PDA

Visualizza versione completa : Protezione & Privacy Aiutatemi a rimuovere Qone8!!



calaf
05-05-14, 14: 45
Dopo un'incursione da parte dei pargoli di casa, mi sono ritrovato con la pagina iniziale dei browsers d'un mio desktop impostata su un motore di ricerca Qone8 indesiderato:

2864

Malgrado ogni sforzo e perigrinazione on-line alla possibile ricerca d'un metodo per rimuoverlo per tornare al familiare Google non sono riuscito a coronare i miei sforzi.
Dicono con non sia nocivo ma attivo solo per fini statistici.
Non ci credo nella maniera più categorica perchè al primo accesso s'è presentato con un clip audio-video che mi insegnava il mezzo per arricchirmi in pochi minuti senza chiarirmi il perchè, avendolo scoperto, me lo abbia generosamente partecipato e non se lo sia tenuto per se.
Bando alle chiacchiere.
C'è qualcuno che sa dirmi come è stato manipolato il registro del mio SO e come si può rimuovere l'indesiderato ospite?
:m::ok:

Andy86
05-05-14, 15: 14
:bai

Se hai già provato tutto il resto (compreso controllare che i collegamenti non siano stati alterati), e magari verificato che avviando firefox in modalità provvisoria non si ripresenta, prova a controllare la configurazione di firefox (about:config e prometti di fare attenzione), vedi se ci sono voci relative a quella cosa e cancellale o resettale.

calaf
05-05-14, 15: 58
Hai ragione.
Ho omesso di postare i tentativi di rimozione con esito negativo effettuati:
1°- Rimozione di tutti i programmi installati dopo l'ultima data di corretto funzionamento con Revo uninstaller.
2°- Cancellazione su programmi delle directory relative alle appl. del punto 1° con eventuale intervento di Unlocker in caso di blocco.
3°- Reimpostazione di IE, Firefox, Chrome.
4°- Disinstallazione e reinstallazione per prova di Chrome e definitiva disinstallazione dello stesso dopo il non esito.
5°- Scansione anti malvare con Glary, Spybot, Malwarebyte e CCleaner.
6°- Ripristino configurazione da una data molto precedente al manifestarsi dell'inconveniente.

Questo, s'intende, dopo il tentativo andato a vuoto di cambiare la pagina iniziale nelle opzioni dei 3 browsers ed aver azzerato cliccando col tasto destro sulle icone degli stessi > proprietà > destinazione, le diciture presenti in quest'ultima finestra.

Scusami la poca prespicacia ma non ho capito il significato di:(compreso controllare che i collegamenti non siano stati alterati), che Ti prego chiarirmi.
Adesso lascio e provo la modalità provvisoria in Firefox.

Ritengo tuttavia che sia da intervenire sul registro. ...O sbaglio?

FileNotFound
05-05-14, 16: 00
Dopo un'incursione da parte dei pargoli di casa, mi sono ritrovato con la pagina iniziale dei browsers d'un mio desktop impostata su un motore di ricerca Qone8 indesiderato:

2864

Malgrado ogni sforzo e perigrinazione on-line alla possibile ricerca d'un metodo per rimuoverlo per tornare al familiare Google non sono riuscito a coronare i miei sforzi.
Dicono con non sia nocivo ma attivo solo per fini statistici.
Non ci credo nella maniera più categorica perchè al primo accesso s'è presentato con un clip audio-video che mi insegnava il mezzo per arricchirmi in pochi minuti senza chiarirmi il perchè, avendolo scoperto, me lo abbia generosamente partecipato e non se lo sia tenuto per se.
Bando alle chiacchiere.
C'è qualcuno che sa dirmi come è stato manipolato il registro del mio SO e come si può rimuovere l'indesiderato ospite?
:m::ok:

Ci devi fornire un paio di informazioni:
1- Quali browsers usi;
2- Qual'è il Sys Operativo (Linux Chakra ?).

Restiamo in attesa.
.

Andy86
05-05-14, 16: 09
Scusami la poca prespicacia ma non ho capito il significato di:(compreso controllare che i collegamenti non siano stati alterati), che Ti prego chiarirmi.

Ma se avevi pure postato una guida in merito?

Il collegamento sarebbe l'icona che usi per aprire il browser.



Ritengo tuttavia che sia da intervenire sul registro. ...O sbaglio?

Di solito nel registro ci sono le impostazioni di IE. Firefox tiene la roba per conto suo.


(Linux Chakra ?).

Hai guardato il profilo sbagliato... sono io quello su chakra. :ghgh

Armandillo
05-05-14, 16: 18
:bai

Forse basta adoperare AdwCleaner...così sembra

calaf
05-05-14, 16: 27
Prevalentemente Firefox.
Nel Desktop di cui trattasi uso ancora Win XP, per ragioni di accesso da parte dei ragazzi ma anche per usare una vecchia ma efficientissima laser Xerox Docuprinter P1202 ed uno scanner per diapositive CanonScan 5200F di cui non sono riuscito a trovare i driver per il Win 8.1 del portatile e del Win 7 con SSd dell'altro PC,

@ Andy
Ho provato Firefox in modalità provvisoria niente da fare.

'Sti cavolo di hack quando ci si impegnano sanno metterci veramente nel sacco.
Con chi gira per casa non è la prima volta che mi fanno incappare in questo tipo di guaio.
Con altri due o tre browser balordi che (se non ricordo male si chiamavano uno qualcosa come Search ed un altro mi pare National),fin qui me l'ero sempre cavata ma stavolta è veramente dura...

Leggo ora il tuo post ripeto sono un pò distratto (leggi incavolato marcio) e non avevo capito al volo a quale icona si riferiva il collegamento.

Andy86
05-05-14, 16: 32
@ Andy
Ho provato Firefox in modalità provvisoria niente da fare.

Errore mio. Avrei dovuto dire con un nuovo profilo.
Comunque prova a vedere con about:config che vediamo se c'è qualcosa da pulire lì.

FileNotFound
05-05-14, 16: 51
Prevalentemente Firefox.


Perfetto. Fai cosi:

1 Apri Firefox
2 Fai click col mouse (tasto sinistro) sulla barra degli indirizzi (è dove sta scritto "inserisci...")
3 Digita esattamente: about:config
4 Ti apparirà un avviso. Non preoccuparti: è tutto OK; clicca pure su "Farò attenzione, prometto"
5 Ti apparirà un lunghissimo elenco di parametri, sono in ordine alfabetico, quindi scorri fino a trovare esattamente browser.newtab.url
6 Click mouse (col tasto destro); sul menu che ti appare click (col tasto sinistro) su modifica
7 ti apparirà una finestrella di inserimento. Cancella (sbianca) quello che c'è scritto e scrivi esattamente (SENZA HTTP:// O ALTRO !) Google.it e premi OK.

:bgg2 Dovremmo aver finito. Fai un po' di prove (cioè spegni e riavvia il PC e prova a lanciare Firefox) e, se tutto va bene, facci sapere, procederemo con lo stesso metodo (che è quasi uguale) per gli altri BRO.

bye
.

calaf
05-05-14, 17: 33
Ho provato con AdwCleaner senza esito positivo.
Ho stampato il post di FileNotFound ed ho seguito alla lettera le istruzioni impartitemi.
In un primo momento ho postato in browser.newtab.url la stringa (SENZA HTTP:// O ALTRO !) Google.it e riavviato.
Visto l'invana ricerca ho capito l'abbaglio ed ho postato il solo Google.it .

Al riavvio del PC ed al successivo lancio di Firefox e riapparsa la pagina iniziale di Qone8.
Ho provato pure con IE ma la procedura dovrebbe essere diversa perchè non compare la lista di configurazione.

Unica nuova osservazione è quella che in entrambi i bro cliccando sull'icona della casetta appare la pagina di Google che è la mia predefinita ma pur apparendo nella finestra opzioni > pagina iniziale viene sostituita dall' indesiderata Quno8.

Armandillo
05-05-14, 17: 59
Sembra che sia veramente tosto :m: leggi qui (http://www.chimerarevo.com/windows/rimuovere-search-qone8-com-guida-virus-150697/)

:bai

Andy86
05-05-14, 18: 23
:bai

Se non è nella pagina iniziale, sembra un comando impartito all'apertura.
Sei proprio sicuro che non sia il collegamento sporco come illustrato da te stesso nella tua guida qui? -> http://www.collectiontricks.it/forum/tips-tricks/Ct5520-eliminare-pagina-iniziale-browser-abusiva.html

A proposito di about:config, forse io non sono stato chiaro come File, pensavo te la cavassi un po' di più, ma intendevo di cercare invece tutte le voci che avessero la parola "qone8", perché succede che ne mettano di personalizzate.

FileNotFound
05-05-14, 18: 42
Non c'è problema, capisco che la tensione non faccia pensare... però, proprio per non dare punti in più al nostro avversario, manteniamo la calma e il discernimento.

Quindi c'è qualcosa all'avvio del PC che ristabilisce i valori che piacciono a Qone8 (e che a noi non piacciono). Andiamo a vedere se capiamo cosa.

Vai a questa pagina CCleaner - Download (http://www.piriform.com/ccleaner/download) e scarica la versione free di CCleaner (è la prima colonna, gli uls li trovi in fondo ad essa).

Una volta scaricato ed installato, lancialo. Ti comparirà una finestra, all' estrema sinistra click su Registro.

A sinistra ci sono pulsanti: Disinstallazione, avvio, Ricerca file, eccetera...

Clicca su avvio. Il prospetto al centro è un menù (Windows, Internet Explorer, Firefoxm eccetera)

Cominciamo da Windows. Concentrati sulla quarta colonna (Pubblicato da). Controlla se c'è qualcosa pubblicato da Q e controlla se ci sono caselle bianche (sempre nella colonna Pubblicato da). Nell'uno e nell'altro caso controlla a cosa corrisponde nella colonna Programma, se non riconosci il programma prendine nota e copia (puoi salvarlo come testo) quello che c'è scritto in corrispondenza della colonna File.

Fammi sapere ed eventualmente postami i comandi che ritieni sospetti.

Resto in attesa.

.

calaf
05-05-14, 19: 45
@ Arma

1°- Ho scaricato Trojan Killer e seguito le istruzioni.
2°- Ho installato l'applicazione
3°- Ho avviato la scansione (2h per c.ca 9000 file e 5000 elementi di registro e trovato una quarantina di trojan

2865
4°- Ho avviato la bonifica

28665°- Ho richiamata l'opzione bro

2867

6°Ho ottenuta questa schermata

28687°- Ho riavviato il PC

Lanciando Firefox non ho ottenuta la sperata pagina bianca ma la pagina iniziale Qone8.
Però cliccando sulla casetta o aprendo una nuova scheda mi appare Google.

Ho persa mezza giornata.

Leggo gli altri due post e faccio sapere perchè penso realmente che la soluzione possa interessare una più vasta platea

calaf
05-05-14, 20: 17
@ Andy

Sono lusingato dell'idea che T'eri fatto ma la mia attività tecnica plincipale non è indirizzata all'informatica in cui m'arrangio come autoritratto (leggi autodidatta).
Purtuttavia anche non avendolo specificato nei precedenti post avevo fatta la ricerca del file incriminati e ne avevo cancellati una decina reperiti nella directory Documenti & Setting sensa esito.

@ FNF

Avevo già CCleaner tra i programmi installati.

Seguendo le istruzioni ho ottenute queste 2 schermate di cui la prima non ha bisogno di commenti e l'altra comprende un file di cui non capisco lo scopo contrassegnato con la freccia.

2870




2869

Andy86
05-05-14, 20: 57
Purtuttavia anche non avendolo specificato nei precedenti post avevo fatta la ricerca del file incriminati e ne avevo cancellati una decina reperiti nella directory Documenti & Setting sensa esito.

Si ok, ma hai rifatto quello che hai scritto nella tua guida?
La ricerca nella config di firefox (dove FDF ti ha detto di inserire google) per quone8 l'hai fatta?

FileNotFound
06-05-14, 05: 48
@ FNF

Avevo già CCleaner tra i programmi installati.

Seguendo le istruzioni ho ottenute queste 2 schermate di cui la prima non ha bisogno di commenti e l'altra comprende un file di cui non capisco lo scopo contrassegnato con la freccia.

