ahi ahi. mi sa che stavolta ho sbagliato a fidarmi. è successo questo: cercando un crack per un'applicazione di cui possiedo i diritti ma per una sola installazione e volendo aggiungerla anche sulla chiavetta mi sono avventurata in diversi siti per software warez. non so esattamente quale ma presumo Free Download ecc ecc.. che hosta i keygen su Downloadright.. . scaricato il file che cercavo l'ho scansionato con KIS e coi vari antispyware non ricevendo alert preoccupanti. L'ho lanciato per procedere con l'installazione su pen drive e in quel momento si è aperto il browser. ho pensato ad un virus e così ho subito bloccato tutto il traffico rete, eliminato il file e scansionato il pc in modalità provvisoria in tutte le direzioni. ora, invece, sto scansionando per eventuali rootkit ma dopo 3 ore sono solo al 24% con fine prevista per le 22 c.ca. dopo aver fatto tutto quello che solitamente faccio in seguito a sospette invasioni di campo, mi si è aperta una finestra di avviso infezione (non di KIS nè di Windows) e, in seguito a pressione del tasto di chiusura della stessa, una pagina web che propone una scansione online (con tanto di barra che sembra carichi o voglia scaricare qualcosa). chiudo al volo la finestra, dopo aver copiato l'URL, e lo inserisco tra i siti da bloccare ma nulla. mi succede altre 5 volte. l'ultima con un URL differente. inoltre, cosa ancora più assurda, se entro nella cartella in cui inserisco i link provvisori - cartella in cui avevo salvato il link da cui è partito tutto - mi si blocca explorer e mi ritrovo costretta ad abbatterlo col task manager. ditemi che posso fare qualcosa per salvarmi 'le guance'?!
KIS 7.0.0.125
WIndows XP Home SP2
altri software per la sicurezza: Ad-Aware 2007, A-Squared Free 3.5, SpywareBlaster 4.0 (+ Stinger + HijackThis!)
altri software di controllo o pulizia: Active Security Monitor 2.0.0.18, CCleaner 2.08.588 e XP Antispy 3.96-7, Total Uninstall 2.35, EULAlyzer 1.25
browser principale: Firefox 2.0.0.14, Opera 9.27, Internet Explorer 7, Safari 3.1
Full Version: Attacco persistente via browser e via explorer.exe
mi tocca aggiungere qui lo screenshot di avviso che ricevo all'ingresso di alcune cartelle, dal momento che non mi è permesso editare il precedente messaggio.. sorry.
Ciao, ti risparmio la paternale su crack, keygen e compagnia bella, tanto la tua lezione l'hai già avuta... Fai così:
1. Scarica i seguenti programmi:
a. SUPERAntiSpyware
b. ATF Cleaner
c. HijackThis!. Al momento dello scaricamento del file, quando ti verrà chiesta la destinazione, scegli di salvarlo sul desktop con un nome diverso da HiJackThis.exe, ad esempio 456.exe
2. Installa SUPERAntiSpyware e aggiorna le sue definizioni.
3. Disattiva il ripristino configurazione di sistema:
Menu Start -> Pannello di controllo -> Doppio clic sull'icona Sistema. Fai click sulla linguetta "Ripristino configurazione di sistema", seleziona la casella "Disattiva Ripristino configurazione di sistema su tutte le unità", fai click sul bottone Applica e rispondi Sì all'avviso di sistema. Fai click su OK e riavvia il pc.
Attenzione, così facendo perderai i punti di ripristino del sistema creati in precedenza
4. Esegui ATF Cleaner: seleziona l'ultima voce (Select All) e premi Empty Selected. Se il tuo browser è Firefox, fai anche quest'altra pulizia: fai click su Firefox in alto, seleziona l'ultima voce (Select All) e premi Empty Selected.
