Ciao, il tuo log mi ha spiazzato un po', ero sicuro di aver intuito di cosa si trattasse ma mi manca un pezzo... Togliamo comunque quello che si vede...
Allora, leggi la seguente discussione:
http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=4407trovi le indicazioni per disattivare il ripristino configurazione di sistema e come riavviare il pc in modalità provvisoria. Segui le indicazioni ed elimina il ripristino configurazione di sistema e riavvia il pc in modalità provvisoria ma invece che in modalità provvisoria semplice, scegli, tra le opzioni proposte, la modalità provvisoria con supporto di rete. (per fare la scelta usa le freccette della tastiera, e poi invio per accettare. Il supporto di rete ci servirà per avviare l'aggiornamento a malwarebytes, dopo averlo installato)
Riavviato in modalità provvisoria, avvia hijackthis, ed avvia una scansione con hijackthis... Finita la scansione (chiudi tutte le finestre del browser, quindi le mie istruzioni le dovrai copiare a parte... o comunque le dovrai riaprire nel browser dopo aver usato hijackthis), metti il segno di spunta alle seguenti voci che vedi nella finestra di hijackthis:
Segue del testo riportato...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2863002
R3 - URLSearchHook: Softonic_Italia Toolbar - {9d1a02c3-7d31-4c4f-ba7e-ccf1cafa1bf5} - C:\Programmi\Softonic_Italia\tbSoft.dll (file missing)
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\ConduitEngine.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Softonic_Italia Toolbar - {9d1a02c3-7d31-4c4f-ba7e-ccf1cafa1bf5} - C:\Programmi\Softonic_Italia\tbSoft.dll (file missing)
O3 - Toolbar: Softonic_Italia Toolbar - {9d1a02c3-7d31-4c4f-ba7e-ccf1cafa1bf5} - C:\Programmi\Softonic_Italia\tbSoft.dll (file missing)
O4 - HKLM\..\Run: [conime.exe] conime.exe
O4 - HKCU\..\Run: [MSConfig] C:\Documents and Settings\Gabry\qinh.exe \u
O4 - HKCU\..\Run: [api32] C:\DOCUME~1\Gabry\IMPOST~1\Temp\apiqq.exe
O4 - HKCU\..\Run: [King_ar] C:\WINDOWS\system32\arking.exeFine testo riportato...
Una volta messo il segno di spunta nella casellina alla sinistra delle voci che ti ho indicato, clicca su "Fix checked"
A questo modo le voci verrano cancellate e potrai riaprire il browser se ti serve per visionare le istruzioni.
Poi, senza riavviare, vai in
start ->
esegui e digita nella casellina di esegui:
regeditPremendo invio per fare accettare. A questo punto ti si aprirà l'edit del registro di sistema. Dobbiamo correggere 2 cose e verificarne un'altra ma bisogna mettere la massima attenzione nel muoversi e nell'editare il registro, perchè eventuali errori potrebbero compromettere la stabilità del sistema.
Regedit si presenta come una finestra divisa in 2 zone... quella a sinistra è per muoverti nel registro e quella a destra invece ti mostrerà gli eventuali dettagli di ciò che selezioni a sinistra.
Muoviti nella zona di sinistra, seguendo il seguente percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
cliccando (quindi selezionando) su Winlogon, nella parte di destra vedrai una serie di valori, tra questi, nella colonna "Nome", individua Userinit e facci doppio clic sopra con il mouse. A questo punto ti si è aperta una piccola finestra che ti permetterà di editare il contenuto relativo ad userinit.
Il contenuto che visualizzerai sarà il seguente:
C:\WINDOWS\system32\userinit.exe
tu dovrai aggiungere una virgola alla fine della riga, in modo da modificarlo come indicato di seguito:
C:\WINDOWS\system32\userinit.exe,
Dopo aver aggiunto la virgola, clicca su ok e la correzione sarà stata applicata.
Passiamo alla seconda eventuale correzione che c'è da fare... Nella parte di sinistra, segui il seguente percorso:
HKEY_CLASSES_ROOT\CLSID\MADOWN
cliccando (quindi selezionando) su MADOWN, verifica che nella parte destra non ci siamo eventuali valori
urlinfo = nome_file
se dovessero esserci urlinfo, del genere, fai clic sopra con il tasto destro del mouse ed eliminali.
Adesso abbiamo da verificare un'ultima cosa nel file di registro, segui il seguente percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
è presente, hai trovato la chiave explorer.exe?
Non devi far nulla, malwarebytes dovrebbe correggere il problema. Puoi chiudere regedit.
Sempre senza riavviare, installa malwarebytes, fallo aggiornare ed avvia la scansione completa del sistema (dovrebbe correggerti anche la visualizzazione dei file nascosti e di sistema) digli di rimuovere tutto quello che rileva e posta il log prodotto.
Riavvia il pc, fai aggiornare avira antivir apri la finestra dell'antivirus ed avvia la scansione applicando la seguente impostazione:
in configurazione setta, in "scansione" -> "Tutti i file"
(solo in scansione setta tutti i file, il resto lascialo come è già impostato)
Salva l'impostazione ed avvia la scansione con avira ed anche adesso elimina gli oggetti trovati infetti.
Il pc potrebbe infettare supporti esterni, quindi, per adesso, fin quando non finisce la scansione di avira, non inserire penne usb e simili... (comprese macchinette fotografiche e lettori mp3) al pc...
Facci sapere
Ciao
PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale
RISOLTO!
Topic Chiuso)
Topic: Post n° 97.438 - Postato: 05/Marzo/2011 alle 13:24
....
Topic Attivi
Lista Membri
Calendario
Cerca
Aiuto
Registrati
Login
