Navigazione lentissima + ricerca su Google del tutto sballata.... HELP PLEASE!

[flaviopac]

Ecco il log di Hijack.....

http://www.fileqube.com/shared/tsepZp118314

[wjmat]

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Codice:

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll (file missing)
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programmi\Styler\TB\StylerTB.dll (file missing)
O4 - HKLM\..\Run: [PerfectOptimizer] C:\Programmi\Perfect Optimizer\PerfectOptimizer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra button: IE HTTPAnalyzer V3 - {3B28142E-6D05-47AB-A263-0556C785EBB4} - C:\Programmi\IEInspector\HTTPAnalyzerFullV3\IEHTTPAnalyzerV3.dll
O9 - Extra 'Tools' menuitem: IE HTTPAnalyzer V3 - {3B28142E-6D05-47AB-A263-0556C785EBB4} - C:\Programmi\IEInspector\HTTPAnalyzerFullV3\IEHTTPAnalyzerV3.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O16 tutte le voci senza riferimenti a microsoft

il problema potrebbe essere collegato alle O16 che ti avevo già detto di fixare qui
http://www.hwupgrade.it/forum/showpo...1&postcount=25

[flaviopac]

Ecco fatto tutto come hai detto....


PS: Comunque lo avevo già fatto.....

Fammi sapere qualcosa, questo virus mi sta torturando.....



EDIT: Il problema della ricerca su Google sballata permane sempre...

[wjmat]

pulito

• Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall.
• Scarica da qui Combofix
• Scollegati da internet e chiudi ogni altra finestra o programma
• Lancialo e aspetta che appaia una finestra in cui ti chieda di digitare 1 per continuare
• Digita 1 e attendi la scansione evitando di fare qualsiasi altra operazione
• Dai conferma nel caso ti chieda di rimuovere alcuni driver
• Attendi pazientemente senza toccare nulla
• Al termine verrà mostrato il log da caricare che si trova in C:\ComboFix.txt

[flaviopac]

Allora, ho appena fatto tutto, in allegato c'è il log....

L'unica cosa: non ho dovuto premere 1, ha fatto tutto da solo...
E all'inizio della scansione ho dovuto riavviare il pc perchè il programma ha rilevato la presenza di ROOTKIT....


EDIT:
Il problema sembrerebbe risolto.....
La ricerca su Google funziona correttamente e la navigazione non è più lenta...

Un'ultima cosa: ma cosa posso utilizzare (in futuro) per essere più protetto e per ottimizzare il pc?

Ancora GRAZIE 1000!!

[wjmat]

ti preparo uno script per combo poi per il resto se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene iltrattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

• Da modalità normale
• Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
• Apri il Blocco Note e incolla tutto il codice qui sotto

Quote:

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]

• Salva il file sul Desktop come CFScript.txt
• Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
• al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

[wjmat]

per la cronaca...

combo ha eliminato questa robaccia

Codice:

C:\Autorun.inf
C:\Documents and Settings\Tutti.PACCHIER-6AOND6\Menu Avvio\Programmi\Videos.url
C:\Documents and Settings\Tutti.PACCHIER-6AOND6\Preferiti\Videos.url
C:\install.exe
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\tdssserv.sys
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\TDSSerrors.log
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssserf.dll
C:\WINDOWS\system32\tdssservers.dat

ricontrollando l'ottimo riassunto di deg
http://www.hwupgrade.it/forum/showpo...8&postcount=26
le voci in rosso
mbam doveva rimuoverle al riavvio
cureit sembra le abbia cancellate

giorni fà un caso simile si era risolto eliminando da gmer il servizio relativo a TDSS
in questo caso gmer non partiva, panda è stato sconsigliato per repeal (che non ho trovato) e così probabilmente continuava a rigenerarsi...

