chiedo aiuto. Molto probabilmente ho preso un virus che mi fa cambiare ad ogni riavvio la pagina iniziale di internet explorer mettendomi quella in oggetto: lookanddiscover.com Non so se il virus fa altri danni. per adesso il sistema sembra stabile. Ho come sistema operativo XP pro sp3 (intallato oggi il SP) e antivirus Kasperski Internet Security 7 anch'sso aggiornato quotidianamente in automatico.

In internet ho capito che è qualcosa di nuovo ma non riesco a capire come muovermi conoscendo poco l'nglese. Chiedo ad un anima veramente pia di aiutarmi. Grazie

Ciao benvenuto nel pronto soccorso di HU.

segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23), fatto la pulizia dei file inutili con ATFCleaner http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2), vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di Malwarebytes Anti-Malware aggiornato ad oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)
log di A-squared scansione deep aggiornato ad oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8)
log di Kaspersky Virus Removal Tool scaricato oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7) oppure di F-Secure OnLine http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6)
log di Dr.Web CureIT scaricato oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5)
log di ESET SysInspector http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
log di HiJackThis http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
log di Gmer http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log di PrevxCSI http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)


Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.

Se pensi che l'infezione possa essere partita da una chiavetta usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log
Qui (http://www.hwupgrade.it/forum/showpost.php?p=23619723&postcount=5) e qui (http://www.hwupgrade.it/forum/showpost.php?p=24073905&postcount=3) esempi precisi ed ordinati di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube.com (http://fileqube.com/)

chiedo aiuto. Molto probabilmente ho preso un virus che mi fa cambiare ad ogni riavvio la pagina iniziale di internet explorer mettendomi quella in oggetto: lookanddiscover.com Non so se il virus fa altri danni. per adesso il sistema sembra stabile. Ho come sistema operativo XP pro sp3 (intallato oggi il SP) e antivirus Kasperski Internet Security 7 anch'sso aggiornato quotidianamente in automatico.

In internet ho capito che è qualcosa di nuovo ma non riesco a capire come muovermi conoscendo poco l'nglese. Chiedo ad un anima veramente pia di aiutarmi. Grazie

edit, segui la procedura indicata sopra.

Ecco i log


1) Malwarebytes: http://www.fileqube.com/shared/MTKakfAyO111841

2) A-squared: http://www.fileqube.com/shared/mDXedtw111844

3) kaspersky VRT: http://www.fileqube.com/shared/SntxiP111847

4) Dr. Web (invio il file intero in quanto il file cureit.zip non riesco ad aprilo con winzip o rar): http://www.fileqube.com/shared/BrNjUdBA111856

5) ESET: http://www.fileqube.com/shared/erJVawgx111858

6) HiJackthis: http://www.fileqube.com/shared/YBSMagSa111860

7) Gmer Log mancante in quanto il programma si blocca a meta dello scan nonostante varie installazioni come descritto nello specifico post

8) PrevxCSI: http://www.fileqube.com/shared/xeAID111861

Fai controllare su www.virustotal.com e su http://virscan.org/
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\winsched.exe

Una volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se il file dovesse essere nascosto o di sistema, Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione -> Seleziona "Visualizza cartelle e file nascosti" -> scendi e togli la spunta a "Nascondi i file di sistema (consigliato)
Alla fine della verifica rimetti le impostazioni originali

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM] "C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Andrea Vescia\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - Global Startup: winsched.exe
O16 - tutte le voci senza riferimenti a microsoft

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM] "C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Andrea Vescia\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - Global Startup: winsched.exe
O16 - tutte le voci senza riferimenti a microsoft


aggiungi al fix

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://lookanddiscover.com/
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)

Fai controllare su www.virustotal.com e su http://virscan.org/



Virustotal: http://www.virustotal.com/it/analisis/2f6abda02c222ae232bd846f85feb04d

Virscan: http://www.virscan.org/report/8364af2fd251012b45a500715927a098.html

Log di hijacthis

1 Riesegui HijackThis e rifixa la seguente voce:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookanddiscover.com/

2 Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\winsched.exe

clicca su Execute, al termine il Pc si dovrebbe riavviare se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

+ nuovo log di HTJ

1 Riesegui HijackThis e rifixa la seguente voce:





Allora ti allego il log di hijacthis fatto prima di lanciare average.

PEr average installato correttamente, ma quando lo faccio partire dopo aver inserito la stringa mi esce il seguente errore: inavid script. A valid scrip must begin with a commande directive. Abort exectution!

Nota questo il file winsched.exe al percorso indicato non c'è!

La home page non va più su lookanddiscover.com ma su MSN.com

Quando riavvio prevx mi segnala sempre il file winsched.exe nel percorso indicato. come infetto!

in avenger metti questo

Files to delete:
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\winsched.exe

Allora ti allego il log di hijacthis fatto prima di lanciare average.

PEr average installato correttamente, ma quando lo faccio partire dopo aver inserito la stringa mi esce il seguente errore: inavid script. A valid scrip must begin with a commande directive. Abort exectution!

Nota questo il file winsched.exe al percorso indicato non c'è!

La home page non va più su lookanddiscover.com ma su MSN.com

Quando riavvio prevx mi segnala sempre il file winsched.exe nel percorso indicato. come infetto!

Scusa ho sbagliato io ho dimenticato il comando

Files to delete:
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\winsched.exe


Log da allegare:
Avenger
HJT dopo aver eseguito Avenger

Ecco i log

altro

Bene, disinstalla Prevx CSI - riscaricalo - reinstallalo - rifai la scansione ed allega il log, grazie.

Ecco il log. Risulto pulito. http://www.fileqube.com/shared/HwhFhWi111944

A me tutto sembra funzionare bene e regolarmente. Non so proprio come ringraziarvi siete veramente gentili e fate un servizio veramente ottimo per i non esperti come me.

GRAZIE! GRAZIE! GRAZIE!

PS. Mi resta comunque il dubbio di come possa aver preso quella schifezza con KIS operante e funzionante. Mistero

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene iltrattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

Prego :) oltre a seguire i consigli di wjmat dai un'occhiata qui per quanto rigurada il Kis http://www.hwupgrade.it/forum/showthread.php?t=1545212

Ciao