PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio RISOLTO!

Topic: [RISOLTO] search setting 1.2.2

(Topic Chiuso Topic Chiuso)
Altre pagine della discussione:




Frens95
Principiante Principiante
Frens95
Principiante Principiante
Frens95
Principiante
Principiante

Avatar


Iscritto dal : 28/Gennaio/2010
Da: Italy
Status: Offline
Posts: 10
bullet Topic: Post n° 93.251 - Postato: 28/Gennaio/2010 alle 18:25


non so come riuscire a rimuovere questo malware che ha colpito il mio computer!


barone
Apprendista Apprendista
barone
Apprendista Apprendista
barone
Apprendista
Apprendista

Avatar


Iscritto dal : 23/Ottobre/2006
Da: Italy
Status: Offline
Posts: 350
bullet Topic: Post n° 93.257 - Postato: 28/Gennaio/2010 alle 19:39


devi postare il log che hai ottenuto da hijachkthis
lo devi copiare e incollare qui dove scrivi ...senza quello è difficile provare ad aiutarti.






Frens95
Principiante Principiante
Frens95
Principiante Principiante
Frens95
Principiante
Principiante

Avatar


Iscritto dal : 28/Gennaio/2010
Da: Italy
Status: Offline
Posts: 10
bullet Topic: Post n° 93.270 - Postato: 29/Gennaio/2010 alle 15:39


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.42.48, on 28/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

* * *
Log editato, rimangono le voci da prendere in considerazione
*
* *

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\Search Settings\kb128\SearchSettings.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\Search Settings\kb128\SearchSettings.dll (file missing)
O2 - BHO: Search Assistant - {F0626A63-410B-45E2-99A1-3F2475B2D695} - C:\Programmi\SGPSA\BHO.dll
O4 - HKLM\..\Run: [SearchSettings] C:\Programmi\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [SGPUpdater] C:\Programmi\Search Guard PlusU\sgpUpdaters.exe
O4 - HKLM\..\Run: [FBSearch] C:\Programmi\Search Guard Plus\SearchGuardPlus.exe
O4 - HKLM\..\Run: [Date Army Wma Spam] C:\Documents and Settings\All Users\Dati applicazioni\Peak ooze date army\curb download.exe
O4 - HKCU\..\Run: [QUAD Windows service] C:\Programmi\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner.exe -h
O4 - HKCU\..\Run: [QUAD Scheduler] C:\Programmi\QUAD Utilities\QUAD Registry Cleaner\QUAD Scheduler.exe
O4 - HKCU\..\Run: [Aimmapi] C:\DOCUME~1\LOCALS~1\DATIAP~1\OPENME~1\Window joy chic.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJman000
O23 - Service: Zwunzi Service - Unknown owner - C:\Documents and Settings\All Users\Dati applicazioni\Zwunzi\zwunzi135.exe


Modificato da prgn - 02/Febbraio/2010 alle 02:58


barone
Apprendista Apprendista
barone
Apprendista Apprendista
barone
Apprendista
Apprendista

Avatar


Iscritto dal : 23/Ottobre/2006
Da: Italy
Status: Offline
Posts: 350
bullet Topic: Post n° 93.283 - Postato: 31/Gennaio/2010 alle 17:21


si va bene...
ci sono dei problemi ma non essendo abbastanza esperto ...ti consiglio di aspettare qualcuno più bravo.






Frens95
Principiante Principiante
Frens95
Principiante Principiante
Frens95
Principiante
Principiante

Avatar


Iscritto dal : 28/Gennaio/2010
Da: Italy
Status: Offline
Posts: 10
bullet Topic: Post n° 93.302 - Postato: 01/Febbraio/2010 alle 14:08


quanto devo aspettare e sopratutto chi?


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 93.310 - Postato: 02/Febbraio/2010 alle 02:49


Ciao.. mi son permesso di eliminare i messaggi inutili ai fini della discussione (noi qui tendiamo a scoraggiare il postare cose che ai fini pratici non apportano nulla alla discussione...) Vai alla seguente discussione e segui le istruzioni relative allla disattivazione del ripristino configurazione di sistema da tutti i dischi:

REGOLA : LEGGERE Prima di postare un LOG

Inoltre nella stessa discussione trovi i link per scaricare Malwarebytes e Ccleaner (scaricali entrambi.. sono freeware) Scarica anche avenger: link
Avenger è in un file .zip, decomprimi il file .zip in una cartella in modo tu possa avviarlo correttamente.

Vai al seguente link: www.virustotal.com/it

Invia il seguente file ->  C:\Documents and Settings\All Users\Dati applicazioni\Peak ooze date army\curb download.exe

(è il file che ti indico in rosso)

Puoi direttamente incollare il percoso da me indicato (in questo modo non dovrai  stare ad attivare la visione dei file nascosti e di sistema)

Virustotal lo sottoporrà ad una scansione fatta da più antivirus... salvati il risultato in modo che tu possa indicarcelo in un post

Lo stesso fai con il seguente file -> C:\DOCUME~1\LOCALS~1\DATIAP~1\OPENME~1\Window joy chic.exe

Sono entrambi comunque da eliminare... ma è meglio conoscere da cosa sono infetti... prima di eliminarli..   ;)

Ti consiglio di disinstallare
QuadRegistryCleaner (che alla fin dei conti ti avverte per ogni minima cosa e ti chiede di acquistare una licenza.. almeno questa è la voce che gira... una sorta di rogue application. Ti chiedo conferma.. vero?)

Adesso vai in start -> esegui e digita:   services.msc     (e premi invio per fare accettare)

Cerca il seguente servizio:  Zwunzi

Quando lo hai trovato, seleziona il servizio e clicca su arresta... poi facci doppio clic sopra e nella scheda che si apre, in tipo di avvio, scegli Disabilitato, clicca su Applica, ok e chiudi la finestra con i servizi...

A questo punto avvia hijackthis e fixa le seguenti voci (le istruzioni per farlo le trovi sempre nella discussione che ti ho indicato):

(prima di fixare le seguenti voci, ricorda di chiudere tutte le finestre del browser)

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\Search Settings\kb128\SearchSettings.dll (file missing)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\Search Settings\kb128\SearchSettings.dll (file missing)

O2 - BHO: Search Assistant - {F0626A63-410B-45E2-99A1-3F2475B2D695} - C:\Programmi\SGPSA\BHO.dll

O4 - HKLM\..\Run: [SearchSettings] C:\Programmi\Search Settings\SearchSettings.exe

O4 - HKLM\..\Run: [SGPUpdater] C:\Programmi\Search Guard PlusU\sgpUpdaters.exe

O4 - HKLM\..\Run: [FBSearch] C:\Programmi\Search Guard Plus\SearchGuardPlus.exe

O4 - HKLM\..\Run: [Date Army Wma Spam] C:\Documents and Settings\All Users\Dati applicazioni\Peak ooze date army\curb download.exe

O4 - HKCU\..\Run: [Aimmapi] C:\DOCUME~1\LOCALS~1\DATIAP~1\OPENME~1\Window joy chic.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJman000

O23 - Service: Zwunzi Service - Unknown owner - C:\Documents and Settings\All Users\Dati applicazioni\Zwunzi\zwunzi135.exe

Una volta finito con hijackthis avvia avenger. Avviato avenger seleziona il seguente script che vedi nella seguente casella bianca:
Segue del testo riportato...

Folders to delete:
C:\DOCUME~1\LOCALS~1\DATIAP~1\OPENME~1
C:\Documents and Settings\All Users\Dati applicazioni\Peak ooze date army
C:\Programmi\Search Guard Plus
C:\Programmi\Search Guard PlusU
C:\Programmi\Search Settings
C:\Programmi\SGPSA
C:\Programmi\Zwunzi
C:\Documents and Settings\All Users\Dati applicazioni\Zwunzi
%temp%
%windir%\temp

Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Zwunzi Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Zwunzi Service

Fine testo riportato...
ed una volta selezionato copialo (CTRL + C) ed incollalo nello  specchietto bianco della finestra di Avenger (clicca dentro e CTRL+V). Una volta incollato lo script... clicca su Execute (in avenger naturalmente) ed il pc si dovrebbe riavviare (se dovesse darti degli avvisi prima di avviare... tu rispondi Ok).
Riavviato dovrebbe darti il log relativo all'esecuzione dello script... (potresti postarlo in modo che si vede come è andata)

A questo punto avvia Ccleaner ed avvia una pulizia dei temporanei (come indicato nella discussione che ti ho indicato prima... ma non effettuare la risoluzione dei problemi del registro... la faremo dopo) ma prima di avviare la pulizia... ricorda di selezionare, in avanzate, i files di prefetch.

Finita la pulizia... installa Malwarebytes e fagli fare una scansione approfondita del sistema (naturalmente dopo l'aggiornamento di malwarebytes) e quando ha finito segnati se  trova ancora qualcosa e dove lo trova...

Adesso avvia Ccleaner e fai risolvere gli eventuali problemi al registro... fai un'ulteriore scansione con hijackthis e posta il log come hai fatto nel post precedente... (assieme al log indica tutte le cose che ti ho chiesto)

Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Frens95
Principiante Principiante
Frens95
Principiante Principiante
Frens95
Principiante
Principiante

Avatar


Iscritto dal : 28/Gennaio/2010
Da: Italy
Status: Offline
Posts: 10
bullet Topic: Post n° 93.321 - Postato: 02/Febbraio/2010 alle 17:31


salve,
sono contento che sia arrivato finalmente qualcuno di + competente....
allora ti devo spiegare un po di cose..allora quando ho effettuato la scansione con HiJackThis non avevo scansionato ancora il pc con cleaner,malwarebytes e altri e ha avuto anke riscontri incomprensibili per i percorsi da incollare a www.virustotal.com/it quindi ora ti incollo il log attuale:

Logfile of Trend Micro HijackThis v2.0.2

***
Log editato... il log è simile al precendente (manca solo la voce O23
relativa al servizio Zwunzi...
***

-Ho letto le istruzioni relative allla disattivazione del ripristino configurazione di sistema da tutti i dischi e non so se attivarla e cosa comporta.

-Non sono riuscito a trovare Zwunzi

e poi non ho voluto procedere nei passaggi seguenti dopo tutte queste incomprensioni

ti chiedo di ricontrollare...e di dirmi i passaggi aggiornati

p.s di confermo la voce di quad registry dal fatto che è una
rogue application e che non serve veramente a niente

aspetto la tua risp

Ciao Confused




Modificato da prgn - 05/Febbraio/2010 alle 02:57


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 93.343 - Postato: 05/Febbraio/2010 alle 02:54


Ciao... riscontri incomprensibili?
Le cose vanno indicate precisamente quando si verificano.. altrimenti un intervento a distanza diventa un tiro a segno ad occhi bendati... Comunque... mettiamo da parte virustotal e facciamo almeno il resto così come te lo indico di seguito... un punto dopo l'altro. (se in qualche punto non hai i riscontri che ti aspetti... salta al prossimo)

Avvia hijackthis e fixa le seguenti voci (le istruzioni per farlo le trovi sempre nella discussione che ti ho indicato):

(prima di fixare le seguenti voci, ricorda di chiudere tutte le finestre del browser)

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\Search Settings\kb128\SearchSettings.dll (file missing)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\Search Settings\kb128\SearchSettings.dll (file missing)

O2 - BHO: Search Assistant - {F0626A63-410B-45E2-99A1-3F2475B2D695} - C:\Programmi\SGPSA\BHO.dll

O4 - HKLM\..\Run: [SearchSettings] C:\Programmi\Search Settings\SearchSettings.exe

O4 - HKLM\..\Run: [SGPUpdater] C:\Programmi\Search Guard PlusU\sgpUpdaters.exe

O4 - HKLM\..\Run: [FBSearch] C:\Programmi\Search Guard Plus\SearchGuardPlus.exe

O4 - HKLM\..\Run: [Date Army Wma Spam] C:\Documents and Settings\All Users\Dati applicazioni\Peak ooze date army\curb download.exe

O4 - HKCU\..\Run: [Aimmapi] C:\DOCUME~1\LOCALS~1\DATIAP~1\OPENME~1\Window joy chic.exe

O4 - HKCU\..\Run: [QUAD Scheduler] C:\Programmi\QUAD Utilities\QUAD Registry Cleaner\QUAD Scheduler.exe

O4 - HKCU\..\Run: [QUAD Windows service] C:\Programmi\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner.exe -h

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJman000

(Se non trovi una o più voci... non ti preoccupare, fixa quelle che trovi)

Una volta finito con hijackthis avvia avenger. Avviato avenger seleziona il seguente script che vedi nella seguente casella bianca:
Segue del testo riportato...

Folders to delete:
C:\DOCUME~1\LOCALS~1\DATIAP~1\OPENME~1
C:\Documents and Settings\All Users\Dati applicazioni\Peak ooze date army
C:\Programmi\Search Guard Plus
C:\Programmi\Search Guard PlusU
C:\Programmi\Search Settings
C:\Programmi\SGPSA
C:\Programmi\Zwunzi
C:\Documents and Settings\All Users\Dati applicazioni\Zwunzi
C:\Programmi\QUAD Utilities
%temp%
%windir%\temp

Fine testo riportato...
ed una volta selezionato copialo (CTRL + C) ed incollalo nello  specchietto bianco della finestra di Avenger (clicca dentro e CTRL+V). Una volta incollato lo script... clicca su Execute (in avenger naturalmente) ed il pc si dovrebbe riavviare.

Riavviato dovrebbe darti il log relativo all'esecuzione dello script... (potresti postarlo in modo che si vede come è andata)

A questo punto avvia Ccleaner ed avvia una pulizia dei temporanei (come indicato nella discussione che ti ho indicato prima... ma non effettuare la risoluzione dei problemi del registro... la faremo dopo) ma prima di avviare la pulizia... ricorda di selezionare, in avanzate, i files di prefetch.

Finita la pulizia... installa Malwarebytes aggiornalo e fagli fare una scansione approfondita del sistema. Quando ha finito segnati se  trova ancora qualcosa e dove lo trova...

Adesso avvia Ccleaner e fai risolvere gli eventuali problemi al registro... fai un'ulteriore scansione con hijackthis e posta il log come hai fatto nel post precedente... (assieme al log indica tutte le cose che ti ho chiesto)

(ho fatto un po' di copia incolla variando qualche cosa)

Ciao

PS: rispetto al Servizio Zwunzi... dall'ultimo log che hai postato non si vede più... (eliminato da qualche scansione oppure qualche disinstallazione, per questo non l'hai trovato...)

PPS: rispetto la discussione:  REGOLA : LEGGERE Prima di postare un LOG è vero che contiene le regole da seguire prima di postare un log... sono regole di buon senso onde evitare che il forum si riempia di log senza alcun controllo... Una regola è una regola, è vero... ma quando un mod ti dice di postare il log non ti preoccupare.. sarà poi nostra cura fare in modo che rimangano solo le cose salienti del log.. in modo che occupi il minimo indispensabile... Di sicuro barone ha le competenze per portarti a soluzione della discussione.. come tanti altri sul forum.. Wink

Modificato da prgn - 05/Febbraio/2010 alle 03:03



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 93.344 - Postato: 05/Febbraio/2010 alle 03:01


Postato originariamente da Frens95

Ho letto le istruzioni relative allla disattivazione del ripristino configurazione di sistema da tutti i dischi e non so se attivarla e cosa comporta
Il ripristino configurazione di sistema va tolto in quanto potrebbe avere dei punti di ripristino che contengono file e chiavi infette (è opportuno toglierlo quando si sta pulendo un pc infetto), quindi, va mentenuto disattivato fino a quando non si sono eliminati i malware ed i programmi molesti... Quando si finirà di pulire potrai riattivarlo a tuo piacimento e creare anche un punto di ripristino che a questo punto, se il pc è stato pulito, non conterrà nessuna infezione...



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Frens95
Principiante Principiante
Frens95
Principiante Principiante
Frens95
Principiante
Principiante

Avatar


Iscritto dal : 28/Gennaio/2010
Da: Italy
Status: Offline
Posts: 10
bullet Topic: Post n° 93.352 - Postato: 05/Febbraio/2010 alle 20:56


Ciao,
sono felicissimo non c'è + quell'odioso search setting....
allora ti posto il risultato di avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opexxd successfully.
Script file read successfully.

*** Log editato... lo script è stato eseguito e le cartelle eliminate (zwunzi non è stato trovato) ***

Malwarebites ha trovato 3 file infetti è questo è il risultato:

HKEY_LOCAL_MACHINE\SOFTWARE\QUAD Registry Cleaner v2 (Adware.QUADRegClean) -> No action taken.

File infetti:
C:\Documents and Settings\utente\Dati applicazioni\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> No action taken.
C:\Programmi\Windows Live\Messenger\riched20.dll (Adware.MyWebSearch) -> No action taken.

E questo è il log finale :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.54.36, on 05/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Programmi\Fast Browser Search\IE\FBStoolbar.dll
O3 - Toolbar: Fast Browser Search Toolbar - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Programmi\Fast Browser Search\IE\FBStoolbar.dll
 
*** Log editato.. rimangono solo le voci da prendere in cosiderazione ***

grazie molte
aspetto risposte

arrivederci


Modificato da prgn - 07/Febbraio/2010 alle 14:53


Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,059 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni