Tempo fà ho scritto un articolo che spiegava in modo piuttosto dettagliato, come risolvere un problema che sembra all’apparenza, avere cause inspiegabili.

Ora voglio riprendere in mano quell’articolo e scriverne uno definitivo, aggiungengo tutte le informazioni e le soluzioni elaborate assieme agli utenti, in modo da fare un riepilogo generale e risolvere definitivamente il problema della navigazione dei siti web Microsoft, gli aggiornamenti del sistema e dei sistemi di protezione (Antivirus, Antispyware) bloccati.

Innanzitutto è bene specificare che i pc che hanno riscontrato tale problema, erano stati infettati da Trojan vari e diversi spyware…uno su tutti il famoso SpyGuard 2009 che si finge un antivirus e sostituisce pure il servizio “Centro di sicurezza Microsoft”.

Quindi la causa principale di questi problemi è una sola: un virus.

Ma ho appena formattato il PC!
Molti lamentano questo problema anche dopo aver formattato il pc.
Purtroppo è possibile che tale tipo di virus/worm, si sia auto-replicato in precedenza su qualche partizione del vostro disco fisso, su chiavette usb, o su altri pc collegati alla vostra rete e si sia instaurato nuovamente sul vostro pc anche subito dopo la formattazione; per cui il problema sopra descritto si ripresenta.

Soluzioni:

Soluzione 1: BITS
Il problema principale provocato da questo virus è che causa il blocco del “BITS”:

Cos’è il BITS?!

Il BITS è un Servizio di trasferimento intelligente in background che sfrutta la larghezza di banda inutilizzata e permette il download automatico intelligente degli aggiornamenti di Microsoft Update.
Se tale servizio è arrestato, disabilitato o bloccato come in questi casi, funzionalità come Update, MSN Explorer, servizi Microsoft in generale, e meccanismi di autoprotezione (Antivirus) non sono in grado di trasferire file sulla rete.

Come sbloccarlo?!

In Windows XP, la procedura è piuttosto semplice e non richiede nemmeno un riavvio del pc.
Per prima cosa aprite Internet Explorer e tentate di accere al sito di Windows Update, naturalmente riceverete l’errore “Impossibile aprire o trovare la pagina”. (E’ importante che sia proprio la pagina di Windows Update quella a cui tenterete di accedere, poi scoprirete il perchè)…

Ora tramite la pressione contemporanea della combinazione di tasti sulla tastiera, CTRL+ALT+CANC, attiverete il Task Manager di Windows.

Nella scheda “Processi”, troverete la lista dei processi attualmente in esecuzione.
Individuerete nella lista una serie di servizi attivi denominati “svchost.exe”.
E’ normale che ce ne siano molti, poichè ogni processo richiama moduli diversi, tra cui anche il BITS.
Individuate il processo “svchost.exe” indicato dal Task Manager come un “SERVIZIO DI RETE”.
Di norma ce ne sono due di questo tipo.
La chiusura di uno dei due servizi chiude il BITS mentre l’altro, ahimè, causa un blocco di protezione che provoca il riavvio forzato del sistema dopo un conto alla rovescia di circa 1 minuto.

Per individuare il servizio “svchost” corretto, tra i due, verificate la memoria utilizzata dal processo.
Il servizio che occupa un numero maggiore di memoria, rispetto all’altro, è quello da chiudere.
Una volta individuato quindi, selezionatelo e cliccate il pulsante termina processo.

Ora tornate a Internet Explorer e provate ad aggiornare la pagina con il tasto F5 della vostra tastiera!
Come per magia il sito è tornato attivo e navigabile.
Se così non fosse, tornate al task manager, individuate gli altri processi “svchost.exe” attivi come “SERVIZIO DI RETE” e terminateli uno ad uno finchè il sito di windows update torna ad essere visibile e navigabile!

Non abbiamo ancora finito.
Ora se proverete ad eseguire gli aggiornamenti di windows update riceverete un errore dal sito (ecco perchè doveva essere proprio la pagina di windows update).
Questo errore vi sta indicando che il servizio BITS è attualmente disattivato e non è possibile eseguire gli aggiornamenti.

Chiudete il task manager, e tenete aperto il browser.
Fate click destro sull’icona “Risorse del computer” e selezionate “Gestione”.

Si aprirà una finestra di dialogo con alcune funzioni.
Aprite la funzione “Servizi e Applicazioni”, quindi aprite “Servizi”.
Si aprirà una scheda con la possibilità di visualizzare e gestire tutti i servizi installati sul vostro sistema operativo!

Individuate dalla lista il “Servizio trasferimento intelligente in background” e apritelo con un doppio click del mouse.
Si apre una nuova finestra di dialogo dove è possibile ripristinare la funzionalità del servizio.

Su tipo di avvio selezionate “Automatico”.
Poi cliccate il pulsante “Avvia”.

ABBIAMO RIATTIVATO IL BITS.

Chiudete tutte le finestre, tornate al browser e verificate la corretta navigazione dei servizi e siti web che prima vi risultavano inaccessibili!

Per sicurezza, riavviate il pc e controllate che sia tornato tutto alla normalità.
Se il problema si ripresenta, seguite le altre soluzioni qui sotto.

Soluzione 2: GMER

Una soluzione alternativa ed efficace al problema, la possiamo attuare utilizzando GMER, un software molto utile e funzionale in questi casi che permette di rilevare rootkit e malware attivi sul sistema, nonchè di eliminarli alla radice.
Alcuni malware, come questo infatti, nascondono anche delle chiavi del registro di sistema atte a replicare e a fare un auto-restart del malware ad ogni avvio.

Quindi, prova a scaricare GMER da qui: http://www.gmer.net/gmer.zip

Al primo avvio di GMER, esso inizia in automatico una scansione del disco principale, comunque è sempre meglio specificare tutti i dischi fissi e removibili, e scansionare di nuovo pure quelli.
Se Gmer trova qualcosa vi segnala (in rosso) i servizi malevoli e vi dà la possibilità di eliminare quello che ha trovato.

Se al riavvio il problema permane provate la soluzione n.3

Soluzione 3: Combofix

Combofix è un piccolo software, per’altro freeware, liberamente scaricabile dal link qui sotto ed è in grado di risolvere tale problema nel 90% dei casi.

-download combofix (2,85Mb)

Ricordatevi di disattivare (paradossalmente) l’antivirus prima di scaricare Combofix, altrimenti il download potrebbe essere bloccato/interrotto o il file essere “disinfettato” dall’antivirus stesso.
Combofix infatti può essere visto come un software pericoloso, in quanto non viene rilevato come un antivirus ma come un software in grado di eliminare servizi, chiavi di registro e .dll “di sistema”.
Potete comunque stare tranquilli, poichè il software è stato testato a fondo nel mio laboratorio su una serie di PC con un successo del 100%!

Qui potete trovare la traduzione in italiano e la guida all’utilizzo del programma:
http://www.bleepingcomputer.com/combofix/how-to-use-combofix

Se come penso io, avete fretta di risolvere il problema e volete iniziare ad utilizzare subito Gmer e Combofix, di seguito vi spiegherò passo passo come utilizzarlo!

1) Aprite Gmer.exe
2) Gmer eseguirà automaticamente una scansione di tutti i servizi e rootkit attivi nel sistema e spesso nascosti al task manager.
3) Gmer rileverà quindi uno o più servizi malevoli attivi nel sistema e ve li segnalerà scrivendoli in rosso.
(Quelli scritti in nero sono tutti “servizi” buoni del sistema).

Attenzione che Gmer è solo in grado di segnalare e vi dà la possibilità di disinstallare e disabilitare i servizi ma non è in grado di eliminarli del tutto!

4) A questo punto verificate nella colonna sinistra le rilevazioni segnalate come “Service”, quindi fate click con il tasto destro del mouse e fate clic su Disable service.
Ripetete la stessa operazione e fate clic su Delete service (potreste ricevere un errore da Windows, e potete tranquillamente

5) Aprite Combofix.exe
(Se quando lo aprite Windows vi avverte con un errore che Combofix.exe non è un’applicazione Win32 valida, probabilmente il vostro antivirus ha bloccato o modificato il file durante il download.)

- E’ consigliabile stampare questa parte della guida se desiderate leggerla durante le operazioni poichè Combofix, chiude automaticamente il browser nella maggior parte dei casi.

6) Si aprirà una finestra dos con sfondo blu e successivamente spariranno tutte le icone del desktop.
7) Si aprirà una finestra dove dovrete cliccare “Sì” e accettare i termini d’accordo sull’uso del programma Combofix.

Successivamente verrà creato automaticamente un punto di ripristino del Sistema.

9) Durante tutte queste operazioni è possibile che Windows vi restituisca un errore e vi chieda di cliccare OK per chiudere un eseguibile oppure Annulla per ignorare l’errore.

E’ consigliabile cliccare annulla poichè l’errore nella maggior parte dei casi è indotto dai servizi malevoli che si riattivano nel sistema.

10) Vi verrà chiesto di installare la console di ripristino di Windows, nel caso non sia già installata sul vostro sistema.
E’ facoltativo ma è consigliabile installarla.
(Per accedere alla console di ripristino, premere F8 prima dell’avvio di Windows, e nella schermata delle modalità di selezione di avvio premere ESC. Quindi scegliere se avviare Windows o la console di ripristino).

11) Accettare le condizioni d’uso (EULA) per l’installazione della console di ripristino.

12) A questo punto Combofix effettuerà una scansione completa in 10 stage, che rileverà tutto quello che andrà eliminato e sistemato.

13) Al termine dei primi 10 stage, inizierà l’eliminazione vera e propria e durerà altri 50 stage circa (in totale il processo non richiede più di 15 minuti).

14) Attendere pazientemente il termine della procedura. Vi verrà automaticamente creato e visualizzato un file di log, contenente tutte le informazioni sulle modifiche effettuate da Combofix al vostro sistema.

Se ciò non dovesse accadere potrete trovare il file di log in c:\combofix.txt

15) Il desktop ritorna funzionante e riavviate il pc.

Attenzione che Combofix non elimina anche eventuali Trojan e Spyware.
Per una massima protezione del sistema consiglio NOD32 v3.0 e SpyBot Search & Destroy.

A questo punto provate ad aggiornare il sistema, e l’antivirus/antispyware per verificare che il problema si sia risolto definitivamente.

Soluzione 4: KillKido by Kaspersky

Net-Worm.Win32.Kido sembra essere uno dei responsabili del blocco del BITS e si diffonde con diverse varianti.

Kaspersky ha messo a punto un utility “KK” ovvero “KillKido” in grado di rimuovere il worm ma è già uscito in altre varianti e forse questa non sarà ancora la soluzione definitiva.

Per prima cosa scarica questo file:
http://data2.kaspersky.com:8080/special/KK_v3.4.7.zip

che è l’utility messa a punto da kaspersky per debellare il fastidioso worm.

Per approfondire, la pagina ufficiale in lingua inglese è questa:
http://support.kaspersky.com/faq?chapter=207800963&print=true&qid=208279973

Visita anche: Il nostro portale su Finanziamenti, Assicurazioni auto, Prestiti e Mutui