Google tool notification impossibile trovare il file specificato

[Ilario88]

Buonasera a tutti! spero possate aiutarmi....
Un paio di giorni fa,ho installato avira sul pc di un mio amico,forse l'unica persona nel mondo a non avere un antivirus,dopo ke mi aveva detto ke il suo sistema operativo Vista non gli trovava più la stampante,e... incredibile ha trovato ben 657infezioni!!! dopo aver anke riavviato il pc,avira sembra sia riuscito a mettere tutti i virus in quarantena, (e la stampante è tornata a essere presente) però oggi mi ha richiamato xkè non appena accende il pc gli appaiono di continuo tante finestre con titolo Google Tool Notification con scritto C:\Users\Appdata\Roaming\List11.dll impossibile trovare il file specificato. Io non sapendo cosa fare ho installato e fatto una scansione con hijackthis,sperando ke qlkn di voi possa riuscire ad individuare una soluzione! Grazie mille x l'attenzione!!!

[Il Santo.]

Salve.
Disattiva il Tea Timer di SpyBot in questo modo:
Apri SpyBot in modalità avanzata poi vai in utilità - resident e togli la spunta a TeaTimer, e riavvia il pc.
In seguito:
Avvia hijackthis, metti la spunta alle voci ,elencate ,e premi su "fix checked":

O4 - HKCU\..\Run: [Googlee Tooll Bar Notification Env] C:\Users\User\AppData\Roaming\Google_Tool_Bar_Noti fication045.exe
O4 - HKCU\..\Run: [Barra de Busca do Google] C:\Users\User\AppData\Roaming\GoogleToolbarNotifie r.exe
O4 - HKCU\..\Run: [lewettet] C:\Users\User\AppData\Roaming\Microsoft\quoowyfope .exe
O4 - HKCU\..\Run: [Setup Windows Media Player] C:\Users\User\AppData\Roaming\iexplore.exe

Scarica ed installa Malwarebytes
Prima di fare la scansione fai l'aggiornamento.
Esegui una scansione completa del sistema.
Elimina le infezioni che trova.
Allega come da regolamento http://forum.swzone.it/sicurezza/525...ijackthis.html, il log.

[dubo]

Ilario, ti e' cosi' difficile capire che in questo sito il linguagggio sms(ke, +, nn, addirittura qlkn....) non e' concesso....? il pc e' chiaramente infetto da navipromo : disattiva il controllo real time del tuo antivirus,scarica combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe , salvalo sul desktop e disconnettiti dalla rete
Una volta scaricato il programma non devi cliccare sull'icona del programma, clicca il tasto windows(logo bandierina)+R e nello spazio bianco di esegui copia e incolla questo comando, cosi' com'e':

"%userprofile%\desktop\combofix.exe" /killall <==copia e incolla

Premi OK, dovrebbe partire la scansione che puo' durare molto, durante la scansione non fare assolutamente niente con il pc.dopo il riavvio allega il log C:\combofix.txt

[Il Santo.]

@Dubo:
Scusa, ma non vorrei avere infranto anch'io il regolamento.
In questo forum,ci sono delle persone (Amministratori, Moderatori, o "Ronin" ) che possono rispondere solo loro, per eventuali aiuti?
Se fosse così, mi scuso anticipatamente, per essermi sfuggita questa regola.
Per quanto riguarda il navipromo, oltre ad avere invitato l'utente ad eliminare la voce all'avvio, Malwarebytes avrebbe eliminato il resto.
Senza contare, che eliminare il Tea Timer, (che obiettivamente non serve) può interferire con la scansione di Combofix in quanto esegue funzioni in "tempo reale".

[frabi]

No, non hai sbagliato nel rispondere, in un forum chiunque sia in grado di dare delle risposte e aiuti concreti lo può fare, anzi è auspicabile.
L'unica cosa che si chiede è molta attenzione, soprattutto in questa sezione, per evitare che anzichè aiuto si creino danni.

Unica cosa, anche se in questo caso non c'erano link attivi e le stringhe da cancellare erano poche, le risposte è meglio darle in un file di testo, come da regolamento di questa sezione che ti invito a leggere.

[dubo]

sono d'accordo con te Simon Templar per quanto riguarda il merito: io sono un utente alla medesima tua stregua(Ronin e' solo un title), tu hai proposto una soluzione valida che non ho discusso( non ho detto lascia perdere la soluzione de Il Santo.....), io , credo altrettanto, non volevo sminuire la tua soluzione. se hai ancora rimostranze da farmi fallo pure in pvt.

[Ilario88]

Dubo scusa il mio linguaggio,ho sbagliato,ma non volevo mancare di rispetto... anzi,per l'aiuto che date a tutti gli utenti,vi si dovrebbe fare come minimo una statua!
Il Santo,un grazie anche a te per il prezioso aiuto. Ho seguito il tuo consiglio e allego il risultato di Malwarebytes,che infatti mi ha eliminato 3file,e il problema del messaggio di Google Toolbar finalmente non si ripresenta più!
Poi,appena letto il consiglio di dubo,ho provveduto a scaricare combofix e ad eseguire la scansione,e allego anche questo risultato.
Penso che il pc sia a posto,ma se date un'occhiata ai risultati sarei più tranquillo!
Grazie davvero per il vostro aiuto!

[dubo]

ciao Ilario, scarica il file in allegato e trascinalo con la freccia del mouse sull'icona di combofix per una nuova scansione. allegaa il nuovo log di combofix prodotto.

p.s. dal log di combofix ci sono resti, ancora attivi, di una precedente instalazione symantec/norton , fai girare questo tool==> Come scaricare ed eseguire l'utilit di disinstallazione Norton per rimouovere queste attivita'.

[Ilario88]

Dubo in allegato c è il nuovo log di combofix. Avrei alcuni dubbi da chiederti: per prima cosa,dopo aver terminato combofix,ed essere stato riavviato in automatico il sistema,ho aspettato che il programma si concludesse con il rilascio del log,solo che una volta accaduto ciò,non mi apriva nè avira,nè i normali documenti word,se non dopo aver riavviato nuovamente il pc,dicendomi "è stata tentata una operazione non consentita su una chiave di registro di sistema segnata per l'eliminazione" è normale?
Poi,non contento ho fatto un'altra scansione con avira,che mi ha trovato un'infezione da parte del virus Tr/Crypt.ZPACK.gen nel file C:\windows\system32\drivers\ikmmalgarj.sys dicendomi "WARNING the file could not be copied to quarantine,not be deleted,not be selected for deletion after the restart. Possible cause: un dispositivo collegato al sistema non è in funzione." Non riesco a capire che significa...
Infine visto che ho in quarantena 600virus,posso eliminarli senza problema?
Scusa per le tante domande,spero tu possa rispondermi. Grazie mille!

[Il Santo.]

@Ilario88:
Trascina lo script che vedi sotto, sull'icona di Combofix.
Allega il report, a fine scansione.
Fai ansione con Avira, e vedi se rileva ancora qualcosa.

[Ilario88]

Santo,ecco il risultato di combofix fatto con lo script!
Provvederò oggi pomeriggio a fare una scansione con avira (ora non mi è possibile) e ti farò sapere il risultato! grazie!

[dubo]

ciao Ilario, c'e' ancora qualcosa che non va. ripeti l'operazione di trascinamento con il nuovo file allegato ed allega il nuovo log risultante.

[FDAC]

Ciao Dubo, scusa se intervengo. E' per chiederti:
questa voce di combofix è legittima?
hhjjjtaz;hhjjjtaz;c:\windows\system32\drivers\hhjj jtaz.sys

Grazie ancora, saluti

[dubo]

no, non lo e' FDAC, mi era sfuggita, sara' l'eta'. grazie per la segnalazione e script modificato

[Il Santo.]

Scusa Ilario88 ma vorrei farti una domanda:
Per caso inserisci delle periferiche esterne (chiavette USB, o HD esterni) durante la bonifica?
Chiedo questo, perchè ad ogni scansione di Combofix, ti ritrovi con un'infezione nuova.
E non vorrei che tali periferiche, siano infette.