Problema Centro Sicurezza Pc Windows e proxy

[Meg218]

Salve a tutti!
Sono nuova del forum, spero di non commettere errori!:D
Ho un problema con windows 7, da qualche giorno c'è la crocetta rossa sulla bandierina che mi indica Attiva il Centro Sicurezza Pc windows.
Credo sia da quando ho scaricato per errore un programma per un altro e provandolo ad installare mi ha riempito di virus.
Se provo a cliccare sulla notifica mi dice "Impossibile avviare il servizio centro sicurezza pc windows". Ho provato da Servizi ma non mi dà la possibilità di avviarlo, se provo da Proprietà, avvio automatico, Applica, Avvia, parte e anche la notifica non c'è più. Pochi secondi e si disattiva di nuovo.
Se riprovo allo stesso modo mi dice "Impossibile avviare il servizio Centro Sicurezza Pc su computer locale. Errore 1058: impossibile avviare il servizio. Il servizio è disabilitato oppure non è associato ad alcun dispositivo"

Inoltre subito dpo essermi accorta che probabilmente avevo salvato un virus non riuscivo più a navigare su internet nè con Mozilla nè con chrome. Ho risolto eliminando la connessione tramite proxy ma vorrei capire cos'è successo.
Infine quando provo a cercare qualcosa con google, cliccando su uno dei risultati a volte esce una schermata "Your request is loading" e nella barra degli indirizzi Stile Casino Online : Europa Casino online: Il meglio dei giochi in Italia un sito di casinò? ma se non so nemmeno come si gioca -.-"

Ho già fatto tante scansioni, Avira, Mbam, Ad-aware, Emsisoft anti malware, che hanno trovato vari elementi, ma che ho già provveduto ad eliminare. Il problema persiste. Ho rifatto tutte le scansioni e il sistema risulta pulito.
Qualcuno potrebbe aiutarmi?:inchino:

Grazie!

 

[pegifr]

Ciao Meg218
Vediamo se è qualcosa di indesiderato a provocarlo.
Intanto per avere un pò di informazioni sullo stato del sistema e sulla sua configurazione esegui queste operazioni.

Scarica DeFogger > http://download.bleepingcomputer.com/jpshortstuff/Defogger.exe
Salvalo sul desktop ed eseguilo.
Clicca su Disable. Conferma.Premi OK. Chiudi la schermata precedente. Verrà prodotto un log sul desktop (DeFogger_Disable). Se sono presenti i drivers che ricerchiamo verrà riavviato il pc. In questo modo abbiamo disattivato eventuali drivers nascosti di alcuni programmi che potrebbero interferire con lo scan antirootkit.

Poi, disattiva i programmi di sicurezza e:

Scarica DDS > http://www.bleepingcomputer.com/download/anti-virus/dds
Clicca su Download Now. Salvalo sul desktop ed eseguilo.
Aspetta la fine della scansione. Si apriranno due reports: DDS.txt ed Attach.txt
Salvali ed allegali per un controllo.

E poi:
Scarica Rootkit Unhooker > http://www.kernelmode.info/ARKs/RKUnhookerLE.EXE
Salvalo sul desktop ed eseguilo.
Vai nella scheda Report e clicca Scan. Seleziona solo Drivers e Stealth Code. Clicca OK.
Alla fine della scansione, clicca su File > Save Report
Allega il log Report.txt per un controllo.

NB. Se dovessi ricevere questo messaggio:
"Rootkit Unhooker ha rilevato un parassita dentro di sé!
Si consiglia di rimuovere il parassita, okay?"

Clicca su Annulla, quindi Accetto

Logs da allegare:
DDS.txt
Attach.txt
Report.txt

+ quelli vecchi di AVIRA e di MBAM con i relativi rilevamenti.

 

[Meg218]

Innanzitutto grazie per la celere risposta!
Intanto ti dico che defogger non ha riavviato il sistema...
Dunque, ho effettuato le operazioni da te richieste, allego i log, ma purtroppo quelli di avira e mbam non li avevo salvati...:doh:
ho fatto un print delle quarantene... nn so magari può essere utile comunque...:rolleyes:

 

[Meg218]

quarantena avira
http://www.webalice.it/meggie/avira.jpg

quarantena Mbam
http://www.webalice.it/meggie/malwarebytes.jpg

(chiedo scusa ma non riuscivo ad allegarle per le dimensioni...)

 

[pegifr]

Ciao Meg218 :)

DeFogger riavvia il pc solo se trova determinati drivers.
Trovi il log di Avira in Panoramica > Report e quello di MBAM nel Tab “Log”, comunque i nuovi rapporti di DDS ed RKU non mostrano infezioni a parte qualche traccia della Searchqu Toolbar.

Disattiva momentaneamente tutti i dispositivi di sicurezza.
Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop e disconnettiti dalla rete (è importante).
Non installare la recovery console.
Lascia lavorare il programma senza toccare letteralmente nulla.
Allega il rapporto C:\ComboFix.txt

 

[Meg218]

ok ho un problema, ho disattivato avira (ombrellino chiuso) ho fatto "esci" dall'icona di ad-aware ma combofix continuava a dire ke erano attive le protezioni in realt time di entrambi i programmi.
non sapendo che fare li ho disinstallati, ho riavviato (sempre disconnessa da internet) e al riavvio ho riprovato con combofix. Mi dice ancora la stessa cosa -.-
Ora li sto reinstallando intanto che aspetto una risposta...
Allego i log di avira e mbam che avevo salvato prima della disinstallazione.

 

[pegifr]

Ciao Meg218
Hai ragione, avrei dovuto dirti di continuare se si fosse presentata questa evenienza, scusami.
Con Avira e MBAM puoi anche non reinstallarlo Ad-Aware.
Il log di Avira lo avresti ottenuto cliccando una volta ancora su Report, comunque non importa perché stando ai rapporti di DDS ed RKU il tuo sistema è pulito.
Dato che, però, mi pare di capire che il problema c’è ancora proviamo a vedere se Combofix trova dell’altro, magari si tratta solo di completare il lavoro di Avira e di MBAM.

 

[Meg218]

ok ce l'ho fatta!
ho fatto partire combofix, quando ha finito, creato il log, ho riavviato.....

e la croce sulla bandierina non c'è più!:asd:
speriamo duri stavolta e non faccia scherzi come al solito!
hehehehe

intanto, allego il log di combofix, magari mi aiuti a capire cos'era che andava storto?
Comunque grazieeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee!!!!!!!!!!!!!!!!!!!!!!!:D

 

[pegifr]

Ciao Meg218 :)
Mi fa piacere che Combofix ti abbia risolto il problema anche se tra le eliminazioni non vedo nulla di ricollegabile alla disattivazione del Centro Sicurezza Pc, ma solo Searchqu Toolbar.
Bisogna ripristinare i valori di alcune chiavi di registro che di sicuro sono state modificate in seguito alle infezioni precedentemente contratte (quelle rilevate da Avira e da MBAM).

Facciamo una verifica.
Clicca su Start > scrivi regedit > dai invio
Segui questo percorso:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
Clicca una sola volta su Session Manager,a destra clicca due volte su BootExecute. Dovresti trovare: autocheck autochk *\0OODBS
Se così fosse, lascia solo autocheck autochk *
Poi portati un pò più in basso su SetupExecute e cliccaci due volte.
Dovresti trovare: \0
Se così fosse, cancella questo dato in maniera tale che questo valore non contenga nulla.
Devi ottenere quindi:
BootExecute REG_MULTI_SZ autocheck autochk *
SetupExecute REG_MULTI_SZ

In questo modo abbiamo ripristinato i valori di default.
Riavvia il pc.

Poi, per completare la disinfezione:
· Salva il file di testo allegato sul desktop.
· Disattiva i programmi di sicurezza.
· Chiudi tutte le applicazioni e disconnettiti da Internet.
· Trascina il file CFScript.txt sull’icona di Combofix.
· Partirà una nuova scansione, allega il nuovo rapporto.

E poi:
Scarica HiJackThis
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
Salvalo in una sua cartella non temporanea e non sul desktop. Segui il wizard.
Chiudi tutte le applicazioni.
Avvialo. Clicca su Main menu > Do a system scan and save a logfile
Salva il file prodotto ed allegalo per un controllo.

 

[Bodhi]

Ho risolto con questo software

Malwarebytes Anti-Malware

Salve a tutti!
Sono nuova del forum, spero di non commettere errori!:D
Ho un problema con windows 7, da qualche giorno c'è la crocetta rossa sulla bandierina che mi indica Attiva il Centro Sicurezza Pc windows.
Credo sia da quando ho scaricato per errore un programma per un altro e provandolo ad installare mi ha riempito di virus.
Se provo a cliccare sulla notifica mi dice "Impossibile avviare il servizio centro sicurezza pc windows". Ho provato da Servizi ma non mi dà la possibilità di avviarlo, se provo da Proprietà, avvio automatico, Applica, Avvia, parte e anche la notifica non c'è più. Pochi secondi e si disattiva di nuovo.
Se riprovo allo stesso modo mi dice "Impossibile avviare il servizio Centro Sicurezza Pc su computer locale. Errore 1058: impossibile avviare il servizio. Il servizio è disabilitato oppure non è associato ad alcun dispositivo"

Inoltre subito dpo essermi accorta che probabilmente avevo salvato un virus non riuscivo più a navigare su internet nè con Mozilla nè con chrome. Ho risolto eliminando la connessione tramite proxy ma vorrei capire cos'è successo.
Infine quando provo a cercare qualcosa con google, cliccando su uno dei risultati a volte esce una schermata "Your request is loading" e nella barra degli indirizzi Stile Casino Online : Europa Casino online: Il meglio dei giochi in Italia un sito di casinò? ma se non so nemmeno come si gioca -.-"

Ho già fatto tante scansioni, Avira, Mbam, Ad-aware, Emsisoft anti malware, che hanno trovato vari elementi, ma che ho già provveduto ad eliminare. Il problema persiste. Ho rifatto tutte le scansioni e il sistema risulta pulito.
Qualcuno potrebbe aiutarmi?:inchino:

Grazie!

 

[Meg218]

Con HijackThis mi è uscita una schermata che diceva tipo di eseguire come amministratore... ma ha fatto comunque la scansione e il log...

 

[pegifr]

Ciao Meg218
Non ti ho detto che HJT su 7 andava eseguito come amministratore.:cav:
Comunque, come mai non hai ripristinato anche SetupExecute? Hai avuto problemi? Sotto non c’era: \0 ?
Ripeti l’operazione, cancella il contenuto e dai invio.
Per il resto è tutto ok anche se utilizzando programmi p2p le probabilità di infettarti ono sempre più alte.
Disinstalla Ad-Aware non serve a nulla. Tieni MBAM.

Poi:
Disattiva il ripristino configurazione di sistema > http://support.microsoft.com/kb/310405/it

Con Hijackthis pulisci gli ADS in questo modo:
· clicca sulla voce Open the misc tool section
· clicca su Open ads spy
· togli la spunta alla voce Quick scan (windows base folder only)
· clicca su Scan

Aspetta pazientemente la fine della scansione
Se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

Poi:
Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch

Riattiva il ripristino configurazione di sistema e crea un nuovo punto di ripristino

Poi:
Start > digita msconfig e dai invio
· Nella scheda Avvio togli la spunta a tutti i programmi tranne che ai programmi di sicurezza
· Nella scheda Servizi metti la spunta a nascondi tutti i servizi MS, poi lascia le spunte ai programmi di sicurezza ed a quei servizi realmente utili.
· Applica e riavvia il sistema.

Per eliminare correttamentei i programmi utilizzati:
Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
Doppio clic per eseguirlo
Clicca su CleanUp.
Clicca due volte yes.
Il pc verrà riavviato.

Scarica CCleaner:
http://www.piriform.com/ccleaner
In fase di installazione togli la spunta a Google Chrome
Vai in Opzioni > Avanzate
Togli la spunta a cancella file in windows temp solo se più vecchi di 24 ore
Fai pulizia e ripara il registro (fai sempre il backup prima di eseguire questa operazione)

Scarica Wise Registry Cleaner Free per riparare il registro.
http://www.wisecleaner.com/download.html
In fase di installazione togli la spunta al componente aggiuntivo Ask toolbar
Togli la spunta ad I agree to receive the e-mail newsletter
Alla fine togli la spunta da Download Wise Disk Cleaner now

Appena possibile pianifica uno Scandisk ed effettua una Deframmentazione.

 

[Meg218]

Ciao pegifr,
grazie per la pazienza.
Dunque, SetupExecute non porta valori... non c'è nulla da cancellare insomma...
Ad-aware lo tengo più che altro per la protezione in tempo reale (Ad-watch credo) non serve a nulla?
Inoltre, ho fatto la scansione come mi avevi detto di Hijackthis e mi porta una marea di cose! Devo davvero eliminare tutto? Ma cosa sono questi Ads? E comunque, così facendo andrò ad eliminare i file stessi?
mhmhmhmhmh aiuto!:rolleyes:

 

[pegifr]

Ciao Meg218 :)
Riguardo al valore SetupExecute, l’essenziale è che non racchiuda nulla come da default.
Secondo me è meglio:
Avira con la protezione attiva + MBAM on demand
Rispetto a quello che hai tu:
Avira con la protezione attiva + Ad-Aware con la protezione attiva + Windows Defender con la protezione attiva + A-Squared
Non rischi di creare conflitti e risparmi anche risorse… ma questa è una tua scelta anche perché, ti ripeto, comunque imbarcherai di tutto utilizzando programmi p2p.
Riguardo ad HJT, ti rispondo nell’ordine:
Si, per le infezioni sostenute. Dati sovrascritti, molto spesso anche da malware. No.
Ti saluto, buon pc.

 

[Meg218]

Ok fatto tutto!
Grazie mille pegifr!:ok: