Olimpo Informatico

[Assiro]

Ciao a tutti,
sono qui per chiedere aiuto contro l'infezione UKash.

Ho un ACER Travelmate 5730 con Vista SP1 e AVG free 2013 aggioranto all'avvio del PC.

Ho beccato la forma meno aggressiva: quella che si attiva solo se c'è attivata una connessione wireless a internet (con la connessione wired non partiva).
Ho iniziato a seguire le istruzioni del forum iniziato il 25/03/2012 da "computerlindo" perché relativo allo stesso virus e allo stesso S.O.

Dalla cartella di Esecuzione Automatica ho rimosso sia il link che il file puntato dal link (l'eseguibile stava sotto la directory windows e la data di ultima modifica del .exe coincideva con il giorno e l'ora in cui UKash si è manifestato per la prima volta).
Tuttavia non me la sono sentita di procedere con l'esecuzione di combofix: tutti gli avvertimenti alla pagina relativa mi hanno preoccupato.
Il PC ha riacquistato la sua stabilità tuttavia vorrei chiedere lo stesso il vostro aiuto per sapere se posso fare qualche verifica per accertarmi, a posteriori della rimozione, che il PC sia veramente pulito.

Vi ringrazio in anticipo.

[R16]

Ciao Assiro
Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta i 2 log così: (1 alla volta)
Collegati ad internet e vai alla pagina WikiSend:
link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[Assiro]

Credo di avere dei problemi con OTL:

ci avevo già provato nei giorni passati partendo da queste impostazioni:
Scan all users: spuntato
LOP Check: spuntato
Parity check: spuntato
Standard Regisstry: All
prese da un altro forum relativo allo stesso virus ma non allo stesso S.O.
successivamente ho provato a cambiare qualcosa ma credo che ci siano dei problemi in quanto 12 hh non gli sono mai bastate (anche questa notte!) per finire la scansione.
Arrivato nella cartella USERS\Applicazioni\AppData\... sembrerebbe incappare in un circolo vizioso da cui non esce più e mi tocca fare il killing del processo per poterlo fermare.

Puoi aiutarmi a capire che significhi?[/list]

[R16]

Apri OTL e clicca su CleanUP.
Si disistallerà correttamente OTL.
Ti chiederà il riavvio del pc: acconsenti.

Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Scarica questa versione di OTL sul desktop:

link

Segui questi parametri per configurarlo:

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN
Posta i log.

[Assiro]

Il problema con OTL rimane.
La barra di puntamento posta sotto la schermata di OTL indica (non so inserire l'immagine):
Patterne Search - Looking at File C:\Users\All Users\Application Data\Application Data\Application Data\Dati Applicazioni\Application Data\Application Data\Dati Applicazioni\

Mi scuso, per quanto riguarda la incompletezza della descrizione nel primo messaggio (mancanza delle operazioni già fatte).[/quote]

[R16]

Ciao.

[Assiro]

Ciao R16,
non sono sparito, ho avuto una settimana di uso intenso del PC e non ho potuto fare prima la prova che mi hai suggerito.
Questa la situazione:
passato a SP2
il problema con OTL permane
fatta scansione con combofix
ecco il log
ComboFix.txt
a una prima verifica non si avvia word 2007, mi toccherà re-installarlo?

Saluti

[Assiro]

Allarme rientrato!
Dopo un paio di riavvii funziona anche il word!

[R16]

Cambia (o elimina) questi DNS: 176.31.229.24,176.31.229.25

Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

[Assiro]

Come faccio a eliminare i DNS?

[Assiro]

OK! Ho trovato il modo di eliminare i DNS dalla connessione a internet.
Quanto prima posto i log di combofix.

[Assiro]

OK! Sono riuscito a eliminare i DNS dalla connessione internet.
Procedo con la scansione.

[Assiro]

Il log di Combofix
ComboFix.txt

[Assiro]

Il log di HiJackThis.
hijackthis.log

[R16]

Ciao.
Non hai eliminato i DNS che ho indicato.

Avvia hijackthis,cliccando con il tasto destro sopra la sua icona e scegli "Esegui come Amministratore".
Metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked":

[Assiro]

Ciao non riesco a fare le prove che mi suggerisci questa sera.
Per quanto riguarda i DNS ho impostato: "Ottieni indirizzo server DNS automaticamente", mentre prima erano impostati manualmente ai valori che mi hai consigliato di togliere.
Mi viene il sospetto che siano DNS forniti dal router che uso a casa.

Il PC è un portatile, lo uso sia per lavoro (connessione a internet wired tramite proxi) che a casa (connessione wireless tramite router).

Il servizio che mi hai indicato non lo conosco affatto.

[Assiro]

Ciao R16,
ecco il nuovo log di hijackthis.
hijackthis_2nd.log

[R16]

Ciao Assiro.
Come funziona il pc?
Riscontri qualche problema?
Il log di hijackthis è pulito.

[Assiro]

Ciao R16,
il PC và a gonfie vele.
Nessuna funzionalità è rimasta sul campo della lotta contro tutte le schifezze informatiche che potevo avere imbarcato.

[R16]

Ciao Assiro.
Ci sono 2 cose che sarebbero da chiarire:
(1) Perchè OTL non funziona.
(2) Il sospetto di quel servizio (fdxhed)

In ogni caso, se il pc funziona bene, puoi eseguire queste pulizie:

Vai in "Programmi e funzionalità" (da Pannello di controllo) e rimuovi TUTTE le versioni Java che trovi.

Scarica l'ultima versione di Java:
link

Apri OTL e clicca su Cleanup.
Si disistallerà sia Combofix che lo stesso OTL.
Ti chiederà il riavvio:acconsenti.

Disattiva il ripristino configurazione di sistema:
http://forum.zeusnews.com/viewtopic.php?t=22084

Poi lo riattivi, e crea un punto di ripristino.