Olimpo Informatico

[1950GS]

Buon giorno, mi sono beccato sto virus del piffero sul PC in dotazione.
Mi date una mano a risolvere il problema?
Grazie in anticipo

Gian Luca

[R16]

Ciao.
Mi serve sapere il tipo di S.O (32 o 64 bit) e se il pc è bloccato, se possiedi una chiavetta USB, formattata.

[1950GS]

Scusa se ti rispondo solo adesso ma oggi non sonoa a casa. Il pc è quello che ho in dotazione ed è un vecchio acer extensa 32 bit xp service pack 3.
ho una chiavetta che posso formattare da 2 gigabyte ed una da 16 GB che posso anche formattare (se per formattata intendi pulita).
Il pc incriminato può operare in avvio provvisorio (ho verificato ieri) ma non si connette alla rete in wireless.
Dispongo di un altro PC desktop (il mio) sul quale mi sono immediatamente installato ZoneAlarm e VIrIT (oltre ad AVIRA) che già avevo.
Lo scan sul pc di casa non ha dato riscontri negativi... per tranquillità ho fatto girare pure MALWAREBYTE.
Il pc si blocca dopo l'avvio, ma in modo provvisorio posso operare.
Dubito di rientrare prima di stasera ma domani sarò a casa e ti potò leggere.
Grazie infinite per la risposta, a presto

[R16]

Ciao.
Visto che puoi entrare in Modalità provvisoria, cercheremo di risolvere senza la chiavetta.
Se le indicazioni che ti propongo non funzionano, allora proveremo in altri modi.

Per prima cosa, vedi se riesci a installare Malwarebytes nel pc infetto.

Se funziona, esegui una scansione completa (non veloce)
Elimina quello che trova.

Se la scansione riesce, dovresti riuscire ad accedere al pc in Modalità normale.

In modalità normale, esegui questa scansione:
Segui le istruzioni di questo topic per usare Combofix: ( ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log. (se la connessione non c'è ancora, copia il log in una chiavetta , o in un'altro pc pulito, e posta il log.

Se per un qualche motivo, non riesci a eseguire la scansione con Combofix in Modalità normale, prova in Modalità provvisoria.

Per postare i log:
Collegati ad internet e vai alla pagina WikiSend: link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[1950GS]

Grazie infinite, sembra sia andato tutto a posto. Anche perche in ditta sicuramente avrebbero trovato qualcosa da ridire (anche se è una cosa che può succedere). Wikisend ha dato dei problemi quindi ho postato il report su wikifortio a questo link
ComboFix.txt
ho seguito il tuo consiglio ed ho disinstallato VirIT.

Grazie di nuovo per l'aiuto, fammi sapere se c'è qualcosa di anomalo e se devo cancellare qualche altra cosa

Gian Luca

[R16]

C'è qualcosina da togliere:
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

[1950GS]

ahia... combofix l'ho cancellato e tolto dal cestino... è un guaio oppure posso riparare?

aspetto istruzioni

Sorry

[R16]

[1950GS]

Grazie, domani provvederò a seguire quanto mi hai scritto nell'ultimo messaggio. Due cose, se posso approfittare della tua cortesia.
Devo comunque eseguire la disattivazione del punto di ripristino del sistema e la disinstallazione di Adobe Reader?
Ho anche il PC di casa che avrebbe bisogno di una controllata, posso eseguire combofix su quello e postarti poi il log?
scusa ma io vado benissimo sul SW ma su sicurezza PC sono una vera schiappa
grazie di nuovo

[R16]

[1950GS]

Eccomi di nuovo.
Argomento 1 _ Pc portatile (infettato). Ho rimosso manualmente tutto quanto indicato tranne la cartella qoobox in quanto c'è una cartella (vuota?) BackEnv che non riesco ad eliminare (accesso negato), gli altri file di Qoobox li ho eliminati a mano.
Sto facendo girare lo scan con malawarebytes, magari se serve ti posto il report.

Argomento 2 - PC di casa,
Ho fatto girare combofix con questo risultato
link
ho fatto girare anche OTL con questi risultati
link
e
link

alla fine ho provato a riinstallare AVIRA (dava dei problemi a combofix e l'ho disinstallato) ma mi dice che è incompatibile con antipishing di ZoneAlarm che faccio soprassiedo?

Al momento resto in attesa

Grazie ancora e buona domenica

[R16]

[1950GS]

Tanto tuonò che piovve... dopo tre cadute di tensione (grazie ENEL) ed altrettante esecuzioni si ComboFix ce l'ho fatta a terminare (anche se la fase completa è durata circa 2 ore) .
qui c'è il risultato
link

Ho fatto girare OTL per il fix
qui c'è il log
link

e lo scan

link

le modifiche mi hanno ripulito i dns che ho dovuto reimpostare, ho preso presi quelli giusti ? (alice_home 85.37.17.7 e 85.38.28.95)

spero sia tutto a posto, attendo notizie
ciao

[R16]

Direi che ci siamo.
Vai in "Installazione Applicazioni" e rimuovi TUTTE le versioni Java che trovi.
Pulisci i files temporanei con CCleaner (registro compreso)
Scarica l'ultima versione di Java:
link

Apri OTL.
Clicca su Cleanup.
Si disistallerà correttamente sia Combofix che lo stesso OTL.

Disattiva il ripristino configurazione di sistema:
http://forum.zeusnews.com/viewtopic.php?t=22084

Riavvia il pc.

Riattiva il ripristino configurazione di sistema.

Se sei soddisfatto del funzionamento del pc abbiamo finito.

[1950GS]

Abbiamo finito, grazie di tutto... ho un solo problema ma penso che sia un falso problema. L'avvio è molto lento e quando appare lo screen saver è sempre senza barra e senza icone, dopo un po compaiono e tutto dopo funziona alla perfezione...

comunque grazie per l'aiuto, è stato preziosissimo

[R16]

Beh, una controllatina al MBR (Master Boot Record) non porta via molto tempo.
Fai queste 2 scansioni:
Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
Clicca su "Change parameters"
Metti la spunta sulle caselline: verify driver digital singatures e poi Detect TDLFS file system .
Conferma cliccando OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.

Poi:
Scarica aswMBR.exe sul desktop.
link
Fai doppio clic aswMBR.exe per eseguirlo
Ti chiederà di aggiornare le firme.
Clicca Si.
Clicca sul pulsante Scan per avviare la scansione
Al termine della scansione clicca su Save log,e salvalo sul desktop.
Postalo qui.

[1950GS]

Ecco qua, vediamo cosa altro c'è .... io mi domando se e a cosa servano AVIRA e TUNE UP (tune up dice che .... " ho fatto n miglioramenti negli ultimi giorni" ... sarà poi vero?)...
Meno male che ci siete voi!
qui il post di TDSSKiller
link
e qui quello di aswMBR
link

Resto in attesa sul da farsi e di nuovo grazie
Gian Luca

[R16]

L'MBR è a posto.

Puoi fare questa operazione:
Clicca Start
Clicca Esegui...
Digita:
cmd
Clicca su ok
si apre la finestra DOS
digita: (fai un copia-incolla)

[1950GS]

Buon giorno, ho fatto quanto hai indicato ma non ho notato miglioramenti, il bootstrap completo (impostazione dati personali, presentazione wallpaper, barra degli strumenti ed esecuzione dei programmi di avvio) ci mette circa 120 secondi. Per il resto va tutto bene.
Un'ultima cosa, non riesco ad installare Avira (va in contrasto con ZoneAlarm) che mi conviene fare?
Installo VirIT versione free?
Acquisto Malawarebytes (la versione che avevo era di trial e scaduta)?
lascio perdere?
Non so se ZoneAlarm da solo è sufficiente, non vorrei trovarmi di nuovo nella bagna.

Di nuovo grazie per il supporto

[R16]

Ciao.