Olimpo Informatico

[sylienh]

Nell'account amministratore (ora scrivo da un altro account) è entrato un virus che ha bloccato tutte le funzionalità del pc: sullo schermo compare solo un finto avviso della Guardia di Finanza dove dice che per sbloccare il computer devo pagare 100 euro.

Su internet ho scoperto (neanche a dirlo!) che si tratta di un virus. Il problema è che non riesco a rimuoverlo!

Fortunatamente posso entrare in modalità provvisoria (altri non ci riescono). Le guide però suggeriscono di eliminare direttamente i file incriminati... il problema è che io non li trovo/da me non ci sono!

La cartella "esecuzione automatica" appare vuota (anche se cliccando tasto destro--> impostazioni scopro che ci sono dei file nascosti), idem tutte le altre in cui suggeriscono di cercare, come Impostazioni Locali e AppData.

Seguendo i suggerimenti di un'altra guida, dal prompt dei comandi-->regedit sono andata nella cartella Winlogon, ho cliccato su shell, ma non c'era niente che sostituisse esplorer.exe, tutto regolare.
Allora, sempre dal prompt dei comandi, ho cercato di cancellare il file mahmud.exe in AppData\Roaming, ma non trova nulla.

Cosa posso fare? Vi prego, aiutatemi, sto rasentando l'orlo della disperazione: ho un esame, devo studiare, e 'sto cacchio di virus mi sta facendo perdere tutta la mattina!

------------------

Per l'esattezza, ho seguito alla lettera questa guida: http://balzanomichele.blogspot.it/2012/03/rimuovere-il-virus-con-schermata.html#axzz1wzeREYHr

[bdoriano]

Ciao sylienh,

se l'account da cui sei entrato non ha diritti amministrativi, puoi fare ben poco.
Se riesci a entrare in modalità provvisoria con un account con diritti amministrativi, puoi seguire queste istruzioni:

• Disattiva l'antivirus
  
• Scarica rkill sul desktop
  tieni conto che, in caso di presenza malware, potresti avere problemi a scaricarlo o avviarlo.
  In caso di problemi, scarica una delle versioni proposte in fondo alla pagina linkata:
  RKill.com
  RKill.exe
  RKill.scr
  eXplorer.exe
  iExplore.exe
  uSeRiNiT.exe
  WiNlOgOn.exe
  
• Doppio click sul file appena scaricato
  
• Dopo qualche secondo, dovrebbe comparire una finestra di Notepad con un contenuto simile:
  

  Codice:

  This log file is located at C:\rkill.log. Please post this only if requested to by the person helping you. Otherwise you can close this log when you wish. Rkill was run on 03/06/2012 at 11.34.06. Operating System: Microsoft Windows XP Processes terminated by Rkill or while it was running: ... Rkill completed on 03/06/2012 at 11.34.10.

  
  
• segui questo topic per usare MBAM.
  
• fai questa scansione con OTL <-- IMPORTANTE

Tieni conto che ne esistono diverse versioni di quel virus e, comunque, il nome non è sempre quello descritto.
Personalmente, ne ho già eliminati diversi.

[sylienh]

Poco prima di leggere la tua risposta (gentilissimo, comunque ), sono riuscita a risolvere facendo una scansione veloce con Malwarebytes in modalità provvisoria. Ho rimosso i virus responsabli, sono rientrata in modalità normale e funzionava tutto. A questo punto ho fatto un'ulteriore scansione, stavolta completa.

Serve che posti i log?

E soprattutto, come posso difendermi da questi virus? Mi consigli un antivirus (magari free) in particolare? Io ho Antivir, ma evidentemente non ha funzionato. Su internet ho letto che consigliavano Comodo, secondo te?

Ho paura a riaprire la pagina che stavo visitando quando è entrato il virus, ma mi serve tornarci. Uff!
(È solo una pagina di un telefilm coi link per vedere in streaming gli episodi e non mi aveva mai dato problemi. In effetti non so se il virus fosse entrato prima e si fosse attivato solo in quel momento, boh!)

