| Precedente :: Successivo |
| Autore |
Messaggio |
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
 Inviato: 13 Apr 2012 20:33 Oggetto: |
 |
|
| Ok ma sarà difficile aggiornarlo, se dovessi farlo, visto che non c'e connessione.... |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Apr 2012 20:35 Oggetto: |
|
|
Aggiornare cosa Silent....
HJT?
Ma non importa.
Postalo lo stesso.
Piuttosto prova anche così:
Start\ pannello di controllo\ connessioni di rete
clicca con il tasto destro del mouse sulla tua connessione.
seleziona proprietà.
doppio click su "Protocollo Internet(TCP/IP)
metti la spunta a "ottieni indirizzo server DNS automaticamente".
Clicca OK.
Riavvia il pc. |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Apr 2012 20:58 Oggetto: |
|
|
Avvia OTL.
Sotto "Custom Scans\Fixes" copia-incolla questo codice:
| Codice: | :OTL
PRC - [2012/03/26 14:27:18 | 000,990,056 | ---- | M] (Tuto4PC) -- C:\Users\Cinzia\AppData\Roaming\Tuto4pc\Tuto4pc\UpdateTutorialsHP.exe
IE - HKU\S-1-5-21-2898211158-3028429671-2317578817-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:56847
[2012/03/25 11:47:00 | 000,000,000 | ---D | M] (IMinent Toolbar) -- C:\Users\Cinzia\AppData\Roaming\mozilla\Firefox\Profiles\75qcps6t.default\extensions\{C9B68337-E93A-44EA-94DC-CB300EC06444}
O2 - BHO: (TutorialsBHO Class) - {DB5A0897-2F81-4dc7-A028-0993B5D7DCFB} - C:\Program Files (x86)\Tuto4pc\TutorialsBHO.dll (Tuto4PC)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [offerbox] C:\Program Files (x86)\OfferBox\OfferBox.exe (Aedge Performance BCN SL)
O4 - HKLM..\Run: [Tutorials] C:\Program Files (x86)\Tuto4pc\tutorials.exe (Tuto4PC)
O4 - HKLM..\RunOnce: [UpdateTutorialsHP] C:\Users\Cinzia\AppData\Roaming\Tuto4pc\Tuto4pc\UpdateTutorialsHP.exe (Tuto4PC)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
[2012/04/12 09:39:53 | 000,001,078 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OfferBox.lnk
@Alternate Data Stream - 177 bytes -> C:\Users\Cinzia\AppData\Local\Temp:SL_{70784561-6f6c-6572-7256-696577657236}
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:010ADD2C
:Files
C:\Users\Cinzia\AppData\Roaming\OfferBox
C:\Program Files (x86)\OfferBox
C:\Users\Cinzia\AppData\Local\Tuto4PC
C:\Users\Cinzia\AppData\Roaming\Tuto4pc
C:\Program Files (x86)\Tuto4pc
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tuto4pc
:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[start explorer] |
Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 13 Apr 2012 22:20 Oggetto: |
|
|
Niente da fare non riparte la connessione internet.... 
Il log è questo.. 04132012_220708.log |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Apr 2012 23:01 Oggetto: |
|
|
Posta un nuovo log di hijackthis
| Citazione: | | Insomma qui è impossibile lavorare con questo cazzo di combofix! Non lo posso nemmeno scaricare da un altro PC perché tutti hanno SO diversi da Win 7 (64 bit) |
Non centra nulla da dove lo scarichi.
Lo puoi anche scaricare da XP o Vista.
Indipendentemente che sia 32 o 64 bit. |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 13 Apr 2012 23:11 Oggetto: |
|
|
| Sì ma se mi dice che funziona solo su xp? e non sono il solo ad avere questo problema. Altri sul web hanno denunciato questo.. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Apr 2012 23:15 Oggetto: |
|
|
Elimina quella copia di Combofifix e installa questa:
link |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 13 Apr 2012 23:23 Oggetto: |
|
|
Ok, grazie.. scaricato combofix, però dovrò lavorarci domani in giornata, non so se ce la faccio adesso. Appena ho fatto posto il risultato e attendo fiducioso.
