Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
probabile malware e altro
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
unnoacaso
Mortale pio
Mortale pio


Registrato: 11/03/17 15:24
Messaggi: 23

MessaggioInviato: 11 Mar 2017 15:56    Oggetto: probabile malware e altro Rispondi citando

salve a tutti, sono nuovo del forum e volevo chierde il vostro aiuto.
a causa di una disattenzione mi è entrata un po' di roba nel pc con Windows 10.
in pratica mi si era installato questo antivirus "one system care" che ha rimpiazzato windows defender e poi questo "trotux" che cambia pagina iniziale dei browser. oltre questo anche le ricerche che effettuavo con i motori di ricerca uscivano piene di risultati modificati ecc.
ho disinstallato entrambi manualmente e poi non conoscendo ancora questo forum ho fatto la seguente procedura:

1)atfcleaner mi ha fatto la pulizia della scheda main ma in quella di firefox mi dice "no file were removed". eppure io ho crome+firefox+edge
2)malwarebytes, allego il log
3)emsisoft anche allego il log però dice rilevati 5 rimossi 4
4)dr web cure it non riesco a fare la scansione perchè parte ma manda tutti i processori al 100% di consumo perciò dopo qualche minuto la temperatura sale troppo e il pc si spegne in protezione, non so perche fa cosi
5) esetonline scanner posto il log
6) esetsysinspector ho fatto, il log che mi ha restituito in xml pesa 3 mb
7) hijackfree posto il log
8) gmer mi dice che ci sono tracce di rootkit, posto il log e all'interno della finestra come voce in rosso mi da un file dentro appdata\local\temp\alsys064.sys (hidden) (manual) alsysio e poi altri in nero con punto interrogativo

emisoft_scan_170310-094627.txt
esetonline.txt
gmerlog.log
HiJackFree.log
mlawareanti.txt
SysInspector-DESKTOP-9R3DBS4-170311-0843.xml

siccome ho visto solo dopo la procedura che consigliate qui che credo sia questa
link
mi chiedevo se devo appunto ricominciare da capo o intanto andavano bene anche questi log. resto in attesa di un vostro consiglio su come procedere. grazie
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 9534

MessaggioInviato: 11 Mar 2017 19:13    Oggetto: Rispondi citando

Ciao e benvenuto.
Viste le infezioni rilevate è meglio seguire la guida che hai riportato nel link.
Rifai anche la scansione con Malwarebytes.
Posta i log richiesti.
Top
Profilo Invia messaggio privato
unnoacaso
Mortale pio
Mortale pio


Registrato: 11/03/17 15:24
Messaggi: 23

MessaggioInviato: 12 Mar 2017 16:57    Oggetto: Rispondi citando

ho cominciato la procedura ma mi è successo questo (premetto che nella procedura precedente che avevo eseguito con mbam non avevo attivato la ricerca rootkit): in pratica ho avviato la scansione con malwarebytes ma il computer si spegne perchè come mi succedeva con drweb cureit i processori lavorano tutti e tre al 100% quindi dopo un pò mi scatta la protezione per la temperatura. al secondo tentativo ho interrotto prima che scattasse (durante analisi filesystem) visto che aveva trovato già 120 elementi e ho pensato intanto di mettere in quarantena quelli (allego il log di questa scansione parziale), dopo il riavvio che mi chiedeva il programma adesso non riesco più ad accedere con il mio utente in windows 10. mi dice non è possibile accedere al tuo account e mi fa entrare con un utente provvisorio, quindi non vedo più tutti i miei file col desktop e posso recuperare le cose solo entrando in c:\ ecc... a questo punto non so più come procedere.

mbam1203.txt
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 9534

MessaggioInviato: 13 Mar 2017 18:13    Oggetto: Rispondi citando

Ciao.
Quello che vorrei sapere è se puoi scaricare programmi e tool, e fare le relative scansioni.
Ovviamente il pc è pieno di infezioni, alcune molto importanti.
Vedi se riesci a fare una scansione con TDSSKiller:
Scarica TDSSKiller sul desktop:
link
Fai doppio clik su TDSSKiller.exe
Accetta le condizioni di utilizzo.
Clicca su:
Change parameters.
Metti la spunta su "detect tdlfs file system" e "verify file digital signature"
Clicca OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.

Poi sarebbe molto importante fare una scansione con FRST, e postare i log.
Mi permetterebbe di avere un quadro più chiaro della situazione.
Top
Profilo Invia messaggio privato
unnoacaso
Mortale pio
Mortale pio


Registrato: 11/03/17 15:24
Messaggi: 23

MessaggioInviato: 13 Mar 2017 19:14    Oggetto: Rispondi citando

fatto la scansione con tdsskiller questo il log
tdss.txt
si apparentemente riesco a scaricare e ad usare. l'unica cosa è che dopo quella scansione parziale con mbam come scritto non accedo più al mio account ma solo con utente provvisorio. l'unica cosa che vorrei evitare è che usando altri programmi e facendo altre scansioni mi succeda qualche altro casino prima di riuscire a recuperare qualche file che avevo sul disco.
per quanto riguarda frst64 quando provo a farlo partire mi dice "Windows SmartScreen ha impedito l'avvio di un'app non riconosciuta. L'esecuzione di tale app potrebbe costituire un rischio per il PC.
Ulteriori informazioni"
edit: ah ok non avevo visto che schiacciando su informazioni potevo fare esegui comunque, adesso sto scansionando
edit2: FRST.txt
Addition.txt
ho notato che microsoft edge non si apre
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 9534

MessaggioInviato: 13 Mar 2017 19:39    Oggetto: Rispondi citando

Citazione:
succeda qualche altro casino prima di riuscire a recuperare qualche file che avevo sul disco.

E allora salva le cose che ti interessano, adesso.
Inoltre vedo che hai il Ripristino configurazione sistema disattivato.
Il mio consiglio è attivarlo e, creare un punto di ripristino prima di eseguire queste indicazioni.

Scarica questo file sul desktop: (dove si trova FRST)

link

Avvia FRST e clicca su FIX una sola volta

Attendi la fine della scansione.
Se il pc non si riavvia da solo, lo devi riavviare tu.
Posta il file fixlog.txt.

Altra cosa: fai una scansione con Adwcleaner, le istruzioni sono nel link in cui hai scaricato FRST. (è importante anche questa scansione perchè sei pieno di Adware come un uovo)
Top
Profilo Invia messaggio privato
unnoacaso
Mortale pio
Mortale pio


Registrato: 11/03/17 15:24
Messaggi: 23

MessaggioInviato: 13 Mar 2017 20:48    Oggetto: Rispondi citando

scusa prima avevo visto che mi dicevi di ripetere anche le scansioni con tdss ma adesso non vedo più il messaggio, comunque non le avevo ancora fatte.
per quanto riguarda il ripristino configurazione di sistema credo sia disattivato di default su Windows 10 perché io non ho toccato nulla, non sarebbe un controsenso creare un punto di ripristino adesso che il computer è infetto ed ha un sacco di problemi?
va bene allora cerco prima di salvare tutto quello che mi serve e poi faccio il fix con il file che mi hai mandato e poi il passaggio con adwcleaner e posto i log.
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 9534

MessaggioInviato: 13 Mar 2017 20:55    Oggetto: Rispondi citando

Citazione:
non sarebbe un controsenso creare un punto di ripristino adesso che il computer è infetto ed ha un sacco di problemi?

E se per caso viene eliminato qualche file che ti interessa?
Comunque ecco le indicazioni di Microsoft per creare un punto di ripristino:
link
In seguito, a fine bonifica lo puoi eliminare quel punto di ripristino.
Citazione:
scusa prima avevo visto che mi dicevi di ripetere anche le scansioni con tdss ma adesso non vedo più il messaggio, comunque non le avevo ancora fatte.

Sì le ho eliminate io, perchè le infezioni le elimino nello script di FRST.
Inutile farti fare un lavoro doppio.
Top
Profilo Invia messaggio privato
unnoacaso
Mortale pio
Mortale pio


Registrato: 11/03/17 15:24
Messaggi: 23

MessaggioInviato: 14 Mar 2017 18:54    Oggetto: Rispondi citando

Fixlog.txt

questo il log dopo il fix. lo posto adesso prima di fare il restart perchè essendo con un utente provvisorio al riavvio poi perdo tutti i file creati.

edit: ok al riavvio sono tornato con l'accesso al mio profilo utente e tutti i miei files
questo il log della scansione con adwcleaner
.txt]AdwCleaner[C0].txt

edit2: adesso mi sono sparite anche le pagine di ricerca che dava nei browser però boh non mi convince questa parte di gestione attività
gestioneattivita.png
prima quando avevo il pc fermo la cpu scendeva praticamente a 0 invece adesso ci sono sempre questi processi attivi.
anche quando avevo fatto la prima procedura di pulizia, quella non consigliata da te che ho messo nel primo post, il pc sembrava pulito era sparito tutto dai browser (trotux ecc) ma poi dopo averlo usato un'oretta si era riproposto tutto anche se con un nome diverso (startpage123 o roba del genere). altra cosa che ho notato non mi funziona più mbam, mi dice unable to connect service unable to start.
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 9534

MessaggioInviato: 14 Mar 2017 19:31    Oggetto: Rispondi

Ciao.
Elimina tutti i log di FRST.
Apri FRST, metti la spunta su "addition.txt e clicca su Scan.
Posta i 2 log che rilascia.

Fai anche un'altra scansione con TDSSKiller.
Posta il log.

P.S:
Non riesco a visualizzare il log di Adwcleaner.
Prova anche tu.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2, 3, 4, 5  Successivo
Pagina 1 di 5

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi