Aiuto per il mio pc... Security.Hijack

Ciao e benvenuta tra noi, spero che ti troverai bene...

-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/d&#111;nazi&#111;ni.asp" target="_blank">SOSTIENICI</a>

Grazie!
Ci proverò appena possibile(purtroppo nel weekend il pc lo usa mio padre...smette solo per mangiare!) Domani mi metto d'impegno,scarico malwarebytes antimalware e scansiono tutto. Ho fatto bene a non cancellare ancora nulla!
Devo cancellarlo Scanspyware? oppure lo tengo lo stesso?
grazie Ancora!

Comunque gli inventori di virus e malware li detesto profondamente...non hanno nulla da fare che creasre danni!
Che razza di gentaglia!

Ciao.

Purtroppo non sono riuscita a scaricare malwarebytes,come diversi altri antimalware.
Avevo tentato con Combofix ma non riesco ad entrare in nessun sito del genere.
Mi si apre una finestra che dice "Tempo scaduto,firewalle non è abilitatat per accedere a questo..."
Come posso fare? Questo schifoso malware mi sta facendo impazzire!
Mi blocca ogni sito di assistenza,diversi forum,e siti contro virus e malware.

Comunque il mio sistema operativo è Windows XP.

Ciao, come minimo il tuo file host è "truccato". In parole povere, il file host, funge da primo dns (un server dns è un server che "traduce" l'indirizzo che inserisci nella barra indirizzi del browser in indirizzo ip)..., cioè quando il browser cerca un indirizzo internet, ancor prima di accedere ad internet e cercare sui server dns messi a disposizione, per la nostra navigazione, la corrispondenza url -> ip... viene cercata nel file hosts che si trova sul nostro computer... Quando nel file hosts è impostata una corrispondenza fasulla,  il browser non riesce ad aprire la pagina...  Nel tuo file hosts di sicuro c'è la riga:

ip-fasullo   malwarebytes.org

Bisogna ripristinare l'hosts corretto, altrimenti non riuscirai a navigare sui siti censurati a questa maniera... (si potrebbe usare l'ip, per andare sul sito di malwarebytes, ma il server non permette di accedere alla pagina...)

Per adesso prova a scaricare malwarebytes da questa pagina:

http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1 - http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1

Il download dovrebbe partire in automatico ed il sito in questione dubito che sia indicato nell'hosts...

Scarica anche hijackthis:

http://www.filehippo.com/download_hijackthis/download/977401f430f892662f302243ff61e113/ - http://www.filehippo.com/download_hijackthis/download/977401f430f892662f302243ff61e113/

Anche qui il download dovrebbe essere automatico...

Per correggere e/o visionare il file host usa hijackthis, installalo, avvialo e dalla finestra principale clicca su "Open the misc tools section".
In System Tools clicca su "Open Host file manager", a questo punto clicca sul "Open in Notepad".
In notepad (cioè in blocco note) adesso hai il tuo file hosts. L'hosts file di xp dovrebbe essere il seguente:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows.
#
# Questo file contiene la mappatura degli indirizzi IP ai nomi host.
# Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe
# trovarsi nella prima colonna seguito dal nome host corrispondente.
# L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio
# o punto di tabulazione.
#
# È inoltre possibile inserire commenti (come questi) nelle singole righe
# o dopo il nome del computer caratterizzato da un simbolo '#'.
#
# Per esempio:
#
#      102.54.94.97     rhino.acme.com          # server origine
#       38.25.63.10     x.acme.com              # client host x

127.0.0.1       localhost
Il tuo invece avrà una serie di righe aggiuntive... con i vari indirissi di siti da "censurare".
Quelle righe aggiuntive vanno cancellate... quindi, cancella il contenuto del tuo hosts file (che hai aperto in blocco note) ed incolla quello che ti ho appena indicato nel riquadro precedente, dopo di che salva il file hosts così modificato(in blocco note vai in file -> salva).

Ricorda di riportarci il log di malwarebytes, in modo che si possa valutare cose è stato individuato e se c'è altro da fare

Ciao

PS: se poi non riesci ad aprire nemmeno i programmi scaricati, ci sarà certamente qualche malware che li blocca.. Comunque facci sapere che si vede come fare


-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Grazie! Siete mitici!

Per il momento sono risucita a scaricare sia Malwarebytes che Hijackthis.
Evvai!
Non potete immaginare quanti siti ho provatato inutilmente a visionare in questi giorni...stavo per perdere le speranze.
Ma per fortuna sono riuscita ad entrare in Pc primi passi!

Ho preso appunti su tutti i passaggi da fare per ripulirmi la file host e domani mattina,che sono sola e tranquilla,ci provo.
Lo farei ora ma mio padre scalpita per il pc, per guardarsi le repliche del tg...come sono messa!

Ovviamente pubblicherò il log,sono curiosa di vedere che diavolo c'è dentro,perchè secondo me qualcosa c'è.


ciaoooooo

Rieccome,torno a rompervi l'anima(perdonatemi,so benissimo che sono pesante)
Purtroppo porto cattive notizie.
I programmi li ho scaricati.
Ho visto con Hijacjthis la file host...mi stava venendo un colpo.
Ma è piena di frasi strane,senza un senso apparente.
E' normale?
Cose del tipo:


In più la prima riga è solo una lunga scia di quadrettini incomprensibili.
devo cancellare tutto?
Io non ho trovato una frase comprensibile,ne un indirizzo leggibile.
Solo serie di lettere maiuscole e minuscole,segni,punti interrogativi,aperte e chiuse parentesi...insomma un gran casino!
Ed è lunghissimo!

Cancello tutto e copio e incollo quello che mi avevate mandato come esempio?



Per quanto riguarda Malwarebytes,l'ho scaricato ieri,adesso l'ho installato...ma non si apre!
Why?
Ci clicco sopra,appare per un nanosecondo la clessidra e poi non succede nulla. Il malware bastardo me lo sta bloccando come con tutti gli altri precedenti.
Accidenti!




-------------

Ciao, certo, se hai seguito i passi indicati e ti ha dato, in blocco note, quel contenuto, lo devi cancellare ed incollare quello che ti abbiamo indicato come esempio... e salva lo dopo averlo cambiato.
Sarà un passaggio che forse dovrai ripetere... (infatti, il o i malware presenti potrebbero ricambiarlo al prossimo riavvio)
Dato che hijackthis non te lo chiude, avvia hijackthis e dal menù principale clicca su: Do a System scan and save a log file
Dopo una veloce scansione, ti produrrà un log, incollalo nella discussione
Ciao



-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Sarò breve,la pagina spesso mis compare dopo aver scritto il messaggio....accidenti!
Ho fatto tutto.
Cancellato,copiato e incollato nuovo blocco note.
Posto il log di hajackthis.

Please,ditemi che razza di malware devo cancellare!
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12.09.39, on 11/03/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2863002

R3 - URLSearchHook: Softonic_Italia Toolbar - {9d1a02c3-7d31-4c4f-ba7e-ccf1cafa1bf5} - C:\Programmi\Softonic_Italia\tbSoft.dll (file missing)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\ConduitEngine.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Softonic_Italia Toolbar - {9d1a02c3-7d31-4c4f-ba7e-ccf1cafa1bf5} - C:\Programmi\Softonic_Italia\tbSoft.dll (file missing)

O3 - Toolbar: Softonic_Italia Toolbar - {9d1a02c3-7d31-4c4f-ba7e-ccf1cafa1bf5} - C:\Programmi\Softonic_Italia\tbSoft.dll (file missing)

O4 - HKLM\..\Run: [conime.exe] conime.exe

O4 - HKCU\..\Run: [MSConfig] C:\Documents and Settings\Utente\qinh.exe \u

O4 - HKCU\..\Run: [api32] C:\DOCUME~1\Utente\IMPOST~1\Temp\apiqq.exe

O4 - HKCU\..\Run: [King_ar] C:\WINDOWS\system32\arking.exe




-------------

Ciao, il tuo log mi ha spiazzato un po', ero sicuro di aver intuito di cosa si trattasse  ma mi manca un pezzo... Togliamo comunque quello che si vede...

Allora, leggi la seguente discussione:

http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=4407 - http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=4407

trovi le indicazioni per disattivare il ripristino configurazione di sistema e come riavviare il pc in modalità provvisoria. Segui le indicazioni ed elimina il ripristino configurazione di sistema e riavvia il pc in modalità provvisoria ma invece che in modalità provvisoria semplice, scegli, tra le opzioni proposte, la modalità provvisoria con supporto di rete. (per fare la scelta usa le freccette della tastiera, e poi invio per accettare. Il supporto di rete ci servirà per avviare l'aggiornamento a malwarebytes, dopo averlo installato)

Riavviato in modalità provvisoria, avvia hijackthis, ed avvia una scansione con hijackthis... Finita la scansione (chiudi tutte le finestre del browser, quindi le mie istruzioni le dovrai copiare a parte... o comunque le dovrai riaprire nel browser dopo aver usato hijackthis), metti il segno di spunta alle seguenti voci che vedi nella finestra di hijackthis:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2863002

R3 - URLSearchHook: Softonic_Italia Toolbar - {9d1a02c3-7d31-4c4f-ba7e-ccf1cafa1bf5} - C:\Programmi\Softonic_Italia\tbSoft.dll (file missing)

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\ConduitEngine.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Softonic_Italia Toolbar - {9d1a02c3-7d31-4c4f-ba7e-ccf1cafa1bf5} - C:\Programmi\Softonic_Italia\tbSoft.dll (file missing)

O3 - Toolbar: Softonic_Italia Toolbar - {9d1a02c3-7d31-4c4f-ba7e-ccf1cafa1bf5} - C:\Programmi\Softonic_Italia\tbSoft.dll (file missing)

O4 - HKLM\..\Run: [conime.exe] conime.exe

O4 - HKCU\..\Run: [MSConfig] C:\Documents and Settings\Gabry\qinh.exe \u

O4 - HKCU\..\Run: [api32] C:\DOCUME~1\Gabry\IMPOST~1\Temp\apiqq.exe

O4 - HKCU\..\Run: [King_ar] C:\WINDOWS\system32\arking.exe
Una volta messo il segno di spunta nella casellina alla sinistra delle voci che ti ho indicato, clicca su "Fix checked"
A questo modo le voci verrano cancellate e potrai riaprire il browser se ti serve per visionare le istruzioni.

