Problema Proxy che si imposta automaticam



Stampato da: PCPRIMIPASSI.IT
Categoria: SICUREZZA INFORMATICA
Nome del Forum: Infezioni informatiche e Sicurezza informatica in generale
Descrizione del forum: Per chi è stato infettato o ha problemi con virus o cavalli di Troia, Rootkits, Adware, Spyware e Malwares in generale o per discutere di tematiche relative alla sicurezza informatica.
URL: Vedi discussione
Data di Stampa: 28/Marzo/2024 alle 14:27

Topic: Problema Proxy che si imposta automaticam
Postato da: rafanadal
Soggetto: Problema Proxy che si imposta automaticam
Postato in data: 13/Aprile/2015 alle 11:33

Buongiorno,
sono nuovo e dopo aver visto gli ottimi spunti in questo forum ho deciso di esporre il mio problema.
Il mio pc da qualche tempo, non so come, di e' preso un virus (da come ho capito) che imposta il proxy automaticamente ad ogni avvio del pc.
Nelle configurazioni LAN del sistema mi trovo sempre impostato il proxx e non posso togliere la spunta, posso farlo solo se entro in internet explorer come amministratore ma poi al riavvio si ripresenta.

Ecco le impostazioni del proxy:

Indirizzo: 127.0.0.1 porata 8080
Eccezioni: <-loopback>

Ho trovato online un sito che chiama questo trojan Troy/agent-BM di cui vi incollo cosa dice:

Troj/Agent-BM is an HTTP proxy for the Windows platform. The Trojan runs as a proxy on port 8080 and sets the default HTTP proxy for the system to 127.0.0.1:8080.

The Trojan may also connect to a pornographic website and display images.

The Trojan creates the following registry entries in order to run itself on system startup:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Internet Acceleration Utility
<path to Trojan>

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Internet Acceleration Utility
<path to Trojan>

The following registry entries are also created:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
ProxyEnable
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
ProxyOverride
https://

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
ProxyServer
127.0.0.1:8080


I sintomi sono identici a quello che mi sta' succedendo.

Faccio una scansione con AWCleaner, lo trova lo elimina ma al riavvio del pc e' sempre pronto li.

Chiedo aiuto disperatamente.

Grazie a tutti.







Risposte:



Postato da: RAVEN
Postato in data: 13/Aprile/2015 alle 15:19

Ciao e benvenuto nella nostra community Smile

ti consiglio una scansione con http://downloads.malwarebytes.org/file/mbar - Malwarebytes antirootkit

Aggiornalo se necessario, segui le istruzioni e riavvia quando te lo chiede....al riavvio rifai nuovamente la scansione per scrupolo...

Fai tutti gli aggiornamenti presenti su Windows Update e riavvia...

Vediamo come va cosi.


-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>



Postato da: rafanadal
Postato in data: 13/Aprile/2015 alle 15:30

***** editato per quoting superfluo *****


ciao e grazie per il benvenuto.
Ho visto che il programmino e' malware bytes e con la versione classica ho fatto dozzine di scansioni.

P.S. come si disistalla quel programmino che mi hai dato che non lo trovo nel pannello di controllo? e' valido anche per win 8.1?
Speriamo di arrivare al termine.

Gazie



-------------




Postato da: RAVEN
Postato in data: 13/Aprile/2015 alle 15:38

Malwarebytes antirootkit non è la stessa cosa di Malwarebytes antimalware, per cui fidati e fai le scansioni.

Non è un software che si installa per cui basta che una volta estratto dall'archivio tu cancelli la cartella dove lo hai messo.


-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>



Postato da: rafanadal
Postato in data: 13/Aprile/2015 alle 15:51

ok questa sera' provero'.
Per gli aggiornamenti windows???

io avevo pensato piu' a qualcosa da rimuovere manualmente nel registro ma mi affido a voi esperti




Postato da: Dexter
Postato in data: 13/Aprile/2015 alle 19:17

Ciao rafanadal, benvenuto anche da parte mia. :D

Segui le istruzioni di Raven.

Nel caso il problema persista, ti indico questa guida
http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=4407&PN=1 - Qui e postaci il log di Hijackthis.



Postato da: rafanadal
Postato in data: 13/Aprile/2015 alle 22:15

Niente, ho fatto la scansione con malwarebyte consigliato e non ha trovato nulla. Nessun malware e nessuna azione.
Penso piu' a una cosa di Trojan come dicevo sopra.

Voglio mettervi il log si ADW cleaner che e' quello che rispecchia di piu' cosa sta' succedendo.
Elimina i file ma al riavvio tutto ricompare. Ecco:

***** [ Servizi ] *****


***** [ File / Cartelle ] *****


***** [ Attività pianificate ] *****


***** [ Collegamenti ] *****


***** [ Registry ] *****

Dati Eliminato : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyServer] - hxxp=127.0.0.1:8080;hxxps=127.0.0.1:8080
Dati Eliminato : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyEnable] - 1
Dati Eliminato : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - <-loopback>
Dati Eliminato : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] -
Dati Eliminato : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyServer] - hxxp=127.0.0.1:8080;hxxps=127.0.0.1:8080
Dati Eliminato : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyEnable] - 1
Dati Eliminato : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - <-loopback>
Dati Eliminato : HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings [ProxySettingsPerUser] - 0

***** [ Browser web ] *****

-\\ Internet Explorer v11.0.9600.17416


-\\ Mozilla Firefox v37.0.1 (x86 it)


-\\ Google Chrome v





Postato da: RAVEN
Postato in data: 14/Aprile/2015 alle 15:30

Ok allora leggi questa guida e usa uno per uno gli strumenti indicati che ancora non hai provato.

http://www.pcprimipassi.it/psoftware/psoftware.asp?ID=PRIMADIFESAVIRUS - Infezione da virus informatico: ecco cosa fare

Con particolare riferimento agli strumenti speciali come Combofix, Norman Malware Cleaner e DrWeb CureIt.


-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>



Postato da: rafanadal
Postato in data: 14/Aprile/2015 alle 16:35

ho dato un acchiata veloce all guida ma per la modalita' provvisoria o altro si ferma windows xp, io ho 8.1 come posso fare?





Postato da: rafanadal
Postato in data: 14/Aprile/2015 alle 16:50

a proposito, come si disconnette un pc windows 8 da internet?



Postato da: RAVEN
Postato in data: 14/Aprile/2015 alle 17:21

Per riavviare Windows 8.1 in modalità provvisoria fai come descritto qui:

http://www.windows8blog.it/2013/03/come-si-avvia-in-modalita-provvisoria-windows-8-guida-facile.html - riavviare windows 8.1 in modalità provvisoria

Per disconnetere un qualsiasi pc da internet, semplicemente spengi il modem/router.


-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>



Postato da: Dexter
Postato in data: 14/Aprile/2015 alle 19:40

Io attendo il log di hijackthis...



Postato da: rafanadal
Postato in data: 14/Aprile/2015 alle 19:42

ok quello vedo di farlo in serata se riesco. Il log che ho postato di AW non aiuta a niente? li' viene evidenziato il problema.
Grazie




Postato da: RAVEN
Postato in data: 14/Aprile/2015 alle 19:58

Usa Combofix e l'altro tool e vedi che probabilmente risolvi...

-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>



Postato da: Dexter
Postato in data: 14/Aprile/2015 alle 20:01

Sì, mi ha aiutato.

Ma mi aiuterebbe ancor di più il log.

Penso di aver già capito di cosa si tratta, però voglio essere sicuro di darti le dritte giuste.



Postato da: rafanadal
Postato in data: 14/Aprile/2015 alle 21:41

Questo e' il log di Hijackthis.

prima di completare mi e' comparso un avviso che per andare ho dovuto premere ok, normale?





Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 21:38:29, on 14/04/2015
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.9600.17416)

FIREFOX: 37.0.1 (x86 it)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe
C:\Users\utente\AppData\Roaming\Spotify\SpotifyWebHelper.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe
C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Users\utente\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe"
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS6ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files (x86)\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [Spotify Web Helper] "C:\Users\utente\AppData\Roaming\Spotify\SpotifyWebHelper.exe"
O4 - HKCU\..\Run: [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
O4 - Startup: CloneDVD 2.9.3.0 crack.lnk = C:\ProgramData\{1c0e4b9c-aeea-86a8-1c0e-e4b9caee2e72}\CloneDVD 2.9.3.0 crack.exe
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Skype Click to Call settings - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O17 - HKLM\System\CCS\Services\Tcpip\..\{C74309F2-80A5-4635-ACEC-4E45268A49D4}: NameServer = 192.168.1.1,193.70.152.15
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O20 - Winlogon Notify: SDWinLogon - SDWinLogon.dll (file missing)
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device Service - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: ASUS Com Service (asComSvc) - Unknown owner - C:\Program Files (x86)\ASUS\AXSP\1.01.02\atkexComSvc.exe
O23 - Service: ASUS HM Com Service (asHmComSvc) - ASUSTeK Computer Inc. - C:\Program Files (x86)\ASUS\AAHM\1.00.22\aaHMSvc.exe
O23 - Service: Avast Antivirus (avast! Antivirus) - Avast Software s.r.o. - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service:  Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: NVIDIA GeForce Experience Service (GfExperienceService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)
O23 - Service: Intel(R) Capability Licensing Service Interface - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\HeciServer.exe
O23 - Service: Intel(R) Capability Licensing Service TCP IP Interface - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: InstallShield Application Updater (isupdate.exe) - InstallShield® - C:\Program Files (x86)\InstallShield\isupdate.exe
O23 - Service: Intel(R) Dynamic Application Loader Host Interface Service (jhi_service) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @C:\Program Files (x86)\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files (x86)\Nero\Update\NASvc.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Network Service (NvNetworkService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe
O23 - Service: NVIDIA Streamer Service (NvStreamSvc) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Spybot-S&D 2 Scanner Service (SDScannerService) - Safer-Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe
O23 - Service: Spybot-S&D 2 Updating Service (SDUpdateService) - Safer-Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe
O23 - Service: Spybot-S&D 2 Security Center Service (SDWSCService) - Safer-Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 11078 bytes





Postato da: Dexter
Postato in data: 14/Aprile/2015 alle 22:17

Allora, vai nella seguente directory:
C:\ProgramData\{1c0e4b9c-aeea-86a8-1c0e-e4b9caee2e72}\

Cerca il file "CloneDVD 2.9.3.0 crack.exe", compattalo con password (usando winrar ad esempio) e mandamelo a tribaldexterd-sword@yahoo.it

Poi cancella tale file.

Dopodiché metti la spunta alle seguenti voci:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,
O4 - Startup: CloneDVD 2.9.3.0 crack.lnk = C:\ProgramData\{1c0e4b9c-aeea-86a8-1c0e-e4b9caee2e72}\CloneDVD 2.9.3.0 crack.exe
E tutte quelle voci con FILE MISSING.

Infine, riavvia il pc e riposta il log.

Ricordati di mandarmi il file.




Postato da: rafanadal
Postato in data: 14/Aprile/2015 alle 22:52

aspetta che sto' capendo ben poco...non sono molto ferrato.
Allora il clone dvd 2930 crack che dici non c'e'. c'e' solo crack.dat

il resto presumo che devo mettere le spunte su hitjack giusto???

ma che succede poi? perdo pure il crack?

grazie ancora




Postato da: Dexter
Postato in data: 14/Aprile/2015 alle 22:59

Allora, attiva la visualizzazione dei file nascosti come spiegato qui:
http://www.pcprimipassi.it/psoftware/psoftware.asp?id=57 - Visualizzare file nascosti

Sotto Win 8, per vedere il menù della guida, basterà che tu apra una cartella qualsiasi e premi il tasto ALT.
Dopodiché ricontrolla quella cartella alla ricerca del file, se non c'è, meglio.

Scusami, ma ho scritto di fretta e non me ne sono accorto che sono stato molto vago.

Sì, per fixxare quelle voci, devi rilanciare hijackthis.
Mettere le spunte e cliccare sul pulsante Fix.

Aggiungo una cosa, segui le indicazioni che ti ha dato raven. Quindi dopo aver fixxato quelle voci, fai partire combofix e fallo lavorare.

Parlare di crack o software pirata sul forum va contro le regole.



Postato da: rafanadal
Postato in data: 14/Aprile/2015 alle 23:04

si sono entrato uìin quella cartella abilitando i file nascosti anche perche altrimenti non vedrei program data, ma crack . exe non c'e'



Postato da: Dexter
Postato in data: 14/Aprile/2015 alle 23:06

Perfetto.

Segui il resto dei consigli e facci sapere.



Postato da: rafanadal
Postato in data: 14/Aprile/2015 alle 23:09

ho eseguito hijack come amministratore e l'avviso non me lo ha dato, ti metto il log se magari c'e qualcosa di diverso.Ancora non ho fixato nulla.

/**/
Log superfluo
/**/




Postato da: rafanadal
Postato in data: 14/Aprile/2015 alle 23:12

era un altro log...
scusami quali sono le voci file missin???




Postato da: Dexter
Postato in data: 14/Aprile/2015 alle 23:12

Ho tolto il log che momentaneamente non serve.

Fai prima quello che ti si è detto, poi sì riposta il log

Guarda in fondo alla riga, tra parentesi (file missing).



Postato da: rafanadal
Postato in data: 14/Aprile/2015 alle 23:16

scusami se insisto, ma al difuori del proxy rischio di danneggiare qualcosa con questa operazione?



Postato da: Dexter
Postato in data: 14/Aprile/2015 alle 23:22

Se con "danneggiare" intendi che dopo le varie pulizie per scovare il malware smetta di funzionare qualche programma crackato, sì.

Altrimenti non si va a danneggiare nulla, anzi.



Postato da: rafanadal
Postato in data: 15/Aprile/2015 alle 22:46

c'e' una via alternativa a quei fix per cercare di risolvere il problema?

ho trovato questa discussione simile in questo forum: http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=13075 - http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=13075 dove si parla di eliminare alcuni file ma non so se puo' essere collegata al mio problema.

Grazie




Postato da: rafanadal
Postato in data: 15/Aprile/2015 alle 23:19

combo fix (oltre che avast me lo vede come virus) se lo avvio si blocca e dice che funziona con tutti i windows ma non con il 2000. Io pero' ho windows 8.



Postato da: rafanadal
Postato in data: 16/Aprile/2015 alle 15:28

Ho fixato le voci che mi hai consigliato ma ancora c'e' il problema.

Questo e' il log attuale:

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 15:26:10, on 16/04/2015
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.9600.17416)

FIREFOX: 37.0.1 (x86 it)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe
C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe
C:\Users\utente\AppData\Roaming\Spotify\SpotifyWebHelper.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe
C:\Users\utente\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe"
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS6ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files (x86)\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [Spotify Web Helper] "C:\Users\utente\AppData\Roaming\Spotify\SpotifyWebHelper.exe"
O4 - HKCU\..\Run: [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Skype Click to Call settings - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O17 - HKLM\System\CCS\Services\Tcpip\..\{C74309F2-80A5-4635-ACEC-4E45268A49D4}: NameServer = 8.8.8.8,8.8.4.4
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device Service - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: ASUS Com Service (asComSvc) - Unknown owner - C:\Program Files (x86)\ASUS\AXSP\1.01.02\atkexComSvc.exe
O23 - Service: ASUS HM Com Service (asHmComSvc) - ASUSTeK Computer Inc. - C:\Program Files (x86)\ASUS\AAHM\1.00.22\aaHMSvc.exe
O23 - Service: Avast Antivirus (avast! Antivirus) - Avast Software s.r.o. - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service:  Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: NVIDIA GeForce Experience Service (GfExperienceService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)
O23 - Service: Intel(R) Capability Licensing Service Interface - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\HeciServer.exe
O23 - Service: Intel(R) Capability Licensing Service TCP IP Interface - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: InstallShield Application Updater (isupdate.exe) - InstallShield® - C:\Program Files (x86)\InstallShield\isupdate.exe
O23 - Service: Intel(R) Dynamic Application Loader Host Interface Service (jhi_service) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @C:\Program Files (x86)\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files (x86)\Nero\Update\NASvc.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Network Service (NvNetworkService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe
O23 - Service: NVIDIA Streamer Service (NvStreamSvc) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Spybot-S&D 2 Scanner Service (SDScannerService) - Safer-Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe
O23 - Service: Spybot-S&D 2 Updating Service (SDUpdateService) - Safer-Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe
O23 - Service: Spybot-S&D 2 Security Center Service (SDWSCService) - Safer-Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 10148 bytes





Postato da: RAVEN
Postato in data: 16/Aprile/2015 alle 15:42

Per eseguire Combofix devi disattivare l'antivirus... te lo dice combofix stesso quando si avvia...

-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>



Postato da: rafanadal
Postato in data: 16/Aprile/2015 alle 15:55

Ciao, combofix con windows 8.1 non si avvia.
Mi dice che è come se avessi windows 2000 come sistema operativo.
Se lo avvio in modalità "compatibilità", mi dice che non va bene!!





Postato da: RAVEN
Postato in data: 16/Aprile/2015 alle 17:44

In effetti pare che su Win 8.1 non funzioni....hai provato DrWebCureIT ?

-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>



Postato da: rafanadal
Postato in data: 16/Aprile/2015 alle 17:50

no, non lo conosco e non saprei dove scaricarlo.
Oggi con un tecnico del pc abbiamo fatto piu' scansioni con diversi antivirus ma senza esito.
Ci deve essere una via d'uscita...




Postato da: RAVEN
Postato in data: 16/Aprile/2015 alle 19:48

E' nella guida che ti avevo indicato di leggere perchè riportava tutti i tools da usare gratuitamente...

Scusa la domanda ... ma l'hai letta per bene la guida ? 

-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>



Postato da: rafanadal
Postato in data: 16/Aprile/2015 alle 21:37

si si ho letto, e ho trovato il file per il download



Postato da: rafanadal
Postato in data: 16/Aprile/2015 alle 22:03

non so se puo' essere utile o meno, ma ho notato che nella finestra delle opzioni internet in explorer, nella schermata connessioni dove si va per impostare la LAN, ho un avviso evidenziato in giallo che dice: alcune impostazioni sono gestite dall'amministratore del sistema.
Il mio account e' amministratore.




Postato da: rafanadal
Postato in data: 16/Aprile/2015 alle 22:52

nemmeno DrWebCureIT ha risolto il problema. Ma come e' possibile???



Postato da: RAVEN
Postato in data: 17/Aprile/2015 alle 15:27

Ma ha trovato qualcosa ? Ti ha proposto nel caso di correggere i problemi ?

Rimane un tool da provare (per quanto riguarda i softwares automatici) che è Norman Malware Cleaner... lo trovi linkato sempre nella guida...è un file molto grande e non è necessario installarlo.
Lo devi lanciare da modalità normale (non provvisoria) e prima di far partire la scansione vai nelle opzioni e indica al programma di eliminare i rootkit eventualmente individuati.


-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>



Postato da: rafanadal
Postato in data: 17/Aprile/2015 alle 18:33

si ha trovato 6 elementi che sono stati corretti.
Norman ho visto il sito ma me lo da come antivirus non come semplice anti malware, e' la stessa cosa?
provero' anche questo ma gia' immagino l'esitoCry

Poi e' finito quello che si puo' fare?




Postato da: rafanadal
Postato in data: 17/Aprile/2015 alle 18:36

m'interesserebbe anche l'opinione di dexter, da dopo il log di hijack non l'ho sentito piu'..
Grazie




Postato da: RAVEN
Postato in data: 17/Aprile/2015 alle 18:42

Vedi che allora non è andata proprio nulla la scansione...

E' un antimalware vai tranquillo, è solo un po pesante (oltre 200 mega) ma da ottimi risultati.

Non è finito quello che possiamo fare, sono semplicemente finiti i tools automatici che normalmente risolvono i problemi di questo tipo ma possiamo tentare altre cose ovviamente...

Tranquillo che Dexter appena vede il tuo messaggio si farà vivo, avrà avuto da fare Smile

Comunque ribadisco un concetto magari scontato...se non hai fatto le scansioni in modalità provvisoria (quando non diversamente richiesto) e con il PC scollegato dalla rete, potresti esserti reinfettato per qualche malware ancora presente che ne ha scaricati subito altri... se invece hai fatto tutto per bene e non si risolve allora ok.


-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>



Postato da: rafanadal
Postato in data: 17/Aprile/2015 alle 18:49

Io vi ringrazio tutti per il supporto che mi state offrendo.

La scansione non e' stata nulla ma purtroppo non ha risolto il problema, vedremo quest ultimo.
Ci aggiorniamo appena fatto.

@Dexter: hai la casella dei messaggi privati piena e non permette l'invio di nuovi messaggi






Postato da: RAVEN
Postato in data: 17/Aprile/2015 alle 19:01

Non ti preoccupare avrà sicuramente ricevuto la notifica dei tuoi messaggi pubblici quindi ti risponderà quando può Smile

-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>



Postato da: rafanadal
Postato in data: 17/Aprile/2015 alle 22:31

scusatemi ma norman malware mi fa scaricare solo la suite nel sito che e' propio un ativirus non un eseguibile.
Il link nella guida non funziona, devo scaricare quello?




Postato da: rafanadal
Postato in data: 18/Aprile/2015 alle 00:50

Ho trovato il programam giusto.
Sansionato quindi anche con Norman ma tutto e' rimasto uguale. Ha trovato qualcosa ma niente che mi abbia risolto il problema.
Sono disperato, che altro posso fare?




Postato da: RAVEN
Postato in data: 18/Aprile/2015 alle 17:18

Hai impostato il programma affinchè trovasse i rootkit ?

Se lo hai fatto allora bisogna agire per vie manuali... ci studio un po e ti dico sempre che nel frattempo non intervenga Dexter


-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>



Postato da: RAVEN
Postato in data: 18/Aprile/2015 alle 17:23

Qualcuno ha risolto e comprovato l'eliminazione del Trojan Agent con questo programma:

senzavirus.it/download/stopzilla.exe - Stopzilla

Tentar non nuoce prima di passare a cose più complicate.

Ti ricordo che se non chiudi le falle del sistema operativo con gli aggiornamenti è probabile che anche in caso di eliminazione del virus ti reinfetti subito dopo.


-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>



Postato da: rafanadal
Postato in data: 18/Aprile/2015 alle 18:04

si ho impostato i rootkit nel programma.

Il link che hai messo non funziona




Postato da: RAVEN
Postato in data: 18/Aprile/2015 alle 18:11

Ecco un link nuovo...

http://stopzilla.com/downloads/? - StopZilla Downloads

Prova prima l'antivirus, poi l'antimalware se il primo non ha risolto...

Considera che sono versioni in prova per 15 giorni


-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>



Postato da: rafanadal
Postato in data: 18/Aprile/2015 alle 18:24

ho dato un occhiata in rete e sembra un fake...
avete notizie?
potremmo procedere anche con le prove manuali




Postato da: Dexter
Postato in data: 19/Aprile/2015 alle 14:05

Ciao rafanadal,
scusa la mia assenza ma in settimana lavoro col computer, lavoro anche a casa e quando posso staccare un po' da questo aggeggio lo faccio :P Non voglio bruciare l'ultimo mezzo neurone rimasto :D

Ho visto che avevo la casella piena, ora l'ho svuotata un po'. Grazie per avermelo fatto presente.

Venendo al tuo problema, dal log non c'è nulla di particolare.

Ah questo punto, visto che si sono fatte tante scansioni con diversi tools e non se ne viene a capo, io ti potrei offrire la possibilità di collegarmi da remoto con teamviewer per dare un'occhiata direttamente.

Fammi sapere che ne pensi.



Postato da: rafanadal
Postato in data: 19/Aprile/2015 alle 15:13

Non capisco cosa intendi con team viewer e da remoto.
Vorrei proporvi questa altra questione se c'entra; nella schermata delle impostazioni lan dove si può disattivare il server proxy , io ho una stringa gialla con scritto: alcune impostazioni sono riservate all'amministratore del sistema. Può essere influente con quello che sta succedendo?



Postato da: Dexter
Postato in data: 19/Aprile/2015 alle 15:20

Praticamente mi collego dal mio PC al tuo, con il tuo consenso. Così posso guardare come se io fossi fisicamente davanti al PC.

http://download.teamviewer.com/download/TeamViewerQS.exe - Teamviewer

Scarica questo programma, lascialo aperto e mandami in privato l'ID e la Password.



Postato da: rafanadal
Postato in data: 19/Aprile/2015 alle 15:33

Non abbiamo niente altro , magari manualmente, da provare?
Sul l'accesso al pc sono un po' preoccupato



Postato da: Dexter
Postato in data: 19/Aprile/2015 alle 15:43

Come preferisci, per me era più comodo.

Scarica questo tool:
http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/ - FRST

In base al tuo sistema scarica la versione giusta. FRST.exe per sistemi a 32bit
FRST64.exe per sistemi a 64bit
Molto probabilmente il tuo è il secondo, comunque vedi se non ti funziona scarichi l'altro.

Una volta scaricato, crea una cartella nel desktop e mettilo lì, avvialo con privilegi di amministratore, quando vedi che il programma ha finito il backup del registro, esegui la scansione premendo su SCAN.

Una volta finito, creerà due log nella stessa cartella del programma.
Mandameli per email: tribaldexterd-sword@yahoo.it
Visto che sono lunghissimi.



Postato da: rafanadal
Postato in data: 19/Aprile/2015 alle 23:11

Ragazzi forse ho risoltoooooo!!!!!!! e con il metodo piu' banale.

allora, ho fatto un ragionamento; il problema esce ogni qualvolta si avvia il pc allora mi e' venuto in mente che il mio antivirus installato principale (AVAST) ha una scansione all'avvio e ho voluto provare.

Nelle impostazioni ho spuntato la voce effettuare scansione per programmi potenzialmente non voluti (PUP) e nelle opzioni 3 categorie ovvero: tutte le unita' disco, programmi che si avviano all'accensione e auto-avvia i programmi. Finita la scansione all'apertura di explorer un avviso che recitava: impossibile raggiungere il server proxy. Sono andato a provare a  togliere la spunta dal proxy ma senza esito positivo, posso toglierla entrando in explorer solo come amministratore e questo ho fatto.
Successivamente pero' l'impostazione e' rimasta e ora in quella schermata non c'e' nessuna spunta!!!! Pero' se provo a mettere le impostazioni del sistema non me la tiene.

Un' altra cosa che ho notato e' che pero' se rispunto il proxy all'interno ci sono gli indirizzi che erano impostati prima e non e' possibile rimuoverli (quelli scritti nel primo topic) pero' ora posso togliere la spunta del server proxy.

Spero di essere arrivato alla fine ma non voglio urlarlo troppo.

Ringrazio tutti per il vostro supporto. Raven e Dexter spettacolari, una pazienza che non conosce limiti.




Postato da: Dexter
Postato in data: 19/Aprile/2015 alle 23:14

Figurati rafanadal,

Toglimi un dubbio, se riavvii il pc il problema si ripresenta oppure no?



Postato da: rafanadal
Postato in data: 19/Aprile/2015 alle 23:31

e no! e' quello il bello. Ho provato anche a spegnerlo!
DURASSE!!!




Postato da: Dexter
Postato in data: 19/Aprile/2015 alle 23:37

Quindi mi sembra di aver capito che hai risolto...

Posso chiudere la discussione?

Eventualmente, se si ripresentasse il problema, puoi mandarmi un pm oppure a Raven e riapriremo la discussione nel caso.



Postato da: rafanadal
Postato in data: 19/Aprile/2015 alle 23:46

se vuoi lasciarla ancora un giorno....ma alla fine e' uguale decidete voi.



Postato da: rafanadal
Postato in data: 19/Aprile/2015 alle 23:46

ma alla fine e' uguale...se volete tenerla ancora un giorno ..
decidete voi




Postato da: Dexter
Postato in data: 19/Aprile/2015 alle 23:57

Vai tranquo... Anche due

Buonanotte, a presto!



Postato da: RAVEN
Postato in data: 20/Aprile/2015 alle 08:15

Ok facci sapere tu se ritieni che il problema sia risolto la chiudiamo qui.

Anche in quel caso ti ricordo cio' che ti ho segnalato riguardo gli aggiornamenti...tienilo aggiornato altrimenti avrai delle falle aperte attraverso le quali i malwares possono agire indisturbati....

Aspettiamo tue nuove Smile


-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>



Postato da: rafanadal
Postato in data: 20/Aprile/2015 alle 10:19

ma secondo voi il fatto che nelle impostazioni proxy sono rimasti gli indirizi 127.0.0.1 porta 8080 e non si possono togliere ma che pero' ora posso togliere la spunta per farlo agire puo' essere normale?

Se metto la spunta su rileva le impostazioni del sistema non la tiene, anche qui ci sta'?






Postato da: Dexter
Postato in data: 21/Aprile/2015 alle 18:46

No, non è normale...
Le impostazioni dovrebbe fartele cambiare, questo potrebbe far pensare magari a un qualche residuo di malware. Per questo fare ulteriori controlli non sarebbero da sottovalutare.



Postato da: rafanadal
Postato in data: 21/Aprile/2015 alle 22:59

Uau, sembra risolta anche questa!!!!
La spunta su rileva automaticamente impostazioni non la tiene ma sono riuscito a cancellare gli indirizzi del proxy.

Praticamente ho usato adwcleaner che era l'unico che vedeva nel registro questa cosa del proxy, la eliminava ma poi all'avvio si ripresentava.
Ora che ho eliminato il programma che si autoinstallava, ho rifatto una scansione con questo software, ha rieliminato gli indirizzi proxy e ora non si ripresentano perche' non c'e' piu' nessuno che li reinstalla.

Ora spero duri il tutto.

SoddisfazioneBig%20smile




Postato da: Dexter
Postato in data: 21/Aprile/2015 alle 23:12

Magari a questo punto, fai nuovamente altre scansioni con i software già usati.

Così per scrupolo.

Grande tenacia



Postato da: RAVEN
Postato in data: 21/Aprile/2015 alle 23:12

Molto bene....tieni sotto controllo la situazione per un paio di giorni e se dura cosi è fatta...facci sapere che nel caso chiudiamo la discussione come risolta.

-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>



Postato da: rafanadal
Postato in data: 22/Aprile/2015 alle 12:56

Cosa potrebbero trovarmi i software qualche residuo?
Non danneggio nulla vero con le scansioni?

faccio un paio di giorni di prova come detto prima della chiusura.
Grazie ancora, non ho mai trovato una disponibilita' come questa in nessun forum dai piu' svariati temi.




Postato da: RAVEN
Postato in data: 22/Aprile/2015 alle 13:29

La teoria è la seguente...

...se un malware continua a scaricare dalla rete copie di se stesso, tu puoi anche togliere il file infetto originale ma le copie scaricate re-inizializzeranno l'infezione del sistema...per cui pur avendo cancellato alcune infezioni, ve ne sono altre che magari non si sono ancora attivata o si sono nascoste (vedi le tecniche di camuffamento di molti virus e malware)

...è per questo che si consiglia vivamente di fare le scansioni con la rete internet scollegata (tu hai seguito questo consiglio vero??)...

Inoltre è da considerare che spesso le infezioni in memoria deviano le scansioni con varie tecniche, per cui pare di non trovare niente mentre invece qualche infezione è presente e come !

Una volta debellati i file infetti in memoria (cioè già in esecuzione) allora il discorso cambia e le scansioni hanno via libera per debellare i residui rimasti.

Quindi, anche per mio parere, è bene che tu esegua qualche altra scansione (sempre con internet scollegato e quando possibile da modalità provvisoria se non diversamente specificato dal tool)...

Le scansioni di per se non fanno danni ma è da tenere presente che se un file è infetto e viene individuato come tale è possibile che venga rimosso...se questo è un file di sistema allora il danno potrebbe essere dietro l'angolo, ma d'altra parte non è che potevi tenerti un file importante infetto giusto ? Quindi non hai comunque alternative...e poi si può sempre sovrascrivere un file che è stato cancellato per questo motivo.

Grazie per le tue parole di apprezzamento, per noi contano moltissimo !


-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>



Postato da: Dexter
Postato in data: 23/Aprile/2015 alle 19:35

Sì, ecco... Ha detto tutto Raven...

Grazie anche da parte mia



Postato da: rafanadal
Postato in data: 25/Aprile/2015 alle 23:11

direi che si puo' chiudere come risolto, se dovesse insorgere qualcosa vi contattero' privatamente Thumbs%20Up



Postato da: RAVEN
Postato in data: 26/Aprile/2015 alle 09:30

Puoi farlo anche pubblicamente...allora chiudiamo la discussione come risolta.

Alla prossima.Smile


-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>