, molti utenti lo useranno lo stesso per abitudine, ma almeno quelli che leggeranno la guida si salveranno da un ripristino/reinstallazione. Perchè se ben ricordi, in nessun modo si riesce a far tornare in funzione start, store e edge. Avevo provato tutte le soluzioni on-line, Windows Repair, e vecchi punti di ripristino, OTL distrugge senza via di scampo...
Top
Profilo Invia messaggio privato
k2
Mortale pio
Mortale pio


Registrato: 13/10/13 00:38
Messaggi: 24

MessaggioInviato: 06 Giu 2017 21:04    Oggetto: Rispondi citando

Ciao Maary79, ho letto con attenzione il tuo accurato intervento.

So che mi trovo nella sezione di soccorso virus e non so se è permesso poter inserire ulteriori richieste di supporto. Ma facciamo come se fosse un unico problema generato da una infezione. In caso contrario scriverò anche in altra sezione.

1)
Maary79, hai una spiegazione del perché dopo la reinstallazione è accaduto che la partizione dati D abbia avuto nome e icona cambiati con un nome e un'icona di uno dei programmi contenuto al suo interno?

Ecco gestione disco

Immagine gestione disco.png

ho messo il nome "disco dati", ma se vado in esplora risorse il cambiamento non si vede. Sempre in Prioprità sono andato sulla scheda Personalizza-Scegli file , per tentare il cambio icona, ma si apre la finestra per sceglire un file dell'icona, che non so dove prendere.

Cioè io vorrei passare da questa situazione
Immagine 1.png

a questa originale
Immagine 2.png

Ho visto in rete che alcuni, per cambiare le icone, creano un file di testo con Autorun etc. e lo inseriscono nell'unità a cui si vuol cambiare l'cona. E' una soluzione adatta o si può fare altro?

2)
"che non vai a formattare la partizione di ripristino di Windows 10"

Ho inserito l'immagine di gestione disco, dammi pure tutte le indicazioni che puoi per ordinare la situazione delle partizioni del disco. Io con l'aggiornamento a W10, non ho mai capito se i file riguardanti W7 fossero ancora presenti e se ci fosse una partizione nascosta per W10.

3)
"Il ripristino che hai fatto tu non crea problemi"

Fa piacere sentirlo! Diciamo che R16 all'inizio mi aveva fatto leggermente spaventare...

In Chrome c'era questa situazione

Immagine estensione con malware.png

Ho eliminato quella cosa malevola. E' sufficiente questo?

Il comando chrome://plugins/ non funziona.

4)
Riguardo gli account di W10:

R16 segnalava qualcosa che non andava: "Si è aggiunto l'account "DefaultAppPool" che contiene l'app di Google Chrome."

Io nel sistema vedevo, prima e dopo la reinstallazione, sempre lo stesso account creato all'attivazione di Win7.
L'account "Administrator" che R16 mi ha indicato di attivare è necessario?

5)
La versione è anche a me 1607.

Accanto alla scritta organizzazione è giusta la dicitura: "UFFICO" "Conetti all'azienda o all'istituto di istruzione"?

6)
La faccenda "Rete privata" è sorta dopo l'infezione.
Nel momento in cui ho riportato che c'erano gli avvisi del firewall, che precedentemente non avevo mai visto, R16 mi segnalava che negli avvisi c'era una spunta su "Reti pubbliche" che non doveva esserci. Io non avevo spuntato nulla ho sempre cliccato soltanto la x rossa perché non capivo bene di cosa si trattasse.

Il pc ha sempre funzionato con le impostazioni del firewall in automatico. Questi avvisi si presentano, penso, a causa di qualche modifica apportata dal malware.
E la scelta tra la impostazione tra reti pubbliche e rete privata è una questione successiva.
A me interesserebbe semplicemente far ritornare le impostazioni originali del firewall e dell'accesso alla rete.

