| Autore |
 Discussione  |
|
nooffice
Senior Member
125 Messaggi |
 Inserito il - 29/03/2009 : 22:40:57
|
salve a tutti...... da un pò di tempo quando navigo su molti siti mi appare una finestra che mi dice che sono fortunato che sono il visitatore nr.. e che se voglio vedere cosa ho vinto devo clikkare....ovviamente non mi ci avvicino neanche però vorrei sapere se si tratta di un virus o cos'altro..... vorrei fare in mdo di non dover più vedere sti fastidiosi messaggi che se per sbaglio qualcuno mi ci clikka sopra non oso immaginare cosa può succedere....
ho win vista home premium e ie7
intanto posto i log:
htt*://freefilehosting.net/download/46c55 (hjt);
htt*://freefilehosting.net/download/46c57 (systemscan).
grazie per il coretese aiuto
|
Modificato da - death in Data 31/03/2009 08:49:53
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 30/03/2009 : 06:57:37
|
Nel log di HJ ci son due chiavi sospette:
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\*******!\Companion\Installs\cpn\YTSingleInstance.dll
questa icuramente una toolsbar di *******, se è installata vedi di levartela dai piedi.
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\System32\Adobe\SHOCKW~1\SWHELP~2.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; .NET CLR 1.1.4322)" -"XXXXXXXXXXXXXXXXXXXXXXXX"
Su questo ho eliminato giusto l'url, ho controllato ma sembra che non esista più il dominio in causa (404 - Not Found), il programma eseguito (swhelp~2.exe -update) pare sia legittimo ed in relazione allo Shockwavw Flash, ma l'url a quel sito incollato li dietro non mi garba affatto.
Il secondo log (2.9 MB! 40667 linee!!  ) non ci ho capito un fico secco 
Aspetta comunque un parere più autorevole in quanto a disinfestazioni. |
Modificato da - Yves in data 30/03/2009 07:07:51 |
 |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 30/03/2009 : 08:20:19
|
Buon giorno, il report da 40667 linee me lo controllo questa sera (ti è andata bene yves  ) nel mentre se passi esegui questo tool:
scarica LopSD.exe
1.2) doppio click su Lop S&D.exe
2.2) scegli il linguaggio
3.2) seleziona l'opzione 1 (ricerca/search)
4.2) attendi la fine della scansione
5.2) Posta il report che troverai in c:\Lop SD con il nome lopR.txt |
|
|
|
nooffice
Senior Member
125 Messaggi |
Inserito il - 30/03/2009 : 22:15:28
|
| se ho ben capito mi devo togliere la ******* toolbar giusto? è installata, ma ho tolto la sua visualizzazione...... per la seconda chiave di shocwawe non ci ho capito un fico secco nè cos'è ne cosa devo fare....... |
|
|
|
nooffice
Senior Member
125 Messaggi |
Inserito il - 30/03/2009 : 23:25:52
|
ecco il log di loopsd:
htt*://freefilehosting.net/download/46cjh |
Modificato da - nooffice in data 30/03/2009 23:26:55 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 31/03/2009 : 08:48:57
|
Buon giorno, come immaginavo dalla descrizione del tuo problema, hai una infezione da Navipromo, segui la procedura:
Citazione:
Se usi Vista devi necessariamente disattivare il UAC, e inoltre il tool và eseguito mediante il tx destro del mouse e con l'opzione "esegui come amministratore"
Utilizzatori di win Vista: disabilitare uac (user account control), segui questa procedura e quando avremo finito con navilog la rifarai inversa per ripristinarlo da start>esegui digita msconfig si apre la solita finestra vai nel tabellino TOOLS (strumenti) , vedrai la riga "disable uac" metti il segno di spunta, poi ti farà riavviare e al successivo lancio del sistema dovrebbe essere disabilitato.
htt*://support.microsoft[.com]/kb/929991/it disabilitare uac
Scarica Navilog da qui
scarica Navilog
scaricalo sul sul desktop e installalo.
1) riavvia il computer in modalità provvisoria
Citazione:
Windows
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
2) esegui Navilog1 sempre da amministratore
3) scegli l'opzione 1, farà la ricerca sul pc, quando ha terminato rilancia Navilog1
4) scegli l'opzione 2 (Automatic Cleaning) e dai l'ok (eseguirà la pulizia dei files infetti trovati)
5) Riavvia il pc in modalità normale esegui navilog, scegli la lingua e, al menù di scelta, seleziona l'opzione 1 (non scegliere le altre).
Ad un certo punto uscirà una scritta "Analysis ... Terminate", premi un tasto come richiesto e si aprirà un file di testo (il rapporto della scansione).
nota: lo trovi anche in c:\ con il nome cleannavi.txt
6) Posta il log della scansione.
poi esegui queste pulizie:
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
4) NON eseguire le pulizie sul registro
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata
|
Modificato da - death in data 31/03/2009 08:49:28 |
|
|
|
nooffice
Senior Member
125 Messaggi |
Inserito il - 31/03/2009 : 15:42:40
|
prima di procedere come mi hai chiaramente indicato death (grazie per la precisione "passo passo"), alcune riflessioni:
1. devo cmq seguire i consigli di yves anche se non ho ben compreso quello relativo alla seconda chiave da lui indicata?;
2. che tipo di virus è navipromo e che effetti produce?;
3. ho solo quello o c'è del resto?
4. si vede dai miei post se ci sono dei conflitti software (word)?;
il più importante:
5. come hai fatto a riconoscere la minaccia? mi piacerebbe moltissimo imparare la sicurezza informatica anche se è il tempo che mi manca..... avrai sicuramente dedicato allo studio un mucchio di tempo, ma hai veramente imparato tanto.......
6. perchè il mio log di systemscan è così grande?
Adesso basta altrimenti divento tedioso....... grazie per tutto l'aiuto che mi avete dato....... appena fatto vi faccio sapere....... |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 31/03/2009 : 18:32:01
|
Buona sera, vedo che mi hai lasciato i compiti..dunque da ignorante cerco di spiegarmi e farti capire:
1) segui i consigli di yves, rimuovi la prima voce poi da installazione applicazioni rimuovi la ******* toolbar, la seconda fà riferimento ad un aggiornamento prelevabile da una pagina web non piu' attiva quindi va rimossa.
2) navipromo non è propriamente un virus, è qualcosa che hai accettato tu facendo il download di qualche programma, il caso piu' eccltatante msn, produce apertura indesiderata di pagine pubblicitarie durante la normale navigazione.
3)non ho controllato a fondo, ho dato uno sguardo veloce, non mi è sembrato di vedere altro, in ogni caso un secondo giro dopo le pulizie lo facciamo
4) no i conflitti non si vedono con questi tool
5) la minaccia solitamente la vedo da hijackthis e la riconosco perchè richiama sempre 2 files uguali, nel tuo caso sembra che il file eseguibile sia sparito, per questo ti ho fatto usare lopsd, infatti ha trovato:
C:\Users\Fabrizio\AppData\Local\eoirbsc.bat
C:\Users\Fabrizio\AppData\Local\eoirbsc.dat
C:\Users\Fabrizio\AppData\Local\eoirbsc_nav.dat
C:\Users\Fabrizio\AppData\Local\eoirbsc_navps.dat
6) il tuo log è grande perchè ho visto che ci sono centinaia di righe relative al firewall se non ricordo male.
|
Modificato da - death in data 31/03/2009 18:33:29 |
|
|
|
nooffice
Senior Member
125 Messaggi |
Inserito il - 31/03/2009 : 22:36:56
|
scusate la mia continua ignoranza, ma sono riuscito a togliere a mano la prima chiave che mi ha indicato yves in c:programmi ecc..... ma devo andare nel registro di sistema anche? la seconda voce non la trovo....se tolgo la toolbar di ******* con revounistaller è la stessa cosa?
scusate l'ignoranza...... |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 01/04/2009 : 08:16:40
|
Buon giorno, non preoccuparti per le domande, allora per rimuovere le 2 chiavi di registro segui la procedura:
lancia hijackthis, clicca su "do a system scan only" quando ti si apre il log a destra in basso clicca sul pulsante "config" verifica che ci sia il flag o segno di spunta sulla casellina "make backups before fixing items" poi clicca su back e metti il segno di spunta sulla casellina di fianco a queste voci (vedi sotto) poi clicca su fix checked.
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\*******!\Companion\Installs\cpn\YTSingleInstance.dll
questa icuramente una toolsbar di *******, se è installata vedi di levartela dai piedi.
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\System32\Adobe\SHOCKW~1\SWHELP~2.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; .NET CLR 1.1.4322)" -"XXXXXXXXXXXXXXXXXXXXXXXX"
Per quanto concerne la ******* toolbar se non la trovi in "installare applicazioni" rimuovila pure con revouninstaller. |
|
|
|
nooffice
Senior Member
125 Messaggi |
Inserito il - 01/04/2009 : 16:24:51
|
ecco il log di navilog
htt*://freefilehosting.net/download/46dkc
|
|
|
|
nooffice
Senior Member
125 Messaggi |
Inserito il - 02/04/2009 : 11:11:09
|
grazie a tutti ragazzi...... il problema apparentemente sembra risolto....... ho notato una cosa.... da quando ho disabilitato l'uac il pc in avvio è più veloce.... non un fulmine di guerra ma più veloce....... prima partiva regolare caricava tutte le icone regolarmente e anche lo sfondo, ma ci metteva quasi 4-5 minuti per caricare i programmi in esecuzione automatica e di conseguenza fino alla fine del caricamento non potevo utilizzare nulla..... ora l'unica cosa che ci mette molto a caricare è rimasta la connessione wifi per internet..... pensavo ad un virus, ma dati i risultati ottenuti qui con voi direi di no...... vedrò cosa fare anche se credo che il problema principale sia la stampante wifi hp....infatti i rallentamenti all'avvio sono iniziati dopo la sua instalazione....... grazie di tutto......
a proposito...... gdata è un buon antivirus?
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/04/2009 : 11:20:10
|
Buon giorno, mi era sfuggita la tua risposta ieri, il report è pulito, esegui queste pulizie:
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
4) NON eseguire le pulizie sul registro
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata
Ti consiglio di riabilitare UAC vero che non serve praticamente a nulla ma visto che l'hanno inserito utilizzalo, poi la scelta è ovviamente tua. |
Modificato da - death in data 07/04/2009 07:55:29 |
|
|
|
nooffice
Senior Member
125 Messaggi |
Inserito il - 06/04/2009 : 22:15:41
|
| ragazzi........ mi dispiace...... è andata bene x un pò......ma ora ci risiamo......navipromo.....esiste qualcosa di brutale che lo elimina o rifaccio quello che ho fatto finora?..... ho un cd rescue di avira che parte come boot sotto linux.... se uso quella che dite riuscirà ad eliminare il problema? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 07/04/2009 : 07:54:57
|
Buon giorno, te lo sei ripreso nuovamente  , per cortesia riesegui navilog e posta il report. |
|
|
|
nooffice
Senior Member
125 Messaggi |
Inserito il - 07/04/2009 : 15:58:38
|
giuro che non so come possa essere successo..... eppure non visito siti "strani"..... questo sito, poi alcuni altri che visito spesso sono quelli delle news locali e della mia squadra del cuore..... mai niente di più...... diciamo siti abbastanza "istituzionali".....
cmq questo è il log di solo ricerca di navilog.....
htt*://freefilehosting.net/download/46hfi
e questo è di hjt:
htt*://freefilehosting.net/download/46hfk.....
grazie di tutto e scusate veramente tanto ma proprio non so cosa possa essere successo...... |
|
|
|
Discussione |
|
attività sospetta - Navipromo
Forum Bloccato
