Precedente :: Successivo |
Autore |
Messaggio |
robyespo Mortale pio

Registrato: 19/03/15 09:21 Messaggi: 27
|
Inviato: 19 Mar 2015 09:25 Oggetto: Virus, per favore aiutatemi |
|
|
Ciao,
sono nuovo del forum, e sto scapocciando per colpa di un presunto virus che mi blocca determinati siti: siti di antivirus e facebook.
Già avevo risolto in qualche modo facendo scansioni su scansioni ma ora non ne posso proprio più.
Si apre all'improvviso un coso che mi chiede se attivare il firewall e il propmt comandi a ripetizione e l'antivirus rileva un virus sempre indirizzato nei temp, tipo: tmpFD80.exe.
In oltre nel task manager, nella finestra dei processi, ho un processo stranissimo di nome wusa.exe con una descrizione molto strana. link |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 19 Mar 2015 18:52 Oggetto: |
|
|
Ciao e benvenuto.
Il pc è infetto.
Scarica FRST sul desktop: (è obligatorio)
Installa la versione adatta al tuo Sistema Operativo (32 bit oppure 64 bit )
link
Avvialo e clicca Esegui.
Sulla finestra che ti compare clicca SI.
Clicca Scan.
Aspetta pazientemente la fine della scansione.
Posta i 2 log log che rilascia sul desktop (FRST.txt e Addition.txt)
Seguiranno istruzioni.
Per postare i log segui queste indicazioni:
Collegati ad internet e vai alla pagina WikiSend:
link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum. |
|
Top |
|
 |
robyespo Mortale pio

Registrato: 19/03/15 09:21 Messaggi: 27
|
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 19 Mar 2015 20:58 Oggetto: |
|
|
Ciao.
scarica questo file sul desktop: (dove si trova FRST)
link
Avvia FRST e clicca su FIX 1 sola volta.
Attendi la fine della scansione.
Posta il file fixlog.txt.
Poi fai questa scansione con OTL:
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta il log. |
|
Top |
|
 |
robyespo Mortale pio

Registrato: 19/03/15 09:21 Messaggi: 27
|
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 19 Mar 2015 22:55 Oggetto: |
|
|
Il file che Avira trova infetto dovrebbe essere questo:
tmp9AE7.exe
La cartella che lo contiene è questa:
Efction
Il tutto appartiene a questo software:
The Eraser Pickup
Lo conosci? |
|
Top |
|
 |
robyespo Mortale pio

Registrato: 19/03/15 09:21 Messaggi: 27
|
Inviato: 20 Mar 2015 08:49 Oggetto: |
|
|
No, cos'è? |
|
Top |
|
 |
robyespo Mortale pio

Registrato: 19/03/15 09:21 Messaggi: 27
|
Inviato: 20 Mar 2015 08:51 Oggetto: |
|
|
scusa, non so come si fa ad eliminarlo. |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 20 Mar 2015 18:45 Oggetto: |
|
|
Ciao.
Avvia OTL.
Sotto "Custom Scans\Fixes" copia-incolla questo codice: (NON copiare la parola codice: )
Codice: | :OTL
PRC - [2015/03/19 20:26:46 | 000,171,376 | ---- | M] (The Eraser Pickup) -- C:\Users\Pc\AppData\Local\Efction\tmp9AE7.exe
MOD - [2015/03/19 20:27:29 | 001,265,664 | ---- | M] () -- C:\Users\Pc\AppData\Local\Efction\FRGVID.DLL
O4 - HKCU..\Run: [Efction] C:\Users\Pc\AppData\Local\Efction\tmp9AE7.exe (The Eraser Pickup)
[2015/03/14 10:17:02 | 003,681,088 | ---- | C] (AVG Technologies CZ, s.r.o.) -- D:\Users\Pc\Desktop\avg_remover_stf_x64_2015_5501.exe
[2015/03/12 21:29:35 | 000,000,000 | ---D | C] -- C:\ProgramData\Sophos
[2015/03/10 12:48:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Avg_Update_0215pi
[2015/03/09 18:12:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2015/03/09 18:12:07 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy 2
[2015/02/24 21:41:29 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2015/02/24 21:41:29 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2015/02/24 21:41:29 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2015/02/24 21:39:52 | 000,000,000 | ---D | C] -- C:\Qoobox
:Files
C:\Users\Pc\AppData\Local\Efction\tmp9AE7.exe
C:\Users\Pc\AppData\Local\Efction
C:\Users\Pc\AppData\Local\Ohnbics
C:\ProgramData\AVAST Software
ipconfig /flushdns /c
:commands
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot]
|
Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Il pc si riavvierà o ti chiede di riavviarlo tu.
Posta il log che rilascia.
Dimmi quali problemi riscontri. |
|
Top |
|
 |
robyespo Mortale pio

