guida alla disinfezione

[Clooster]

Salve
posto questo 3d perchè non riesco ad eseguire la guida per infetti.
4) nessun tool riesce a funzionare;
5) Dr Web cure it non gira
8) Gmer si è bloccato e mi ha bloccato tutto.

Per gli altri tool posto i relativi log
http://wikisend.com/download/715858/mbam-log-2011-01-25 (18-31-54).txt
http://wikisend.com/download/600646/...125-203422.txt
http://wikisend.com/download/438074/hijackthis1.txt
http://wikisend.com/download/486450/prevx.log
http://wikisend.com/download/522264/...10126-1816.xml

Qualcuno mi aiuti, sto impazznedo con questo pc

[Himaco]

Ciao. Non sei messo proprio bene..
Disinstalla:
A Squared

Poi:

Rilancia Hijackthis:
Nota: per lanciare Hijackthis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull' icona di Hijackthis e dal menù contestuale scegli la voce Esegui come Amministratore

● clicca sul pulsante Do a system scan only
● spunta la casellina a fianco di ogni singola voce che ti indicherò sotto
● una volta spuntate le voci:
chiudi tutte le applicazioni aperte
chiudi tutte le pagine Internet aperte
● in Hijackthis fixa le voci cliccando su Fix checked
Queste le voci da fixare:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.myhandysearch.com/s.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/it/ita/gen/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchqu.com/web?src=ieb&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchqu.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\AVVETT~1\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\AVVETT~1\IMPOST~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchqu.com/web?src=ieb&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/yco...//it.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.myhandysearch.com/s.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {01FB9C55-FC66-4476-A199-389241193188} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {E72713F2-FAC0-44AF-905B-4F040C22CC28} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {7FF99715-3016-4381-84CE-E4E4C9673020} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [bacstray] BacsTray.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FILECO~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1138017016165

Poi:

Scarica Hosts: http://www.mvps.org/winhelp2002/hosts.zip

posiziona Hosts.zip sul Desktop ed esegui queste operazioni preliminari:
● disconnettiti da Internet
● sconnetti, fisicamente, il modem/router dal Computer

Eseguiti i passaggi indicati sopra:
● estrai sul Desktop il file Hosts
● selezionalo con il tasto destro del mouse, e clicca su Copia
● apri la cartella C:\Windows\System32\drivers\etc\
● in un punto libero della stessa, clicca su Incolla
● accetta la sostituzione del file Hosts esistente
● se ottieni degli errori, non preoccuparti, è normale
● riavvia il sistema

Poi:

Hai la Trusted Zone corrotta.
Per ripristinare la Trusted Zone:
● scarica DelDomains: http://www.mvps.org/winhelp2002/DelDomains.inf
● salvalo sul Desktop
● clicca con il tasto destro del mouse su DelDomains.inf e scegli Installa
● una volta eseguite queste operazioni, riavvia il sistema

Al termine, posta un log aggiornato di Hijackthis.

[xcdegasp]

innanzi tutto non è stato usato atf-cleaner che è richiesto nella fase preliminare della guida!
poi manca la scansione di f-secure, dr. web cureIT e gmer ! perchè?

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

Codice:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchqu.com/web?src=ieb&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchqu.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\AVVETT~1\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\AVVETT~1\IMPOST~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchqu.com/web?src=ieb&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.myhandysearch.com/s.html
O1 - Hosts: 66.55.134.199 sitefinder.verisign.com
O1 - Hosts: 66.55.134.199 sitefinder-idn.verisign.com
O2 - BHO: (no name) - {01FB9C55-FC66-4476-A199-389241193188} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {E72713F2-FAC0-44AF-905B-4F040C22CC28} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FILECO~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file) (HKCU)
O15 tutte le righe presenti
O16 entrambe le righe presenti
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

devi usare un software alternativo a InternetExplorer esempio Firefox o Opera o Chrome, inoltre possiedi software assolutamente da aggiornare quindi vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

poi rifai un nuovo log di hijackthis (ovviamente dopo aver fatto le scansioni mancanti)




@ himaco: apprezzo la tua buona volontà ma hai lasciato via cose importanti e incluso nei fix driver necessario per il buon funzionamento di un modem usb.. contattami in pvt

[Chill-Out]

Puoi anche saltare il passaggio inerente il file Hosts e la Trusted Zone.

[Clooster]

ho combinato un po' di casini ed ho saltato la procedura che mi avete indicato.
Effettuata la pulizia con ATF allego il nuovo log di Hjack
http://wikisend.com/download/487690/hijackthis.log

[xcdegasp]

Quote:

Originariamente inviato da Clooster

ho combinato un po' di casini ed ho saltato la procedura che mi avete indicato.
Effettuata la pulizia con ATF allego il nuovo log di Hjack
http://wikisend.com/download/487690/hijackthis.log

fixa:

Codice:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ycomp/defaults/su/*http://it.yahoo.com
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138017016165

ricopio quanto scritto in precedenza: devi usare un software alternativo a InternetExplorer esempio Firefox o Opera o Chrome, inoltre possiedi software assolutamente da aggiornare quindi vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

ricopio anche: poi manca la scansione di f-secure, dr. web cureIT e gmer ! perchè?

che vogliamo fare?