Salve,
ero a casa di un conoscente che mi aveva chiesto delle info.

Navighiamo con firefox su google immagini per cercare un'immagine che gli interessa e ad un certo punto finiamo su un sito segnalato come malevolo (firefox/google mostrano l'immagine del poliziotto rosso per sito pericoloso).

Ad un certo punto si reimposta la pagina di default di firefox che reinizia a piantarsi e quando si riavvia si pianta ancora in loop.

Il bello è che pure internet explorer smette di navigare!
non carica piu' le pagine.

Il PC in questione ha solo una connessione wireless con chiavetta che pare funzionare: l'icona wireless compare e lampeggia e un ping a google.it va regolarmente

insomma solo i browser hanno messo di funzionare contemporenamente.

Ho pensato che il computer abbia preso qualcosa browser/trojan pero' c'e' l'antivirus acquistato ed aggiornato (eset).

Ho notato che in internet explorer 8 che avevo aggiornato il giorno prima dalla versione 6 in strumenti connessioni non è presenta nessuna connessione? Non ricordo, è normale così ?

Cosa mi consigliate di fare ?

Io pensavo di portare qualche altro tool con la chiavetta per testare trojan e virus magari non rilevati dall' antivirus.
Avevo pensato a byte malware.

Grazie in anticipo.

Fai uno scan con SuperAntiSpyware con Malwarebytes' Anti-Malware (Mbam) e con Combofix .

Come antivirus suggerisco Avira Antivir Personal Free, la nuova versione uscita recentemente anche in italiano è la 10 .

Lo scarichi nella pendrive e poi fai copia/incolla in modalità normale in quanto è un eseguibile, sul desktop, (non farlo partire da pendrive col doppio click) disattivi Ripristino configurazione di sistema e lo lanci da modalità provvisoria con doppio click (chiaramente scollegato da internet) .

Disattiva l'antivirus in quanto è meglio per i risultati dello scan stesso.
Combofix vedrai che ti dirà che ha individuato la presenza del tuo antivirus (anche se lo disattivi, in quanto ti individua l'icona sul desktop): dagli ok e continua.
Lui stesso prima dello scan crea un punto di ripristino ed effettua un backup del registro di sistema .

Poi ti chiederà se vuoi installare la console di ripristino (se non ce l'hai già) : digli di no, tanto non serve ;)


Alla fine dello scan creerà due file di report:

- Combofix che trovi in C

- Combofix-quarantined-files che trovi in C/Qoobox (Qoobox e la cartella che crea Combofix stesso alla fine dello scan, prima del report) .


Postali su www.wikisend.com


PS: Combofix funziona solo su SO a 32 bit.

Per vedere se il tuo SO è a 32 bit o a 64 basta aprire la scheda “Proprietà del sistema”, Risorse del computer/tasto dx del mouse/Proprietà, o per farlo più velocemente scrivi nella finestra Start/esegui il comando sysdm.cpl + Ok .

All’inizio della scheda Generale, alla voce Sistema, se c’è scritto :

Microsoft Windows XP Professional Versione – anno - , significa che il SO è a 32 bit

Se hai scritto:

Microsoft Windows Xp Professional X64 Versione - anno - il SO è a 64 bit .


Guida di Combofix :

http://www.bleepingcomputer.com/combofix/it/come-usare-combofix

Download diretto :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Dopo 7 gg dal download Combofix non funziona più, bisogna dowloadare la nuova versione (se a uno serve), però prima bisogna togliere il vecchio Combofix .


Per togliere Combofix downloada l’utility standalone OTC :

Download diretto :

http://oldtimer.geekstogo.com/OTC.exe

Lo avvi, una volta aperto clicchi su CleanUp e aspetti la fine della pulitura totale .

Ciao Tallines,
ti ringrazio molto per la risposta che definirei più che esauriente e competente :-)

Ho già scaricato tutti i software.
Spero di avere capito tutto

Comunque mi stampo il post e me lo porto dietro :-D

Faccio un breve report di quanto fatto (magari serve a qualche altro).

Ho portato con me tutti questi tool consigliati da tallines.
Sono partito con byte malware, super anti spyware e avira.
Premesso che il troiano non me li faceva installare fino a quando non li ho rinominati (file di installazione) a quel punti li ho installati.
Antivir non ha riconosciuto il troiano ma gli altri due si, anche se non sono riusciti a rimuoverlo completamente.

Ho usato alla fine combofix che ha funzionato (anche lui l'ho dovuto rinominare).

Il troiano era dns-changer.

Ho scoperto poi che altri anti spyware lo rimuovono tipo doctor spyware.

Faccio un breve report di quanto fatto (magari serve a qualche altro).

