Ciao,

Da una settimana a questa parte mi si aprono quando navigo internet pagine per scaricare spyware secude insieme a una pagina bianca di windows explorer.

Ho fatto lo scan con Kaspersky Internet Securty ma non ha rilevato niente, allora leggendo i topic ho scaricato superantispyware che ha trovato 4 adware nella cartella user/appdata/roaming/microsoft/windows/cookies/low/sean@ad.zanox e li ho eliminati.

Ho riavviato il pc e ho fatto lo scan con entrambi i programmi e non c'era piu' traccia poi riprendendo a navigare si riaprono le finestre stavolta con e.bay a volte con siti per acquisti di pc e poi dopo l'ennesima scansione con lo spyware li ritrovo in genere 3/4.

Il sistema operativo e windows vista home premium.

Nel tentativo di bloccare il tutto ho attivato windows defender e anche il firewall di windows oltre a quello già funzionante di kaspersky.

Dimenticavo ho boccato anche i pop up anche se la cosa diventa un po' laboriosa quando navighi.

Mi dai una mano per favore ? Grazie

Ciao, fai così:

1. Scarica:

a. HijackThis! (al momento dello scaricamento del file, quando ti verrà chiesta la destinazione, scegli di salvarlo sul desktop con un nome diverso da HiJackThis.exe, ad esempio 1234.exe)

b. VundoFix (sul Desktop)

c. Se il tuo sistema è Windows 2000 o XP, SmitfraudFix (sul Desktop)

2. Avvia VundoFix.exe con un doppio click e premi il bottone "Scan for Vundo". Alla fine della scansione premi il bottone "Remove Vundo". Rispondi YES alla richiesta di conferma. Durante la rimozione del malware, il desktop sparirà. Alla fine della rimozione ti sarà chiesto di riavviare il pc. Fai click su OK. Nel caso in cui i file non possano essere rimossi perché in uso da parte del sistema, Vundofix si avvierà dopo il riavvio. In quel caso segui le stesse istruzioni che ti ho dato prima (premi il bottone "Scan for Vundo" ecc.). Alla fine di tutta la procedura (riavii compresi) vai in C:\, lì troverai il file vundofix.txt, inviamelo con un messaggio privato.

Se il tuo sistema è Vista, salta direttamente al punto n. 4, altrimenti esegui prima il n. 3

3. Avvia SmitfraudFix.exe. Sulla tastiera premi 1 e poi Invio. Verrà creato il file di report rapport.txt in C:\. Inviamelo con un messaggio privato.

4. Avvia HijackThis (1234.exe), scegli "Do a system scan and save a logfile". Inviami il file hijackthis.log con un messaggio privato.

Avvia HijackThis, fai click su "Do a system scan only". Attendi la fine della scansione, poi metti il segno di spunta sulle caselle in corrispondenza delle seguenti voci:

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O13 - Gopher Prefix:

Premi il bottone Fix checked e rispondi Sì all'avviso.

Inviami con un messaggio privato una copia dei seguenti 3 file all'interno di un unico archivio zip (non avviarli!):

C:\Windows\system32\jureg.exe
C:\Windows\system32\jusched.exe
C:\Users\sergio\AppData\Local\fpfram.exe

Se l'archivio dovesse essere troppo grande per l'invio, caricalo su http://rapidshare.com/ e inviami il link via PM.

Ciao,

1. Scarica Combofix. Al momento dello scaricamento del file, quando ti verrà chiesta la destinazione, scegli di salvarlo sul desktop con un nome diverso da Combofix.exe, ad esempio 1234.exe.

Se l'anti-virus dovesse segnalare ComboFix come virus, ignora l'avviso e procedi.

2. Se usi il Controllo Account Utente di Vista, disabilitalo temporaneamente: apri il pannello di controllo di Windows e vai in Account Utente e Protezione per la Famiglia -> Account utente -> Attiva o disattiva Controllo account utente. Togli il segno di spunta da "Per proteggere il computer utilizzare il controllo dell'account utente". Fai click su Ok e riavvia il pc.

3. Avvia il pc in Modalità Provvisoria. Esegui Combofix (1234.exe). Dopo la visualizzazione del disclaimer, premi 1 sulla tastiera e dai Invio. Lascia che Combofix svolga il suo lavoro (vedrai vari avvisi del tipo "Completed Stage_xx"). Mentre Combofix sta lavorando, non fare click sulla sua finestra e limitati ad eseguire gli input eventualmente richiesti dal programma. Quando la procedura sarà finita, il log ComboFix.txt sarà creato automaticamente in C:\, inviamelo con un messaggio privato.

Ciao, il tool ha rimosso automaticamente uno dei file che ti ho chiesto di inviarmi perché sospetti. Gli altri due non mi erano sembrati infetti, ma nel frattempo li ho inviati al laboratorio per maggiore sicurezza.

Il problema durante la navigazione continua a verificarsi? Se sì, procedi come segue:

1 Scarica ed esegui ATF Cleaner: seleziona l'ultima voce (Select All) e premi Empty Selected. Se il tuo browser è Firefox, fai anche quest'altra pulizia: fai click su Firefox in alto, seleziona l'ultima voce (Select All) e premi Empty Selected.

2. Scarica RogueRemover e avvia il file rr-free-setup.exe. Prima di terminare l'installazione con il bottone Finish, togli il segno di spunta dalla casella "Launch RogueRemover FREE", altrimenti il programma si aprirà automaticamente. Finita l'installazione, fai 1 click destro sull'icona di RogueRemover, scegli dal menu Esegui Come -> Amministratore.
Rispondi Ok alla richiesta di aggiornamento, premi Check For Updates. Rispondi Ok all'avviso che sono disponibili le definizioni aggiornate, premi Download e Ok al termine dell'operazione. Premi Close per tornare alla finestra principale.
Premi Scan. Al termine della scansione seleziona gli elementi rilevati e premi Remove Selected. Un log dal nome RRLogxxxxxx.txt sarà creato in C:\Programmi\RogueRemover FREE, inviamelo con un messaggio privato.

3. Aggiorna le definizioni di SUPERAntiSpyware, riavvia il pc in Modalità Provvisoria ed effettua una scansione completa con SUPERAntiSpyware. Lascia che SAS tratti gli elementi rilevati.

Ciao,

Da quando ho eseguito Combofix ho navigato un po' e il problema non si è piu' presentato.

Mi fai sapere poi per gli altri 2 files ?

Per quanto riguarda i programmi che ho scaricato (HijackThis - VundoFix - Combofix) mi consigli di lasciarli oppure di cancellarli (e quando eventualmente usarli)?

Come protezione ritieni che Kaspersky + Sas siano adeguati o mi consigli anche dell'altro ?

Ultima cosa ma non meno importante : Grazie !

Certamente!


Puoi lasciare Hijackthis, gli altri andrebbero scaricati di volta in volta, in modo da avere sempre la versione più aggiornata. Vanno usati al bisogno, sempre sotto la guida di qualcuno che ne sappia interpretare i risultati.


Direi di sì. Se vuoi cambiare ogni tanto, puoi alternare SAS e AVG Antispyware per le scansioni


Figurati, è un piacere, grazie a te!

Ciao, anche il secondo dei tre file sospetti era un virus:

c:\users\sergio\appdata\local\fpfram.exe

Trojan.Win32.Obfuscated.ajz

Se il file è ancora presente, rimuovilo (attenzione a non avviarlo!)

Poi avvia HijackThis, fai click su "Do a system scan only". Attendi la fine della scansione e metti il segno di spunta sulla casella in corrispondenza della seguente voce:

O4 - HKCU\..\Run: [fpfram] c:\users\sergio\appdata\local\fpfram.exe fpfram

Premi il bottone Fix checked e rispondi Sì all'avviso.

Ciao,

Non ho piu' trovato il file fpfram.

Per cercarlo ho utilizzato la funzione cerca in quanto se seguo il percorso che mi hai indicato dopo appdata trovo microsoft e forms, vuol dire che ci sono cartelle nascoste ?
Te lo chiedo in quanto ho cercato i file sempre come "cerca" e non con il percorso perchè non trovavo niente.

Dimenticavo ho installato anche CCLEANER questo lo posso tenere e usare tranquillamente vero ?
Lascio attivo tutti i segni di spunta ?

Grazie

Ciao, sì devi abilitare la visualizzazione delle cartelle nascoste in Pannello di Controllo -> Opzioni Cartella -> Visualizzazione. Usa la ricerca avanzata di Vista e seleziona l'opzione per includere i file non indicizzati, nascosti e di sistema.

In ogni caso, anche se non fosse presente, elimina la chiave con HijackThis.

Puoi usare CCleaner regolarmente, soprattutto dopo installazioni o sessioni di navigazione web. Alle selezioni di default aggiungi quella per i file Prefetch di Windows.

Ciao Skywalker,

Ho bisogno di una mano. Ho provato a riscaricare sopcast e tvuplayer e webmediaplayer e mi è ricomparso il problema.
Ho seguito le istruzioni ho usato vundofix (senza avere segnalazioni di errori) e poi ho svolto combofix.
Il problema sembra risolto ma il problema e che il desktop i caratteri sono cambiati è come per intenderci quanto compariva il vecchio active desktop che bisognava cliccare il link per farlo ritornare normale ma stavolta non riesco.
Ho fatto un guaio ?

Mi dai una mano per favore ?

Ma quei software sono pericolosi ?

Grazie

Ciao,


Dovresti stare lontano da webmediaplayer, credo che l'infezione ti derivi proprio da lì.


Combofix non è un tool fai-da-te, è in grado di rimuovere da solo alcuni elementi nocivi, ma la sua efficacia si esplica sostanzialmente nella creazione del log, che costituisce poi la base per la vera disinfezione, da effettuarsi manualmente o con uno script ad hoc.


Il problema del Desktop potrebbe dipendere dall'uso di Combofix. Non è che per caso hai toccato il mouse o la tastiera mentre effettuava la scansione?

Ciao Sky,

Quindi è meglio che disinstallo webmediaplayer ?
Hai ragione in merito a Combofix ho fatto una c.....ta, visto che ho conservato il log posso inviartelo privatamente e gli dai un occhiata ?
Si mentre andava Combofix è comparsa una finestra in cui mi diceva windows explorer non risponde e allora ho chiuso quella finestra in modo che Combofix continuasse il processo, ieri ho fatto il ripristino da programmi - manutenzione e il desktop è ritornato a posto, pensi che sia tutto ok ?
Un altra cosa quando ho salvato Combofix l'ho rinominato 4567 mi consigli di eliminarlo cosi' come vundofix e hijack ?

Grazie Sky

Assolutamente sì.


Sì, puoi inviarmelo.


Ritengo di sì.


Rimuovi i seguenti elementi:

Il file 4567.exe
La cartella C:\ComboFix
La cartella C:\QooBox
Il file C:\WINDOWS\nircmd.exe
Il file C:\combofix.txt
Il file C:\ComboFix-quarantined-files.txt

Ciao Sky,

Visto che mi è capitato ancora lo stesso problema con explorer, posso eseguire i passi che mi avevi già indicato scarcando Hijackthis e inviandoti un file di log o posso fare il combofix direttamente ?

Grazie ancora !

Ciao, fai così: scarica ed estrai sul Desktop AVZ Antiviral Toolkit, quindi avvia il file avz.exe (icona con lo scudo nero).
Dal menu File scegli la voce System Analysis. Nella sezione Parameters, metti il segno di spunta sulla casella Add System Analysis log to ZIP e premi il bottone Start. Scegli la cartella di destinazione del file di log (per comodità scegli il Desktop) e premi Salva.
Attendi il completamento della scansione. Al termine ti verrà chiesto se vuoi visualizzare il file di log, rispondi No. Premi Close sulla finestra di scansione e chiudi AVZ Antiviral Toolkit. Inviami il file avz_sysinfo.zip con un messaggio privato.

Ciao, apri il file di testo che ti ho inviato con un messaggio privato, seleziona tutto il suo contenuto e copialo negli appunti (CTRL + C dalla tastiera o menu Modifica -> Copia).
Apri AVZ Antiviral Toolkit (avz.exe) e dal menu File scegli la voce Custom scripts. Incolla nell'area di testo vuota lo script che hai copiato in precedenza (CTRL + V dalla tastiera o tasto destro del mouse -> Incolla). Accertati che il testo sia identico a quello che ti è stato fornito e che durante la procedura copia/incolla non sia stato tagliato fuori alcun carattere. Prima di continuare, chiudi tutti i programmi aperti (tranne Kaspersky) e salva il lavoro in corso, perché la procedura potrebbe concludersi, se necessario, con un riavvio automatico del sistema. Fai click su Run. Attendi il termine della procedura, quindi fai click su Ok.

Ciao Sky,

Ho eseguito quanto mi hai consigliato cosa devo fare adesso ? Il problema è ancora presente , ho notato che in AVZ nella cartella quarantena mi viene segnalato un file infetto.

Grazie

Ciao, con AVZ abbiamo messo in quarantena 2 file sospetti. Ora procedi così:

1. Scarica i seguenti programmi:

a. ATF Cleaner

b. Combofix. Al momento dello scaricamento del file, quando ti verrà chiesta la destinazione, scegli di salvarlo sul desktop con un nome diverso da Combofix.exe, ad esempio 123.exe

Se l'anti-virus dovesse segnalare ComboFix come virus, ignora l'avviso e procedi. Se hai già scaricato ComboFix in precedenza, rimuovilo e scaricalo nuovamente.

Per rimuovere Combofix, cancella il suo eseguibile e i seguenti elementi (non è detto che siano tutti presenti):

La cartella C:\ComboFix
La cartella C:\QooBox
Il file C:\WINDOWS\nircmd.exe
Il file C:\combofix.txt
Il file C:\ComboFix-quarantined-files.txt

2. Disattiva il ripristino configurazione di sistema:

Pannello di controllo -> Doppio clic sull'icona Sistema. Seleziona "Protezione sistema". Togli il segno di spunta dalle caselle accanto alle unità disco. Al comparire dell'avviso di sistema, confermare premendo il bottone "Disattiva Ripristino Confgurazione di Sistema".

Attenzione, così facendo perderai i punti di ripristino del sistema creati in precedenza

3. Esegui ATF Cleaner: seleziona l'ultima voce (Select All) e premi Empty Selected. Se il tuo browser è Firefox, fai anche quest'altra pulizia: fai click su Firefox in alto, seleziona l'ultima voce (Select All) e premi Empty Selected.

4. Riavvia il pc in Modalità provvisoria. Esegui Combofix (123.exe). Dopo la visualizzazione del disclaimer, premi 1 sulla tastiera e dai Invio. Lascia che Combofix svolga il suo lavoro (vedrai vari avvisi del tipo "Completed Stage_xx"). Mentre Combofix sta lavorando, non fare click sulla sua finestra e limitati ad eseguire gli input eventualmente richiesti dal programma. Quando la procedura sarà finita, il log ComboFix.txt sarà creato automaticamente in C:\, inviamelo con un messaggio privato.

Ciao, nell'ultimo log non riscontro alcun elemento nocivo. Il problema persiste o si è risolto?

Ciao Sky,

Prima di tutto grazie in quanto il problema non si è piu' manifestato, questo vuol dire che anche i files infetti sono stati rimossi corretto ?
Visto che il problema si è verificato quando ho utilizzato il sito watch-movies.net sai se è un sito rischioso ?
C'è un metodo per evitare questo problema, magari utilizzando Firefox invece che Explorer o qualche altro accorgimento ?
In merito ai software che ho scaricato mi consigli di eliminarli o posso utilizzarli se mi si verifica il problema ?

GRAZIE PER L'AIUTO !!!!

I file sono stati messi in quarantena.


Il sito in sé non è rischioso, ma possono esserlo i file che da lì si scaricano.


Se si tratta di un'infezione contratta con l'esecuzione di un file scaricato, il browser non può fare la differenza. In generale FF è più sicuro di IE.


Se ti riferisci ai tool diagnostici, è preferibile cancellarli e scaricarli nuovamente nella versione più aggiornata al momento del bisogno.