[Chill-Out]

Ciao allega un nuovo log di questo tool http://noahdfear.geekstogo.com/FindAWF.exe

Funzione 1

NB: ho visto che ti è già stato chiesto ma vorrei che tu ne ne producessi un'altro

[flaviopac]

Intanto vi ringrazio ancora per il supporto...

Ad oggi posso confermare che i problemi sono stati risolti...
E durante tutti i procedimenti che ho effettuato ho eliminato anche tanta altra roba.....


Una domanda: All'avvio Nod32 non parte in automatico... Come posso fare per fare ciò?

PS: Provvedo a fare il log con FindAwF....


EDIT:
Ecco il log con FindAWF:

Quote:

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

PS: Quindi ora mi consigliate di leggere e mettere in atto questo?
http://www.hwupgrade.it/forum/showpo...8&postcount=26


E come faccio per far partire Nod32 in automatico all'avvio?

[Chill-Out]

Quote:

Originariamente inviato da flaviopac

Intanto vi ringrazio ancora per il supporto...

Ad oggi posso confermare che i problemi sono stati risolti...
E durante tutti i procedimenti che ho effettuato ho eliminato anche tanta altra roba.....


Una domanda: All'avvio Nod32 non parte in automatico... Come posso fare per fare ciò?

PS: Provvedo a fare il log con FindAwF....


EDIT:
Ecco il log con FindAWF:





PS: Quindi ora mi consigliate di leggere e mettere in atto questo?
http://www.hwupgrade.it/forum/showpo...8&postcount=26


E come faccio per far partire Nod32 in automatico all'avvio?

Strano dal log di HJT io vedo Nod32 in run attivo è funzionante nod32krn.exe

[wjmat]

visto l'accaduto io lo rimpiazzarei... a meno che sia correttamente licenziato...

[flaviopac]

Quote:

Originariamente inviato da Chill-Out

Strano dal log di HJT io vedo Nod32 in run attivo è funzionante nod32krn.exe

Si, perchè ogni volta lo avvio io dopo il riavvio.....

E cosa potrei mettere al posto di Nod32? era comodo perchè è leggero....

[Chill-Out]

Quote:

Originariamente inviato da flaviopac

Si, perchè ogni volta lo avvio io dopo il riavvio.....

E cosa potrei mettere al posto di Nod32? era comodo perchè è leggero....

E' regolarmente licenziato?

[flaviopac]

Quote:

Originariamente inviato da Chill-Out

E' regolarmente licenziato?

[Chill-Out]

Quote:

Originariamente inviato da flaviopac

Male, disinstalla il Nod, fai pulizia con CCleaner dopodichè installa Avira Antivir Free configuralo coma da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

e procedi con una scansione completa del sistema

[flaviopac]

Quote:

Originariamente inviato da Chill-Out

Male, disinstalla il Nod, fai pulizia con CCleaner dopodichè installa Avira Antivir Free configuralo coma da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

e procedi con una scansione completa del sistema

Ok, ora faccio i passaggi indicati sopra e poi installo Avira...
Ma è abbastanza leggero come antivirus?

[wjmat]

vai tranquillo

[flaviopac]

Quote:

Originariamente inviato da wjmat

• Da modalità normale
• Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
• Apri il Blocco Note e incolla tutto il codice qui sotto

• Salva il file sul Desktop come CFScript.txt
• Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
• al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

Ecco il log fatto con questa procedura...

[wjmat]

la stringa incriminata è ancora presente....
sicuro di aver seguito bene
http://www.hwupgrade.it/forum/showpo...6&postcount=46

prova ora con Gmer

[flaviopac]

Quote:

Originariamente inviato da wjmat

la stringa incriminata è ancora presente....
sicuro di aver seguito bene
http://www.hwupgrade.it/forum/showpo...6&postcount=46

prova ora con Gmer

Si, ho creato il file .txt e l'ho trascinato su ComboFIx.... Poi però non ho premuto nulla, ha fatto tutto (o quasi) da solo....