5. Riavvia il pc in Modalità provvisoria (premi ripetutamente F8 dopo la schermata del BIOS, finchè non compare il menù di avvio, quindi seleziona la voce "Modalità provvisoria" e dai Invio) ed effettua una scansione completa sia con KAV/KIS (scansione di tutti i file, analisi euristica e ricerca rootkit attivate), sia con SUPERAntiSpyware. Lascia che KAV/KIS e SUPERAntiSpyware trattino gli elementi eventualmente rilevati. Alla fine riavvia il pc normalmente.
6. Avvia HijackThis (456.exe), scegli "Do a system scan and save a logfile". Inviami il file hijackthis.log con un messaggio privato.
1. Scarica i seguenti programmi:
a. SUPERAntiSpyware
b. ATF Cleaner
c. HijackThis!. Al momento dello scaricamento del file, quando ti verrà chiesta la destinazione, scegli di salvarlo sul desktop con un nome diverso da HiJackThis.exe, ad esempio 456.exe
2. Installa SUPERAntiSpyware e aggiorna le sue definizioni.
3. Disattiva il ripristino configurazione di sistema:
Menu Start -> Pannello di controllo -> Doppio clic sull'icona Sistema. Fai click sulla linguetta "Ripristino configurazione di sistema", seleziona la casella "Disattiva Ripristino configurazione di sistema su tutte le unità", fai click sul bottone Applica e rispondi Sì all'avviso di sistema. Fai click su OK e riavvia il pc.
Attenzione, così facendo perderai i punti di ripristino del sistema creati in precedenza
4. Esegui ATF Cleaner: seleziona l'ultima voce (Select All) e premi Empty Selected. Se il tuo browser è Firefox, fai anche quest'altra pulizia: fai click su Firefox in alto, seleziona l'ultima voce (Select All) e premi Empty Selected.
5. Riavvia il pc in Modalità provvisoria (premi ripetutamente F8 dopo la schermata del BIOS, finchè non compare il menù di avvio, quindi seleziona la voce "Modalità provvisoria" e dai Invio) ed effettua una scansione completa sia con KAV/KIS (scansione di tutti i file, analisi euristica e ricerca rootkit attivate), sia con SUPERAntiSpyware. Lascia che KAV/KIS e SUPERAntiSpyware trattino gli elementi eventualmente rilevati. Alla fine riavvia il pc normalmente.
6. Avvia HijackThis (456.exe), scegli "Do a system scan and save a logfile". Inviami il file hijackthis.log con un messaggio privato.
uhmmm.. la vedo dura. il procedimento consigliatomi non ha risolto né individuato il problema. nessuna delle scansioni in provvisoria ha dato esito negativo. ho anche controllato il log di hijack e non vedo nulla di strano, anche se in effetti ho 2 processi in più rispetto ai soliti all'avvio. ma anche postando il log sul sito tedesco non ho trovato elementi allarmanti. in compenso il problema all'apertura delle cartelle esiste ancora e mentre scrivo mi si apre spesso una nuova tab con l'home page su firefox. l'indirizzo è corretto. non so proprio cosa pensare. hai idee?
p.s. il log è in arrivo in privato.
p.p.s. nel frattempo ti ringrazio e... come mai dovevo rinominare hijack? viene letto come intrusivo da KIS?
p.s. il log è in arrivo in privato.
p.p.s. nel frattempo ti ringrazio e... come mai dovevo rinominare hijack? viene letto come intrusivo da KIS?
Ciao, se sul file bla.exe garantisci tu, allora nel log di HJT non c'è nulla di preoccupante. Procedi così:
Scarica Combofix. Al momento dello scaricamento del file, quando ti verrà chiesta la sua destinazione, scegli di salvarlo sul desktop con un nome diverso da Combofix.exe, ad esempio 123.exe
Se l'anti-virus dovesse segnalare ComboFix come virus, ignora l'avviso e procedi.
Riavvia il pc in Modalità provvisoria. Esegui Combofix (123.exe). Dopo la visualizzazione del disclaimer, premi 1 sulla tastiera e poi Invio. Lascia che Combofix svolga il suo lavoro (vedrai vari avvisi del tipo "Completed Stage_xx"). Mentre Combofix sta lavorando, non fare click sulla sua finestra e limitati ad eseguire gli input eventualmente richiesti dal programma. Quando la procedura sarà finita, il log ComboFix.txt sarà creato automaticamente in C:\, inviamelo con un messaggio privato.
Potresti inviarmi in privato anche gli indirizzi dei siti che venivano aperti in automatico dal browser prima che li bloccassi? Sarebbe utile per capire con che cosa abbiamo a che fare.
P. S.: HijackThis, così come Combofix, va rinominato perché alcuni tipi di malware sono in grado di rilevarne la presenza attraverso il nome.
Scarica Combofix. Al momento dello scaricamento del file, quando ti verrà chiesta la sua destinazione, scegli di salvarlo sul desktop con un nome diverso da Combofix.exe, ad esempio 123.exe
Se l'anti-virus dovesse segnalare ComboFix come virus, ignora l'avviso e procedi.
Riavvia il pc in Modalità provvisoria. Esegui Combofix (123.exe). Dopo la visualizzazione del disclaimer, premi 1 sulla tastiera e poi Invio. Lascia che Combofix svolga il suo lavoro (vedrai vari avvisi del tipo "Completed Stage_xx"). Mentre Combofix sta lavorando, non fare click sulla sua finestra e limitati ad eseguire gli input eventualmente richiesti dal programma. Quando la procedura sarà finita, il log ComboFix.txt sarà creato automaticamente in C:\, inviamelo con un messaggio privato.
Potresti inviarmi in privato anche gli indirizzi dei siti che venivano aperti in automatico dal browser prima che li bloccassi? Sarebbe utile per capire con che cosa abbiamo a che fare.
P. S.: HijackThis, così come Combofix, va rinominato perché alcuni tipi di malware sono in grado di rilevarne la presenza attraverso il nome.
fatto e inviato!
Edit di Skywalker: rivevuto, lo esaminerò appena possibile, controlla il topic più tardi.
Edit di Skywalker: rivevuto, lo esaminerò appena possibile, controlla il topic più tardi.
Ciao, scarica l'archivio .zip che ti ho inviato con un messaggio privato. Estrai sia l'eseguibile sia il file CFScript.txt sul Desktop, quindi procedi così:
1. Termina KAV/KIS e ogni altro eventuale programma anti-spyware in esecuzione e accertati che i browser siano chiusi, quindi avvia con un doppio click l'eseguibile estratto dall'archivio. Premi Accept.
2. Fai click su Scan e attendi che il processo di scansione sia completato. Durante la scansione, il Desktop scomparirà, è normale che ciò avvenga.
3. Alla fine della scansione verrà salvato un file di log sul Desktop: inviamelo con un messaggio privato.
4. Riavvia il pc in Modalità Provvisoria e trascina il file CFScript.txt sull'icona di Combofix (123.exe) presente sul Desktop. Combofix si avvierà automaticamente. Inviami con un messaggio privato il nuovo log generato da Combofix.
P. S.: i file .dll di cui mi chiedevi (quelli rimossi automaticamente da Combofix), appartengono alla libreria WinPcap, usata per catturare i pacchetti di rete.
1. Termina KAV/KIS e ogni altro eventuale programma anti-spyware in esecuzione e accertati che i browser siano chiusi, quindi avvia con un doppio click l'eseguibile estratto dall'archivio. Premi Accept.
2. Fai click su Scan e attendi che il processo di scansione sia completato. Durante la scansione, il Desktop scomparirà, è normale che ciò avvenga.
3. Alla fine della scansione verrà salvato un file di log sul Desktop: inviamelo con un messaggio privato.
4. Riavvia il pc in Modalità Provvisoria e trascina il file CFScript.txt sull'icona di Combofix (123.exe) presente sul Desktop. Combofix si avvierà automaticamente. Inviami con un messaggio privato il nuovo log generato da Combofix.
P. S.: i file .dll di cui mi chiedevi (quelli rimossi automaticamente da Combofix), appartengono alla libreria WinPcap, usata per catturare i pacchetti di rete.
Ciao, il nuovo log di Combofix non evidenzia nulla di strano.
Il file cancellato da Combofix (per l'esattezza un file e una chiave di registro) non è stato rimosso automaticamente, ma in seguito all'esecuzione della script CFScript.txt.
Per quanto riguarda gli eventuali cambiamenti del desktop (icone ecc.), ciò è dovuto all'azione di Combofix che ne resetta le impostazioni.
Le cartelle Com e QooBox sono relative a Combofix, così come il servizio catchme (serve a cercare eventuali rootkit). Per rimuovere tutto, procedi così: menu Start -> Esegui. Digita così com'è (virgolette comprese) la seguente stringa:
"%userprofile%\desktop\123.exe" /u
e premi Ok.
Se hai dato a Combofix un nome diverso da 123, allora sostituisci nella stringa il nome 123 con quello che hai scelto.
Per il problema di IE, fai così: scarica Malwarebytes' Anti-Malware, quindi chiudi tutti i browser aperti. Installa Malwarebytes' Anti-Malware. Nell'ultima schermata della procedura di installazione, metti il segno di spunta su entrambe le caselle ("Aggiorna Malwarebytes' Anti-Malware" e "Avvia Malwarebytes' Anti-Malware"), quindi fai click su Fine.
Premi Ok sulla finestra di benvenuto e attendi la fine dell'aggiornamento.
Nella scheda Scansione, fai click su Effettua scansione completa, quindi premi il bottone Scansiona. Seleziona i dischi da scansionare e premi Avvia Scansione. Al termine fai click su Mostra Risultati. Seleziona tutte le caselle e premi Rimuovi Tutti Gli Elementi Selezionati. Se ti verrà chiesto di riavviare, Rispondi Sì.
Il file cancellato da Combofix (per l'esattezza un file e una chiave di registro) non è stato rimosso automaticamente, ma in seguito all'esecuzione della script CFScript.txt.
Per quanto riguarda gli eventuali cambiamenti del desktop (icone ecc.), ciò è dovuto all'azione di Combofix che ne resetta le impostazioni.
Le cartelle Com e QooBox sono relative a Combofix, così come il servizio catchme (serve a cercare eventuali rootkit). Per rimuovere tutto, procedi così: menu Start -> Esegui. Digita così com'è (virgolette comprese) la seguente stringa:
"%userprofile%\desktop\123.exe" /u
e premi Ok.
Se hai dato a Combofix un nome diverso da 123, allora sostituisci nella stringa il nome 123 con quello che hai scelto.
Per il problema di IE, fai così: scarica Malwarebytes' Anti-Malware, quindi chiudi tutti i browser aperti. Installa Malwarebytes' Anti-Malware. Nell'ultima schermata della procedura di installazione, metti il segno di spunta su entrambe le caselle ("Aggiorna Malwarebytes' Anti-Malware" e "Avvia Malwarebytes' Anti-Malware"), quindi fai click su Fine.
Premi Ok sulla finestra di benvenuto e attendi la fine dell'aggiornamento.
Nella scheda Scansione, fai click su Effettua scansione completa, quindi premi il bottone Scansiona. Seleziona i dischi da scansionare e premi Avvia Scansione. Al termine fai click su Mostra Risultati. Seleziona tutte le caselle e premi Rimuovi Tutti Gli Elementi Selezionati. Se ti verrà chiesto di riavviare, Rispondi Sì.
ciao anakin. ora procedo ma ho ancora un paio di dubbi. che fine avrà fatto firefox? e, soprattutto, in cosa mi sono imbattuta? qual è la 'malattia' del mio PC? è un nuovo virus?
p.s. ancora una volta grazie e.. posso lavorare al PC e ricollegare le varie periferiche di archivio o, in base all'idea che magari ti sei fatto, è meglio che per adesso mi limiti ad usare il solo hard disk interno?
p.s. ancora una volta grazie e.. posso lavorare al PC e ricollegare le varie periferiche di archivio o, in base all'idea che magari ti sei fatto, è meglio che per adesso mi limiti ad usare il solo hard disk interno?
Ciao, dovrebbe trattarsi di un trojan della famiglia dei Trojan.Downloader
Firefox probabilmente è al suo posto, forse si tratta soltanto di un problema di collegamenti. Prova ad eliminare l'icona di FF e ricrea il collegamento.
Finché il problema non si è risolto, per prudenza eviterei di collegare periferiche esterne.
P. S.: Anakin è il padre di Luke (che sarei io)
Firefox probabilmente è al suo posto, forse si tratta soltanto di un problema di collegamenti. Prova ad eliminare l'icona di FF e ricrea il collegamento.
Finché il problema non si è risolto, per prudenza eviterei di collegare periferiche esterne.
P. S.: Anakin è il padre di Luke (che sarei io)
naaaa.. che gaffe. ho capito. dovrò rifarmi il tour de force in 2 parti dei 6 episodi.
trojan.downloader uhmm.. credevo anche peggio, nonostante al momento non veda comportamenti strani (browser a parte).
per firefox avevi ragione. è bastato rinnovare il collegamento.
trojan.downloader uhmm.. credevo anche peggio, nonostante al momento non veda comportamenti strani (browser a parte).
per firefox avevi ragione. è bastato rinnovare il collegamento.
Hai fatto il controllo con Malwarebytes' Anti-Malware? Esito?
cavoli. mentre scrivevo mi si è cancellato tutto. bah.
ti stavo confermando l'avvenuta scansione. tutto a posto. nulla di rilevato o rimosso.
in compenso ho un paio di domandine.
un aggiornamento di firefox alla versione 3 e di KIS alla 8 potrebbero giovare? aprendo firefox, come ti ho anche scritto, sulla barra di stato mi appare l'URL di un sito 'strano' che poco mi convince. una ricerca su google di quell'URL non ha sciolto i dubbi.
e ancora.. come prevenire problemi in caso di nuove installazioni? talvolta, mi capita di testare nuovi programmini scovati sul web o nei CD delle riviste informatiche, sperando di trovare l'optimus per qualche categoria di software per il quale ancora non posseggo il 'preferito', se capisci cosa intendo. mi chiedevo se potessi darmi qualche suggerimento pratico.. ^c^
p.s. a che serviva il software di ieri? quel fixiedef.
grazie, figlio di anakin. @___@
ti stavo confermando l'avvenuta scansione. tutto a posto. nulla di rilevato o rimosso.
in compenso ho un paio di domandine.
un aggiornamento di firefox alla versione 3 e di KIS alla 8 potrebbero giovare? aprendo firefox, come ti ho anche scritto, sulla barra di stato mi appare l'URL di un sito 'strano' che poco mi convince. una ricerca su google di quell'URL non ha sciolto i dubbi.
e ancora.. come prevenire problemi in caso di nuove installazioni? talvolta, mi capita di testare nuovi programmini scovati sul web o nei CD delle riviste informatiche, sperando di trovare l'optimus per qualche categoria di software per il quale ancora non posseggo il 'preferito', se capisci cosa intendo. mi chiedevo se potessi darmi qualche suggerimento pratico.. ^c^
p.s. a che serviva il software di ieri? quel fixiedef.
grazie, figlio di anakin. @___@
Ciao, fai così (del resto discuteremo dopo):
1. Scarica ed estrai sul Desktop AVZ Antiviral Toolkit, quindi avvia il file avz.exe.
2. Dal menu File scegli la voce System Analysis. Nella sezione Parameters, metti il segno di spunta sulla casella Add System Analysis log to ZIP e premi il bottone Start. Scegli la cartella di destinazione del file di log (per comodità scegli il Desktop) e premi Salva.
3. Attendi il completamento della scansione. Al termine ti verrà chiesto se vuoi visualizzare il file di log, rispondi No. Premi Close sulla finestra di scansione e chiudi AVZ Antiviral Toolkit. Inviami il file avz_sysinfo.zip con un messaggio privato.
1. Scarica ed estrai sul Desktop AVZ Antiviral Toolkit, quindi avvia il file avz.exe.
2. Dal menu File scegli la voce System Analysis. Nella sezione Parameters, metti il segno di spunta sulla casella Add System Analysis log to ZIP e premi il bottone Start. Scegli la cartella di destinazione del file di log (per comodità scegli il Desktop) e premi Salva.
3. Attendi il completamento della scansione. Al termine ti verrà chiesto se vuoi visualizzare il file di log, rispondi No. Premi Close sulla finestra di scansione e chiudi AVZ Antiviral Toolkit. Inviami il file avz_sysinfo.zip con un messaggio privato.
Ciao, anche questo log è pulito, l'unica ipotesi è che un file legittimo possa essere stato inoculato dal virus, in tal caso i log dicono poco. Tu non hai modo di farmi avere il file che ti ha infettata, vero? Se potessi recuperarlo in qualche modo, senza esporti, e farmelo avere con un messaggio privato, potrei accertare cosa è successo nel tuo sistema.
Se hai a portata di mano il CD di installazione di Windows, nel frattempo potresti provare questa procedura:
Vai in Start -> Tutti i programmi -> Accessori -> Prompt dei comandi. Digita la seguente stringa e poi premi Invio:
sfc /scannow
Sarà avviato il System File Checker, che verifica l'integrità dei file del sistema e, se necessario, li sostituisce con gli esemplari originali. Segui la procedura e al termine riavvia il pc. Potrebbe essere necessario inserire su richiesta il CD di Windows.
Se hai a portata di mano il CD di installazione di Windows, nel frattempo potresti provare questa procedura:
Vai in Start -> Tutti i programmi -> Accessori -> Prompt dei comandi. Digita la seguente stringa e poi premi Invio:
sfc /scannow
Sarà avviato il System File Checker, che verifica l'integrità dei file del sistema e, se necessario, li sostituisce con gli esemplari originali. Segui la procedura e al termine riavvia il pc. Potrebbe essere necessario inserire su richiesta il CD di Windows.
ciao. il tuo messaggio mi è arrivato solo ora! e io che ho lanciato il forum mille volte tra ieri e oggi...
per quanto riguarda il programma sospetto lo cerco via internet perché l'ho eliminato immediatamente non appena ho cominciato a notare un comportamento strano sul PC. se lo trovo ti mando il link preciso e il nome del file (se per te va bene).
per quanto riguarda lo scan (se è quello che fa in automatico il sistema a seguito di chiusure forzate e che effettua la ricerca di file e settori corrotti) l'ho già eseguito ieri poiché mi si era congelato explorer e ho dovuto buttar giù tutto (il task manager non funzionava). il CD d'installazione di Windows non l'ho mai posseduto. generalmente non lo consegnano a chi acquista un notebook con windows pre-installato. ho semplicemente una partizione acer in cui è inserito il sistema vergine (quello che viene lanciato alla prima accensione del computer) e al quale posso accedere dal grub in caso abbia necessità di reinstallare ex novo l'OS.
non credo che possa servire, però ho il PC in dual boot con ubuntu. non so se, in qualche modo, possa verificare qualcosa da lì. dico 'non so', perché per quel poco che conosco linux consente l'accesso - limitato - alle partizioni formattate in fat32 (proprio a tal scopo non ho modificato i file system di C:\ in ntfs).
ora guardo per il link da spedirti in privato. nel frattempo grazie.
per quanto riguarda il programma sospetto lo cerco via internet perché l'ho eliminato immediatamente non appena ho cominciato a notare un comportamento strano sul PC. se lo trovo ti mando il link preciso e il nome del file (se per te va bene).
per quanto riguarda lo scan (se è quello che fa in automatico il sistema a seguito di chiusure forzate e che effettua la ricerca di file e settori corrotti) l'ho già eseguito ieri poiché mi si era congelato explorer e ho dovuto buttar giù tutto (il task manager non funzionava). il CD d'installazione di Windows non l'ho mai posseduto. generalmente non lo consegnano a chi acquista un notebook con windows pre-installato. ho semplicemente una partizione acer in cui è inserito il sistema vergine (quello che viene lanciato alla prima accensione del computer) e al quale posso accedere dal grub in caso abbia necessità di reinstallare ex novo l'OS.
non credo che possa servire, però ho il PC in dual boot con ubuntu. non so se, in qualche modo, possa verificare qualcosa da lì. dico 'non so', perché per quel poco che conosco linux consente l'accesso - limitato - alle partizioni formattate in fat32 (proprio a tal scopo non ho modificato i file system di C:\ in ntfs).
ora guardo per il link da spedirti in privato. nel frattempo grazie.
Ciao, ho scaricato il file ed esaminato l'attività del virus. Era come pensavo, si tratta di un trojan downloader. Oltre a creare un paio di servizi, il virus agisce pesantemente sul registro, creando una trentina di chiavi, modificandone altrettante e cancellandone altre ancora.
Per le chiavi modificate e/o cancellate, c'è poco da fare, perché bisognerebbe conoscerne o poterne ricostruire il valore iniziale. Quello che si può fare a questo punto, è invece cancellare le chiavi e i servizi aggiunti dal virus, sperando che basti a ripristinare la normalità.
Ho creato un file di batch e un file *.reg per svolgere automaticamente le operazioni necessarie. Troverai entrambi i file nell'archivio .zip che ti ho inviato.
Prima di procedere, è opportuno creare una copia di backup del registro di configurazione, in modo da poterlo ripristinare nel caso in cui qualcosa andasse storto durante l'importazione del file *.reg. Fai così: Menu Start -> Esegui. Digita il comando
regedit
e premi Ok. Vai sul menu File e seleziona Esporta. Scegli la cartella di destinazione del file. In basso, sotto "Intervallo di esportazione", scegli "Tutto". Scegli un nome per il file e premi Salva. Attendi che il salvataggio sia stato effettuato, quindi chiudi Regedit. Una volta creato il backup, procedi così:
1. Riavvia il pc in Modalità provvisoria
2. Apri il file fix.bat. Rispondi Sì o Ok agli eventuali avvisi di sistema. Se dovessi ricevere il messaggio che i file non esistono, non preoccuparti, vuol dire che sono già stati rimossi durante una delle ultime procedure di pulizia.
3. Avvia il file fix.reg. Rispondi Sì al primo avviso e Ok al secondo.
4. Riavvia il pc normalmente e apri Internet Explorer. Vai in Strumenti -> Opzioni Internet -> Generale e controlla che la home page non sia impostata su qualche sito strano, eventualmente correggila.
Passa alla scheda Protezione e premi il bottone "Ripristina livello predefinito per tutte le aree". Poi fai click sull'icona Siti Attendibili (segno di spunta verde) e premi il bottone "Siti".
Controlla che non vi sia elencato qualche sito strano, eventualmente cancellalo. Vai alla scheda Privacy. Sposta il cursore su un livello qualsiasi, quindi premi il bottone Predefinite. Vai alla
scheda Avanzate e premi il bottone "Ripristina impostazioni avanzate". Fai click su Applica in basso e poi su Ok.
Per le chiavi modificate e/o cancellate, c'è poco da fare, perché bisognerebbe conoscerne o poterne ricostruire il valore iniziale. Quello che si può fare a questo punto, è invece cancellare le chiavi e i servizi aggiunti dal virus, sperando che basti a ripristinare la normalità.
Ho creato un file di batch e un file *.reg per svolgere automaticamente le operazioni necessarie. Troverai entrambi i file nell'archivio .zip che ti ho inviato.
Prima di procedere, è opportuno creare una copia di backup del registro di configurazione, in modo da poterlo ripristinare nel caso in cui qualcosa andasse storto durante l'importazione del file *.reg. Fai così: Menu Start -> Esegui. Digita il comando
regedit
e premi Ok. Vai sul menu File e seleziona Esporta. Scegli la cartella di destinazione del file. In basso, sotto "Intervallo di esportazione", scegli "Tutto". Scegli un nome per il file e premi Salva. Attendi che il salvataggio sia stato effettuato, quindi chiudi Regedit. Una volta creato il backup, procedi così:
1. Riavvia il pc in Modalità provvisoria
2. Apri il file fix.bat. Rispondi Sì o Ok agli eventuali avvisi di sistema. Se dovessi ricevere il messaggio che i file non esistono, non preoccuparti, vuol dire che sono già stati rimossi durante una delle ultime procedure di pulizia.
3. Avvia il file fix.reg. Rispondi Sì al primo avviso e Ok al secondo.
4. Riavvia il pc normalmente e apri Internet Explorer. Vai in Strumenti -> Opzioni Internet -> Generale e controlla che la home page non sia impostata su qualche sito strano, eventualmente correggila.
Passa alla scheda Protezione e premi il bottone "Ripristina livello predefinito per tutte le aree". Poi fai click sull'icona Siti Attendibili (segno di spunta verde) e premi il bottone "Siti".
Controlla che non vi sia elencato qualche sito strano, eventualmente cancellalo. Vai alla scheda Privacy. Sposta il cursore su un livello qualsiasi, quindi premi il bottone Predefinite. Vai alla
scheda Avanzate e premi il bottone "Ripristina impostazioni avanzate". Fai click su Applica in basso e poi su Ok.
ciao. sperando di trovarti ancora connesso... e se ripristinassi l'ultimo backup del registro? dovrebbe essere molto recente. un paio di settimane al massimo. che dici?
Potrebbe essere un'idea, se in questo lasso di tempo non hai modificato di molto le impostazioni del sistema (installazioni/disinstallazioni di programmi, configurazioni ecc.). In ogni caso prima esegui la procedura relativa al file fix.bat (in Modalità Provvisoria) e dopo avere ripristinato il registro applica anche le impostazioni di IE descritte al punto 4.
dimenticavo! una cosa importantissima. questo tipo di virus in che modo infastidiscono il sistema? danneggiano anche i file personali?
No, questo Trojan non si muove in quell'ambito, ma potrebbe riuscire a scaricare attraverso IE dell'altro malware con diverse capacità.
ok. questa è una buona notizia. anzi ottima. seguo l'ultima procedura e poi ripristino. in realtà mi verrebbe voglia di formattare per essere sicura ma a pensare a quanto tempo mi occorre a riconfigurare tutte le applicazioni.. uhhh.. che voglia!
grazie sky. grazie mille.
grazie sky. grazie mille.
Ok, fammi sapere. Il virus è stato incluso nel database delle firme di Kaspersky, appena puoi rifai una scansione del pc in Modalità Provvisoria.
ciao sky. perdona il ritardo. ho risolto con una formattazione pesante, del sistema, non tanto per il virus quanto per far pulizia anche tra le partizioni. con l'occasione ho installato la nuova release di KIS, ora devo solo capire come configurarla aiutandomi con la pratica guida che tu stesso hai redatto. la trovo piuttosto diversa, tra l'altro.
ci terrei a ringraziarti per il supporto preziosissimo. frequento molti forum ma, tralasciando giudizi gratuiti, in nessuno di questi è mai stato così presente, chiaro ed efficace. gentilissimo. grazie mille.
ci terrei a ringraziarti per il supporto preziosissimo. frequento molti forum ma, tralasciando giudizi gratuiti, in nessuno di questi è mai stato così presente, chiaro ed efficace. gentilissimo. grazie mille.
Ciao, grazie a te. 
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.