Registrato: 19/03/15 09:21 Messaggi: 27
|
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 20 Mar 2015 20:58 Oggetto: |
|
|
Ciao.
Le voci rilevate da Avira sono le stesse che ho eliminato con OTL.
Il pc è stato riavviato dopo l'esecuzione delle eliminazioni?
Se sì, Avira ha trovato ancora quei file dopo il riavvio del pc?
Se li ha ritrovati fai una nuova scansione con OTL.
Posta il log.
Il secondo screenshot è solo un avviso di Windows che non permette di registrare un modulo che avevo scritto nello script.
Niente di che preoccuparsi. |
|
Top |
|
 |
robyespo Mortale pio

Registrato: 19/03/15 09:21 Messaggi: 27
|
Inviato: 21 Mar 2015 15:08 Oggetto: |
|
|
si è appena aperto questp:
Immagine343243.png
Si, me li ha eliminati.
Ora rifaccio una scansione con OTL:
OTL.Txt |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 21 Mar 2015 16:07 Oggetto: |
|
|
Intanto clicca su "Rimuovi" su Avira.
Poi fai una scansione completa con Avira.
Il log di OTL non è leggibile.
Prova a ripostarlo.
Segui le istruzioni di questo topic per usare Combofix: ( ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log. |
|
Top |
|
 |
robyespo Mortale pio

Registrato: 19/03/15 09:21 Messaggi: 27
|
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 21 Mar 2015 21:19 Oggetto: |
|
|
Ciao.
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
Codice: | KillAll::
File::
c:\programdata\Microsoft\Security\Client\SecurityHelper.dll
Folder::
c:\users\Pc\AppData\Local\Ohnbics
c:\users\Pc\AppData\Local\Efction
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"YlzgPack"=-
"Ohnbics"=-
Reboot:: |
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix |
|
Top |
|
 |
robyespo Mortale pio

Registrato: 19/03/15 09:21 Messaggi: 27
|
Inviato: 21 Mar 2015 21:37 Oggetto: |
|
|
Ok, fatto tutto questo è il log:
log.txt
Chrome ha crashato 2 volte appena ho eseguito ques'operazione. |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 21 Mar 2015 22:08 Oggetto: |
|
|
Controlla se i problemi si sono risolti con un'altro browser.
Disinstalla Chrome:
link
Se vuoi, salva i preferiti di Chrome, e disinstallalo completamente.
Ricorda (è importante) di selezionare la casella: "Elimina anche i tuoi dati di navigazione".
Finita la disinstallazione,fai una pulizia con CCleaner, compreso il registro.
Riavvia il pc.
Installa Chrome:
link |
|
Top |
|
 |
robyespo Mortale pio

Registrato: 19/03/15 09:21 Messaggi: 27
|
Inviato: 22 Mar 2015 12:56 Oggetto: |
|
|
Ciao ho seguito tutte le istruzioni ma ora, come prima non mi si scaricano gli antivirus e non entra nella pagina web di faceboook...
Per me è perche sono rimasti rimasugli di antivirus (sophos etc..)
cosa posso fare?
Ed è riapparso un processo strano dal task manager:
Immagine.png (WerFaultSecurity) |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 22 Mar 2015 13:42 Oggetto: |
|
|
Non hai risposto a questa mia domanda:
Citazione: | Controlla se i problemi si sono risolti con un'altro browser. |
Vorrei sapere se il problema lo fa anche con Firefox oppure IE.
Oppure SOLO con Chrome. |
|
Top |
|
 |
robyespo Mortale pio

Registrato: 19/03/15 09:21 Messaggi: 27
|
Inviato: 22 Mar 2015 13:46 Oggetto: |
|
|
si il problema lo fa anche con firefox... |
|
Top |
|
 |
|