Poi, senza riavviare, vai in start -> esegui e digita nella casellina di esegui: regedit
Premendo invio per fare accettare.  A questo punto ti si aprirà l'edit del registro di sistema. Dobbiamo correggere 2 cose e verificarne un'altra ma bisogna mettere la massima attenzione nel muoversi e nell'editare il registro, perchè eventuali errori potrebbero  compromettere la stabilità del sistema.
Regedit si presenta come una finestra divisa in 2 zone... quella a sinistra è per muoverti nel registro e quella a destra invece ti mostrerà gli eventuali dettagli di ciò che selezioni a sinistra.
Muoviti nella zona di sinistra, seguendo il seguente percorso:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

cliccando (quindi selezionando) su Winlogon, nella parte di destra vedrai una serie di valori, tra questi, nella colonna "Nome", individua Userinit e facci doppio clic sopra con il mouse. A questo punto ti si è aperta una piccola finestra che ti permetterà di editare il contenuto relativo ad userinit.
Il contenuto che visualizzerai sarà il seguente:

C:\WINDOWS\system32\userinit.exe

tu dovrai aggiungere una virgola alla fine della riga, in modo da modificarlo come indicato di seguito:

C:\WINDOWS\system32\userinit.exe,

Dopo aver aggiunto la virgola, clicca su ok e la correzione sarà stata applicata.

Passiamo alla seconda eventuale correzione che c'è da fare... Nella parte di sinistra, segui il seguente percorso:

HKEY_CLASSES_ROOT\CLSID\MADOWN

cliccando (quindi selezionando) su MADOWN, verifica che nella parte destra non ci siamo eventuali valori

urlinfo = nome_file

se dovessero esserci urlinfo, del genere, fai clic sopra con il tasto destro del mouse ed eliminali.

Adesso abbiamo da verificare un'ultima cosa nel file di registro, segui il seguente percorso:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

è presente, hai trovato la chiave explorer.exe?

Non devi far nulla, malwarebytes dovrebbe correggere il problema. Puoi chiudere regedit.

Sempre senza riavviare, installa malwarebytes, fallo aggiornare ed avvia la scansione completa del sistema (dovrebbe correggerti anche la visualizzazione dei file nascosti e di sistema) digli di rimuovere tutto quello che rileva e posta il log prodotto.

Riavvia il pc, fai aggiornare avira antivir apri la finestra dell'antivirus ed avvia la scansione applicando la seguente impostazione:

in configurazione setta,  in "scansione" -> "Tutti i file"
(solo in scansione setta tutti i file, il resto lascialo come è già impostato)

Salva l'impostazione ed avvia la scansione con avira ed anche adesso elimina gli oggetti trovati infetti.

Il pc potrebbe infettare supporti esterni, quindi, per adesso, fin quando non finisce la scansione di avira, non inserire penne usb e simili... (comprese macchinette fotografiche e lettori mp3) al pc...

Facci sapere

Ciao







-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

salve! Scusate il ritardo,mio padre si era preso l'influenza e ha passato la settimana al pc,nno potevo toccarlo....ora mi metto d'impegno e proverò a ripulirlo come avete scritto nel post precedente.
garzie di tutto,vi farò sapere!

Eccomi!
Ho fatto quasi tutto.
fatto scnsione con Hyjackthis e fixato .
Sono andata nel registroRegedit.
Ho messo la virgola a C./windows7sistem32/usernit.exe,
Sono andata su HKEY_CLASSES_ROOT/CLSID/MADOWN
c'era un Urlinfo REG_SZ dfgsxw.f che ho cancellato

Purtroppo non ho trovato explorer.exe.ho cercato a lungo ma secondo me manca.

Non riesco ancora ad aprire malwarebytes.

Ok per explorer, va bene così.
Quando hai provato ad installare malwarebytes, eri in modalità provvisoria?
Fai comunque la scansione con avira impostando la scansione di tutti i file, così come ti ho indicato nel post precedente. Dici se ti trova qualcosa.
Dopo di che, riavvia e riprova malwarebytes
ciao


-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Non riesco ad entrare nella modalità provvisoria.
Dopo che la scelgo il computer si blocca,per la sicurezza,a suo dire.
Dice varie cose tra cui di assicurarsi che non ci sia un virus nel disco rigido il tutto su una schermata blu.
Ho provato aogni tasto ma non risponde a nulla.

ho fatto scansione avira (selezionando in configurazione all files) dice che non ho nulla.

per entrare nella modalità provvisoria basta accendere il pc, premere f8,aspettare la schermata,e scegliere con le frecce modalità provvisoria e dare invio,giusto?
Certe volte penso di sbagliare io....

Si, per entrare in modalità provvisoria fai i passi giusti. Allora facciamo una scansione per
eventuali rootkit e ripetiamo il log di hijackthis.
Quindi, fai una scansione con gmer... Gmer lo puoi prendere dal seguete link: http://www.gmer.net/gmer.zip - gmer  
Scaricalo e decomprimi il file compresso in una cartella..., fai la scansione del
pc e prendi il log e copialo in un post della discussione
(per prendere il log di gmer... fai partire il programma... e dalla finestra di
partenza, cioè nella cartella rootkit del programma stesso, clicca su Scan...
e quando ha finito... clicca sul tasto Copy... Incolla quello che hai appena
copiato... in un post facendo attenzione che il log, dopo averlo postato, ci
sia tutto....) Se il log di Gmer dovesse essere molto grande.. potresti usare
un servizio di file hosting.. (tipo http://mediafire.com/ - mediafire.com ) e dopo aver fatto l'upload
del file.. indicarne il link...

Fai una scansione con hijackthis e posta il log

In questo modo vediamo eventuali oggetti nascosti (per questo usiamo gmer) e ricontrolliamo il log di hijackthis in modo da vedere se si son ricreate le cose che abbiamo tolto.. o se si sono aggiunte altre cose nel frattempo.
Ciao

PS: così, se si riesce ad avere un quadro dei file infetti e/o sospetti, si usa qualche programma che al riavvio li cancella e buona notte! Le voci che ti ho fatto fixare con hijackthis sono relative a malware relativamente facili da togliere... ma a questo punto penso che ci possa essere altro oltre quello visto con hijackthis.

-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

ho fatto la scansione con gmer!
Almeno,spero di aver fatto tutto per bene.
Ecco il log:

GMER 1.0.15.15570 - http://www.gmer.net
Rootkit scan 2011-03-22 16:17:30






-------------

Ecco,fatto anche scansione nuova con Hijackthis.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16.25.41, on 22/03/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal



-------------

Ciao, nel frattempo non usare penne usb, dischi esterni o cose simili.. (con molta probabilità è il classico malware che infetta le pennette usb e simili) inoltre, considerando che il tipo di malware che infetta questo tipo tipo di supporti va a copiarsi anche sui dischi, inserendo anche il file autorun.inf, dovrai evitare di cliccare anche sui dischi e/o partizioni che sono presenti sul pc. Leggi questo articolo per capire un po' meglio la situazione: http://pcprimipassi.it/psoftware/psoftware.asp?ID=AUTOPLAY - http://pcprimipassi.it/psoftware/psoftware.asp?ID=AUTOPLAY Passiamo ad una rimozione manuale, usando il programma avenger.
Scarica http://swandog46.geekstogo.com/avenger.zip - Avenger , estrailo dall'archivio ed inseriscilo in una cartella.
Questo programma ci permetterà di cancellare file anche difficili da eliminare...  nel nostro caso gli impartiremo le cose da fare utilizzando uno script che copierai ed incollerai nello specchietto del programma stesso.
Lo script è il seguente:
Files to delete:
C:\WINDOWS\system32\arking.exe
C:\Documents and Settings\Utente\qinh.exe
C:\WINDOWS\system32\arking0.dll
C:\WINDOWS\system32\arking1.dll
C:\WINDOWS\system32\arking2.dll
C:\autorun.inf

Folders to delete:
%temp%
C:\WINDOWS\Temp
Seleziona e copia quello che c'è nello specchietto precedente (seleziona e poi usa la combinazione di tasti Ctrl+c per copiare) e poi, dopo aver avviato il programma avenger (che avrai messo in una cartella sul desktop) e fatto clic con il mouse nello specchietto del programma, incolla quello che hai appena copiato (usando la combinazione dei tasti Ctrl + V)
A questo punto clicca su "Execute" (puoi mettere anche il segno di spunta in "Automatical Disable Any Rootkits Found", gmer non ne da comunque presenti.. ma non si sa mai!)
A questo punto il pc si riavvierà per eseguire lo script. Posta il log dei risultati.

Al riavvio  prosegui con le seguenti impostazioni

Rispetto l'eventuale ripristino della modalità provvisoria, prova e scaricare questo archivio:

http://www.techportal.it/dl/SafeBoot.zip - http://www.techportal.it/dl/SafeBoot.zip

Ci sono i backup relativi alle impostazioni di registro riguardo la modalità provvisoria (che molti malware disattivano)
Facendo un clic sul file .reg, avvii il ripristino delle impostazioni giuste. Nell'archivio ci sono 3 file, il file sul quale devi fare doppio clic è:

SafeBoot_Windows-XP-SP2.reg

Dato che dai log si evince che il tuo sistema operativo e XP service pack 2 (sp2).

Rispetto al ripristino delle chiavi relative alla visualizzazione dei file nascosti e di sistema, bisognerà cambiare qualche impostazione di registro utilizzando lo strumento regedit, così come hai fatto per "Urlinfo REG_SZ dfgsxw.f" che hai cancellato (adesso non dobbiamo cancellare ma variare le impostazioni):

Quindi, in start -> esegui, digita regedit (e poi premi invio per fare accettare)

Nell'editor di registro, segui il seguente percorso:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

Nella parte a destra, trova il valore CheckedValue e, facendoci doppio clic sopra, nello specchietto, in Dati valore, metti 1
Clicca su ok per fare accettare

segui il seguente percorso:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

Nella parte a destra, trova il valore CheckedValue e, facendoci doppio clic sopra, nello specchietto, in Dati valore, metti 0
Clicca su ok per fare accettare.

segui il seguente percorso:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Nella parte a destra, trova il valore Hidden e, facendoci doppio clic sopra, nello specchietto, in Dati valore, metti 1
Clicca su ok per fare accettare.

Controlla adesso se ti è possibile visionare i file nascosti e di sistema e se comunque mantiene le tue impostazioni.

Le altre voci dovrebbero essere ok (avevo dato una sbirciata al primo log che hai postato)

Dopo aver fatto questo c'è da dire che potresti avere ancora altri file infetti sul tuo pc (quelli che potrebbero essere ancora nella root del disco c) e se ci sono altri dischi potresti avere il file autorun.inf nella root dei dischi/partizioni e quindi potresti reinfettarti ad ogni clic che farai su quei dischi/partizioni... (nell'articolo che ti ho indicato prima è spiegato il meccanismo) La cosa che mi pare strana è che avira avrebbe dovuto darti degli avvisi o comunque (con l'impostazione che è stata fatta per la scansione "all files - tutti i file) avrebbe dovuto trovare almeno file infetti... ed invece non ha trovato nulla.. Quindi c'è ancora da fare altro.

Rispetto malwarebytes, è opportuno tu faccia una scansione completa anche con questo tool, quindi proviamo adesso ad installarlo ma prima di farlo, bisogna utilizzare un programmino, si chiama Rkill e serve appunto per terminare processi che potrebbero impedire l'installazione dello stesso, bisogna aggiungere che Rkill non elimina i file infetti... ma termina solo i processi infetti, quindi bisogna usarlo appena prima di installare malwarebytes senza riavviare il pc.
Rkill lo puoi prendere dal seguente indirizzo: http://download.bleepingcomputer.com/grinler/rkill.exe - Rkill.exe

Se non dovessi riuscire a scaricarlo.. allora ricontrolla il file hosts

Se poi invece riesci a scaricare Rkill ma non riesci ad avviarlo.. scarica: http://download.bleepingcomputer.com/grinler/iExplore.exe - iExplore.exe
che non è altro che Rkill con il nome cambiato.

Alcuni antivirus potrebbero riconoscerlo come infetto... non ti preoccupare è un falso positivo... (c'è anche da dire che alcuni malware danno avvisi fasulli a riguardo dicendo che è infetto... non lo è)

Appena dopo aver usato RKill, installa malwarebytes e fai una scansione completa, digli di eliminare gli oggetti rilevati infetti e poi posta i log

Ciao


-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

eppure il pc qualcosa deve averlo preso.
Il monitor si accende e si spegne ad intermittenza quando viene acceso la mattina,per diverso tempo. Ripristino di configurazione di sistema è bloccato. Non mi da, in visualizzazione,la possibilità di vedere file nascosti,e non c'è verso di aprire malwarebytes.

Una cosa che non ho detto,forse può essere importante,in estate mio fratello mi disse che un giorno il desktop non aveva più lo sfondo,ma era apparsa una schermata blu...avevo letto che i rootkit fanno proprio cose del genere.
Poi volevo sapere se le chiavette che regalano in giornali come gadget allegato possono essere veicolo di malware potenti....mio fratello ne usa un sacco.


Boh...non so che dire. Chiedo scusa per il tempo che rubo al forum.
Non vorrei mai diventare una seccatrice.
Più che altro vorrei sapere che razza di malware orrido ho preso per dare la possibilità anche agli altri di evitarlo,però se non si riesce pazienza.
Questo forum è stato fin troppo gentile

Non stai affatto rubando tempo, ci mancherebbe, non ti preoccupare, veniamo qui per questo, per aiutare, e se si da l'occasione di risolvere un problema, allora, come hai detto anche tu, non si aiuta una sola persona ma tante altre...
Rispetto al malware in oggetto, bisogna dire che in generale potrebbero essere più d'uno... quello che abbiamo fixato con hijackthis è un malware conosciuto, i nomi son diversi a seconda dell'antivirus e comunque cambiano a seconda della versione... quindi non se ne può dare uno preciso.
I rootkit sono abbastanza antipatici, la loro peculiarità è quella di prendere il controllo della macchina e poi nascondere e proteggere eventuali altri malware presenti (rootkit significa appunto kit dell'amministratore... quindi, uno strumento d'amministrazione...)
I malware che si possono trovare sulle penne usb sono antipatici... non è una questione di "potenza", il fatto è che uno non se l'aspetta... inserisce la penna e se l'antivirus non se ne accorge si trova infettato... diventando poi veicolo di infezione per altre penne non infette inserite nel pc...  Ma, conoscendo il pericolo, si possono evitare (leggi l'articolo che ti ho indicato nel post precedente). Bisogna essere coscienti che un malware può entrare anche in questo modo. Che poi noi parliamo solo delle penne usb, il problema lo posso avere anche gli hard disk esterni, i lettori mp3, le fotocamere ecc.ecc.... cioè, tutte quelle periferiche che possono innescare l'autorun
Adesso segui le indicazioni che ti ho dato nel post predente e vediamo se riusciamo a veniere a capo della situazione
Ciao


-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

allora,oggi ho usato Avenger
(ormai mi sto afcendo una cultura di antimalware!).
Non è cambiato molto.
Ho dovuto fare due tentativi per copiare lo scrip,certe volte il pc fa fatica a copiare e incollare.
Tuttavia alla fine ho fatto.
Mi sembra,per quanto ne capisca io(poco) che non abbia trovato nulla.
E ti pareva!

ecco il Log:
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////


Folder "C:\DOCUME~1\Utente\IMPOST~1\Temp" deleted successfully.
Folder "C:\WINDOWS\Temp" deleted successfully.

Completed script processing.

Ho anche ritoccato il registro,cambiando checkvalue in ogni parte richiesta.
Ora devo solo scaricare il back up della modalità provvisoria e poi Rkill.

Voglio riuscire ad usare Malwarebytes.
Manca solo lui!





Devo dire due cose che non avevo detto(sorry!)

Primo:
quando ho dovuto sistemare il pc di mio padre e di mio fratello ho fatto una scansione con Avira,sapevo che loro non fanno mai prevenzione.
Trovai ben 45 file infetti,che cancellai.(un sacco di autorun.inf)

Ora ho notato che quando apro Risorse del computer parte sempre un avviso di Avira che mi dice che potrebbero esserci file nascosti pericolosi.

L'ultima scansione che ho fatto mi dava zero virus ma un oggetto nascosto .
Il fatto e che non riesco  a vederli sti' file nascosti!



comunque non demordo.
ciao




-------------

Ho scaricato Rkill.
Mentre l'ho scaricavo si è aperta una finesta di Avira.
 Guard:malware found
Dice che il file Tr/crypt X Pack.gen2 è un virus contenuto in Rkill.exe.
Come mai?

Ignoro?

Avenger non ha trovato i file che gli avevo detto di eliminare, le cartelle temporanee le ha tolte..

Ancora non riesci a vedere i file nascosti e di sistema? Prova a variare le impostazioni di visualizzazione file... riesce a mantenere le impostazioni?

Riguardo Rkill, nel post precedente avevo detto che poteva essere considerato infetto.. ma non lo è, quindi non ti preoccupare, scaricalo, dici all'antivirus di ignorarlo o comunque disattiva l'antivirus momentaneamente, e dopo averlo fatto funzionare, prova ad installare malwarebytes e fai fare una scansione completa.