[bdoriano]

Ciao sylienh,

si, per sicurezza è meglio che posti i logs.
In questo modo ci si rende conto di eventuali rimasugli da eliminare manualmente.

Sul discorso antivirus, Avira è un buon antivirus gratuito e non lo scarterei a priori.
Come si dice sempre, il miglior antivirus è quello che sta tra la tastiera e la sedia (l'utente).
Sicuramente, ci sono da fare alcuni aggiornamenti al sistema operativo per ridurre i "buchi" attraverso i quali un virus possa entrare.

[sylienh]

Questo è il log (spero di riuscire a postarlo come si deve):

[bdoriano]

Quanta fretta!

fai questa scansione con OTL <-- IMPORTANTE

Per cortesia, i logs caricali su uno dei servizi indicato qui.

PS: Prima di avventurarti ancora su quel sito, ti conviene assicurarti di avere il pc configurato al meglio.

[sylienh]

Ora procedo a fare come mi hai detto, ma c'è un altro problema: ho riavviato il pc (dopo aver installato un altro antivirus, oh, non si sa mai! XD) e... appena ho riacceso:
- internet non funzionava, o meglio... aprendo Chrome mi blaterava qualcosa a proposito di un proxy e mi suggeriva la seguente soluzione:
Se utilizzi un server proxy, controlla le impostazioni del proxy o contatta l'amministratore di rete per verificare che il server proxy sia operativo. Se non ritieni di dover utilizzare un server proxy, modifica le impostazioni del proxy: Seleziona menu Strumenti > Impostazioni > Mostra impostazioni avanzate... > Modifica impostazioni proxy... > Impostazioni LAN e deseleziona la casella di controllo "Utilizza un server proxy per le connessioni LAN"..
L'ho fatto, internet ha ricominciato a funzionare, ma mi è spuntato questo messaggio: "processo host di windows rundll32 ha smesso di funzionare"

In più il nuovo antivirus continua a rilevarmi minacce a ripetizione! Mi sento bombardata!

---------------------------------

Non mi fa scaricare il file OTL. Mi dice "link esterno" e poi "Chrome ha smesso di funzionare".

È un complotto del destino contro il mio pc.....

-----------------------------------

Sono riuscita a scaricarlo (ma da un altro sito), ho seguito le istruzioni e ora sta facendo la scansione.

[sylienh]

Ecco i log ottenuti con OTL:

OTL.Txt

Extras.Txt

[bdoriano]

Ho dato un'occhiata veloce ai logs che hai postato... andiamo bene...

Chiariamo subito che 2 antivirus non collaborano ma, anzi, si mettono i bastoni tra le ruote e lasciano passare qualsiasi schifezza tenti di entrare.

Da quel che vedo, hai installato:

• Avira Antivirus
  
• Norton Internet Security
  
• Norton Security Scan
  
• Norton Safe Web Lite
  
• COMODO Internet Security
  
• COMODO GEEKBuddy

Così non andiamo decisamente bene.
Hai mischiato programmi che non dovrebbero mai neanche incontrarsi.

Inoltre, hai installato alcuni adware/spyware:

• OfferBox
  
• Searchqu Toolbar
  
• Softonic-IT Toolbar

Hai anche tentato di utilizzare ComboFix e non hai detto qual è stato l'esito dell'operazione.

Se vuoi, cominciamo ma devo chiarire che, prima di ritornare a utilizzare il pc in maniera normale, dovrai seguire tutte le istruzioni che ti darò di volta in volta senza assolutamente sgarrare.
Quindi, durante le operazioni di pulizia e risistemazione, evita assolutamente di andare su siti strani (film o non film).

[sylienh]

Mi ero dimenticata di combofix semplicemente perché poi non l'ho usato. Poco fa l'ho disinstallato... dovevo lasciarlo?

Norton era in prova. Ora è scaduto da un pezzo e non so come togliermelo dalle bàlls.
Quindi non posso tenere sia Avira che Comodo? Perché Avira non mi ha mai rilevato un ciufolo, mentre Comodo, al contrario, sta facendo terrorismo psicologico visto che mi segnala TUTTO (presto, non trovando più nulla, dirà che il virus sono io ).

Offerbox non so come 'acci ci sia finito nel pc, ma mi pareva innocuo perciò lo lasciavo nell'angolino destro.

Con siti strani cosa intendi? Non sono una fruitrice incallita di film porno
La pagina del sito con gli episodi del telefilm non mi aveva mai dato problemi (la visualizzo sempre, pressocché ogni giorno). In effetti mi chiedo se il problema non sia stato, piuttosto, averla aperta con explorer invece che con chrome o firefox.

Comunque, agli ordini capitano!
Seguirò tutte le istruzioni

[bdoriano]

Eccomi qui.

Ti lascio i compiti per domani:

• Per rimuovere Norton, utilizza questo programma
  
• Rimuovi Comodo Internet Security
  
• Rimuovi Comodo GEEKBuddy
  
• così, dovrebbe rimanere solo Avira
  
• Installa RevoUninstaller
  
• con RevoUninstaller, disinstalla:
  
  • OfferBox
    
  • Searchqu Toolbar
    
  • Softonic-IT Toolbar
  
  
• fai una scansione completa con MBAM e rimuovi TUTTO quello che ti viene proposto
  
• scarica e installa la versione Free di SuperAntispyware:
  la configuri come da immagini:
  
  http://www.zeusnews.it/zz_upload/img/PSV/SAS/7477731.jpg
  
  http://www.zeusnews.it/zz_upload/img/PSV/SAS/9926902.jpg
  esegui una scansione completa del sistema
  
• Carica i logs uno dei servizi di hosting indicati in questa discussione
  
• rifai la scansione con OTL e posta i logs aggiornati

Prima di riprendere a riutilizzare il pc normalmente, aspetta il mio ok.

[sylienh]

Sto procedendo a fare come mi hai detto. Tuttavia, è normale che Comodo mi segnala delle minacce che Avira invece non riconosce?
Proprio in questo istante mi si è chiuso Chrome inaspettatamente e Comodo mi ha rilevato un malware spedendolo in quarantena. Ho un po' paura che disinstallando Comodo mi entrino altri virus
Lo disinstallo lo stesso?

[bdoriano]

Senza sfera di cristallo diventa difficile poter capire cosa è successo.
Che messaggio ti ha visualizzato Comodo?

[sylienh]

Mh, non ricordo, parlava di un malware. Comunque alla fine ho seguito le tue istruzioni e l'ho disinstallato.

Questi sono i logs della scansione con AntiSpyware:
SUPERAntiSpyware Scan Log - 06-07-2012 - 18-24-02.log

Ora è in corso quella con OTL

Grazie!

--------------------------

Ecco i logs:

OTL.Txt

[bdoriano]

Ne manca un pezzo...

[sylienh]

La scansione con MBAM l'ho fatta, ma non avevi scritto di postare anche quei logs.

Okay, ripeto la scansione con OTL. Mi pareva di aver ipostato tutto correttamente, ma è evidente che ho dimenticato qualcosa

-----------------------

Ecco:

OTL.Txt

Extras.Txt

[bdoriano]

• Avvia MBAM
  
• Clicca File di log
  
• Seleziona il file di log nell'elenco che ti compare
  
• Clicca Apri
  
• Ti si apre il Blocco note con il contenuto del file
  
• salvalo con un nuovo nome sul desktop
  
• carica il log su uno dei servizi indicati qui e posta il forum link che ti viene assegnato.

[sylienh]

Fatto

mbam

[bdoriano]

Ho visto che hai installato la versione Pro di RevoUninstaller, tieni conto che, dopo il periodo di prova, dovrai disinstallarlo o acquistarlo.
La versione Free è più che sufficiente: link

• Scarica e installa la versione 9 di Internet Explorer.
  
• vai a Microsoft Update per installare tutti gli aggiornamenti del sistema operativo.
  
• scarica e installa l'ultimo Java disponibile
  
• scarica e installa l'ultimo Adobe Flash disponibile
  Dovrai ripetere l'operazione anche con Firefox
  
• scarica e installa l'ultima versione di VideoLan VLC disponibile
  
• fai una nuova scansione con OTL