Forse ancora non è individuata completamente la causa che fa attivare il firewall, all'apertura di alcuni programmi. Un aiuto?

7)
Un avviso per i danni che causa OTL avrebbe salvato molte vite!

8)
Grazie mille Maary79
Top
Profilo Invia messaggio privato
Maary79
Moderatrice Sistemi Operativi e Software
Moderatrice Sistemi Operativi e Software


Registrato: 08/02/12 12:23
Messaggi: 12224

MessaggioInviato: 07 Giu 2017 10:14    Oggetto: Rispondi citando

Citazione:
1)
Maary79, hai una spiegazione del perché dopo la reinstallazione è accaduto che la partizione dati D abbia avuto nome e icona cambiati con un nome e un'icona di uno dei programmi contenuto al suo interno?


Non ha senso, le icone si modificano con procedure apposite e non è neanche nemmeno tanto facile, bisogna essere amanti delle personalizzazioni.
Per darti un idea, questa guida: link

A me non è mai capitato, di tanti ripristini e reinstallazioni che ho fatto. Non ha mai toccato niente, nemmeno altri sistemi operativi.

Il ripristino modifica solo i file di sistema, al massimo ti puoi trovare il sistema da aggiornare, e ti consiglio di controllare che sia aggiornato.
Vai su start - impostazioni - aggiornamento e ripristino - Windows Update - controlla adesso.
Il ripristino ti toglie app e software creandoti una cartella con varie info di ciò che ha rimosso, nel tuo caso ha mantenuto i dati e file. E se hai dei virus dormienti te li mantiene, ripara solo eventuali file di sistema danneggiati o modificati dai virus. Per intenderci se hai un file personale infetto, ci fai doppio clic e ricomincia tutto daccapo.
Ma sei sicuro che quella icona non ci fosse anche prima?
Se vai sopra a D: da "questo pc", tasto destro del mouse, e "rinomina", non te lo fa rinominare?

Per l'icona, in teoria dovresti avere un file .ico nella partizione D: cerca anche se c'è un file autorun.inf e guarda che c'è scritto dentro.
Fai riferimento a quella guida, al massimo ricrei l'icona così.

Citazione:
ho messo il nome "disco dati", ma se vado in esplora risorse il cambiamento non si vede. Sempre in Prioprità sono andato sulla scheda Personalizza-Scegli file , per tentare il cambio icona, ma si apre la finestra per sceglire un file dell'icona, che non so dove prendere.


Come da guida sopra crei un'immagine .ico e la metti dentro l'unità (ma dovrebbe andar bene qualsiasi altro percorso), che poi...non hai il tasto "ripristina predefinita"? Non funziona?

Citazione:
Ho inserito l'immagine di gestione disco, dammi pure tutte le indicazioni che puoi per ordinare la situazione delle partizioni del disco. Io con l'aggiornamento a W10, non ho mai capito se i file riguardanti W7 fossero ancora presenti e se ci fosse una partizione nascosta per W10.


Se avessi ancora la partizione di ripristino di W7 ti troveresti con 2 partizioni di ripristino, anche se mi sembra piuttosto grande...15 gb mi sembra di più una partizione di restore (ripristino di fabbrica). Che poi ha uno spazio libero del 100% ... non vorrei fosse vuota, se vuoi, alla fine di questo apri un nuovo topic, così guardiamo cosa c'è dentro (bisogna montarla), e al massimo la formatti e recuperi 15 gb.

Citazione:
"Il ripristino che hai fatto tu non crea problemi"

Fa piacere sentirlo! Diciamo che R16 all'inizio mi aveva fatto leggermente spaventare...


Diciamo che non li risolve, se fra i dati hai ancora dei virus come ho scritto sopra.

Citazione:
In Chrome c'era questa situazione

Immagine estensione con malware.png

Ho eliminato quella cosa malevola. E' sufficiente questo?


Non uso Chrome da anni, uso Iron e Chominum che sono basate su Chrome, e non sono amante delle estensioni, se è quella malevola hai fatto bene a toglierla.



Citazione:
Riguardo gli account di W10:

R16 segnalava qualcosa che non andava: "Si è aggiunto l'account "DefaultAppPool" che contiene l'app di Google Chrome."

Io nel sistema vedevo, prima e dopo la reinstallazione, sempre lo stesso account creato all'attivazione di Win7.
L'account "Administrator" che R16 mi ha indicato di attivare è necessario?


tienine uno solo, così non fai confusione, come amministratore.

Citazione:
Accanto alla scritta organizzazione è giusta la dicitura: "UFFICO" "Conetti all'azienda o all'istituto di istruzione"?


Presumo di si, sul mio c'è scritto WORKGROUP

Citazione:
La faccenda "Rete privata" è sorta dopo l'infezione.
Nel momento in cui ho riportato che c'erano gli avvisi del firewall, che precedentemente non avevo mai visto, R16 mi segnalava che negli avvisi c'era una spunta su "Reti pubbliche" che non doveva esserci. Io non avevo spuntato nulla ho sempre cliccato soltanto la x rossa perché non capivo bene di cosa si trattasse.

Il pc ha sempre funzionato con le impostazioni del firewall in automatico. Questi avvisi si presentano, penso, a causa di qualche modifica apportata dal malware.
E la scelta tra la impostazione tra reti pubbliche e rete privata è una questione successiva.
A me interesserebbe semplicemente far ritornare le impostazioni originali del firewall e dell'accesso alla rete.

Forse ancora non è individuata completamente la causa che fa attivare il firewall, all'apertura di alcuni programmi. Un aiuto?


Prova a mettere la rete privata, come da guida sopra, dopo il riavvio l'ha messa anche a me.
In alternativa servirebbero degli screenshot, difficile capire così su 2 piedi di quali X rosse parli. Gli screenshot li puoi fare con lo strumento di cattura, non servono applicazioni o estensioni strambe. E ricorda che se installi software (dalle guide sopra) di farlo solo dai siti ufficiali (non softonic e co.)
Per postare le immagini usa questo: link così da vedere le immagini sul messaggio, così non le dobbiamo scaricare.

Il firewall di solito scatta se ci sono intrusioni, tipico di Utorrent, e altri software 2p2 che anche io ho usato in passato, e che ora ho abbandonato. Se te lo fa con Chrome non è proprio normale.
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 07 Giu 2017 20:53    Oggetto: Rispondi citando

Vorrei sapere chi ha installato PortableApps.com.
Quello è un software, e ha la stessa icona che hai tu in D:
link
link
Top
Profilo Invia messaggio privato
k2
Mortale pio
Mortale pio


Registrato: 13/10/13 00:38
Messaggi: 24

MessaggioInviato: 09 Giu 2017 22:28    Oggetto: Rispondi citando

Ciao R16, come avevo descritto, PortableApps fa parte legittimamente del contenuto della partizione D, poi in seguito alla reinstallazione dei file per W10, il suo nome e la sua icona sono diventati il nome e l'icona di tutta la partizione.
E' una cartella più due file, che si possono spostare dove si vuole.
Top
Profilo Invia messaggio privato
Maary79
Moderatrice Sistemi Operativi e Software
Moderatrice Sistemi Operativi e Software


Registrato: 08/02/12 12:23
Messaggi: 12224

MessaggioInviato: 10 Giu 2017 07:22    Oggetto: Rispondi

È un comportamento anomalo di un'applicazione terza, che non è stata rimossa dal ripristino. Probabilmente perché installata in D:
Io non ho molta fiducia di questo tipo applicazioni...che fanno cose che si possono fare senza.
Se di un applicazione è disponibile portable la trovi nella sezione download sul sito ufficiale...se non c'è un motivo ci sarà.

Comunque le istruzioni ti sono state date, per togliere l'icona e altro.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi