Olimpo Informatico

RAIN84 · Eroe in grazia degli dei Registrato: 18/11/08 18:49 Messaggi: 111

Ciao a tutti! ho beccato di nuovo il trojan della guardia di finanza Sad

(sono proprio fortunato!)
Di buono c'è che essendo la seconda volta (in precedenza avevo risolto tutto grazie a voi Wink

) ho saputo gestire meglio la situazione e il problema sembra completamente risolto, ma non essendo comunque un esperto in materia preferisco ugualmente farvi controllare i log per sapere se c'è ancora qualcosa da fare...

mbam-log-2012-10-17 (01-07-33).txt

mbam-log-2012-10-17 (09-44-19).txt (Ne ho fatte due perchè nella prima scansione non avevo potuto scaricare gli aggiornamenti)

SUPERAntiSpyware Scan Log - 10-17-2012 - 12-29-56.log

OTL.Txt
Extras.Txt

hijackthis.log

Grazie in anticipo! Fiore

Ah dimenticavo, ho pure provato ad usare Combofix ma non sono riuscito a portare a termine la scansione perchè si bloccava... è un problema che ho da parecchio comunque e anche scaricando di nuovo il programma non va...

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked":

RAIN84 · Eroe in grazia degli dei Registrato: 18/11/08 18:49 Messaggi: 111

Ciao R16, ho eliminato le voci su hijackthis, ma non riesco a portare a termine la scansione con OTL. Mi è rimasto 30 minuti bloccato su Processing: PRC - C:\Documents and Settings\All Users\Documenti\AppData\PoApp\PLauncher.exe senza più dare segni di vita... è normale? ho riprovato anche in modalità provvisoria, stessa storia...

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Interrompi la scansione.

Riavvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

RAIN84 · Eroe in grazia degli dei Registrato: 18/11/08 18:49 Messaggi: 111

Niente, non va neanche così, rimane sempre bloccato al primo processo Crying or Very sad

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Strano.
Fai la scansione con Adwcleaner, come indicato.
Posta il log.

P.S:
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked":

RAIN84 · Eroe in grazia degli dei Registrato: 18/11/08 18:49 Messaggi: 111

Ecco il log:

.txt]AdwCleaner[S1].txt

Per quanto riguarda il resto ho fatto tutto, tranne la rimozione della cartella PoApp perchè si apriva questo avviso...

Mi pare comunque che la cartella sia sparita dopo aver disistallato PowerOffer... almeno io non la trovo più...

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Manca all'appello un servizio.
Fai una nuova scansione con OTL.
Posta il log.
Riscontri qualche problema?

RAIN84 · Eroe in grazia degli dei Registrato: 18/11/08 18:49 Messaggi: 111

Ecco i log:

OTL.Txt
Extras.Txt

Non riscontro nessun problema...

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Apri il menù Start
Scegli Esegui
Digita cmd e clicca ok.
Viene visualizzata la finestra del Prompt dei comandi.
Digita sc stop ServUpdater e poi invio
Poi:
Digita sc delete ServUpdater e clicca invio.
Digita exit e poi invio.
Riavvia il pc (è importante)

Altra scansione con OTL.
Posta il log.

P.S:
Ma hai fatto il "Reimposta" come indicato precedentemente?
Mi risulta che IE sia impostato su un sito pericoloso:
search.findeer.com

RAIN84 · Eroe in grazia degli dei Registrato: 18/11/08 18:49 Messaggi: 111

Sì, il Reimposta l'avevo fatto... io ho IE in inglese, quindi ho cliccato su Tools>Internet Options>Advanced>Reset... a quel punto mi si è aperta un'altra finestra e o cliccato su Reset, dopodiché si è riavviato il PC da solo...

OTL.Txt
Extras.Txt

P.S. Comunque noto adesso che questo search.findeer.com mi si apre con Google Chrome...

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Devi cambiare la pagina iniziale di Google Chrome.
link

Poi:
Start\Esegui digita regedit e poi OK.
Clicca sul + di ogni voce seguendo questo percorso:

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main

Arrivato alla cartellina Main cliccaci sopra 1 volta.
A destra della pagina trovi :
Start Page = http://search.findeer.com
Clicca con il tasto destro sopra l'iconcina e scegli Elimina.
Conferma tutto.

Fai la stessa cosa seguendo questi percorsi:

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main

HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main

HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main

Importante:

Quando hai finito RIAVVIA IL PC.

Se ti impegni, ce la puoi fare.

Esegui un'ennesima scansione con OTL per vedere se hai fatto un buon lavoro. Razz

Posta il log.

RAIN84 · Eroe in grazia degli dei Registrato: 18/11/08 18:49 Messaggi: 111

RAIN84 · Eroe in grazia degli dei Registrato: 18/11/08 18:49 Messaggi: 111

Dunque, su HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main non ho trovato niente, mentre per il resto ho fatto tutto come hai detto...

OTL.Txt
Extras.Txt

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ullallà....hai fatto un ottimo lavoro. Very Happy

Apri OTL.
Clicca su Cleanup.
Si disistallerà correttamente sia Combofix che lo stesso OTL.
Ti chiederà il riavvio del pc: acconsenti.

Disattiva il ripristino configurazione di sistema:
http://forum.zeusnews.com/viewtopic.php?t=22084

Riavvia il pc.

Riattiva il ripristino configurazione di sistema.

Se il pc funziona bene, abbiamo concluso.

RAIN84 · Eroe in grazia degli dei Registrato: 18/11/08 18:49 Messaggi: 111

Fatto... ma non capisco perchè non si accende più lo schermo ed esce un liquido verde e melmoso dal pc Confused

... ok, sto scherzando Laughing

funziona perfettamente!!! grazie sempre per il tuo preziosissimo aiuto prayer

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129