A proposito.. mi è apparsa sul mio PC con XP una cazzata di popup SPAM sulla barra in basso.. si chiama Offerbox.. che cos'è? Me la sono trascinata dietro con la chiavetta, dall'altro PC?  |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Apr 2012 23:26 Oggetto: |
|
|
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked":
| Citazione: | O4 - HKLM\..\RunOnce: [AvgUninstallURL] cmd.exe /c start http://www.avg.com/it.special-uninstallation-feedback-appf?lic=OQBBAFYARgBSAEUAR QAtAFYAMgBHADMASwAtADgANwBXAFUAVQAtADIAVABWAEgAQQAtAFgANgBEAEYAOAAtAEwANgBQAEEAT gA"&"inst=NwA3AC0ANAAzADQAMgA5ADIANQA2ADMALQBGAEwAKwA5AC0ARgA5AE0ANgArADEALQBYAE 8AMwA2ACsAMQAtAEYAOQBNADcAQwArADUALQBYAE8AOQArADEALQBGADkATQAzACsAMQA"&"prod=90" &"ver=9.0.894
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=IT&userid=65&af fid=101092&searchtype=ds&babsrc=lnkry&q={searchTerms}
|
|
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 13 Apr 2012 23:37 Oggetto: |
|
|
Aaaargh! L'ho installato e mi ha dato questa risposta!
| Citazione: |
WARNING! Do not run Combofix in Compatibility Mode: Doing so May damage the machinE |
Ma che razza di problema c'è? Ho provato a cliccare sopra normalmente sia come amministratore. Sempre la stessa risposta.  |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 13 Apr 2012 23:39 Oggetto: |
|
|
| R16 ha scritto: | Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked":
| Citazione: | O4 - HKLM\..\RunOnce: [AvgUninstallURL] cmd.exe /c start http://www.avg.com/it.special-uninstallation-feedback-appf?lic=OQBBAFYARgBSAEUAR QAtAFYAMgBHADMASwAtADgANwBXAFUAVQAtADIAVABWAEgAQQAtAFgANgBEAEYAOAAtAEwANgBQAEEAT gA"&"inst=NwA3AC0ANAAzADQAMgA5ADIANQA2ADMALQBGAEwAKwA5AC0ARgA5AE0ANgArADEALQBYAE 8AMwA2ACsAMQAtAEYAOQBNADcAQwArADUALQBYAE8AOQArADEALQBGADkATQAzACsAMQA"&"prod=90" &"ver=9.0.894
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=IT&userid=65&af fid=101092&searchtype=ds&babsrc=lnkry&q={searchTerms}
|
|
MA ti riferisci al PC con xp (il mio) o l'altro con win 7? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Apr 2012 23:45 Oggetto: |
|
|
Mi hai postato il log di HJT di un S.O Win 7 a 64 bit.
Quelle sono voci da "fixare" (eliminare)
E aggiungo queste:
| Citazione: | R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=IT&userid=65&af fid=101092&searchtype=ds&babsrc=lnkry&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=IT&userid=65&af fid=101092&searchtype=hp&babsrc=lnkry_nt
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=IT&userid=65&af fid=101092&searchtype=ds&babsrc=lnkry&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=IT&userid=65&af fid=101092&searchtype=ds&babsrc=lnkry&q={searchTerms}
|
|
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 13 Apr 2012 23:57 Oggetto: |
|
|
| Ok grazie, ricevuto.. |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 14 Apr 2012 00:15 Oggetto: |
|
|
Ok domani lo faccio... adesso rischio di fare qualche errore. Sono fuso!
Grazie millissime!
 |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 14 Apr 2012 10:42 Oggetto: |
|
|
Parte I°
Allora... Questa mattina il PC con Win 7 si è misteriosamente collegato a internet al riavvio... per ora le finestre di internet (quelle di SPAM che portavano a siti assurdi) non sono apparse. Però non ho completato il fixaggio che mi avevi detto ieri notte... Che faccio, lo porto a termine come mi hai prescritto? Mi sembrerebbe corretto e utile ma attendo tuoi ordini.
Parte II°
Inoltre, il mio PC con Xp si è trovato installato un cazzo di icona di OFFERBOX sulla barra in basso (come ho già detto) che porterebbe ad una serie di siti di incontri sexy o altre stronzate del genere.. Non vorrei che fosse passata attraverso la chiavetta mentre scambiato file con l'altro pc.
Che faccio? Faccio un Combofix anche qui su XP? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 14 Apr 2012 12:34 Oggetto: |
|
|
| Citazione: | | Questa mattina il PC con Win 7 si è misteriosamente collegato a internet al riavvio... per ora le finestre di internet (quelle di SPAM che portavano a siti assurdi) non sono apparse. |
Bene.
| Citazione: | | Però non ho completato il fixaggio che mi avevi detto ieri notte... Che faccio, lo porto a termine come mi hai prescritto? |
Certo.
| Citazione: | | Non vorrei che fosse passata attraverso la chiavetta mentre scambiato file con l'altro pc. |
Più che probabile.
| Citazione: | | Faccio un Combofix anche qui su XP? |
Sì, Combofix te la elimina.
Posta il log. |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 14 Apr 2012 14:51 Oggetto: |
|
|
Ordunque... Carissimo R16, Scansione eseguita su XP con Combofix, andata a buon fine, compreso caricamento da sito Microsoft della comesichiamaaccidentialei, ah, sì, consolle di ripristino di emergenza che non era presente.
Ok, fatto questo, riattivo Avira e la connessione internet. E non mi si connette più il browser.. stranamente Chrome non era più il Browser predefinito, poco male.. L'ho impostato.
Il fatto è che mi scaricava la posta, Skype funzionava ma niente internet. A fatica sono riuscito a rintracciare (è perché sono un po' rincoglionito io eh?) la finestra delle impostazioni e ho tolto la spunta dal collegamento tramite proxy (sospettavo ciò, non solo perché era accaduto anche su Win 7 ieri notte...). E così ha funzionato di nuovo tutto, infatti ti sto scrivendo da XP.
La cosa strana è che non mi era mai capitato con Combofix...
Boh?
Comunque quel dannato Box è stato eliminato, (l'ho letto nel file log che qui ti accludo.. Puoi eventualmente vedere se le modifiche che Combofix ha segnalato esiste qualcosa che ha cambiatole impostazioni internet? sono curioso di capire.
Unì'ultima cosa.. La chiavetta potrebbe essere infetta... Che faccio? La spiano? Oppure si può fare una scansione con Combofix? Non mi sembra di aver visto una funzione simile però.. Non posso scegliere, se non erro, quale unità controllare. E poi mi sa che il tipo di controllo che fa Combofix è su tutto il sistema e non tanto sull'unità fisica in sé.
Sbaglio?
Ah sì il file log... log 14-04-2012 |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 14 Apr 2012 15:53 Oggetto: |
 |
|
Ciao.
| Citazione: | | la finestra delle impostazioni e ho tolto la spunta dal collegamento tramite proxy |
Infatti l'infezione usava la tua connessione attraverso un proxy fasullo:
uInternet Settings,ProxyServer = http=127.0.0.1:56847
I numeretti in rosso sono del proxy.
Fai una scansione con HJT e controlla nelle voci R1 se vedi quei numeri.
se li vedi li fixi.
Poi OfferBox ce l'hai anche in esecuzione automatica.
Segui il percorso ed elimina il file in rosso:
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\OfferBox.lnk
Poi controlla se lo trovi anche qui:
c:\programmi\OfferBox\OfferBox.exe
| Citazione: | | Puoi eventualmente vedere se le modifiche che Combofix ha segnalato esiste qualcosa che ha cambiatole impostazioni internet? sono curioso di capire. |
Non è stato Combofix a modificare le impostazioni di internet, ma il proxy, con l'aiuto di OfferBox.
Inoltre finita la scansione, Combofix non si è riavviato da solo.
Si doveva riavviarlo manualmente per confermare le eliminazioni.
Ma è colpa mia che non te l'ho detto.
| Citazione: | | La chiavetta potrebbe essere infetta... Che faccio? La spiano? Oppure si può fare una scansione con Combofix? |
Combofix non và bene per scansionare le periferiche.
L'ideale sarebbe formattarla, per evitare rischi.
Se vuoi rischiare, si deve fare un'altra procedura. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
