Olimpo Informatico

[CHIARA84]

Buongiorno
non sono molto pratica ma credo di avere un virus;
quando effettuo ricerche su google gli indrizzi che mi frnisce sono insensati mi si blocca la ricerca di pagine; in piu mi compare un immagine di google in alto a sinistra un po sospetta, o almeno che non ho mai visto;

potete aituarmi?

[bdoriano]

Ciao CHIARA84,

si, c'è un virus che reindirizza durante le ricerche.
Comincia a fare queste operazioni preliminari:

• Pulisci i files temporanei con CCleaner
  
• Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
  
• Segui le istruzioni di questo topic per usare MBAM.
  
• scarica e installa la versione Free di SuperAntispyware:
  la configuri come da immagini:
  
  
  
  
  esegui una scansione completa del sistema
  
• Fai questa scansione con SystemScan.
  
• Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  
  • Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SuperAntiSpyware su WikiSend e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SystemScan su WikiSend e posta il Forum Link che ti viene assegnato.

[CHIARA84]

Buongiorno, scusate il ritard ma tra scaricare programmi e farli funzionare mi è servito un po di tempo;
posto i risultati delle mie scansioni, premetto che antisuperspyware non ha trovato nessun virus mentre malwarebytes antimalware ben 12

mawarebytes
URL=http://forum.zeusnews.com/link/51852]mbam-log-2009-12-21 (12-17-09).txt[/URL]

suspectfile
report.txt

ho disinstallato avg dal pc e ho visto che qui viene consigliato avira; adesso seguiro la procedura per l'installazione

grazie per adesso

Chiara

[CHIARA84]

salve ancora;
pensavo di aver risolto il problema perche google dopo le scansioni funzionava correttamente, ma da quualche minuto si è ripetuto nuovamente il problema quindi credo di non aver tolto il virus;

era solo per info

chiara

[R16]

Ciao.
Mi auguro, che hai eliminato quello che ha trovato Malwarebytes.

Segui le istruzioni di questo topic per usare Combofix:
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log con le solite modalità.

[CHIARA84]

si le ho eliminate!!!

ho scansionato con combofix e mi ha trovato altro ancora!! posto il log..

ho installato avira, ma per avere il pc protetto devo installare qualche altro programma specifico? come ho fatto a prendere il virus secondo voi?

log.txt

mi ha eliminato un windows/system .dll

[R16]

@bdoriano.
Adesso Combofix ripara anche l'MBR.....

@CHIARA84:

Esegui con attenzione, anche queste operazioni:
Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema (consigliato)
Conferma con Applica e poi OK.
Poi:
Dal Pannello di Controllo vai in Strumenti di Amministrazione ed apri Gestione Computer.
Espandi(clicca sul +) la visualizzazione di Utenti e gruppi locali.
Clicca una volta, sopra la cartellina Users,e sulla destra della pagina,trovi l'account HelpAssistant.
Clicca con il tasto destro del mouse, sull'account HelpAssistant.
clicca su: Proprietà.
Nella finestra di dialogo Proprietà metti la spunta, a l'opzione: Account disabilitato.
Poi, clicca nuovamente su: Proprietà, clicca sulla tabella in alto: "Membro di" e se nel box appare Amministratore, selezionalo, e premi il tasto "Rimuovi": escludiamo, l'account HelpAssistant dal gruppo Amministratori.

Poi:
Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe\ Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

[CHIARA84]

scusa ma in gestione computer non riesco a trovare utenti e gruppi locali..
come posso fare?

[bdoriano]

@R1:
Ottimo! sUBs aggiunge sempre qualcosa di nuovo!

@CHIARA84:
prima di installare nuovi antivirus o pensare che il problema sia risolto, è meglio se aspetti che leggiamo i logs... li chiediamo apposta.

Per quanto riguarda utenti e gruppi locali, è normale che a te non compaia, usi XP Home.
Procedi in quest'altro modo:
Clicca Start
Clicca Esegui...
Digita:

[CHIARA84]

a voi il log aggiornato grazie grazie!!!!

log.txt

chiara

[R16]

Ciao CHIARA.
Queste non sono state eliminate::
c:\documents and settings\HelpAssistant\UserData
c:\documents and settings\HelpAssistant\IETldCache
Puoi seguire il percorso ed eliminarle manualmente. (le cartelle in rosso)
Svuota il cestino.

Dovrebbe funzionare bene adasso il pc.
Segui le istruzioni di questo topic per postare il log di HiJackThis:
http://forum.zeusnews.com/viewtopic.php?t=23440

@bdoriano:
Un mostro di bravura quel sUBs.
Ciao!

[CHIARA84]

grazie a tutti dell assistenza!! siete davvero forti! mi permetto di chiedervi qualche altro consiglio:

tipo di antivirus (ho messo avira) ne servono altri per navigare sicuri?
posso fare qualcos'altro per rendere piu rapido il mio pc?

grazie ancora

post hajkthis

hijackthis.log

[R16]

Ciao.
Qualcosina si può fare....

Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema.
http://forum.zeusnews.com/viewtopic.php?t=22084

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {F758FE6D-9949-4D78-B748-97781F55AF19} (TXTDM Control) - http://rivideo.mediaset.it/_res/cab/TXTDMCab.CAB

Pulisci (registro compreso) con CCleaner.

Riavvia il pc.

Poi:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su Remove selected

Fai uno ScanDisk, e una deframmentazione del HD.

Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.

P.S:
Con Avira, Superantispyware e Malwarebytes, hai una buona protezione. (a patto di tenerli aggiornati)

[lorenaino]

ciao,una domanda per R1:
per eliminare i "dati" presenti nella cartella Prefetch si può usare il programma ATF Cleaner che ha proprio questa opzione?
Grazie

[bdoriano]

Per questa operazione è più adatto CCleaner rispetto ad ATF-Cleaner, perché ATF-Cleaner è stato creato prima della nascita di sVista e non sa che sVista utilizza la cartella prefetch per memorizzare anche altri tipi di file, la cui cancellazione può creare problemi al sistema operativo.

[lorenaino]

[R16]