Aiutatemi a rimuovere Qone8!!

**Armandillo** · 05-05-14, 16: 59

Sembra che sia veramente tosto

leggi qui

**Andy86** · 05-05-14, 17: 23

Se non è nella pagina iniziale, sembra un comando impartito all'apertura.
Sei proprio sicuro che non sia il collegamento sporco come illustrato da te stesso nella tua guida qui? -> http://www.collectiontricks.it/forum...r-abusiva.html

A proposito di about:config, forse io non sono stato chiaro come File, pensavo te la cavassi un po' di più, ma intendevo di cercare invece tutte le voci che avessero la parola "qone8", perché succede che ne mettano di personalizzate.

FileNotFound · 05-05-14, 17: 42

Non c'è problema, capisco che la tensione non faccia pensare... però, proprio per non dare punti in più al nostro avversario, manteniamo la calma e il discernimento.

Quindi c'è qualcosa all'avvio del PC che ristabilisce i valori che piacciono a Qone8 (e che a noi non piacciono). Andiamo a vedere se capiamo cosa.

Vai a questa pagina CCleaner - Download e scarica la versione free di CCleaner (è la prima colonna, gli uls li trovi in fondo ad essa).

Una volta scaricato ed installato, lancialo. Ti comparirà una finestra, all' estrema sinistra click su Registro.

A sinistra ci sono pulsanti: Disinstallazione, avvio, Ricerca file, eccetera...

Clicca su avvio. Il prospetto al centro è un menù (Windows, Internet Explorer, Firefoxm eccetera)

Cominciamo da Windows. Concentrati sulla quarta colonna (Pubblicato da). Controlla se c'è qualcosa pubblicato da Q e controlla se ci sono caselle bianche (sempre nella colonna Pubblicato da). Nell'uno e nell'altro caso controlla a cosa corrisponde nella colonna Programma, se non riconosci il programma prendine nota e copia (puoi salvarlo come testo) quello che c'è scritto in corrispondenza della colonna File.

Fammi sapere ed eventualmente postami i comandi che ritieni sospetti.

Resto in attesa.

.

**calaf** · 05-05-14, 18: 45

@ Arma

1°- Ho scaricato Trojan Killer e seguito le istruzioni.
2°- Ho installato l'applicazione
3°- Ho avviato la scansione (2h per c.ca 9000 file e 5000 elementi di registro e trovato una quarantina di trojan

killer trojan.jpg
4°- Ho avviato la bonifica

killer trojan 1.jpg5°- Ho richiamata l'opzione bro

killer trojan 2.jpg

6°Ho ottenuta questa schermata

killer trojan 3.jpg7°- Ho riavviato il PC

Lanciando Firefox non ho ottenuta la sperata pagina bianca ma la pagina iniziale Qone8.
Però cliccando sulla casetta o aprendo una nuova scheda mi appare Google.

Ho persa mezza giornata.

Leggo gli altri due post e faccio sapere perchè penso realmente che la soluzione possa interessare una più vasta platea

**calaf** · 05-05-14, 19: 17

@ Andy

Sono lusingato dell'idea che T'eri fatto ma la mia attività tecnica plincipale non è indirizzata all'informatica in cui m'arrangio come autoritratto (leggi autodidatta).
Purtuttavia anche non avendolo specificato nei precedenti post avevo fatta la ricerca del file incriminati e ne avevo cancellati una decina reperiti nella directory Documenti & Setting sensa esito.

@ FNF

Avevo già CCleaner tra i programmi installati.

Seguendo le istruzioni ho ottenute queste 2 schermate di cui la prima non ha bisogno di commenti e l'altra comprende un file di cui non capisco lo scopo contrassegnato con la freccia.

cclean 2.jpg

cclean1.jpg

**Andy86** · 05-05-14, 19: 57

Purtuttavia anche non avendolo specificato nei precedenti post avevo fatta la ricerca del file incriminati e ne avevo cancellati una decina reperiti nella directory Documenti & Setting sensa esito.

Si ok, ma hai rifatto quello che hai scritto nella tua guida?
La ricerca nella config di firefox (dove FDF ti ha detto di inserire google) per quone8 l'hai fatta?

FileNotFound · 06-05-14, 04: 48

Originariamente scritto da calaf

@ FNF

Avevo già CCleaner tra i programmi installati.

Seguendo le istruzioni ho ottenute queste 2 schermate di cui la prima non ha bisogno di commenti e l'altra comprende un file di cui non capisco lo scopo contrassegnato con la freccia.

cclean 2.jpg

cclean1.jpg

Tranquillo, nell'immagine cclean1.jpg, quello che hai indicato dalla freccia è un'estensione integrata al supporto per traduzioni automatiche di Firefox.

Il file è noto e valutato pulito. Ma Nota Bene: dovresti verificare il codice di autenticità (MD5). Dato che sono attualnente pervenute 6 versioni di origine non certificata (potrebbero essere semplici cloni manipolate da utenti smanettoni, ma non cattivi). Questo che segue è l'MD5 dell'originale pulito, Testando il tuo file con winMd5Sum.exe ti deve scaturire lo stesso codice.

09566cd551b7926396eedfdc3cfe6cf2

Comunque in quanto file di supporto al traduttore penso che non possa avere routines di modifica del nucleo di configurazione; quindi direi di scordarci di lui.

e passare ad altro...

Cioè al file di avvio di Windows. Dalle due righe dell'immagine che mi hai inviato vedo che hai (o una volta hai istallato) Microsoft Office (un consiglio che non c'entra niente: prova OpenOffice 4.0.1: è gratis e supporta più tipi di file; io sto attualente testando la 4.1 beta, ma tu aspetta che la stabilizzino).

Vedo poi che hai installato AVG (l'antivirus) e nient altro (una curiosità

: ma, a parte venirci a rubare il prosciutto crudo nel frigo la notte mentre dormiamo... fa altro 'sto antivirus?

).

Nel complesso mi sembra un po poco... non vedo la preinstallazione dei drivers della stampante e dello scanner di cui ci avevi parlato... strano; ma ne parliamo un'altra volta.

Passando alla seconda immagine: Capisco che tu hai visto la parola Firefox e non hai resistito a vedere cosa c'era...

Ma non sono partito da lì (anzi l'avrei trascurata) perch° è nell' avvio di windows che vengono impostati i parametri di partenza di tutti i programmi istallati. In Firefox e in Explorer ci sono i plugin e le estensioni di quei specifici programmi, cioè nulla che possa causare il danno che ci segnali.

Tornando a Windows: Dato però che ci sono solo 2 righe, forse c'è qualcosa di nascosto, e ci converrà (ma non ora, ora abbiamo altro da fare) andarci ad aprire direttamente congig.sys ed autoexec.bat (NB: se decidi di farlo da solo non aprirli direttamente: prima fanne una copia, salvala in un altra cartella e apri le copie [inoltre entrambi li devi rinominare con desinenza .txt (LE COPIE!!!), perchè senno autoexec ti parte e config non lo riconosce. Tutto questo, ti ripeto, Lo faremo la prossima volta. Ora abbiamo altro da controllare. In particolare le 4 cartelle Menu Avvio (io ho il Seven, ma mi pare anche l'XP ne aveva 4, semmai esegui una ricerca con Agent Ransack.

Le 4 cartelle "Menu Avvio", oltre a vare altre amenità, possono contenere gli eventuali comandi e programmi che windows lancia in automatico all'avvio (tipo le schedule per gli update dei programmi).

Come dicevo, ce ne sono 4 importanti: 1) quello di default, 2) quello per tutti gli utenti, 3) quello per i dati programmi installati a disposizione di tutti gli utenti e 4) quello per te come specifico utente. Prima devi impostare la visualizzazione dei file nascosti, poi andarli a vedere ad uno ad uno:

Si trovano rispettivamente in:
C:\users\Default\; C:\users\All Users\; C:\ProgramData\ , C:\Users\(Tuo nome di registrazione della copia windows).

Se hai i privilegi di admin avrai l'accesso libero a tutti loro, se sei un Guest... fammi sapere.

Resto in attesa.
.

**calaf** · 06-05-14, 07: 09

@ FTF

Ti ringrazio per l'attenzione che mi riservi.
Per quanto riguarda lo sfoltimento delle voci presenti nel menu avvio si tratta d'una mia scelta ma ti assicuro che sono presenti tutti i drive e i programmi che hai citato.
Con ransack ho trovato i residui ultimi 4 piccoli file scampati alla prima ricerca ed ho cancelleto pure questi senza esito.
Ho fatto un esame accurato dei 4 menu avvio senza individuare elementi sospetti.

Il PC "infetto" con l'alloggiamento per le due periferiche altrimenti non utilizzabili è situato nel punto più, diciamo, adatto della casa dove non rompo e non mi rompe nessuno ed è questo, insieme al fatto che è veloce malgrado la vetustà, per cui ne preferisco l'uso.
Ad ogni buon conto, al fatidico 8 aprile u.s. ho approntato sia un backup pulito ATI della partizione con l'SO nonché una ISO del sistema (ricavata col programma free della MS) con i quali ripristinare direttamente od associare a VirtualBox il sistema che permette l'uso delle succitate periferiche.
Poichè non mi faccio mancare niente con VSU off line ho scaricato le 4 ISO di tutti gli aggiornamenti di XP nel caso decida di reinstallarlo.
Penso di desistere tralasciando di navigare con questo PC (assegnandogli nel contempo un uso dedicato) e quando necessario richiamare dai preferiti la pagina iniziale desiderata anziche la Qone8.

Per la prima volta mi arrendo

mani in alto.jpg

**marcella36** · 06-05-14, 11: 43

Mi permetto di entrare in una discussione fra dotti:
La mia esperienza: mi successe cosa simile, dopo molti tentativi, provai ad andare in "impostazioni" (sto parlando di Google chrome) e in questo modo ho potuto cancellare l'intruso indesiderato.
Può essere utile? Comunque non ridete di me, io sono autodidatta.

**calaf** · 06-05-14, 15: 04

Cara Marcella,
è il senso pratico quello che conta e ti assicuro che "autoritratto" anch'io ho pensato e fatto inizialmente la stessa cosa purtruppo il verme se intrufolato nei 3 Bro presenti nel PC incriminato e non c'è verso di eliminarlo.
Gli hacker che lo hanno concepito per lucrare fraudolentemente, penso, sui contatti che propongono, oltre che esperti sono oltremodo smaliziati nel nasconderlo tra le pieghe dei file presenti tra il software del PC.
Le righe di programma che ogni volta che si clicca sull'icona del browser reindirizzano verso la pagina iniziale presente nel loro portale anziché su quella da noi prescelta risultano introvabili sia a me che a chi mi sta aiutando.
In programmazione sono a zero essendomi fermato all'approntamento di story board per corsi interattivi sulla mia attivita sviluppati da animatori professionisti dei quali però ho perso le tracce.
Il mio messaggio intendeva appunto sollecitare il contributo d'un programmatore che fosse riuscito a reindirizzare la pagina iniziale balorda reindirizzata col raggiro.
Per intenderci, alla stessa stregua di come cliccando a mano su un'iconcina presente sulla barra dei preferiti riusciamo a pervenire su un Url da noi precedentemente ivi memorizzato.
Pertanto seguito a sperare nel...prodigioso intervento.