help 1 virus mi ha cambiato le impostazioni dei siti con restrizione

[jak]

l altra sera mentre navigavo mi sono accorto "in diretta" di aver beccato un virus o malware : il mouse non riusciva a chiudere nessuna finestra mentre il contatore mi segnalava che stavo scaricando qualcosa ( che non avevo richiesto)
ho resettato il pc in fretta e alla riaccensione ( visto che l antivirus non mi aveva segnalato niente) mi sono messo a cercare tra le varie cartelle e ho trovato 2 files : dboo.exe e dktibs.exe che non avevo mai visto. Li ho cancellati e poi ricollegandomi a internet ho notato che sopra l orario (nell' angolo in basso a destra) non appariva piu la solita scritta "area sconosciuta" ma appariva un cerchietto verde con scritto siti attendibili, sono andato a vedere e ho trovato un indirizzo ip che non avevo messo io e per combinazione era lo stesso che ho visto in uno di quei 2 file suddetti (visto nei files temporanei internet, prima di cancellarli), quindi l ho tolto subito, ma poi ho visto che nei siti con restrizioni erano stati aggiunti una ventina di siti web, ed ho tolto pure quelli.
Finale : sembra che questo malware abbia preso il controllo di questa sezione, infatti nelle pagine web compare sempre la scritta -siti attendibili- e se cambio il livello di protezione riaccendendo il pc mi ritorna quello precedente.
cosa posso fare per togliere quella scritta -siti attendibili- dalle pagine web che prima non era mai comparsa?

[cso]

Se riavviando ti ritornano le impostazioni del malware allora sei ancora infetto ==> Ad-Aware, SpyBot, HijackThis

[jak]

dopo aver installato le versioni aggiornate dei 3 antimalware ho riscontrato:
con adaware ho tolto 6-7 voci che riportavano la scritta malware
poi con hjt ho notato che ho solo una riga in piu di prima, ma fa parte dell installazione della nuova versione spybot-sd (1.3 avevo la 1.2)
infine con spybot-sd mi riporta una serie di voci di cui non sono sicuro se devo levarle o no, comunque 3 di quelle c e' scritto coolwwwsearch e credo che siano da togliere

le posso togliere tranquillamente ?
e le altre ? si puo postare un log come quello di hjt ?

[amvinfe]

coolwwwsearch ===> CoolWebSearch è un hijacker e va eliminato.
Finite le procedure di rimozione riavvia il pc e posta un log di HijackThis.

[cso]

Originariamente inviato da amvinfe
coolwwwsearch ===> CoolWebSearch è un hijacker e va eliminato.
Finite le procedure di rimozione riavvia il pc e posta un log di HijackThis.

[OT]il mio stile è inimitabile[/OT]

cmq hai detto che hai eliminato 6-7 voci con ad-aware.
le hai eliminate TUTTE oppure solo 6-7???

con spybot oltre a quelle 3 voci che a te sembrano strane ce ne sono altre???

[jak]

... è successo un macello, non riesco piu a vedere nessuna pagina web,
adesso sto scrivendo da un altro posto, cerco di riassumere :

per amvinfe
spybot-sd mi riporta 3 voci coolwwwsearch, che hjt non riporta, le elimino subito

per cso
con adaware ho tolto tutte le voci che riportavano la scritta malware, ma ce ne sono altre: qualche cookie e altre con scritta data miner (mi pare).
per capire meglio: dopo scansionato con adaware è tutto a posto solo se non riporta niente ?
con spybot ce ne sono molte altre di voci ma non sapendo se sono da togliere o no non le ho tolte (visto che ho letto che si puo anche compromettere il funzionamento dei programmi o del sistema operativo)

ps
in questo altro pc ho tolto pc-cillin 10 (av e fw) perche non si aggiornava piu e ho installato avast e sygate : appena mi sono collegato a internet avast ha scaricato gli aggiornamenti ma sygate ha bloccato qualcosa : ashsimpl.exe try to launch avast.setup
pero alla fine ha riportato che ho scaricato 28 aggiornamenti, va bene cosi o sygate non doveva bloccare quel setup ?

[cso]

no, doveva lasciarlo ma se hai detto che ha scaricato tutto lo stesso...
cmq vai tranquillo, con ad-aware puoi cancellare tutto, devi però fare attenzione con spybot perchè con lui puoi fare maciello.

posta il risultato della scansione con spybot così ti diciamo quali voci cancellare.

per il momento usa mozilla firefox così puoi leggere quello che ti scriviamo nel forum senza dover usare un altro PC

[jak]

grazie ai vostri consigli credo di aver capito cosa blocca internet,
stavo provando a installare e usare firefox (grazie a cso del consiglio) e appena ho provato a collegarmi a internet mi ha segnalato di cambiare le impostazioni del server proxy.
allora mi sono ricordato che alcuni giorni fa quando mi sono ritrovato con una decina o piu files tutti di 12kb , alcuni .exe altri .dll (tra cui lsass, mservice, svchost ecc) che cancellai , per poi fare un controllo finale con adaware e hjt, in quest ultimo trovai una riga che riportava un settaggio 127.0.0.1:8080 che non avevo fatto di certo io, che cancellai immediatamente senza poi controllare le impostazioni internet, ora sono andato a guardarci e ho trovato quell ip in tutte le caselle del proxy.
devo cancellarle tutte vero ?
nella casella : eccezioni - non utilizzare il server proxy per gli indirizzi che cominciano per -, riporta la scritta : local
devo lasciarla o cancellarla ?

.. azz mi sono accorto ora che tutte le connessioni che ho sono state tutte settate con uso del server proxy devo quindi toglierlo a tutte ?
(prima di mettere adsl avevo isdn che uso in caso di malfunzionamento dell adsl)

[abmcr]

Problema analogo: sul PC di un amico, dopo che addaware e spubot hanno rimosso una serie (più di 30 schifezze), resta sempre nelle impostatzioni il settaggio del proxy che biosgna togliere a mano. Io credo che sia rimasto qualcosa che i due software non hanno beccato. In più il modem non fa più rumore anche se il volume sembra essere al massimo.
Cosa fare? Grazie