Reindirizzamnento su siti non richiesti [era: mi sono beccato il malware!!!]

[GRY72]

Ciao a tutti ragazzi,
volevo chiedere il vostro aiuto per risolvere un grosso problema al mio computer.
Ultimamente si è notevolmente rallentato e penso di aver beccato un virus o un malware.
Sospetto del falso windows security center.
Basta aprire + di due finestre su internet che il computer si blocca, il mouse funziona ma non è possibile cliccare su nulla
o eseguire comandi attraverso la tastiera. talvolta viene emnesso un suono che non si ferma più.
L'unica soluzione è resettare manualmente e windows riparte come se niente fosse.
Altro sintomo: le ricerche attraverso google vengono reindirizzate su siti non richiesti.
Aiutatemi, cosa devo fare senza formattare tutto.????
Ho gia provato a far analizzare il cmp da Malwarebyte antimalware, Normanmalware cleaning e Spybot search and destroy ma senza esito.
Vi allego il log di hijackthis
Grazie in anticipo


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 8.32.17, on 12/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Emsisoft Anti-Malware\a2service.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\File comuni\Acronis\CDP\afcdpsrv.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\msco rsvw.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Google\Update\GoogleUpdate.exe
C:\Programmi\File comuni\McAfee\McSvcHost\McSvHost.exe
C:\Programmi\Google\Update\1.2.183.23\GoogleCrashH andler.exe
C:\Programmi\File comuni\McAfee\SystemCore\mfevtps.exe
C:\Programmi\rnamfler\naofsvc.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\Returnil\RVS3\rvsmon.exe
C:\Programmi\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programmi\File comuni\McAfee\SystemCore\mcshield.exe
C:\Programmi\File comuni\McAfee\SystemCore\mfefire.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Documents and Settings\Agazzi\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Agazzi\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Agazzi\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Agazzi\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {f592709f-ff4a-4862-b659-4afabda56312} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programmi\File comuni\McAfee\SystemCore\ScriptSn.20100514083445.d ll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O2 - BHO: (no name) - {f592709f-ff4a-4862-b659-4afabda56312} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: (no name) - {f592709f-ff4a-4862-b659-4afabda56312} - (no file)
O4 - HKLM\..\Run: [mcui_exe] "C:\Programmi\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: freepopsd.exe.lnk = FreePOPs\freepopsd.exe
O4 - Global Startup: Outlook Express (3).lnk = C:\Programmi\Outlook Express\msimn.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/res...scbase6087.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1278678570141
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} - http://upload.facebook.com/controls/...Uploader55.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: McAfee Application Installer Cleanup (0207061265198739) (0207061265198739mcinstcleanup) - - (no file)
O23 - Service: McAfee Application Installer Cleanup (0241661251362415) (0241661251362415mcinstcleanup) - - (no file)
O23 - Service: McAfee Application Installer Cleanup (0299351241691058) (0299351241691058mcinstcleanup) - - (no file)
O23 - Service: Emsisoft Anti-Malware 5.0 - Service (a2AntiMalware) - Emsi Software GmbH - C:\Programmi\Emsisoft Anti-Malware\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Programmi\File comuni\Acronis\CDP\afcdpsrv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - VIA Technologies, Inc. - (no file)
O23 - Service: Servizio di Google Update (gupdate1ca0c44be0206d6) (gupdate1ca0c44be0206d6) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McAfee Servizio Personal Firewall (McMPFSvc) - McAfee, Inc. - C:\Programmi\File comuni\Mcafee\McSvcHost\McSvHost.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\Programmi\File comuni\McAfee\McSvcHost\McSvHost.exe
O23 - Service: McAfee VirusScan Announcer (McNaiAnn) - McAfee, Inc. - C:\Programmi\File comuni\McAfee\McSvcHost\McSvHost.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - C:\Programmi\File comuni\McAfee\McSvcHost\McSvHost.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\Programmi\McAfee\VirusScan\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - C:\Programmi\File comuni\McAfee\McSvcHost\McSvHost.exe
O23 - Service: McShield - McAfee, Inc. - C:\Programmi\File comuni\McAfee\SystemCore\\mcshield.exe
O23 - Service: McAfee Firewall Core Service (mfefire) - McAfee, Inc. - C:\Programmi\File comuni\McAfee\SystemCore\\mfefire.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\Programmi\File comuni\McAfee\SystemCore\mfevtps.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RdnaoFlSvc - Unknown owner - C:\Programmi\rnamfler\naofsvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: Returnil Virtual System Core Service (RVSMONBL) - CJSC Returnil Software - C:\WINDOWS\system32\Returnil\RVS3\rvsmon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: Servizio SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Programmi\SiteAdvisor\6261\SAService.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 11074 bytes

[Andy_87]

Devo ancora imparare bene a leggere i log di HiJackThis però questo: O4 - Startup: freepopsd.exe.lnk = FreePOPs\freepopsd.exe
non mi sembra molto buono.
Lascio la parola a chi ha più esperienza in argomento.

[elioteliot123]

Guarda non sono un esperto ma temo che ti sei beccato il mio stesso rootkit.. è un tipo di malware che si installa nel MBR (come mi hanno spiegato) che il settore di avvio del disco rigido e nel tal caso formattare non serve a niente in quanto la formattazione se non vado errato non pialla l'MBR (che sta per master booot record)

Se poi in C/document and settings/ oltre alle cartelle all user e quella del tuo utente ci trovi pure delle cartelle del tipo help assistance allora è certo che che hai beccato una infezione di questo tipo

Leggiti il post che ho aperto e le indicazioni che mi hanno dato.. se il caso aspetta i consigli di chi è più esperto di me ma nel frattempo non usare conti correnti online o carta di credito perchè questi tipi di virsu (tipo sinowal chiamato pure mebroot o altri) sono specializzati a fottere dati sensibili

Nel frattempo elimina tutti gli account che non sono il tuo.. start --> impostazioni --> pannello di controllo --> strumenti amministrazione --> gestione computer poi nell'albero vai a sinistra su utenti e gruppi locali poi sotto vai su users e li disabiliti tutti gli utenti che non sono il tuo

Disabilita la possibilità di ricevere aiuto tramite connessione (destkop remoto ecc: risorse del computer --> tasto destro --> proprietà --> connessione remota e li lascia vuote le caseline dell'assistenza remota e del desktop remoto)

Questo per xp che ho io

Altro consiglio disinstalla antivirus che hai (tanto si è fatto bucare) e dopo quanto fatto sopra scaricati avira free e fai scansione completa..

Fatte queste cose cancella tutte le cartelle help assistance che trovi e poi passi alla rimozione vera e propria dal mbr

[GRY72]

x Andy_87: frepops è un programma per leggere la posta di libero tramite outlook è un po' che lo uso e dovrebbe essere ok

xeliotelio123: grazie per le dritte infatti ho scoperto le cartelle helpassistence, ma nell' eliminarle mi dice che ci sono file di sistema, che faccio cancello?

ps:ho disabilitato gli altri account utenti come mi hai detto, non ho mcapito bene la storia del desktop remoto ....

Qualche altro consiglio su come procedere???

[GRY72]

Grazie mille a tutti, qualcosa comincia a smuoversi, ho disabilitato gli account che non conoscevo e sembrano diminuiti i crash e aumentata la velocità del pc.Il problema reindirizzamento su google rimane sia su ie8, firefoxe e chrome .
Se cerco di rimuovere le cartelle helpassistant mi dice che il file folder.xml è un file di sistema e potrebbe essere un errore eliminarlo.Che faccio proseguo ???
Nel frattempo ho fatto una scansione con Antimalware non ha rilevato nulla.
Leggendo in giro si parla di utilizzare mbr.exe, voi che ne pensate?

Ciao Graziano

[menatwork]

ciao

le cartelle HelpAssistant sono solo duplicati dell'infezione ma se non ne sei certo prova a farle eliminare da HelpAsst mebroot fix

scaricalo sul desktop

Da Start>Esegui scrivi questo comando, virgolette comprese


"%userprofile%\desktop\helpasst_mebroot_fix.ex e" -mbrt


dai l'OK

- Si aprirà un file di testo, copia/incolla il suo contenuto


successivamente scarica combofix sul desktop avendo cura di disattivare prima l'antivirus


eseguilo (non installare la recovery console)

se hai vista devi eseguirlo col tasto destro e come emministratore del sistema

Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

come usare combofix

[GRY72]

Grazie mille, siete fantastici !!
Allora andiamo con ordine
- Le cartelle helpassistant in effettti contenevano solo copie dei file di sistema e sono riuscito a eliminarle allego lo stesso il log di helpasst mrbroot fix

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Status check on 13/07/2010 at 7.21.45,46

No HelpAssistant account in User list

~~ Checking mbr ~~

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys xfilt.sys ACPI.sys hal.dll >>UNKNOWN [0x8960D78A]<<
kernel: MBR read successfully
user & kernel MBR OK

~~ Checking for termsrv32.dll ~~

termsrv32.dll present!


HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\termservice\parameters
ServiceDll REG_EXPAND_SZ %SystemRoot%\System32\termsrv32.dll

~~ Checking profile list ~~

S-1-5-21-3250203075-2804593661-1431998383-1004
%SystemDrive%\Documents and Settings\HelpAssistant.AMMIN.000

~~ Checking for HelpAssistant directories ~~

none found

~~ Checking firewall ports ~~

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\domainprofile\GloballyOpenPorts\List]
"65533:TCP"=65533:TCP:*:Enabled:Services
"52344:TCP"=52344:TCP:*:Enabled:Services
"5778:TCP"=5778:TCP:*:Enabled:Services
"5777:TCP"=5777:TCP:*:Enabled:Services
"3389:TCP"=3389:TCP:*isabled:Remote Desktop
"3115:TCP"=3115:TCP:*:Enabled:Services
"4730:TCP"=4730:TCP:*:Enabled:Services
"7351:TCP"=7351:TCP:*:Enabled:Services
"7352:TCP"=7352:TCP:*:Enabled:Services

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"=65533:TCP:*:Enabled:Services
"52344:TCP"=52344:TCP:*:Enabled:Services
"5777:TCP"=5777:TCP:*:Enabled:Services
"5778:TCP"=5778:TCP:*:Enabled:Services
"3389:TCP"=3389:TCP:*isabled:Remote Desktop
"3115:TCP"=3115:TCP:*:Enabled:Services
"4730:TCP"=4730:TCP:*:Enabled:Services
"7351:TCP"=7351:TCP:*:Enabled:Services
"7352:TCP"=7352:TCP:*:Enabled:Services


~~ EOF ~~
-fatto scanning con mbr qui il primo log

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C4581
malicious code @ sector 0x01D1C4584 !
PE file found in sector at 0x01D1C459A !

-fatto scanning con combofix qui il log
http://www.megaupload.com/?d=JBD6J14Y

-rifatto scanning con mbr qui l'ultimo log (non rileva + il codice maledetto!!!!)
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Il computer è + veloce e non va + in blocco, ma il reindirizzamento su alcune pagine ancora lo fa....
Ok ora come mi consigliate di procedere? combofix lo disinstallo?
Ciaoooo

[menatwork]

come ti ha gia' accennato GRY72 riesegui il passaggio di prima, te lo faccio ripetere per maggior sicurezza

da start esegui digita control userpasswords2 e dai ok

dimmi se vedi utenti a te sconosciuti

viisualizza i file nascosti

Tasto destro su Start--Esplora--Menù Strumenti--Opzioni Cartella--Visualizzazione -Metti la spunta a 'Visualizza tutti i files' o "Visualizza cartelle e files nascosti" -Togli la spunta a 'Non visualizzare cartelle e files di sistema' o "Nascondi i files protetti di sistema"


elimina manualmente il file in grassetto

c:\windows\SFA55621E.tmp

rimuovi combofix con OTC by OldTimer

eseguilo
Clicca su CleanUp.
Alla richiesta di riavvio clicca SI

vai in C:\ e se presente elimina la cartella qoobox

se non lo hai installato scarica ccleaner

In fase d’installazione levare la spunta altrimenti viene installata Yahoo Tollbar.
Avvialo e clicca su:
- Opzioni Avanzate
Togli la spunta da:
- Elimina file solo se più vecchi di 48 ore
Clicca i tasti:
- Pulizia (il primo in alto a Sinistra)
- Analizza ( Pulsante in basso Centrale)
- Avvia Pulizia (Pulsante in basso a Destra)

clicca su Registro, nella pagina successiva clicca Trova problemi, poi al termine dello scan clicca su Ripara selezionati , risposndi di sì alla richiesta di salvare il backup (salvalo in una cartella a piacimento) poi ripara tutti gli elementi trovati. Riavvia il computer


scarica ATFCleaner

1) seleziona la casella Select All
2) clicca sul pulsante Empty selected
3) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)



una domanda: combofix lo hai eseguito prima o dopo il comando mbr.exe -f ?

[GRY72]

Rieccomi seguendo la guida di menatwork (sottotitolo stiamo lavorando per voi...
ecco i risultati

-verifica comando control userpasswords2 -----> OK, c'e solo il mio utente
-Effettuato ricerca del file c:\windows\SFA55621E.tmp, non ho trovato nulla!
-Rimosso Combofix con OTC, la cartella qoobox non esiste
-Pulito con Ccleaner
-Pulito con ATFCleaner
-Per quanto riguarda il comando mbr.exe -f, lo avevo eseguito prima di combofix ma senza risultati, infatti il log dava ancora la presenza del malicious code.
Fatto girare combofix e poi rifatto solo mbr.exe e il codice non lo rileva piu' (vedi il secondo log)
Anche il reindirizzamento internet sembra sparito.....
C'è ancora qualcosa da fare o lo abbiamo eliminato definitivamente?

[menatwork]

posta un log di hijackthis per una verifica