lunedì 23 aprile 2012

Windows 7 - Rallentamento e blocco... forse virus?

Oggi sto sistemando un pc che si comporta (se questo si può dire di un PC!) in modo strano. Scrivo questo giusto per raccontare quel che ho fatto di modo che altri possano avvantaggiarsi della mia esperienza e magari sbrigarsi prima. Sottolineo che chiunque interverrà sul PC suo o di altri seguendo il mio racconto lo farà assumendosene la totale responsabilità. Io voglio dare una mano ma non attribuitemi i vostri errori/problemi. Andiamo oltre...

Questa la configurazione del PC:
Acer Aspire 5542
AMD Athlon II Dual-Core M300 1,99 GHz
RAM 4GB
Windows 7 Home Premium 64bit

Di seguito dettaglio brevemente i sintomi (come se fossi un medico!) rilevati.
All'avvio, senza alcuna sollecitazione, il sistema tenta di collegarsi ad internet. In assenza di connessione i tentativi sono molteplici ed in rapida successione. Dopo pochi minuti il PC diventa inutilizzabile e rallenta progressivamente fino a bloccarsi completamente. Tentando la chiusura delle connessioni remote è restituito un errore per Search-Results Updater ha smesso di funzionare. Google non restituisce nessun risultato interessante per questa chiave di ricerca.

(continua sotto)
promo

In modalità provvisoria questo non accade. Ho potuto rilevare che molto dello spazio disco è ancora disponibile (398GB liberi su 453GB).

Ho eseguito un controllo sugli eventi di Windows (vedi sotto il link Correggere errori di #Windows dal registro eventi - Pom-HeyWEB! ) ed ho riscontrato dei problemi per l'applicazione Updater.exe che è riconducibile alla toolbar di ask.com. Ho potuto rimuoverla solo dai browser non essendo visibile nel pannello di controllo un'applicazione specifica. In Explorer non compariva esplicitamente la toolbar di ask.com, ma ne riportava una che mi ha insospettito:  Search-Results Toolbar di IAC Search and Media (1 nelle cattura seguente). Ho scoperto subito dopo (vedi link IAC Search and Media - Wikipedia, the free encyclopedia) che la software house è parte della galassia ask.com. Guardando la schermata seguente il fatto che vi sia questa relazione è evidente (2). Sono però riuscito solo a disattivare la toolbar. Non ho trovato un modo rapido per disistallarla definitivamente.



Il problema continuava a verificarsi. Ho quindi provveduto a disistallare tutti i browser istallati diversi da Explorer, ossia: Firefox e Chrome
Il problema continuava a manifestarsi.

Continuando la ricerca ho trovato che nel forum Olimpo Informatico (vedi link nei siti consultati) era citato il file per cui stavo cercando di eseguire la bonifica (vedi sotto il link Olimpo Informatico :: Leggi argomento - PC LENTISSIMO...Help). Seguendo l'esempio ho recuperato HijackThis da Strumenti e servizi gratuiti - del sito Trend Micro (vedi nei link utili Strumenti e servizi gratuiti - Trend Micro e Scarica direttamente HiJackThis.msi). L'ho memorizzato su di un cd riscrivibile per evitare eventuali infezioni e, non senza difficoltà, l'ho istallato. Ho riavviato il PC in modalità provvisoria e ho avviato HJT (l'acronimo di HijackThis).

Dopo la scansione, il sistema mostra una serie di voci che può anche registrare in un file di log. Ho individuato 2 voci relative ad ask.com (presenti nonostante l'abbia disistallato) e le ho "fixate". Al riavvio si sono riaperte le finestre dell'accesso remoto. Mi sono accorto che in automatico partiva Skype ho modificato la relativa opzione nel software. Riavviando il PC si è ribloccato dopo pochi minuti... anche senza connessioni remote.

Approfondendo, sempre in Olimpo Informatico, ho visto che alla diagnosi può essere utile anche un altro programma: OTL (vedi nei link utili Olimpo Informatico :: Leggi argomento - [TOOLS DI SCANSIONE] Usare OTL). In realtà si dice chiaramente che HijackThis non è più adatto a scovare malware ma che è più adatto questo.

Ho postato i log HJT e OTL sul forum (sono proprio forti!) e in meno di un'ora mi hanno risposto e mi hanno dato subito una mano. Dietro loro consiglio ho scaricato anche TDSskiller dal supporto Kaspersky (vedi nei link utili Scarica direttamente tdsskiller). Purtroppo in modalità normale non riesco più a lanciare eseguibili e il test si è bloccato dopo poco.

(continua sotto)
promo


Dal forum continuano a seguirmi con estrema solerzia. Devo ringraziare caldamente l'amministratore bdoriano che tra le altre cose mi consiglia un altro software di diagnosi. MBRCheck. Questo programma controlla la legittimità del codice del Master Boot Record (MBR) dei dischi rigidi del computer estraendo il loro codice SHA-1 (nei Link utili vedi SHA-1 - Wikipedia, the free encyclopedia)

Gli posto quindi i file di log ottenuti ma dalla loro analisi non sembra esservi nulla di strano. Mi consigliano di scansionare il sistema con Combofix (nei link utili vedi Olimpo Informatico :: Leggi argomento - [TOOLS DI RIMOZIONE] Usare Combofix) che ho subito scaricato dai link consigliati. 
L'ho utilizzato altre volte e ricordo che è un software che se utilizzato con superficialità, può creare danni seri. 

Mentre lo avviavo, nonostante fossi in modalità provvisoria e avessi chiuso tutti i programmi, avessi inoltre verificato che non vi fossero processi e servizi di avast in esecuzione, il software segnalava la presenza dei due scanner firewall e antispyware. Per poter risolvere ho disistallato l'antivirus. 


(continua sotto)
promo


Durante questa operazione mi sono ricordato che nel fare pulizia di programmi inutili avevo avuto difficoltà a disistallare due programmi (Facebook Video Caller e Search-Results toolbar) per via dell'indisponibilità del servizio Windows Istaller che seguendo la guida di Microsoft (vedi nei link utili Errore "The Windows Installer servizio non è accessibile" durante l'installazione o l'aggiornamento di programmi in Windows 7 o Windows Vista) ho riattivato e disistallato i software con successo. Non ho potuto farlo prima poiché questa operazione non è permessa in modalità provvisoria che era l'unica stabile.    



La modalità normale adesso sembra reggere. Provo a rigenerare i log con OTL e TDSKiller che avevo potuto utilizzare solo in modalità provvisoria e li riposto su Olimpo Informatico. Approfitto per ringraziare il forum, ed in particolare bdoriano per il loro prezioso e disinteressato supporto.  

Escludendo gli effetti di qualche virus, ho il sospetto che la toolbar di ask.com pur essendo di troppo non fosse la causa del freeze, e che invece sia stato Avast! per qualche ragione a mandare in tilt Windows7. A dare supporto a questa ipotesi ho trovato un paio di interventi (vedi nei link utili ). Dopo averlo disistallato le prestazioni sono tornate normali. Il PC è acceso da un diverse ore senza problemi evidenti.

Per chiudere da Olimpo Informatico, bdoriano che cortesemente mi ha seguito attentamente consiglia di utilizzare Avira come antivirus, che risulta tra i prodotti segnalati per il 2011 da Av-comparatives (vedi nei link utili Av-comparatives Summary 2011) per il quale fornisce una guida molto completa (vedi nei link utili Olimpo Informatico :: Leggi argomento - * [GUIDA] AntiVir 10 Italiano).
Problema risolto!

NB:
Durante l'istallazione di Avira è proposto di istallare la Toolbar di Ask.com.
Ovviamente consiglio a tutti di evitare.
  
Alla prossima!
Se il post ti piace dillo su Facebook
Tieni d'occhio questo post e i suoi commenti: iscriviti nella parte destra del blog.
Per qualsiasi dubbio, critica, segnalazione scrivimi a vm_tempbox-perparlarediweb[at]yahoo.it
Ricevi gratuitamente tutti i miei aggiornamenti del blog direttamente dal feed RSS ed in email.
Visita la mia pagina su Facebook. Segui @vincentmiccolis su Twitter dove oltre ai link agli articoli del blog condivido i link delle mie letture in tempo reale.
Istalla la toolbar del blog... è gratis!


Link utili:
SHA-1 - Wikipedia, the free encyclopedia http://bit.ly/Idm41J

Siti consultati:
av-comparatives.org/ [EN]


Per leggere i post con più chiarezza ed un allineamento adattato agli schermi più piccoli di iPhone e smartphone usa la versione mobile. Vai a http://bit.ly/AeHvgL oppure clicca/scansiona il QR code quì sotto.






Download: Fast, Fun, Awesome

Nessun commento:

Posta un commento