2870




2869

Tranquillo, nell'immagine cclean1.jpg, quello che hai indicato dalla freccia è un'estensione integrata al supporto per traduzioni automatiche di Firefox.

Il file è noto e valutato pulito. Ma Nota Bene: dovresti verificare il codice di autenticità (MD5). Dato che sono attualnente pervenute 6 versioni di origine non certificata (potrebbero essere semplici cloni manipolate da utenti smanettoni, ma non cattivi). Questo che segue è l'MD5 dell'originale pulito, Testando il tuo file con winMd5Sum.exe ti deve scaturire lo stesso codice.

09566cd551b7926396eedfdc3cfe6cf2

Comunque in quanto file di supporto al traduttore penso che non possa avere routines di modifica del nucleo di configurazione; quindi direi di scordarci di lui.



e passare ad altro...

Cioè al file di avvio di Windows. Dalle due righe dell'immagine che mi hai inviato vedo che hai (o una volta hai istallato) Microsoft Office (un consiglio che non c'entra niente: prova OpenOffice 4.0.1: è gratis e supporta più tipi di file; io sto attualente testando la 4.1 beta, ma tu aspetta che la stabilizzino).

Vedo poi che hai installato AVG (l'antivirus) e nient altro (una curiosità :bgg2 : ma, a parte venirci a rubare il prosciutto crudo nel frigo la notte mentre dormiamo... fa altro 'sto antivirus? :boh ).

Nel complesso mi sembra un po poco... non vedo la preinstallazione dei drivers della stampante e dello scanner di cui ci avevi parlato... strano; ma ne parliamo un'altra volta.

Passando alla seconda immagine: Capisco che tu hai visto la parola Firefox e non hai resistito a vedere cosa c'era...

Ma non sono partito da lì (anzi l'avrei trascurata) perch° è nell' avvio di windows che vengono impostati i parametri di partenza di tutti i programmi istallati. In Firefox e in Explorer ci sono i plugin e le estensioni di quei specifici programmi, cioè nulla che possa causare il danno che ci segnali.


Tornando a Windows: Dato però che ci sono solo 2 righe, forse c'è qualcosa di nascosto, e ci converrà (ma non ora, ora abbiamo altro da fare) andarci ad aprire direttamente congig.sys ed autoexec.bat (NB: se decidi di farlo da solo non aprirli direttamente: prima fanne una copia, salvala in un altra cartella e apri le copie [inoltre entrambi li devi rinominare con desinenza .txt (LE COPIE!!!), perchè senno autoexec ti parte e config non lo riconosce. Tutto questo, ti ripeto, Lo faremo la prossima volta. Ora abbiamo altro da controllare. In particolare le 4 cartelle Menu Avvio (io ho il Seven, ma mi pare anche l'XP ne aveva 4, semmai esegui una ricerca con Agent Ransack.

Le 4 cartelle "Menu Avvio", oltre a vare altre amenità, possono contenere gli eventuali comandi e programmi che windows lancia in automatico all'avvio (tipo le schedule per gli update dei programmi).

Come dicevo, ce ne sono 4 importanti: 1) quello di default, 2) quello per tutti gli utenti, 3) quello per i dati programmi installati a disposizione di tutti gli utenti e 4) quello per te come specifico utente. Prima devi impostare la visualizzazione dei file nascosti, poi andarli a vedere ad uno ad uno:

Si trovano rispettivamente in:
C:\users\Default\; C:\users\All Users\; C:\ProgramData\ , C:\Users\(Tuo nome di registrazione della copia windows).

Se hai i privilegi di admin avrai l'accesso libero a tutti loro, se sei un Guest... fammi sapere.

Resto in attesa.
.

calaf
06-05-14, 08: 09
@ FTF

Ti ringrazio per l'attenzione che mi riservi.
Per quanto riguarda lo sfoltimento delle voci presenti nel menu avvio si tratta d'una mia scelta ma ti assicuro che sono presenti tutti i drive e i programmi che hai citato.
Con ransack ho trovato i residui ultimi 4 piccoli file scampati alla prima ricerca ed ho cancelleto pure questi senza esito.
Ho fatto un esame accurato dei 4 menu avvio senza individuare elementi sospetti.

Il PC "infetto" con l'alloggiamento per le due periferiche altrimenti non utilizzabili è situato nel punto più, diciamo, adatto della casa dove non rompo e non mi rompe nessuno ed è questo, insieme al fatto che è veloce malgrado la vetustà, per cui ne preferisco l'uso.
Ad ogni buon conto, al fatidico 8 aprile u.s. ho approntato sia un backup pulito ATI della partizione con l'SO nonché una ISO del sistema (ricavata col programma free della MS) con i quali ripristinare direttamente od associare a VirtualBox il sistema che permette l'uso delle succitate periferiche.
Poichè non mi faccio mancare niente con VSU off line ho scaricato le 4 ISO di tutti gli aggiornamenti di XP nel caso decida di reinstallarlo.
Penso di desistere tralasciando di navigare con questo PC (assegnandogli nel contempo un uso dedicato) e quando necessario richiamare dai preferiti la pagina iniziale desiderata anziche la Qone8.

Per la prima volta mi arrendo

2871

marcella36
06-05-14, 12: 43
Mi permetto di entrare in una discussione fra dotti:
La mia esperienza: mi successe cosa simile, dopo molti tentativi, provai ad andare in "impostazioni" (sto parlando di Google chrome) e in questo modo ho potuto cancellare l'intruso indesiderato.
Può essere utile? Comunque non ridete di me, io sono autodidatta.

calaf
06-05-14, 16: 04
Cara Marcella,
è il senso pratico quello che conta e ti assicuro che "autoritratto" anch'io ho pensato e fatto inizialmente la stessa cosa purtruppo il verme se intrufolato nei 3 Bro presenti nel PC incriminato e non c'è verso di eliminarlo.
Gli hacker che lo hanno concepito per lucrare fraudolentemente, penso, sui contatti che propongono, oltre che esperti sono oltremodo smaliziati nel nasconderlo tra le pieghe dei file presenti tra il software del PC.
Le righe di programma che ogni volta che si clicca sull'icona del browser reindirizzano verso la pagina iniziale presente nel loro portale anziché su quella da noi prescelta risultano introvabili sia a me che a chi mi sta aiutando.
In programmazione sono a zero essendomi fermato all'approntamento di story board per corsi interattivi sulla mia attivita sviluppati da animatori professionisti dei quali però ho perso le tracce.
Il mio messaggio intendeva appunto sollecitare il contributo d'un programmatore che fosse riuscito a reindirizzare la pagina iniziale balorda reindirizzata col raggiro.
Per intenderci, alla stessa stregua di come cliccando a mano su un'iconcina presente sulla barra dei preferiti riusciamo a pervenire su un Url da noi precedentemente ivi memorizzato.
Pertanto seguito a sperare nel...prodigioso intervento.

FileNotFound
06-05-14, 17: 19
@ FTF

FTF ? :confused::confused::confused: ... Puoi chiamarmi semplicemente File... tutti mi abbreviano così :bgg2



Ti ringrazio per l'attenzione che mi riservi ...
... Per la prima volta mi arrendo


Ringrazio io te per le parole di stima ma, se non ti dispiace, ti sarei gratro se volessi farmi un piccolissimo favore: Mi dovresti solo controllare una piccola piccola cosa :forgive .

Sai io sono un tipo tenace (alla Tenente Colombo) e quando una mosca comincia a ronzarmi all'interno del cranio, non riesco a mandare via quel ronzio finchè quella mosca non l'ho schiacciata...

La cosa che mi dovresti controllare è questa:

1 Posizionati con il mouse sull'icona con cui lanci Firefox
2 Fai click sul tasto destro, ti comparirà un menù
3 In fondo c'è Proprietà; cliccaci col mouse tasto sinistro
4 Vai al menù Collegamento (se non è già aperto)

Ci sono delle righe scritte. Sotto Mozilla Firefox ci sono tre dati:

Tipo, Percorso, Destinazione (o i termini equivalenti in inglese).

In Destinazione (Target, in inglese) cosa c'è scritto?

Resto in attesa.

calaf
06-05-14, 19: 06
Premesso che la prima operazione che ho eseguita sul collegamento è stata quella di cancellare la stringa sulla finestra destinazione fino a....\firefox.exe

Ora compaiono:
Sulla finestra destinazione:
-"C:\Programmi\Mozilla Firefox\firefox.exe" QONE8 (http://start.qone8.com/?type=sc&ts=1399292103&from=ild&uid=WDCXWD1002FAEX-00Y9A0_WD-WCAW3143359533595)
QONE8 ha sostituito automaticamente una coda di caratteri di 2 righe
Sulla finestra da:
"C:\Programmi\Mozilla Firefox"

Eureka!!

ho risolto.

Dopo tutte le pulizie che ho fatto e quelle che mi hai suggerito in verità non avevo più controllato i contenuti che ho postato.
Dopo il Tuo suggerimento visto che erano state modificate ho ripristinato in Destinazione la stringa in:

Destinazione:"C:\Programmi\Mozilla Firefox\firefox.exe" https://google.it

Questo sia in Firefox che in IE e tutto è tornato a posto.

Riepilogando:

Per togliere le prime pagine indesiderate la parte valida della procedura che ho seguito è la seguente:
1°- con cerca e agent ransack ho tolto ogni traccia di Qone8 presente in tutto il pc.
2°- su strumenti ed opzioni dei browser ho reimpostato htpps://www.google.it come pagina iniziale.
Questa operazione mi ha permesso di ottenere la schermata di Google cliccando sulla casetta o aprendo una nuova scheda.
3°- ho ripristinato nelle finestre destinazione su proprietà delle icone dei due collegamenti IE e Firefox la stringa:
"C:\Programmi\Mozilla Firefox\firefox.exe" https://google.it.
Ed è tutto tornato a posto.

Per completare il quadro va detto che che quando ho postata la stringa trovata nella finestra destinazione in questo messaggio la coda della stessa (lunghissima) si è accorciata nel link che si può osservare: QONE8 (http://start.qone8.com/?type=sc&ts=1399292103&from=ild&uid=WDCXWD1002FAEX-00Y9A0_WD-WCAW3143359533595).

La chiudiamo?

2872

Andy86
06-05-14, 20: 29
:bai

Calaf, guarda che è quello che ti stavo suggerendo di fare fin dal primo post, parlando di collegamento e di rifare quello che avevi postato nella tua precedente guida.

Il riferimento a google puoi anche non mettercelo, partendo senza parametri andrà a cercare la pagina iniziale di default.


Sai io sono un tipo tenace (alla Tenente Colombo) e quando una mosca comincia a ronzarmi all'interno del cranio, non riesco a mandare via quel ronzio finchè quella mosca non l'ho schiacciata...

Siamo in due. :ghgh
Cerchiamo di non pestarci i piedi, eh? :lol:

calaf
07-05-14, 04: 42
@ Andy
Effettivamente è come dici tu.
Repetita juvant.
Avevo la ricetta autosperimentata la volta precedente ma per l'ansia di venirne a capo non la ho applicata nell'ordine citato in coda al post #22.
A tale proposito nella procedura indicata ho distrattamente omesso che prima di tutto con Revo unistaller avevo riordinato per data i programmi presenti nel pc e cancellati tutti quelli (in totale 3) installati a sproposito il giorno dell'inquinamento.
Ovviamente, come fai giustamente osservare, al posto di google ciascuno può mettere la pagina iniziale desiderata.
Mi era dimenticato anche di ringraziarVi per la collaborazione e lo faccio adesso prima di uscire.
:bai:thx

FileNotFound
07-05-14, 16: 01
E allora, in questa logica, il grazie va anche a te: noi ti abbiamo solo aiutato ad orientarti nel ragionamento e tu, una volta ritrovata la calma e riflettendo, hai trovato la soluzione da solo. BRAVO !

Brynulf
16-06-14, 14: 14
Cerco di rimuovere (http://tuttotutorial.it/guide/qone8) adware a mano:
Oppure utilizzare strumenti gratuiti come Malwarebytes

stefa
08-07-14, 15: 55
Io l'ho eliminato seguendo questa Come Eliminare Qone8 dal Computer (http://pcpulito.com/come-eliminare-qone8-dal-computer) guida.
Con Adwcleaner avevo provato ma continuava a comprarire.