Olimpo Informatico

[andres1981]

Salve a tutti! Essendo inesperto vorrei chiedere il vostro aiuto.
Da un pò di tempo ho questo problema: mentre sono su internet si aprono in continuazione pagine si siti pubblicitari. Ho già fatto una scansione con anti-virus e anti-spyware, ma non si è risolto nulla, ho solo trovato file host che non riesco ad eliminare.
Ho provato quindi con HijackThis e questo è l'esito. Prima di eliminare file a caso e fare qualche disastro vi chiedo una mano, grazie!

===== Log rimosso ====
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:06:32 , on 10/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

[Riverside]

Ciao Andreas, quattro annotazioni:
1) hai postato nella sezione sbagliata (quel computer è infetto, quindi devi aprire un nuovo post nella sezione adatta, ovvero qui: Pronto Soccorso Virus
2) quando apri il nuovo post, non allegare log di hiths (per ora non serve);
3) intanto portati avanti con il lavoro e, da Installazione Applicazioni, inizia a disinstallare tutte le toolbar che hai installato (in particolare quella di BearShare che è portatore di tutte le porcherie di questo mondo); fatto questo, apri il nuovo post, descrivi il problema ti diremo come procedere (da quel che ho potuto vedere dal log che hai pubblicato, ci sarà parecchio da fare).

edit by bdoriano: sposto in Pronto Soccorso.

[andres1981]

Ok, grazie x le dritte!

[Riverside]

Allora Andreas, inizia con il seguire questa procedura:

1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

2) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

3) Scarica ed installa Hijackthis:
clicca qui per il download

4) lancia Hthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

5) scarica ed installa la versione Free di SuperAntispyware:
clicca qui per il download
e la configuri come da immagini:





esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato

6) scarica ed installa MalwareBytes:
clicca qui per il download
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato

7) eseguiti i passaggi da 1) a 6), scarica ed installa CCleaner:
clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Infine, rilancia Hijackthis:
● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un il log
● salva il log sul desktop ed allegalo.

Per allegare i tre log richiesti (quello di SuperAntispyware, MalwareBytes e Hijackthis) utilizza questo servizio di upload:
clicca qui per wikisend
I link ai log pubblicali in un unico post, proseguendo qui.

[andres1981]

Ciao Riverside, grazie mille x le tue indicazioni, xò ho una difficoltà di partenza: non riesco a disattivare il punto di ripristino!!
Ho seguito il percorso ke mi hai indicato, ho fatto anke start --> accessori --> utilità di sistema --> ripristino configurazione sistema, ma se clicco il pc non dà segnali, non risponde!
Ho provato ad accedere a windows in modalità provvisoria, ad accedere come amministratore, ma niente, tra le proprietà di Risorse del Computer non c'è mai la scheda Ripristino configurazione di sistema!
Cosa faccio, procedo saltando questo passaggio??

[Riverside]

[andres1981]

Ciao, allora, sono al punto 4.
Ha trovato una marea di roba...ma sono tutti ADS? Come si riconoscono? Non ci capisco molto, sono quasi tutti favicon e kavichs. Devo cancellarli tutti? So che non sempre un ADS rappresenta una minaccia, xkè anche gli Antivirus usano ADS. Non è meglio se posto qui il log della scansione?
Non so niente davvero, dimmi tu!!

[Riverside]

Andreas tu devi semplicemente seguire, esattamente, la procedura: gli ADS li devi eliminare.

[andres1981]

Ciao, ecco finalmente i log richiesti!

hijackthis: http://wikisend.com/download/770860/hijackthis
malware antimalware: http://wikisend.com/download/918406/mbam-log-
superantispyware: http://wikisend.com/download/471636/SUPERAntiSpyware
Spero in un aiuto, grazie!

[Riverside]

Scarica Combofix: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, l'exe di COMBOFIX che hai scaricato
● accedi al sistema in modalità provvisoria con l'account Amministraore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● se verrano rilevate traccie di Vundo, il tool procederà alla rimozione ed eventualmente il sistema verrà riavviato automaticamente
● se non sono state rilevate traccie di Vundo, a fine scansione apparirà automaticamente il log

Note: durante la scansione
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)

Verranno creati due log in C:\
● combofix.txt
● ComboFix-quarantined-files.txt

Riavvia il sistema in modalità normale ed allega i due log

1) disinstalla ComboFix in questa maniera:
● Start
● Esegui
● nella casella di dlialogo copia ed incolla questo comando: combofix /u
2) vai in Disco Locale C: e, elimina questa cartella: QooBox
3) elimina la cartella che avevi creato sul Desktop