Avevo intuito che in precedenza, oltre a quello che è uscito dal log di hijackthis, il pc aveva avuto qualche malware...

Cerchiamo di far fare la scansione con malwarebytes, potrebbe risolvere molte cose

Ciao

PS: hai letto l'articolo rispetto l'autorun?


-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Buongorno!
Ecco le novità:

Finalmente riesco a spuntare visualizza file nascosti!
Se chiudo la finestra e la riapro la spunta rimane! Evvai!
Un piccolo passo....

Oggi si era bloccato internet.
Accidneti,mi è venuto un mezzo infarto
Cliccavo su Alice e mi dava Errore.
Non sapevo che fare ho rifatto un po' di scansioni.
Ho notato che con Gmer viene un risultato diverso

GMER 1.0.15.15570 - http://www.gmer.net



ieri sera poi c'era un'altra riga che oggi non c'è più.
Io l'ho scritta per sicurezza
era questa:
? luxymh.sys impossibile trovare il file specifico!


Per rimettere internet ho rifatto la procedura con Avenger,rimettendo lo scrip precedente.
ecco il log:
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////


Completed script processing.

*******************

Finished!  Terminate.


Dopo averlo fatto ho ripreso il controllo dlela rete(e tirato un sospiro di sollievo)

Ora mi concetro su Rkill. Voglio riuscire a d aprire Malwarebytes!
Non ne posso più di sto' malware....


ciao!


-------------

sono ancora io
allora Rkill non lo lo apre. per istallarlo mi dice errore in continuazione.
Mentre lo stesso con nome camuffato lo apre,ma quando cerco di installarlo si blocca ad un certo punto.
arrivo alla finestra con scritto
WINRAR self-extracting archive,clicco su Instal,ma mi dice:

impossibile trovare file
C:/Documents and setting/Utente/documenti/dowload/explore.exe.
Verificare il percorso e che il nome del file siano corretti e ritentare.

Poi dice
C:/Windows
Folder is not accesible


Magari sono io che sono fusa a forza di installare programmi e sbaglio qualcosa,che devo fare?


-------------

Ciao ElleVerdi.
Ho letto la discussione e vedo che sei inguaiata con questi virus :P

Io nel tuo caso avrei fatto un bel Backup di tutto e formattato per trovarmi un PC pulito ^^

Comunque visto che hai ancora dei problemi (scusa PRGN se mi intrufolo :P) prova a fare una scansione con questo http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe - Tool della Norman (Software House di Antivirus).
Lo scarichi, sono circa 112MB. Una volta salvato l'avvi e fai "Start Scan" o "Scan" ora non ricordo, è un pulsante in basso a destra. La scansione potrebbe metterci anche più di un'ora quindi falla partire e vai a prenderti un caffè :)

PS: Se non riesci a scaricarlo dimmelo che lo uppo su un sito di hosting e poi lo scarichi da lì.

-------------

Ciao, in questo caso potresti non risolvere nemmeno con la formattazione..
Non scherzo, prendo solo in considerazione i risultati degli scan fatti... Hijackthis non da nulla di infetto e lo stesso gmer... E se fosse un tdss rootkit che infetta il boot sector del disco??? Non sarebbe il primo tdss che gmer non riesce a far vedere.. Se non lo si toglie con qualche tool si deve ripartizionare il disco per eliminarlo altrimenti ce lo potremmo ritrovare anche dopo la reinstallazione del sistema.. pure se si è formattato il disco.
Ottimo il suggerimento del tool della norman (questi tool ci possono aiutare a trovare indizi se non ad eliminare il malware)

Ritornando alle cose da fare..
Volevo farti provare il removal tool di kaspersky (appunto contro i tdss rootkit)

http://support.kaspersky.com/viruses/solutions?qid=208280684 - http://support.kaspersky.com/viruses/solutions?qid=208280684

TDSSKiller e nella versione .zip e nella versione exe.. Prova con una delle 2. (trovi i link per scaricarle all'interno dell'articolo)
Se non ti facesse accedere al link, prova il seguente link per scaricare il tool:
http://38.117.98.236/downloads/utils/tdsskiller.exe -
http://38.117.98.236/downloads/utils/tdsskiller.exe

Dopo averlo usato, riproviamo con rkill e malwarebytes.

Hai provato a ripristinare la modalità provvisoria? Se si, prova ad entrarci per vedere se ti funziona e prova ad installare malwarebytes anche da li.. (se ancora te lo facesse installare)

Se ancora rkill e malwarebytes non vanno, facciamo questa prova (un po' inquietante perchè vedrai sparire il desktop). Avvia il taskmanager (ctrl + alt + canc), vai nella scheda processi e trova il processo explorer.exe, cliccaci con il tasto destro del mouse sopra e termina il processo. Dopo aver terminato il processo explorer.exe, vedrai scomparire tutto il desktop (si chiuderanno i programmi) e rimarra solo la finestra del task manager aperto. A questo punto, nella finestra di task manager, vai in 

File -> nuova operazione (Esegui...)

e digita:

explorer.exe

Premi invio per fare accettare... e per magia riapparirà il desktop... Dopo che il desktop sarà riapparso, riprova ad avviare l'installazione di malwarebytes..

Incrocio le dita in attesa di buone nuove
Ciao


-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Ciao!
Volevo davvero ringraziare tutti.
Prgn ha vinto il premio della " miglior pazienza 2011"
Davvero,mi è stato di molto aiuto.

Ora prendo appunti.
Fa moolto ridere pensare che passo ore e ore a scrivere appunti cartacei,ma se non faccio così mi perderei!


Un amico di mio fratello ogni tanto formattava il pc perchè spesso ha avuto problemi del genere.
Però dopo un po' ritornano.

Sinceramente vorrei evitare l'ennesima formattazione,a meno che non sia inevitabile.

Non potete immaginare la soddisfazione che avrei se lo ripulissi dal malware bastardo senza formattare

Ok,mi metto al lavoro.

Un grazie ancora a tutti,vi farò sapere.

ciao!
Elle

Malwarebytes funziona!
Finalmente sono risucita ad aprirlo....miracolo!


L'ho aggiornato(fatto bene?) poi ho fatto la scansione.
Non sapevo quale fare,ho optato per la scansione veloce,ditemi se devo fare quella completa.

Il risultato mi ha lasciato di stucco.

Elementi infetti :33
Come 33?

Mentre afcevo la scansioneho disabilitato Avira,però non sapevo se e come disabilitare tutti gli altri anti malware.


Spero che malwarebytes si apra anche domani....ho il terrore che di nuovo il malware me lo blocchi.



ecco il sospirato log,intanto:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 6183

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

27/03/2011 17.14.40
mbam-log-2011-03-27 (17-14-30).txt

Tipo di scansione: Scansione veloce
Elementi esaminati: 137713
Tempo trascorso: 2 minuti, 40 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 23
Valori di registro infetti: 5
Voci infette nei dati di registro: 3
Cartelle infette: 0
File infetti: 2

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\a2guard.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\a2service.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\a2start.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ad-Aware.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ad-AwareAdmin.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVK.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVKWctl.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avshadow.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe  (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cfp.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmdagent.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\conime.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DefWatch.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe  (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mbamservice.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MRT.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mrtstub.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PREVX.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rtvscan.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe  (Security.Hijack) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdAgent.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\livesrv.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\seccenter.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.

Voci infette nei dati di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig (Windows.Tool.Disabled) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\documents and settings\Utente\dati applicazioni\avdrn.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\fjhdyfhsn.bat (Malware.Trace) -> No action taken.



Che devo fixà?


-------------

Devi eliminare tutto! Ogni oggetto nocivo che ha trovato va eliminato. Nessuna pietà.

-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

PS: Ti consiglio di far una scansione anche con il tool di Norman che ti ho indicato prima, che non è male. ^^

-------------

Ciao!
Ora mi metto a cancellare i 33 infidi,schifidi,malware che Malwarebytes ha trovato.
sarà un vero piacere farlo

Ho scaricato Tdsskiller,dopo lo istallo e faccio una scansione.
Spero di capire come postare il log,dovrebbe essere facile come tutti gli altri vero?

Ok,vado a ripulire il pc.
a presto.

Elle

pc ripulito!
G-R-A-Z-I-E!!!!!!!!
Però non ho fatto tutto io.
Dopo aver usato malwarebytes e aver cancellato i 33 esseri immondi,è arrivato l'amico di mio fratello.
Ha messo su Combofix con un disco(che a suo dire è il meglio)e ora il pc sembra nuovo.
Ha insistito....non ho potuto dirgli di non fare niente.
Ora il sistema è tornato a posto!

Secondo voi c'è ugualmente pericolo del Tdss rootkit?

Conviene installarlo lo stesso TDSSkiller?


Volevo chiedere un ultimo paio di cose(poi giuro che Vi lascerò tutti in pace)
Ora che il pc è pulito ho il terrore di inserire chiavette o collegare cellulari.
Non mi ricordo più come fare per assicurami che non siano infetti,e magari il metodo per ripulirli.
Dovrei leggere un articolo che avete già postato?
Se ritorna tutto come prima m'impicco


Il secondo dubbio è questo.
Dopo aver ripulito il pc ho notato che è cambiato una cosa in Avira antivir.
Nella schermata di Status la riga di Last update non è più verde,ma ha una croce rossa e c'è scritto Not performed.

Lo lascio così?
Funziona lo stesso?

Grazie ancora,siete mitici!
Non sapevo davvero dove sbattere la testa per ripulire il mio pc.

ciao!

Ciao, penso che combofix abbia fatto il suo lavoro, è ottimo ma a volte ha creato problemi di varia natura e quindi lo uso raramente.
L'importante è che adesso il pc va bene.
Adesso dovresti fare una cosa, poichè i malware apportano modifiche al sistema e le stesse potrebbero essere riportante all'interno del ripristino di sistema (assieme spesso a file infetti), si dovrebbero eliminare i punti di ripristino. I punti di ripristino li puoi eliminare semplicemente disattivandolo, per farlo vai in pannello di controllo -> sistema e nella cartella Ripristino configurazione di sistema, metti la spunta in "disattiva il ripristino configurazione su tutte le unità", applica e poi clicca su ok.
Una volta disattivato (e quindi eliminati i punti precedenti) puoi riattivarlo, in questo modo inizierà a produrre punti di ripristino (puoi anche farne uno tu manualmente, vai in tutti i programmi -> accessori -> utilità e trovi la voce relativa al ripristino... cliccaci sopra e poi digli di creare un nuovo punto di ripristino)

Rispetto le penne usb, hai letto l'articolo che ti ho linkato?
In quell'articolo si spiega il meccanismo usato per infettare, l'autorun, i passi per difendersi da questo tipo di "infezioni" sono la disattivazione dell'autorun da tutte le unità (naturalmente senza poi andare a cliccarci sopra da risorse del computer... altrimenti si avvierebbero comunque. Per accedere ai supporti removibili conviene sempre cliccarci sopra, in Risorse del computer, con il tasto destro del mouse e scegliere "esplora")
Naturalmente, conoscendo il meccanismo usato, puoi anche pulire i dispositivi removibili... Comunque leggi l'articolo e facci sapere se qualcosa non è chiaro... Avira adesso è molto reattivo nel rilevare i file autorun.inf sui supporti removibili...

Rispetto al fatto che avira ti da, rispetto l'update, not performed..  potrebbe essere un qualcosa di momentaneo... E' stato chiuso mentre era in funzione Combofix? Se non si dovesse sbloccare (anche se io lo reinstallerei comunque), disinstalla Avira, riavvia  e re-installato, ecco il link:

http://download.html.it/software/vedi/8670/avira-antivir-personal-free-antivirus/ - http://download.html.it/software/vedi/8670/avira-antivir-personal-free-antivirus/

Facci sapere

Ciao




-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Ciao!
Il pc sembra essere ok,ma il problema del monitor stamattina si è riproposto. Si accende e si spegne ad intermittanza come una luce di natale per diversi minuti.
Sto cominciando a pensare che forse è un problema tecnico,anche se poi,durante il giorno,funziona bene.
Ho rifatto la scansione con Malwarebytes è non da nulla.
Combofix volevo provarlo ma sinceramente non lo so usare.
Mi dice sempre che se lo apro è a mio rischio perchè ci sono altri antivirus collegati.
Mi sa di complicato.


Ieri l'amico di mio fatelllo non l'ha disattivata il ripristino dle sistema(e ti pareva!),ora lo faccio io. Magari il monitor va persino a posto!

Avira è tornata regolare.Ho solo dovuto aggiornarlo.
Mi ha un po' deluso,credevo fosse il miglior anti virus,invece ha fatto poco.
Non ci sono antivirus più potenti che non si fanno fregare da nessun malware?

Voglio rileggere più attentamente l'articolo su autorun e chiavette.
Cercherò di ripulirle.

ciao!

Ciao, rispetto al monitor potrebbe essere anche una questione hardware... mi viene da pensarlo perchè a quanto dici, mi pare di capire, che una volta che si riscalda non lo faccia più... vero?

Tra gli antivirus gratuiti Avira Antivir è il migliore, te lo dice uno che lo usa forse da quando è stato messo in circolazione anni e anni fa... non ci guadagno nulla a dirtelo e ho avuto modo d'apprezzarlo varie volte, sempre nella versione gratuita. Altri antivirus mi son sembrati più "bucabili" (ti parlo sempre dei gratuiti). Poi, a pagamento, il top dovrebbe essere Kaspersky.
Non esiste quello che chiedi, "antivirus che non si fanno fregare". L'unico pc che non è attaccabile da virus e simili è un pc che ancora non è stato assemblato!

Non ho capito quando dici:

"Mi dice sempre che se lo apro è a mio rischio perchè ci sono altri antivirus collegati"

Dicci di preciso che ti dice.

Facci sapere
Ciao

PS: rispetto combofix non lo usare per adesso è molto potente come strumento e non vorrei che si avessero "effetti collaterali"


-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

ciao prgn!
oggi il pc sembra funzionare bene.
Ieri ho disattivato il ripristino di sistema,forse era quello che mancava.

Combofix ho provato ad aprirlo ieri(volevo vedere com'era)ma non ci sono riuscita.
Si carica poi mi dice che ci sono altri scanner attivi,o cose simili,e che praticamente la responsabilità della scansione è mia.
Una finestra che è scomparsa subito,non ho avuto il tempo di leggerla benissimo.
Comuque ho chiuso e per il momento non lo tocco più.

Credo che reagisca male con tutti gli altri programmi di antimalware,non so come sia riuscito ad aprirlo l'amico di mio fratello.
Boh?

Ho letto accuratamente il tuo articolo su autorun,ora so che fare quando dovrò mettere una chiavetta!
Devo dire che spieghi benissimo. Perfino una come me,da sempre negazione totate in campo informatico,ha capito tutto.

Ti volevo chiedere una curiosità sulla posta elettronica.
Quando uso le mie due mail è normale che nella riga del http ci sia un indirizzo che corrisponda ad altro?
Io ho copiato e incollato in motore di ricerca,e viene fuori che appartiene ad un tipo di palermo.

Magari sono io che non ne capisco un tubo,però volevo solo essere sicura che nessuno mi stia spiando la posta. sempre che sia possibile che qualcuno entri senza password nelle mie due caselle di posta.

E' normale che quando scrivo una parola con l'apostrofo si blocchi tutto?
Ormai non riesco più a scriverlo nelle mail.

ciao!

Ciao, non credo che il disattivare il ripristino sia stato determinante per eliminare i problemi più evidenti del pc. L'eliminazione del ripristino è più che altro una precauzione che bisogna adottare ogni qual volta si viene colpiti da un malware. Il ripristino serve a registrare i cambiamenti importanti che interessano il sistema operativo, ed un malware apporta effettivamente dei cambiamenti, e questi possono esser riportanti anche nei punti di ripristino.
Di conseguenza, i punti di ripristino, possono risultare anche essi infetti o comunque avere delle impostazioni che possono rendere più vulnerabile il nostro sistema operativo. Questo comporta, che nel caso ti avvalessi di questi punti di ripristino infetti, ti potresti reinfettare anche dopo aver pulito il pc... il che sarebbe una vera e propria beffa. Mi dirai "ma l'antivirus ha scansionato e non ha trovato nulla!", in realtà i punti di ripristino finiscono in una cartella protetta di sistema... e non sempre gli antivirus riescono ad apportare modifiche a questa cartella... quindi, la soluzione più sbrigativa che puoi adottare è l'eliminazione dei punti creati fino a quel momento, e questo lo puoi ottenere con la disattivazione del ripristino configurazione di sistema. Tutto qua, questo è il motivo per il quale ti ho fatto eliminare i punti di ripristino.

Ah, quindi ti riferivi a combofix quando dicevi "Mi dice sempre che se lo apro è a mio rischio perchè ci sono altri antivirus collegati"?!?
Combofix richiede che vengono chiusi tutti i programmi quando è in esecuzione, specie quelli per la sicurezza del pc, per questo ti da quell'avvertimento. E' questa è una buona regola generale quando si usa un tool del genere. Qui puoi leggere una guida che da qualche spiegazione sul funzionamento:
http://www.bleepingcomputer.com/combofix/it/come-usare-combofix -
http://www.bleepingcomputer.com/combofix/it/come-usare-combofix

Mi fa piacere quello che dici riguardo l'articolo, grazie . Lo scopo dell'articolo è priprio quello, cercare di spiegare in maniera semplice, non tanto perfetta... , ma l'importante che sia d'utilità e son contento che lo sia stato. 

Rispetto l'email non ho capito bene, fai il login sul server che gestisce la tua casella di posta elettronica e vedi che nell' http://it.wikipedia.org/wiki/Uniform_Resource_Locator - url presente nella barra degli indirizzi c'è una email riconducibile ad un'altra persona?
E' strano, su che server hai la posta elettronica?
Questa cosa è da controllare un po'. In generale nell'url non dovrebbero esserci i dati completi per il login, ma il nome utente potrebbe esserci.. ma sempre quello tuo e non quello di un'altra persona...

Altra cosa strana è il fatto dell'apostrofo.. non l'ho mai sentito, te lo fa solo nell'email? Se incolli un testo con degli apostrofi scritto magari in blocco note, si blocca lo stesso?

Devo ancora fare un confronto fra tutti i log che hai postato... ti faccio sapere

Ciao
Ciao


-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

caio!
davvero,ti meriti un sacco di complimenti.
Solitamente l informatica(ecco vedi,l apostrofo non viene fuori nemmeno adesso) mi è sempre parsa fredda e difficile,ora invece mi sto appassionando.
Grazie!