Ho portato con me tutti questi tool consigliati da tallines.
Sono partito con byte malware, super anti spyware e avira.
Premesso che il troiano non me li faceva installare fino a quando non li ho rinominati (file di installazione) a quel punti li ho installati.
Antivir non ha riconosciuto il troiano ma gli altri due si, anche se non sono riusciti a rimuoverlo completamente.

Ho usato alla fine combofix che ha funzionato (anche lui l'ho dovuto rinominare).

Il troiano era dns-changer.

Ho scoperto poi che altri anti spyware lo rimuovono tipo doctor spyware.


Se il malware è ostico, capita come è capitato a te, che cerchi di impedirti l'installazione della purga :D :D , in quanto recepisce che se viene installato quello che sta per essere installato, la fine è vicina.

Infatti uno degli stratagemmi in questo caso per eludere i controlli del malware, è quello di rinominare l'antivirus o l'eseguibile come in questo caso è quello di Combofix .

Quindi adesso il problema è risolto ?

Non mi posti i file di report di Combofix ? ;)

Infatti uno degli stratagemmi in questo caso per eludere i controlli del malware, è quello di rinominare l'antivirus o l'eseguibile come in questo caso è quello di Combofix .


Infatti


Quindi adesso il problema è risolto ?


Pare di sì, visto che dopo l'attività di combofix abbiamo riavviato ed i browser andavano. Gli ho installato Chrome e consigliato di usare quello.


Non mi posti i file di report di Combofix ? ;)

Non avevo capito (ho visto che avevi parlato di wikisend e non mi era chiato)..

Ma che te ne fai ?
se un collezionista o sei lo sviluppatore di qualche tool tipo combofix ? :-)
Te lo posterei pure ma è rimasto a casa della persona nel suo computer (se ricapita di andarci te lo spedisco).

Proprio stamattina mi ha chiamato questa persona per dirmi che ne ha parlato con altri di una associazione che frequenta di questo trojan ed altri lo avevano preso e avevano dovuto chiamare dei tecnici per rimuoverlo.

Poi gli hanno detto (non so con quale cognizione di causa) una cosa strana: di non toccare il centro sicurezza di windows che adesso gli appare con il solito fumetto "il computer potrebbe essere esposto a rischi" perchè secondo queste persone sarebbe opera del troiano ancora presente.

Secondo me semplicemente sono rimasti disabilitati gli aggiornamenti di windows per cui esce l'avvertimento che invita ad attivarli..

Non avevo capito (ho visto che avevi parlato di wikisend e non mi era chiato)..

Per postare i file su wikisend, vai su www.wikisend.com, fai l'upload del file, viene generato un link, che tu posti nella discussione .
Poi prendendo come riferimento il link da te postato, chi lo vuol vedere, va sul link di wikisend da te postato, fa il download e gli dà un'occhiata ;)

Ma che te ne fai ?
se un collezionista o sei lo sviluppatore di qualche tool tipo combofix ? :-)

No, faccio dei quadri neo-romantici :asd: :asd: , sviluppatore eeeh adesso :D :D magari.....non corriamo troppo.

Comunque se ci pensi, almeno per me tanto di cappello a coloro che sviluppano certe risorse o no ? ;)



Te lo posterei pure ma è rimasto a casa della persona nel suo computer (se ricapita di andarci te lo spedisco).

Non importa, l'importante è che tu abbia risolto, volevo solo dare un'occhiata ai report per sapere qualcosa di più, tutto qui ;)

Proprio stamattina mi ha chiamato questa persona per dirmi che ne ha parlato con altri di una associazione che frequenta di questo trojan ed altri lo avevano preso e avevano dovuto chiamare dei tecnici per rimuoverlo.

Poi gli hanno detto (non so con quale cognizione di causa) una cosa strana: di non toccare il centro sicurezza di windows che adesso gli appare con il solito fumetto "il computer potrebbe essere esposto a rischi" perchè secondo queste persone sarebbe opera del troiano ancora presente.

Immaginavo, devono essere dei supertecnici :D :D : non è che questi tecnici, come molti.......per risolvere hanno formattato o formatteranno :D :D ?


Secondo me semplicemente sono rimasti disabilitati gli aggiornamenti di windows per cui esce l'avvertimento che invita ad attivarli..

Infatti.....molto probabile

Questo capita anche quando aprendo il Centro sicurezza PC e andando in "Cambiare la modalità con cui il centro sicurezza PC avvisa l'utente" c'è il segno di spunta alla voce Protezione da virus .
Il fumetto può apparire in questo caso anche se l'antivirus che uno ha lo disinstalla per mettere la versione nuova dello stesso antivirus o un nuovo antivirus, oppure se è stato dibilitato (magari anche da un virus........).
Bisognerebbe vedere se tutte e tre le voci Firewall, Aggiornamenti automatici e Protezione da virus sono abilitati (con il segno di spunta ) o meno (senza segno di spunta)

Nelle voci di cui sopra, se togli il segno di spunta, il fumetto sparisce e non appare più .