Per chi è stato infettato o ha problemi con virus o cavalli di Troia, Rootkits, Adware, Spyware e Malwares in generale o per discutere di tematiche relative alla sicurezza informatica.
Risposte:
Postato da: RAVEN
Postato in data: 09/Dicembre/2015 alle 16:33
Ciao Rafanadal
Configurazione ?? Devi sempre riportarla per aiutarci a darti un valido consiglio...
Le scansioni le hai fatte in modalità provvisoria con internet scollegato ?? Quali tool hai usato ?
Puoi dirci il testo completo della stringa ??
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong>
<br />
<br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: rafanadal
Postato in data: 09/Dicembre/2015 alle 16:38
Ciao, che intendi con configurazione?
scansioni non in modalita' provvisoria e le ho fatte all'avvio con avast e poi adwcleaner. ma come ho detto e' stato trovato il malware, rimane solo il link che non riesco a cancellare.
La foto che ho messo si vede?
questo comunque e' quanto scritto:
http://127.0.0.1:8080/proxy.pac
Grazie
**********
Modificato per testo che danneggiata il la your
**********
-------------
Postato da: RAVEN
Postato in data: 09/Dicembre/2015 alle 16:44
Intendo la configurazione del tuo PC....sistema operativo etc etc...
Le scansioni vanno sempre fatte in modalità provvisoria (salvo dove diversamente specificato dal tool in uso) e con il PC scollegato dalla rete....rifalle cosi e vedi se elimina il tutto...
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong>
<br />
<br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: rafanadal
Postato in data: 09/Dicembre/2015 alle 16:52
era disconnesso dalla rete (ho spento il router)
uso windows 8.1 64bit
Postato da: RAVEN
Postato in data: 10/Dicembre/2015 alle 07:35
Fai le scansioni in modalità provvisoria. Usa sia antivirus che malwarebytes che adwcleaner. Riavvia e vediamo.
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong>
<br />
<br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: rafanadal
Postato in data: 10/Dicembre/2015 alle 10:43
niente da fare, la cosa piu' strana poi e' che adw cleaner non trova proprio nulla di infetto.
come ho gia' specificato il "virus" in se e' eliminato perche' la spunta riesco a toglierla ma non riesco a togliere il link.
in quella schermata delle opzioni internet explorer nella pagina impostazioni LAN ho un avviso evidenziato in giallo che dice: alcune impostazioni sono gestite dall'amministratore del sistema. Era successo anche l'altra volta (l'amministratore sono io) ma adwcleaner l'aveva eliminato. Penso che dovrei togliere quell'avviso prima di tutto.
Una cosa che ho trovato in internet e' questa:Win(key)+R , type regedit, follow the the yellow brick road
Location: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
set ProxySettingsPerUser = 1
restart IE11 and grab a beer, you did it!
http://www.bleepingcomputer.com/forums/t/566621/lan-settings-http1270018080proxypac/ - http://www.bleepingcomputer.com/forums/t/566621/lan-settings-http1270018080proxypac/
Cosa significa mettere a 1?
Grazie
Postato da: RAVEN
Postato in data: 10/Dicembre/2015 alle 14:32
Hai provato a passare ccleaner?
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong>
<br />
<br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: rafanadal
Postato in data: 10/Dicembre/2015 alle 15:15
si cc cleaner trova tante cose ma non saprei cosa eliminare.....
devo postare qualcosa?
Postato da: RAVEN
Postato in data: 10/Dicembre/2015 alle 15:32
Abbiamo una guida su CCleaner...dagli una lettura cosi vedi come usarlo, è facile e automatizzato per la maggior parte dei processi.
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong>
<br />
<br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: rafanadal
Postato in data: 10/Dicembre/2015 alle 16:41
scusami dove trovo la guida?
non e' possibile fare come l'altra volta postando un log??
ho paura che mi si cancelli qualcosa di sbagliato nel registro.
la chiave di registro che ho messo sopra la conosci??
Grazie
Postato da: RAVEN
Postato in data: 10/Dicembre/2015 alle 17:03
Questo sito non è fatto solamente di un forum, ha anche molte altre sezioni....tra cui quella delle GUIDE GRATUITE, dove troverai la guida su ccleaner.... c' è anche un motore di ricerca sulla parte destra del sito se non lo trovi...
In ogni caso, ccleaner lo devi far passare, non si può fare con un log no...
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong>
<br />
<br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: rafanadal
Postato in data: 10/Dicembre/2015 alle 17:19
si, l'ho fatto girare, intendevo postare il risultato per capire cosa devo cancellare..
non credo nella guida ci siano tutti i file del registro.
Peccato, io non sono ferrato e speravo in un'assistenza come la volta scorsa.
provero' la guida
Postato da: RAVEN
Postato in data: 10/Dicembre/2015 alle 18:09
Cio' che trova CCleaner può essere rimosso in tranquillità...basta che pulisci sia i files superflui che le chiavi di registro superflue... Male non fa, anche se non dovesse risolvere il problema almeno dai una pulita al sistema.
Comunque segui la guida: non tutte le assistenze possono essere condotte nello stesso modo, spero che capirai....
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong>
<br />
<br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: rafanadal
Postato in data: 10/Dicembre/2015 alle 18:29
Postato originariamente da RAVENCio' che trova CCleaner può essere rimosso in tranquillità...basta che pulisci sia i files superflui che le chiavi di registro superflue... Male non fa, anche se non dovesse risolvere il problema almeno dai una pulita al sistema.
Comunque segui la guida: non tutte le assistenze possono essere condotte nello stesso modo, spero che capirai....
che intendi con superflue?
non posso far la pulizia di tutto quel che trova sia su app che su registro?
Per eventualmente ripristinare il backup masta acconsentire nell'apertura del file salvato?
Postato da: Dexter
Postato in data: 10/Dicembre/2015 alle 19:18
Ciao rafanadal, Raven intendeva proprio quello che tu stesso hai detto.
Elimina in tranquillità tutto quello che ti trova ccleaner sia su app che registro.
Per ripristinare il backup, sì, basta il doppio click sul file che lui ti fa salvare.
Eventualmente postaci, come in passato un log di hijackthis.
Postato da: rafanadal
Postato in data: 10/Dicembre/2015 alle 19:20
Grazie dexter, non so se hai gia' letto il mio topic e ti sei fatto un idea, questa sera posto il log di hijackthis
Postato da: rafanadal
Postato in data: 10/Dicembre/2015 alle 22:54
di seguito il log:
Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 22:46:54, on 10/12/2015
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.9600.17416)
FIREFOX: 42.0 (x86 it)
Boot mode: Normal
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts: ::1 localhost
--
End of file - 10731 bytes
/*edit*/
Log analizzato, ho lasciato le entry sospette
/*eoe*/
Postato da: Dexter
Postato in data: 10/Dicembre/2015 alle 23:30
Ciao!
Il log è abbastanza pulito, fixxa (quindi rifai solo la scansione, metti la spunta, fix e riavvio) tutte le voci con file missing e le due seguenti:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts: ::1 localhost
Poi rifai la scansione e dimmi se queste due sono sparite.
Postato da: Dexter
Postato in data: 10/Dicembre/2015 alle 23:53
Ora devo andare, non credo si sia risolto.
Domani, appena posso, ti rispondo dal PC.
Buonanotte!
Postato da: rafanadal
Postato in data: 11/Dicembre/2015 alle 11:19
******
editato per quoting superfluo
******
Appena posso faccio la prova, ma questo credi che puo' togliere il blocco sul fatto che ho l'avviso che alcune impostazioni sono gestite dall'amministratore del sistema? e' quello il problema principale credo.
Tu dexter di questo che ho trovato in internet su modifica registro cosa ne pensi?
:Win(key)+R , type regedit, follow the the yellow brick road
Location: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
set ProxySettingsPerUser = 1
restart IE11 and grab a beer, you did it!
grazie
-------------
Postato da: rafanadal
Postato in data: 12/Dicembre/2015 alle 00:37
Postato originariamente da DexterCiao!
Il log è abbastanza pulito, fixxa (quindi rifai solo la scansione, metti la spunta, fix e riavvio) tutte le voci con file missing e le due seguenti:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts: ::1 localhost
Poi rifai la scansione e dimmi se queste due sono sparite.
Allora, ho rimosso R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local e al riavvio non si e' ripresentato nella nuova scansione.
Per quanto riguarda O1 - Hosts: ::1 localhost (non l'ho ancora fixato) ho letto nelle sue info che riguarda DNS e indirizzi ip, non e' che poi mi si va a modificare l'indirizzo ip o cose del genere?
Grazie
Postato da: Dexter
Postato in data: 12/Dicembre/2015 alle 13:22
Allora, quella chiave che hai indicato settata a 1 sta ad indicare che l'utente utilizza un proxy o che è stato settato da un malware se l'utente non l'ha fatto.
Quindi, settandola a 0 lo disattivi. Potresti fare senza alcun problema la prova.
Start -> (cerca, usando la funzione di windows) regedit -> Invio
E ti si aprirà la gestione delle chiavi di registro del sistema, fai attenzione a modificare quella chiave soltanto. Una volta trovata nella colonna sinistra, vedrai nella destra alcune voci, tra cui ProxySettingsPerUser = 1, fai doppio click sopra e cambia il valore a 0, chiudi tutto e riavvia. Poi vai a vedere tra le impostazioni se c'è o meno la spunta.
Per quanto riguarda O1 - Hosts: ::1 localhost è una voce normalmente presente su Windows Vista, se usi Vista, puoi anche lasciarla, altrimenti, fixxa.
Infine, se dopo queste modifiche, il problema è ancora presente, scarica il FRST dal seguente link: http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ - http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
Crea una cartellina in C direttamente e salvalo lì, avvialo e clicca su SCAN, una volta finito ti salverà due file nella stessa cartella, mandameli per email a tribaldexterd-sword[at]yahoo.it (at = @).
PS: Non quotare completamente i messaggi ;)
Postato da: rafanadal
Postato in data: 12/Dicembre/2015 alle 16:04
prima di tutto grazie per l'interessamento,
quella chiave quindi mettendola a 0 se non corro rischi posso provare, daltronde (non so se fa differenza) ora che mi trovo su un altro pc con qindows xp, quella voce ProxySettingsPerUser nemmeno c'e'.
Detto questo io la spunta riesco gia' a toglierla daee impostazioni perche' malware bytes ha trovato il colpevole, e' solo che voglio togliere il link che rimane sotto (non selezionato) e relativa voce "alcune impostazione sono gestite dall'amministratore del sistema"
Per quanto riguarda O1 - Hosts: ::1 localhos io non ho Vista ma windows 8.1, posso fixarla senza problemi?
Grazie
Postato da: Dexter
Postato in data: 12/Dicembre/2015 alle 16:21
Figurati, siamo qui per questo.
Non corri alcun rischio, quindi puoi cambiargli il valore senza problemi.
Togliendo la spunta, quella riga perde di funzionalità.
Quando provi a cancellarla ti da l'errore "alcune impostazioni sono gestite dall'amministratore del sistema"? Mi sono un po' perso :P
Puoi fixxarla, anche perché quella voce è riferita al file hosts di Windows che spesso e volentieri è obbiettivo di attacco dei malwares e nel tuo caso, con molta probabilità è stato anche lui modificato.
Postato da: rafanadal
Postato in data: 12/Dicembre/2015 alle 16:37
Postato originariamente da DexterFigurati, siamo qui per questo.
Puoi fixxarla, anche perché quella voce è riferita al file hosts di Windows che spesso e volentieri è obbiettivo di attacco dei malwares e nel tuo caso, con molta probabilità è stato anche lui modificato.
se non fosse stato modificato va bene fixarla uguale?
Allora ti spiego un po' dove dici che ti sei perso. Nel primo messaggio di questo topic ho messo la foto della mia situazione. Come puoi vedere c'e' una spunta e relativa a quella un link di riferimento. Sono riuscito a togliere la spunta ma il link (passivo non cliccabile) rimane li e non si puo' cancellare, tutto questo credo perche' a monte, nella schermata precedente a quella ovvero le impostazioni di connessione, in fondo appare la scritta dell'amministratore del sistema evidenziata in giallo e cliccabile che porta su un link microsoft che invita anche a resettare IE cosa che gia' ho fatto.
La volta passata quando avevo sempre problema di proxy (pero' nella sezione server proxy) , adw cleaner aveva trovato il modo di eliminare i link e la scritta amministratore del sistema.
Spero di essere stato chiaro.
Ringrazio
Postato da: Dexter
Postato in data: 12/Dicembre/2015 alle 17:29
Se non fosse stato modificato, con molta probabilità non sarebbe stata mostrata quella voce nel log di hijackthis.
(Questa è una mia deduzione eh)
Allora, una volta modificata la chiave, reimposta internet explorer e riavvia (ah, ricordati di prenderti anche una birra xD magari è stato questo il segreto per risolvere :P). Fammi sapere se c'è sempre il problema.
Sì sì, ho capito. Ma a questo giro, AdwCleaner, non ce l'ha fatta :D
Postato da: rafanadal
Postato in data: 12/Dicembre/2015 alle 17:49
Postato originariamente da Dexter(ah, ricordati di prenderti anche una birra xD magari è stato questo il segreto per risolvere :P). Fammi sapere se c'è sempre il problema.
Postato da: Dexter
Postato in data: 14/Dicembre/2015 alle 11:23
News?
Postato da: rafanadal
Postato in data: 14/Dicembre/2015 alle 12:33
Allora ho fatto le prove proprio ora ma con esiti negativi:
O1 - Hosts: ::1 localhost lo fixo con hijack ma poi ricompare,
la chiave di registro del proxy da me e' gia' su 0 anche se leggendo quel post in inglese che ho messo dice di metterla a 1. Sbaglio?
in questa foto e' riassuta la mia situazione, sia la stringa delle impostazioni di amministratore che il link nella tabella impostazioni locali lan
https://drive.google.com/file/d/0B_XGzeWmla23bUpLbmZVTEJfOG8/view?usp=sharing - https://drive.google.com/file/d/0B_XGzeWmla23bUpLbmZVTEJfOG8/view?usp=sharing
se io la voce ProxySettingsPerUser la elimino proprio?
ho trovato anche questo in giro per il web sul gestire le autorizzazioni (quindi riguardo al fatto che mi chiede che alcune impostazioni sono gestite dall'amministratore del sistema)
- Open regedit.exe (Type Regedit in the Start > run box) This will open your registry tool.
- Navigate to HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
- Right Click --> Permissions...
- In "Group or user names" select SYSTEM
- Tick deny check boxes for full control and read --> Click ok
- Deleted ProxySettingsPerUser
- Restart the computer normally to reset the registry.
puo' essere una soluzione??
Grazie
Postato da: Dexter
Postato in data: 14/Dicembre/2015 alle 14:09
Scusa scusa!!!
Ho sparato una grandissima castroneria, chiedo umilmente perdono!!!
I valori 0 e 1 in quella chiave non indicano lo stato attivo/disattivo del proxy, ma 0 sta a indicare l'uso del proxy sull'intero PC mentre 1 lo limita al singolo utente e sì, dice di settarla a 1.
Errore mio, scusami, ho sbagliato.
Se continua a ritornare la voce del file host e se non ricordo male hai anche Spybot installato, ci sta che sia bloccato il file e anche al sicuro, quindi puoi lasciar stare quella voce.
Potresti provare senza problemi questa soluzione, l'importante è prima fare magari un backup della chiave del registro (click destro, esporta, mi sembra). Dopodiché puoi effettuare questa operazione, che in teoria non fa altro che ridare i permessi agli utenti presenti nel sistema.
Bisogna andare a tentativi
Postato da: rafanadal
Postato in data: 14/Dicembre/2015 alle 22:40
Penso proprio di aver risolto con quest'ultima soluzione.
Ho cambiato quei permessi e ho casncellato quella voce del proxy e tutto e' tornato alla normalita' (anche se poi i permessi li ho ripristinati quindi pensa che era sufficente solo eliminare la voce)
vediamo se dura.
Ho un altro problema poi da esporre dopo questo
Postato da: Dexter
Postato in data: 14/Dicembre/2015 alle 23:14
Ciao rafa,
Tutto è bene quel che finisce bene, ma non è questo il caso
Allora, il problema di questo topic è stato comunque risolto, giusto? Quindi si può chiudere.
Se il nuovo problema riguarda altro, apri un nuovo topic.
Postato da: rafanadal
Postato in data: 14/Dicembre/2015 alle 23:29
si si apriro' un altro topic perche' riguarda altro, era solo per anticipare.
Grazie davvero per il tuo supporto
Postato da: Dexter
Postato in data: 14/Dicembre/2015 alle 23:50
Ma figurati, alla fine non ho fatto nulla!
Grazie a te per aver condiviso la soluzione. Ci sentiamo nel prossimo thread!!! ^^
Passo e chiudo!