Ritornando alla mail.
E' possibile che quando entro nella mia posta elettronica(io ho due diverse mail di hotmail) http: in alto sia lo stesso?
Però non mi sembra inerente a hotmail.
Cosa dovrei leggere dll'url?
Esiste un modo per sapere se la propria mail è stata violata o per evitare che succeda?
Mi seccerebbe molto sapere che c'è qualcuno che è riuscito a decifrare tutto ciò che c'è nella mia mail.
Meno male che io la uso solo per comunicazioni poco importanti.



Ritornando all'apostrofo(ora è ritornato...che strano)succede che talvolta si blocca appena lo digito facendo il suono di errore.
Sotto lo schermo si apre una riga che dice
"Ricerca rapida(solo link)"
con vicino un riquadro in cui si scrive la parola che volevo scrivere.
Poi scompare.
Capita spessissimo quando scrivo mail,ogni tanto anche in qualche sito.

Cose strane

Ciao, l'informatica è uno strumento utilissimo, dico strumento perchè, oltre alla passione che può generare, è di stimolo anche per altro, le applicazioni sono infinite
Pensa a cosa sarebbe oggi il modo se il pc, che ormai è in tutte la case, ci fosse arrivato anche solo 10 anni prima... Io stesso mi rendo conto che tante cose che oggi son normali da fare... solo pochi anni fa mi erano impossibili... E in Italia siamo indietro.

Riguardo il problema con l'apostrofo, mi sono informato, è relativo ai tasti di ricerca rapida legato a firefox. Che versione di firefox è installata? (vai in aiuto, nel menù di firefox, clicca su informazioni su Mozilla firefox e dovrebbe darti la versione)
Se non si risolve con l'aggiornamento allora bisogna usare un'estensione che ti permette di variare i tasti di ricerca rapida ' e / (o in definitiva si potrebbe inoltre disattivare la funzione)

Riguardo l'email, non importa che tu la utilizzi per comunicazioni "poco importanti", la casella email ha bisogno della massima tutela, non solo è l'indirizzo dove ti arriva la posta, ma è il posto dal quale può uscire posta a tuo nome... Quindi ha bisogno della massima tutela, la corrispondenza è sacra!

L'url che vedi sono i seguenti:

quando fai il login dovrebbe apparire:

https://login.live.com/login.srf?......

al posto del puntini vedrai una serie di stringhe che vengono passate al server... La cosa importante che si nota subito è il fatto, che in quel momento, sei su una connessione protetta, e questo lo capisci guardando il protocollo, che è la prima cosa che è indicata nell'url...:

https

la s finale ci dice che è una connessione protetta.

Poi, dopo aver fatto il login, ti appare il seguente url nella barra degli indirizzi:

http://du105w.dub105.mail.live.com/?rru=inbox

Non è un link personalizzato mediante il quale si può accedere alla tua casella email, quindi può essere comune a più utenti...

Per avere un po' di sicurezza, perchè non è mai detto che nessuno possa entrare in un profilo craccando in qualche modo la password, bisogna usare in primo luogo un password complessa, leggi:

http://www.microsoft.com/italy/athome/security/privacy/password.mspx - http://www.microsoft.com/italy/athome/security/privacy/password.mspx

Ti dico che pochi hanno una password complessa... ma per le caselle email penso sia importante averne una difficile da individuare.
In secondo luogo è importante impostare tutta quella serie di meccanismi messi a disposizione per recuperare il nostro account nel caso venga rubato... (domande da usare nel caso la password non si ricordi ed email alternative, naturalmente le domande aggiuntive non devono essere banali... altrimenti possono essere individuate facilmente le risposte)
Per adesso, per sentirti sicura, prova a cambiare la password mettendone una più complessa (ma non la dimenticare... Te lo dico perchè è frequente che si dimentichi)
Ciao

-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Ciao!
Io non ho mai avuto interesse per i computers,ma da quando ho iniziato la mia attività di personal trainer mi è venuto comodo usarne uno portatile,dove poter archiviare per bene tutti i dati dei miei allievi.
Prima usavo il pc con una certa superficialità,ma non avevo grandi problemi.
Da quando ho cercato di sistemare quello che usano mio padre e mio fratello(già formattato circa 7 volte!) mi sto appassionando all'informatica.
Grazie Prgn!
Hai la stoffa dell'insegnante perfetto!



Credo proprio che tu abbia ragione!
Firefox deve avere una versione vecchia,per questo non funziona più bene.
 La versione che ho è
Firefox
versione 3.5.18

Dovrei fare qualche cambiamento?


La posta sembra ok,l'url corrisponde.
Solo che giorni fa non si vedeva del tutto(probabilmente a causa di firefox  vecchio).
Devo cambiare password. Ammetto che io tendo a metterne sempre di facili e simili,per comodità,ma è meglio crearne di complesse.
Comunque  non uso mai il computer per operazioni bancarie o pagamenti,non mi fido.


Avevo paura che avessero letto la mia mail perchè ogni tanto succedeva che veniva fuori una finestra che diceva:

"Anche se questa pagina è criptata le informazioni che si presta a inviare verranno spedite attraverso una connessionein chiaro e potrebbero essere facilmente intercettate da terzi"

Non so che vuol dire,ma avevo avuto un dubbio che mi potessero violare la posta elettronica.

Ciao, ti ringrazio per i complimenti.   Sai, io ricordo di aver imparato una cosa da piccolo, o meglio, non imparato, mi è stato detto: "non aver paura di fare domande".
A questo, con il tempo, ho contrapposto la difficoltà a ricevere delle risposte... Da qui ad arrivare alla considerazione, in contrapposizione con la realtà dei fatti, che il condividere è meglio del tener per se, il passo è breve... e se la cosa poi ritorna utile ad altri, mi riempie di gioia
Lo sai??? In "un'altra vita" mi sono occupato un po' del tuo settore... (forniture attrezzature..) poi va beh, tante storie e si cambia strada.. (non è che fosse stata la mia di strada, mi ci son trovato dirottato). Ricordo con piacere molte persone conosciute... tante altre con meno piacere, come d'altronde in ogni ambiente, ma è un bel settore. Ti faccio i miei auguri per la tua attivita. 
Ritorniamo al tuo pc, altrimenti ci dicono che siamo finiti offtopic.. e ci bacchettano...

Adesso firefox è alla http://www.mozilla.com/it/firefox/ - verisione 4 .  La tua è molto precedente, quindi, presumibilmente, potresti vedere eventuali http://support.mozilla.com/it/kb/I%20componenti%20aggiuntivi%20risultano%20disattivati%20dopo%20aver%20aggiornato%20Firefox - componenti aggiuntivi non riconosciuti , ad aggiornarla. Hai componenti aggiuntivi/estensioni installati in firefox?

Io passerei a reinstallare la nuova versione rimuovendo la vecchia, ma prima dovremmo metterci al riparo dalla perdita di dati importanti, quelli relativi al profilo utente. La http://support.mozilla.com/it/kb/Disinstallare%20Firefox - disinstallazione standard dovrebbe comunque lasciare i dati del profilo utente, con le password ed i segnalibri ecc. ivi registrati (che poi ti vedrai riportati nella nuova installazione) ma un backup potrebbe metterci al riparo da eventuali perdite. Leggi come fare il backup del profilo:

http://support.mozilla.com/it/kb/Effettuare%20il%20backup%20dei%20dati%20personali - http://support.mozilla.com/it/kb/Effettuare%20il%20backup%20dei%20dati%20personali

Se poi non hai particolari esigenze rispetto ai dati del profilo, tanto da spingerti a fare un backup del profilo di firefox... ma al massimo hai i segnalibri da salvarti e le password le ricordi, per metterti al riparo dalla perdita dei segnalibri.. ti basta esportarli in formato html:

http://support.mozilla.com/it/kb/Esportare%20i%20segnalibri%20in%20un%20file%20HTML?s=esporta+segnalibri&as=s - http://support.mozilla.com/it/kb/Esportare%20i%20segnalibri%20in%20un%20file%20HTML?s=esporta+segnalibri&as=s

e poi, più o meno alla stessa maniera (ti basterà scegliere di importare il file che hai esportato), li potrai reimportare nella nuova versione del browser, sempre se non vengono importati in automatico, perchè l'installazione riconosce eventuali profili precedenti e ne importa i dati.

Quindi, ricapitolando, volendo mettere la nuova versione, togli la vecchia ma prima tutelati rispetto la perdita di dati... Per le estensioni, dipende se l'estensione è supportata dalla nuova, il salto dalla 3.5 alla 4 è parecchio e qualche estensione potrebbe non esser supportata.
Un browser va sempre comunque tenuto aggiornato, ne vale della sicurezza del pc...

Rispetto l'avvertimento che ti da il browser, quello relativo all'invio dell'email in chiaro... è un avviso di servizio che il browser da ogni qualvolta, nell'invio, si passa da https a http... Io non mi preoccuperei tanto.
E' un avviso dovuto e non è che indica che la tua posta è stata violata.

Rispetto invece i log che hai postato... sto eliminado le voci superflue e sto facendo una verifica rispetto delle voci... Non ho tanto tempo ma spero di riuscirci per domani
Ti faccio sapere

Ciao


-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Ciao Prgn!
A me dispiace rubarti tempo per farmi controllare i log...sei fin troppo gentile.
Io sono curiosa,nel senso che amo imparare.
Non mi piace trovarmi a disturbare poi gli altri per sistemare i miei problemi.
Vabbè,se avrai bisogno di una personal trainer fammelo sapere!
Ricambio volentieri il favore!



Ho preso appunti per cambiare firefox,ho letto tutti gli articoli.
Devo dire che sembra un tantino complicato,spero di riuscirci.

prima cosa:
ho visto i componenti aggiuntivi,credo siano questi tre.

Babylon 1.1.3
Java Quick Starter 1.0
Veoh Video Compass 1.5.2

ho cliccato su cerca aggiornamenti ma mi dice che non è stato trovato alcun aggiornamento.


Esattamete a cosa servo i componenti aggiuntivi?
io navigo ancora nella beata ignoranza...

La mia paura è una.
Se disattivo Firefox perdo la possibilità di accedere in internet?
se si,poi come la piazzo(termine tecnico )la versione 4 ?
Se perdo questi tre componeti aggiuntivi succede qualcosa di irreparabile?
(a me basta che mio padre possa navigare a guardarsi le sue notizie del tg e non mi rompa le scatole )



Tu consigli di disattivare la vecchia versione comunque?
Se aggiorno direttamente che succede?
Certe volte mi appare una finestra di Firefox che mi dice che ho una versione vecchia e che devo aggiornare direttamente.


Sinceramente perdere i segnalibri non sarebbe il male più grave.
Ma le password di firefox quali sarebbero?

Ciao, mica "rubi" tempo, figurati, non c'è nessun problema, non ti preoccupare 

I componenti aggiuntivi aggiungono funzionalità al browser, al seguente link, ad esempio, puoi trovare dei componenti aggiuntivi per firefox:

https://addons.mozilla.org/it/firefox/ - https://addons.mozilla.org/it/firefox/

possono personalizzare il nostro browser... il problema, con l'aggiornamento del browser, è legato al fatto che i componenti aggiuntivi possono non essere supportati dalle nuove versioni del browser... Quindi, quelli non compatibili, verrebbero disattivati dopo l'aggiornamento.
ADesso il dilemma è questo: meglio avere una funzionalità aggiuntiva particolare, oppure avere un browser aggiornato e quindi più sicuro???
Se ad esempio babylon, che credo sia il traduttore, ti dovesse essere molto utile e non fosse supportato da firefox 4... lo perderesti dopo l'aggiornamento... (sperando che poi venga aggiornato anche lui e quindi ritornasse funzionante.. ma non è detto che accada) come anche gli altri.
Quindi devi decidere tu, magari chiedi anche a chi usa il pc se utilizzano questi componenti.

Puoi anche fare una prova diretta, disattivali (entrando nel menù
"Componenti aggiuntivi") e vedi se qualcuno ne reclama l'assenza. Se nessuno ne reclama l'assenza allora procedi con l'aggiornamento.

Prima devi scaricare il nuovo firefox, e poi disinstalli il vecchio. Dopo ache l'hai disinstallato, installa il nuovo firefox e gli dici di metterlo come predefinito, quando te lo chiede. Se tutto va a buon fine, importerà i dati del profilo utente, i componenti aggiuntivi, le password salvate dei login, i segnalibri.. ecc.

Quando disinstalli un browser, non è che togli la connessione ad internet...
togli solo il programma per aprire le pagine web, nel caso di windows hai sempre internet explorer che puoi usare nel frattempo non rimetti l'altro (ma benissimo puoi fare come ti ho detto, scarichi il nuovo, togli il vecchio e installi il nuovo)

Per password salvate intendo quelle password (tipo ad esempio i login fatti nei vari siti) per le quali hai dato il premesso al browser di salvarle... in modo da non doverle ridigitare ogni volta che accedi a quel sito che richiede il login. Se si dovesse perdere il profilo utente, il browser non le ricorderebbe più e quindi, in caso di login, le dovrai ridigitare.

Se vuoi il mio parere riguardo l'aggiornamento, non è detto però che lo devi seguire, ti dico solo quello che farei io. In primo luogo considererei che il browser è il programma che uso per navigare, e quindi per aprire pagine web che mi vengono dall'esterno, ergo, un browser non aggiornato mi metterebbe comunque a rischio (perchè i programmi possono avere dei bug o dei problemi di sicurezza e questi vanno risolti con gli aggiornamenti... se non è aggiornato allora, di conseguenza non è sicuro) dal punto di vista della sicurezza. Quindi, in primis la sicurezza e per questo l'aggiornerei a prescindere dai componenti aggiuntivi. Se perdessi qualche componente aggiuntivo, pazienza... meglio perderli che essere a rischio sicurezza.
Rispetto i segnalibri, li esporterei, il passaggio è veloce e non comporta nulla di particolare:

menù segnalibri -> organizza i segnalibri e selezionando "tutti i segnalibri",
in importa e salva, scegliere esporta html.

In questo modo li potrò importare se il profilo non venisse riconosciuto.

Per le password dei login fatti sui vari siti, non ho dubbi, io non le salvo mai nel browser, quindi non mi preoccuperei di altro

Tu salvi le password dei login nei vari siti nel browser? Informati anche se altri che usano il pc lo fanno... Se si, allora per sicurezza ti consiglio di fare il backup del profilo, altrimenti fai come ti ho indicato poco prima.

---

Ritorniamo a quello rilevato nel pc... per scrupolo controlliamo eventuali job presenti, vai in C:\Windows\Tasks.
A parte "Aggiungi operazione pianificata" noti altre voci nella cartella?

Ciao


-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Grazie!
Farò come dici!
Oggi disattivo i componenti aggiuntivi e vedo se qualcuno li reclama o meno.
Se non succede nulla domani scarico firefox 4 e disattivo dopo la versione vecchia.
Ora ho capito cosa sono le password. Io non le salvo mai nei vari siti.

Ho dato un'occhiata alla cartella che mi hai detto,C:\Windows\Tasks.
Non c'è solo "Aggiungi operazione pianificata",ma c'è anche altro.

"AppleSoftwareupdate"  con scritto vicino "alle 16.07 ogni mar di ogni settimana dal 15/10/2010"

Cos'è? Roba pericolosa?

Ciao
La cartella tasks contiene dei job, in pratica si impostano delle operazioni da effettuare periodicamente... Nel tuo caso, quel job, avvia un programma di update per qualche software dell'apple, magari hai installato quicktime... Quindi non ti devi preoccupare.
Nella cartella tasks a volte i malware inseriescono i loro job, per questo ti ho fatto controllare..
Hai poi usato quel file per ripristinare la modalità provvisoria?
Hai poi ricontrollato il file hosts? Se non lo hai fatto, ricontrolla che sia come ti ho indicato.
Facci sapere
Ciao


-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Ciao!
Grazie per aver controllato anche la cartella tasks...ma sti' malware si possono nascondere proprio ovunque!
Tu dici che ne ho ancora uno mimetizzato nel pc pronto a saltare fuori?
Per ora solo il monitor continua a lampeggiare appena acceso,per il resto tutto funziona bene.


La modalità provvisoria...me ne sono dimenticata! accidenti!
Troppe cose tutte insieme!
Vedrò di andare a rileggere come scaricare quei files.
Mi consigli di fare una scansione con Malwarebytes anche il modalità provvisoria?
Il file hosts l'ho riguardato giorni fa(quello che si vede in Hijackthis,vero?)
Non c'è più il tuo,quello che mi avevi fatto copiare e incollare.
C'è solo una riga
127.0.0.1

Cosa faccio? Cancello e rimetto il tuo?

Nessuno ha reclamato i componeti aggiuntivi,anzi mio fratello mi ha detto che li aveva messi lui a caso(lo so,è ebete di natura...),quindi mi appresto a cancellare la vecchia firefox e a rimettere la nuova.
Spero di fare tutto per bene.

Mozilla firefox 4 messo su che è una meraviglia!
Segnalibri salvati alla grandissima.

graziee!!!!!

Ciao, no, nulla di sospetto, se avessi trovato dei job messi dal malware, sarebbe stato un indizio... Ti spiego, io non amo tanto fare scansioni che non siano mirate.. nel senso che si scansiona con tutti i software a disposizione e si vede se si riesce a togliere i file infetti... di solito non faccio così, pensa che sui miei pc non faccio quasi mai scansioni (togli il quasi), a volte sui pc degli altri le faccio. Io mi limito ad asservare e cercare in primo luogo quali siano i problemi... poi cerco le cose evidenti, le nascoste e stabilisco il primo giro di pulizia in base alle info raccolte e possibilmente al tipo di malware trovato... possibilmente in una sola passata. I malware, oggi, cambiano impostazioni, si nascondono, sostituiscono file di sistema... ecc.ecc. preferisco, a questo punto, sapere prima cosa c'è davanti e poi passare alle scansioni... Il fatto di conoscere con precisione quello che ho davanti mi limita errori, mi consente di eliminare più tracce possibili e cosa non meno importante, mi consente di pulire senza fare scansioni inutili ed a volte, su pc con problemi del genere,  stressanti, sia per il pc (spesso rallentato e quindi le scansioni durano ore ed ore) che per l'utente. Cosa diversa, invece, quando ci si trova un pc che ha già avuto scansioni, eliminazioni, e più malware... in questo caso, per capire quale sia il malware o i malware che condizionano il funzionamento della macchina, ci vuole più attenzione, più tempo... molte tracce si sovrappongono e molte si perdono... e questo penso sia accaduto al tuo pc. Quindi abbiamo pulito in maniera un po' diversa da come a me piace fare ma non è detto non efficace,  perchè comunque il pc dici che va bene, e le scansioni penso non diano più oggetti infetti... Al massimo ti lascerò il link, quando chiudiamo la discussione, per fare una scansione di confronto con kaspersky... Un'ulteriore verifica che ciò che stato fatto sia andato a buon fine

Rispetto al file Hosts, non doveva editarsi da solo, comunque, se la riga è solo quella:

127.0.0.1

non dice nulla di cattivo... Prova comunque a selezionare tutto il contenuto (riaprilo quindi con hijackthis e Blocco Note, vai in modifica -> seleziona tutto) e poi cancella il contenuto del file hosts che hai selezionato...  incolla quello che ti ho suggerito e salvalo. Ricontrolla dopo un riavvio.

He he.. mi sa che i fretelli i guai a volte li combinano.. Dai, sulle estensioni non ha fatto nulla di male però..

Rispetto firefox, dopo l'aggiornamento, mi confermi che mentre scrivi in qualche campo e scrivi l'apostrofo non ti da più quel fastidioso problema?

Fammi sapere come è andata con la modalità provvisoria

Ciao


-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Ciao !
Allora la modalità provvisoria funziona alla stra grande(divertente,ha una grafica così semplice!)
Giusto per fare un controllino ho fatto due scansioni. Non sono brava come te che becchi il malware nelle cartelle mentre dormono mimetizzandosi.
Ho usato malwarebytes è mi ha dato 0 oggetti infetti.
Poi ho usato Hyjackthis,ho salvato il log,dimmi se lo devo postare.

Oggi il pc si è acceso bene.
Credo che sia proprio un problema tecnico il fatto che talvolta lampeggi.

Ho ricambiato il file hosts,ho rimesso il tuo.
Ho controllato un paio di volte per vedere se l'avevo memorizzato,e infatti rimane fermo al suo posto.

Il problema dell'apostrofo è sparito da quando ho riaggiornato firefox
(grazie)

Ho scoperto che il computer è una faccenda di continui aggoiornamenti,su ogni fronte.
Appena abbassi la guardia,zac! Il malware colpisce.

Mio fratello...ci sarebbe da scrivere un libro sulla sua stupidità.
Tra lui e mio padre il pc è "morto" diverse volte,poverino!
La volta memorabile fu quando mio padre prese uno strano virus che mise il computer k.o.
Lui cliccò su una di quelle finestre che si trovano in quei siti di giochi on line,sai quelle che ti dicono "sei stato selezionato per vincere un premio,non è uno scherzo!"
Non l'avesse mai fatto!
Il computer impazzi sul serio.
Pensa che il desktop si riempì di disgustosi scarafaggi virtuali che correvano il lungo e il largo,pappandosi le cartelle!
Non funzionava nulla,e io non sapevo che fare.
Era schifosissimo da guardare.

Per fortuna è passata.

Ma è vera la storia che i cellulari,se collegati, non possono prendere virus e malware  da pc infetti? My brother sostiene questa tesi.
Sono pericolosi i siti che convertono i files?
Mio fratello li usa spesso....

Ieri mi si è aperta una finestra del Centro sicurezza pc.
Firewall è attivato,ed è verde,così come la voce Protezione da virus.
Aggiornamenti automatici invece è rossa,è disattivata.
Sotto c'è scritto che il pc è più esposto a virus.
Lo devo attivare o lascio così com'è?

ciao!

Ciao 
Non è questione di bravura, ci si tiene informato per quel che si può.. oggi è difficile anche il solo tenersi informati in questo campo... forse in questo è  l'impegno.
Il log di hijackthis penso non dovrebbe avere voci "infette" al suo interno (già dopo i primi fix non le dava più) comunque, puoi metterlo ed eventualmente lo elimino io prima di chiudere la discussione..

Quindi il problema dell'apostrofo e del file hosts sono stati risolti, ok!

Riguardo gli aggiornamenti, sono sempre necessari, è un aspetto importante della sicurezza, in questo modo il sistema è al passo non solo con i tempi ma anche con le minacce... senza parlare del fatto che, spesso e volentieri, risolvono veri è propri bug che potrebbero compromettere la sicurezza del sistema. Quindi bisogna attivare gli aggiornamenti automatici.

Quello che dici rispetto ai cellulari non è una intuizione sbagliata. Si dovrebbe comunque stare attenti. I cellulari diventano sempre più veri e propri computer, accompagnati da software per la loro gestione che noi mettiamo nei nostri pc e con un collegamento più o meno diretto ci permettono di gestire il cellulare... I pc sono macchine che funzionano con programmi, e i malware sono programmi... ergo, può essere possibile! ( http://www.youtube.com/watch?v=rdkecMOT1ko - si può fare! ) Anzi, ti dico che sarebbe il sogno di ogni cracker/truffatore il riuscire a creare un malware che poi riesca ad installare malware su celluari... Il cellulare gestisce credito e può far chiamate, può gestire anche numerazioni a valore aggiunto (numeri a pagamento) e spesso le leggi aggirano quelle che sono le limitazioni che si danno a questi tipi di servizi dando nuove possibilità ai truffatori di turno... Quindi, occhio alla sicurezza del pc ed al credito sul cellulare!
Guarda, alla fine però non dobbiamo lasciarci limitare da queste cose, sarebbe il vero danno! Bisogna stare però attenti e limitare almeno i danni se gli stessi non si possono evitare.

Dato che il rischio di cliccare su cose che poi si dimostrano spiacevoli c'è sempre, potreste usare degli account limitati per navigare e per gli usi più comuni. Un account utente limitato (quindi, non amministratore) non ha i permessi per installare programmi e per raggiungere cartelle delicate del sistema. Eventuali "infezioni" che possono arrivarci ad esempio da internet, se si navigasse con un account limitato, potrebbero non essere in grado di installarsi... Ti faccio l'esempio del mio computer.. Ho xp, 2 utenti, preuser è amministratore e internet è l'utente che uso per navigare... Entro nell'utente preuser solo per impostazioni ed installare i programmi, invece, per altre cose più comuni, come ad esempio navigare o usare programmi... uso l'utente internet...
E' facile poi accedere da preuser alle cartelle dell'utente internet... basta creare dei collegamenti sul desktop di preuser che vanno alle cartelle del profilo dell'utente internet (c:\documents and setting\internet)

Altro software che volevo segnalarti è una estensione del browser (funziona ottimamente per internet explorer e per firefox), si chiama http://www.siteadvisor.com/ - Site Advisor
Fornisce una recensione in tempo reale del sito che si sta aprendo... (ti da un codice a colore.. verde è ok e rosso invece è per indicare che è pericoloso..., cliccando inoltre sul pulsante che è presente nel browser... puoi vedere la recensione completa) Queste indicazioni vengono poi riportare anche nei maggiori motori di ricerca.. come ad esempio google e yahoo...

http://www.siteadvisor.com/howitworks/index.html - http://www.siteadvisor.com/howitworks/index.html

L'installazione prevede anche la possibilità di impostare il blocco per le pagine riconosciute pericolose e l'installazione di una toolbar di ricerca Secure (che fa ricerche solo su siti riconosciuti come sicuri).
L'installazione ti chiederà inoltre di impostare yahoo come motore di ricerca predefinito... Se a te non va yahoo, puoi togliere la spunta prima di finire l'installazione.
Questa estensioe è un ulteriore aiuto...

Ritornando al pc, allora facciamo la scansione con un antivirus alternativo di tutto rispetto, solo per avere un confronto rispetto quella fatta con avira:

http://support.kaspersky.com/viruses/avptool2010?level=2 - http://support.kaspersky.com/viruses/avptool2010?level=2
(quando lo scarichi puoi avviare anche il sottofondo musicale.. )

Questo removal tool (84 MB circa) non è un antivirus che ti controlla il pc in tempo reale, ma serve esclusivamente per scansionare il pc, non si deve aggiornare perchè lo è già nel momento in cui lo scarichi  e dopo averlo usato va tolto perchè non si aggiorna normalmente come gli altri software (va riscaricato e reinstallato all'occorrenza). Fatto questo, se tutto è ok (di sicuro lo sarà), penso si possa anche chiudere
Il programma è facile da usare, lo installi e quando si avvia metti i segni di spunta alle varie unità da controllare ed avvii la scansione (il livello di protezione di default è quello "consigliato", lascialo così, dovrebbe bastare) Al riavvio del pc ti dovrebbe chiedere se vuoi disinstallarlo, se non lo hai tolto prima..
Facci sapere come è andata
Ciao



-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

ciao!
Ecco la scansione di hijackthis:

Logfile of Trend Micro HijackThis v2.0.4



-------------

ok, vediamo kaspersky che ci dice

-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Elleverdi mi aveva comunicato che tutto è ok, la scansione non ha rilevato nessun problema. Tutto risolto, quindi chiudo.
Ciao

-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />