Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

RISOLTO!

Topic: [RISOLTO] Aggiornamenti automatici disabilitati

(

Topic Chiuso)

Altre pagine della discussione:

sipici
Principiante

Iscritto dal : 02/Febbraio/2012
Da: Italy
Status: Offline
Posts: 9

Topic: Post n° 99.801 - Postato: 02/Febbraio/2012 alle 01:14

Salve a tutti, spero che qualcuno possa aiutarmi..
il centro sicurezza PC Windows ha cominciato a dirmi che gli aggiornamenti automatici sono disabilitati ma nel pannello di controllo risultano attivi.
Non so come fare.. posto il report di trojan killer e il log di HijackThis.

Grazie!

Trojan Killer v.2.1.1.6

----- HKCU\SOFTWARE\fcn ---- Registry
Rogue.Residue

*** log editato, rimangono le voci rilevanti ***

Logfile of Trend Micro HijackThis v2.0.2

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926 905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926 905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?AF=109794&babsrc=HP_ss&mntrId=f45868cb000000000000001 0dcf64de1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926 905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926 905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O3 - Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - (no file)

*** log editato, rimangono le voci rilevanti ***

Modificato da prgn - 02/Febbraio/2012 alle 12:16

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 99.802 - Postato: 02/Febbraio/2012 alle 12:12

Ciao, benvenuto!
Per adesso facciamo un paio di cose, in primis, accedi al pannello di controllo -> installazione applicazioni e rimuovi se ancora presente la seguente toolbar:

Linkury Smartbar

oppure un nome simile, sempre Linkury......
Ricontrolla facendo un altro log di hijackthis e fixa le seguenti voci:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926 905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926 905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?AF=109794&babsrc=HP_ss&mntrId=f45868cb000000000000001 0dcf64de1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926 905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926 905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O3 - Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - (no file)

Importante: mantieni tutte le finestre del browser chiuse quando le fixi.

Ho inoltre notato che ti son state rilevate delle tracce di rogue application, quindi ti consiglio una scansione completa con malwarebytes:

http://www.malwarebytes.org/products/malwarebytes_free

a noi interessa la versione free.

Scarica, installa, fai aggiornare quando te lo chiede (quindi dovrai essere connesso) e fai fare una scansione completa eliminando tutto quello di infetto che rileva.
Posta il log di malwarebytes.
Facci sapere
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

sipici
Principiante

Iscritto dal : 02/Febbraio/2012
Da: Italy
Status: Offline
Posts: 9

Topic: Post n° 99.805 - Postato: 03/Febbraio/2012 alle 11:13

Postato originariamente da prgn

...accedi al pannello di controllo -> installazione applicazioni e rimuovi se ancora presente la seguente toolbar:

Linkury Smartbar

oppure un nome simile, sempre Linkury......

non era presente nessun Linkury nelle installazioni applicazioni

Ho poi fixato le voci che mi suggerivi e seguito il procedimento con malwarebytes. Ancora l'aggiornamento risulta disabilitato ma il pc ha trovato vari virus.
Ecco il log, meglio i due log visto che l'ho scansionato due volte e la seconda ha trovato altri due rulevamenti.

*** log editato, rimangono gli oggetti rilevati ***

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Windows XP Service Pack

Scansione completa

Chiavi di registro rilevate: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adlsoft Uncompressor (Adware.Agent) -> Spostato in quarantena ed eliminato con successo.
HKCU\SOFTWARE\fcn (Rogue.Residue) -> Spostato in quarantena ed eliminato con successo.

File rilevati: 5
C:\Documents and Settings\[nome utente]\desktop\tutto\programmi\installer_µtorrent_1_8_3_stable_Italiano_Italian.exe (PUP.SmsPay.pns) -> Spostato in quarantena ed eliminato con successo.
C:\Programmi\Adlsoft Uncompressor\Uninstall\Uninstall.exe (Adware.Agent) -> Spostato in quarantena ed eliminato con successo.
C:\System Volume Information\_restore{638DEF54-0B1F-4F14-B839-02E26AB327FC}\RP569\A0124080.exe (PUP.BundleOffer.Downloader.S) -> Spostato in quarantena ed eliminato con successo.
C:\System Volume Information\_restore{638DEF54-0B1F-4F14-B839-02E26AB327FC}\RP598\A0141140.exe (Adware.Agent) -> Spostato in quarantena ed eliminato con successo.
C:\System Volume Information\_restore{638DEF54-0B1F-4F14-B839-02E26AB327FC}\RP598\A0141222.exe (Adware.Clicker) -> Spostato in quarantena ed eliminato con successo.

SECONDO LOG:

File rilevati: 2
C:\System Volume Information\_restore{638DEF54-0B1F-4F14-B839-02E26AB327FC}\RP599\A0142602.exe (PUP.SmsPay.pns) -> Nessuna azione intrapresa.
C:\System Volume Information\_restore{638DEF54-0B1F-4F14-B839-02E26AB327FC}\RP599\A0142603.exe (Adware.Agent) -> Nessuna azione intrapresa.

e ora?

Modificato da prgn - 04/Febbraio/2012 alle 12:03

sipici
Principiante

Iscritto dal : 02/Febbraio/2012
Da: Italy
Status: Offline
Posts: 9

Topic: Post n° 99.806 - Postato: 03/Febbraio/2012 alle 11:16

Ho eliminato anche i due file rilevati nel secondo log ovviamente

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 99.807 - Postato: 03/Febbraio/2012 alle 13:14

controlliamo un paio di servizi:

vai in Start -> Esegui e digita: services.msc

premi invio.

Nella finestra Servizi, cerca il servizio Aggiornamenti automatici, facci doppio clic sopra.
Lo stato del servizio dovrebbe essere "Avviato" ed il tipo di avvio dovrebbe essere "Automatico".
Stessa cosa fai con il servizio Servizio trasferimento intelligente in background.
Che stato (lo stato lo puoi vedere dalla finestra che elenca tutti i servizi, nella colonna stato) e che tipo di avvio hanno entrambe i servizi?

Riguardo le cose eliminate da malwarebytes, poichè ha trovato appunto file che possono essere residui di precedenti installazioni, sarebbe opportuno un ulteriore controllo approfondito del sistema, poi si vede che altro fare.

Ciao

Modificato da prgn - 03/Febbraio/2012 alle 13:19

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

sipici
Principiante

Iscritto dal : 02/Febbraio/2012
Da: Italy
Status: Offline
Posts: 9

Topic: Post n° 99.809 - Postato: 03/Febbraio/2012 alle 18:50

Ok non ho trovato la voce AGGIORNAMENTI AUTOMATICI ma in quella di SERVIZIO TRASFERIMENTO INTELLIGENTE IN BACKGROUND l'avvio è manuale e lo stato è NON avviato.

incollo qui parte dei servizi sono tanti non so se faccio bene..
Quale devo controllare per compararlo al serv trasferimento iintelligente?
A proposito, Grazie per l'aiuto!

*** lista servizi cancellata ***

Modificato da prgn - 03/Febbraio/2012 alle 21:25

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 99.811 - Postato: 03/Febbraio/2012 alle 21:13

Di nulla, figurati!

Visto che non ti da il servizio, proviamo a reinstallarlo:

Start->esegui, incolla nella casellina la seguente stringa:

Segue del testo riportato...

%windir%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %windir%\inf\au.inf

Fine testo riportato...

Premi invio per fare accettare.

Nel caso in cui dovesse chiederti il cd di installazione di xp, incolla il seguente percorso nella casellina "Copia file da":

Segue del testo riportato...

%windir%\ServicePackFiles\i386

Fine testo riportato...

Nel caso non dovesse trovare i file al percorso appena indicato, dovrai utilizzare il cd di installazione di xp (in questo modo i file verranno cercati sul cd)

Riavvia dopo aver fatto quanto indicato, ricontrolla la presenza del servizio, che sia avviato e come tipo di avvio abbia indicato "automatico", se non fosse così, impostalo manualmente, applica e ok.
Facci sapere
Ciao

Modificato da prgn - 03/Febbraio/2012 alle 21:15

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

sipici
Principiante

Iscritto dal : 02/Febbraio/2012
Da: Italy
Status: Offline
Posts: 9

Topic: Post n° 99.813 - Postato: 04/Febbraio/2012 alle 09:45

Tutto fatto. Ora il servizio "aggiornamenti automatici" compare ed è automatico ed avviato
e anche per il CENTRO DI SICUREZZA gli aggiornamenti automatici sono stati riattivati.
Problema risolto! Thumbs%20Up

devo mettere l'avvio automatico anche nel SERVIZIO TRASFERIMENTO INTELLIGENTE IN BACKGROUND ?

GRAZIE davvero per la disponibilità!
Ciao

RAVEN
Moderatore

Iscritto dal : 04/Settembre/2001
Da: Italy
Status: Offline
Posts: 16.234

Topic: Post n° 99.815 - Postato: 04/Febbraio/2012 alle 13:31

Quello vedi tu, se vuoi che in maniera trasparente ti aggiorni gli update che trova allora si, altrimenti no cosi sarai avvertito che ci sono nuovi aggiornamenti e sceglierai tu quando e se installarli

Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

SOSTIENICI

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 99.816 - Postato: 04/Febbraio/2012 alle 17:17

Ok, quindi problema risolto!
Riguardo il servizio di trasferimento intellingente.... va bene così come è impostato... Il sistema dovrebbe avviarlo in automatico quando necessario.
Riguardo i file infetti, è prassi, dopo aver fatto la pulizia del pc, eliminare i punti di ripristino (i punti relativi al ripristino configurazione di sistema) in quanto, gli stessi, potrebbero contenere qualcosa di infetto o impostazioni comunque non corrette per il sistema. Nel tuo caso, i file infetti, sono di certo finiti anche nei punti di ripristino (infatti C:\System Volume Information\ è proprio la cartella che contiene i punti di ripristino) come si vede dai log che hai postato. Tale pulizia (leggi cancellazione) dei punti di ripristino c'è chi la fa immediatamente e chi la fa dopo, io preferisco farla alla fine di tutte le scansioni. Quindi, facciamo una ulteriore scansione approfondita, scansione che potresti fare o con il tuo antivirus (avira) impostando, solo in scansione, l'impostazione "tutti i file", o con un altro prodotto (un rescue cd ad esempio), per effettuare tale impostazione con avira, apri la finestra del tuo antivirus (non so che versione hai, più o meno però dovrebbe essere uguale), seleziona sulla sinistra "System scanner", a destra clicca su "configurazione", ti potrebbe chiedere di attivare la modalità esperto, dai ok, nella colonna di sinistra, sotto "System scanner", seleziona la voce "Scansione" e nello specchietto "File" che sta di fianco imposta mettendo il segno in "Tutti i file", applica e ok.
In questo modo gli hai detto di scansionare tutti i file a prescindere dal tipo di file, è una scansione più gravosa per il sistema appunto perchè più approfondita.

Le altre impostazioni lasciale invariate.

Fai fare una scansione del sistema e riporta cosa ti rileva l'antivirus. Se tutto è ok, elimina i punti di ripristino disattivando lo stesso ripristino configurazione di sistema come indicato in questo articolo della microsoft:

http://support.microsoft.com/kb/310405/it

dato che potresti avere dei menù diversi, comunque ci si può accedere da pannello di controllo -> sistema e poi aprendo la scheda relativa al ripristino configurazione di sistema...

Eliminati i vecchi punti di ripristino potrai riattivarlo in modo che continui a produrre nuovi punti di ripristino.

Riguardo i rescue cd, è un modo che si ha per scansionare il sistema senza nemmeno avviare il sistema operativo installato, infatti, si crea un supporto avviabile che verrà utilizzato, all'accensione del pc, per avviare il pc stesso, sul supporto vi è installato un sistema operativo ridotto all'osso ma che sarà in grado di avviare il pc ed effettuare una scansione. Uno dei migliori è certamente Kaspersky, che va sia su cd (si scarica l'immagine iso e si masterizza come immagine cd) che su penna usb (si scarica l'apposità immagine e poi si monta usando un programma che pure si scarica dalle stesse pagine del sito kaspersky, la penna però deve essere minimo 256MB di grandezza) La pagina è la seguente:

http://support.kaspersky.com/faq/?qid=208282173

Dove trovi i link anche con le istruzioni per la creazione dei supporti. Supporti che vanno utilizzati per avviare il pc, quindi bisognera accedere al menù di boot all'avvio del pc (se presente) o in alternativa variare la sequenza di boot, direttamente dal bios del pc stesso (se hai difficoltà, facci sapere) e naturalmente impostare la ricerca del sistema operativo dal supporto utilizzato (che dovrà essere inserito nel lettore o nella presa usb, se utilizzi la penna)
Se utilizzi la penna usb, ricorda di salvarne il contenuto perchè, all'atto del montaggio dell'immagine, andrebbe perso. Diciamo che questo tipo di scansione è più efficace, ma forse un po' più complicata... quindi la potresti tenere in considerazione nel caso in cui avira dovesse trovare file infetti in posizioni critiche... o comunque nel caso si voglia avere un ulteriore responso..

Facci sapere come è andata la scansione e nel ci fossero dubbi su qualcosa, chiedi pure

Ciao

Modificato da prgn - 08/Febbraio/2012 alle 11:50

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] Aggiornamenti automatici disabilitati

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] Aggiornamenti automatici disabilitati

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !