Olimpo Informatico

[Buckfusion]

Buon giorno,

ieri sera il portatile di mia moglie è stato bloccato dal virus Ukash, abbiamo provato ad acceder alla modalità provvisoria con rete (come letto in diversi siti) ma anche così il virus si attiva, mentre se si prova ad accede alla modalità provvisoria senza rete, dopo il Log-in si spegne e si riaccende in automatico in modalità normale.
Il portatile ha come antivirus Microsoft essential, che non sembra rilevarlo.

Abbiamo la disponibilità di un altro pc fisso non infetto (per ora) per eventuali dowload su pendrive.

Mia moglie è disperata, lo usa per lavoro (è insegnante); che possiamo fare!

Chidiamo Aiuto!

[Buckfusion]

Dimenticavo di aggiungere il Sistema Operativo del PC infetto: Windows 7.

ciao e grazie in anticipo per le eventuali risposte di soccorso

[R16]

Ciao e benvenuto.

[Buckfusion]

Grazie dell'interessamento e della celere risposta.

Ho eseguito l'operazione di scansione (l'S.O. è a 64 bit) e allego il link del risultato.

FRST.txt

Ringrazziando ancora, attendo responso illuminato e ulteriori istruzioni.

[R16]

Scarica questo file nella pendrive.
link
Avvia nuovamente FRST, e clicca sul pulsante fix
Il tool creerà un log sulla pendrive (Fixlog.txt) .
Postalo qui .

Poi:
Riavvia il pc in Modalità normale.
Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta i 2 log.

[Buckfusion]

Ok, ho scaricato il file fixlist sulla chiavetta e ho riffatto la scansione con FRST64 e questo è il fixlog risultato.

Fixlog.txt

fin quì tutto bene, poi riavviando il pc in modalità normale il virus compare di nuovo e blocca il computer, impedendomi di fare la scansione con OTL, scaricato sulla chivetta.

Casulamente ho scoperto come "gabbare" il virus e la sua inquietante schermata: Ctrl+Alt+Canc, riavvia sistema, e nel lasso di tempo che intercorre tra l'avvio dello spegimento e lo spegnimento stesso ho premuto qualche volta Esc e per qualche secondo è uscita la finestra di forzare arresto di programmi ancora in esecuzione, velocemente ho cliccato il tasto annulla spegnimento e il pc si è sbloccato!

In questo modo ho potuto salvare il file OTL sul dextop e eseguire la scansione con i seguenti risultati:

OTL.Txt
Extras.Txt

Attendo istruzioni , certo che è proprio una bella bestia sto virus! ma lo sconfiggeremo!

[R16]

Ciao.
Stranamente, sia il log di FRST che quello di OTL, non segnalano il file tipico del Ukash, che blocca il pc. (di solito viene segnalato dove si trova)
Inoltre oltre a essere infetto dal Ukash, il pc ha anche un'infezione del rootkit "Zero Access".
Vorrei che tu provassi ad entrare in Modalità provvisoria, per vedere se ci riesci.
Per capirci: NON in Modalità provvisoria con rete, ma proprio in Modalità provvisoria e basta.

[Buckfusion]

ok grazie; ora non posso, sono fuori, quando riento ci provo.
A dopo.

[R16]

Ok.
Se riesci a entrare in Modalità provvisoria, puoi tentare di fare subito, una scansione completa con l'antivirus.

[Buckfusion]

Ciao sono arrivato!

NEGATIVO! una volta che faccio il log in per la modalità provvisoria, tenta di avviarsi e poi al comparire del desktop, immediatemente, parte la procedura di riavvio in automatico...

non c'è speranza?

Siamo comunque fiduciosi!

[R16]

Ciao.
Ho ripassato i log, e ci sono alcuni file che non mi convincono.
Fai così:
Elimina il Fixlog.txt che hai nella chiavetta.
Scarica questo file nella chiavetta:
link
Avvia nuovamente FRST, e clicca sul pulsante fix
Il tool creerà un log sulla pendrive (Fixlog.txt) .
Postalo qui .
Vedi se il pc si riavvia in modalità normale.

[Buckfusion]

Ciao, credo di aver risolto il problema.

Se può essere d'aiuto a chi sta avendo lo stesso problema indico la procedura che ho seguito io, ma ATTENZIONE: è pericolosa, non sono un esperto e la procedura non è delle più ortodosse; se la eseguite è a VOSTRO RISCHIO E PERICOLO.
Effettivamente il PC ora funziona e non è più bloccato dal virus (per ora), ma per sapere se funziona tutto correttamente servirà del tempo ora sono passati solo 3 gg. di intenso utilizzo.

Allora, ho installato il programma Spyhunter, se non vi registrate è gratis e funziona solo lo scanner, per la piena finzionalità bisogna pagare 29.90 €.
Ho eseguito la scansione, oltre alle "mille minacce che ha rilevato" ha trovato anche il file infetto con Ukash, (nessun antivirus che avevo utilizzato prima lo aveva rilevato). inoltre il sofware fornisce l'ndicazione della locazione sul PC.
Nel mio caso era un finto file di sistema non visualizzabile nella normale configurazione di Windows (protetto); era posto nella cartella Temp in Utenti, nomeutente, APPDATA, Local. (occhio che APPDATA è una cartella nascosta), ho cancellato il file e poi ho svuotato il cestino.


Ripeto, non sò se la procedura è la più corretta, ma mi sono trovato ad affrontare una emergenza e avevo poco tempo per risolverla, mia moglie era bloccata con il lavoro e le serviva assolutamente il PC.

Ringrazio R16 che mi ha prestato la prima assistenza e forse gra parte del problema è stato risolto dalle sue prime indicazioni, ma il problema persiteva.

A presto, speriamo per altre cose più piacevoli

[Buckfusion]

Ciao R16,

non volermene, non ho voluto scavalcare la tua consulenza, ma settimana scorsa non mi ero accorto della tua ultima risposta, non avevo visto che c'era anche una pagina 2, me ne sono accorto solo oggi quando ho postato l'ultima risposta... ecco perchè ho agito in modo indipendente e di testa mia.

Se credi questa sera provo a fare quallo che mi hai suggerito anche se ora il pc si avvia normalmente senza virus...

[R16]

Ciao.

[Buckfusion]

Grazie R16 sei, molto paziente.

appena posso farò la scansione, questa sera mia moglie è piuttosto incasinata con il lavoro (ha tre giorni di arretrati) e avrà bisogno del PC, non credo me lo lascerà usare; magari domani.

Siamo sicuri che con Combofix non succederà nulla al PC? diversamente credo che rischio la vita...

Ciao

a presto

[R16]

[Buckfusion]

Questo vale per tutti... prima o poi... il problema è sapere quando!

Il consiglio mi sembra pragmatico, lo condivido... (ne va della mia salute) lascio passare il periodo caldo, e poi scansiono, magari prima le faccio aggiornare il Backup.

un consiglio... meglio stare alla larga dalle insegnanti

a presto e ancora grazie!