Precedente :: Successivo |
Autore |
Messaggio |
unnoacaso Mortale adepto
Registrato: 11/03/17 15:24 Messaggi: 31
|
Inviato: 11 Mar 2017 15:56 Oggetto: probabile malware e altro |
|
|
salve a tutti, sono nuovo del forum e volevo chierde il vostro aiuto.
a causa di una disattenzione mi è entrata un po' di roba nel pc con Windows 10.
in pratica mi si era installato questo antivirus "one system care" che ha rimpiazzato windows defender e poi questo "trotux" che cambia pagina iniziale dei browser. oltre questo anche le ricerche che effettuavo con i motori di ricerca uscivano piene di risultati modificati ecc.
ho disinstallato entrambi manualmente e poi non conoscendo ancora questo forum ho fatto la seguente procedura:
1)atfcleaner mi ha fatto la pulizia della scheda main ma in quella di firefox mi dice "no file were removed". eppure io ho crome+firefox+edge
2)malwarebytes, allego il log
3)emsisoft anche allego il log però dice rilevati 5 rimossi 4
4)dr web cure it non riesco a fare la scansione perchè parte ma manda tutti i processori al 100% di consumo perciò dopo qualche minuto la temperatura sale troppo e il pc si spegne in protezione, non so perche fa cosi
5) esetonline scanner posto il log
6) esetsysinspector ho fatto, il log che mi ha restituito in xml pesa 3 mb
7) hijackfree posto il log
8) gmer mi dice che ci sono tracce di rootkit, posto il log e all'interno della finestra come voce in rosso mi da un file dentro appdata\local\temp\alsys064.sys (hidden) (manual) alsysio e poi altri in nero con punto interrogativo
emisoft_scan_170310-094627.txt
esetonline.txt
gmerlog.log
HiJackFree.log
mlawareanti.txt
SysInspector-DESKTOP-9R3DBS4-170311-0843.xml
siccome ho visto solo dopo la procedura che consigliate qui che credo sia questa
link
mi chiedevo se devo appunto ricominciare da capo o intanto andavano bene anche questi log. resto in attesa di un vostro consiglio su come procedere. grazie |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 11 Mar 2017 19:13 Oggetto: |
|
|
Ciao e benvenuto.
Viste le infezioni rilevate è meglio seguire la guida che hai riportato nel link.
Rifai anche la scansione con Malwarebytes.
Posta i log richiesti. |
|
Top |
|
|
unnoacaso Mortale adepto
Registrato: 11/03/17 15:24 Messaggi: 31
|
Inviato: 12 Mar 2017 16:57 Oggetto: |
|
|
ho cominciato la procedura ma mi è successo questo (premetto che nella procedura precedente che avevo eseguito con mbam non avevo attivato la ricerca rootkit): in pratica ho avviato la scansione con malwarebytes ma il computer si spegne perchè come mi succedeva con drweb cureit i processori lavorano tutti e tre al 100% quindi dopo un pò mi scatta la protezione per la temperatura. al secondo tentativo ho interrotto prima che scattasse (durante analisi filesystem) visto che aveva trovato già 120 elementi e ho pensato intanto di mettere in quarantena quelli (allego il log di questa scansione parziale), dopo il riavvio che mi chiedeva il programma adesso non riesco più ad accedere con il mio utente in windows 10. mi dice non è possibile accedere al tuo account e mi fa entrare con un utente provvisorio, quindi non vedo più tutti i miei file col desktop e posso recuperare le cose solo entrando in c:\ ecc... a questo punto non so più come procedere.
mbam1203.txt |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 13 Mar 2017 18:13 Oggetto: |
|
|
Ciao.
Quello che vorrei sapere è se puoi scaricare programmi e tool, e fare le relative scansioni.
Ovviamente il pc è pieno di infezioni, alcune molto importanti.
Vedi se riesci a fare una scansione con TDSSKiller:
Scarica TDSSKiller sul desktop:
link
Fai doppio clik su TDSSKiller.exe
Accetta le condizioni di utilizzo.
Clicca su:
Change parameters.
Metti la spunta su "detect tdlfs file system" e "verify file digital signature"
Clicca OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.
Poi sarebbe molto importante fare una scansione con FRST, e postare i log.
Mi permetterebbe di avere un quadro più chiaro della situazione. |
|
Top |
|
|
unnoacaso Mortale adepto
Registrato: 11/03/17 15:24 Messaggi: 31
|
Inviato: 13 Mar 2017 19:14 Oggetto: |
|
|
fatto la scansione con tdsskiller questo il log
tdss.txt
si apparentemente riesco a scaricare e ad usare. l'unica cosa è che dopo quella scansione parziale con mbam come scritto non accedo più al mio account ma solo con utente provvisorio. l'unica cosa che vorrei evitare è che usando altri programmi e facendo altre scansioni mi succeda qualche altro casino prima di riuscire a recuperare qualche file che avevo sul disco.
per quanto riguarda frst64 quando provo a farlo partire mi dice "Windows SmartScreen ha impedito l'avvio di un'app non riconosciuta. L'esecuzione di tale app potrebbe costituire un rischio per il PC.
Ulteriori informazioni"
edit: ah ok non avevo visto che schiacciando su informazioni potevo fare esegui comunque, adesso sto scansionando
edit2: FRST.txt
Addition.txt
ho notato che microsoft edge non si apre |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 13 Mar 2017 19:39 Oggetto: |
|
|
Citazione: | succeda qualche altro casino prima di riuscire a recuperare qualche file che avevo sul disco. |
E allora salva le cose che ti interessano, adesso.
Inoltre vedo che hai il Ripristino configurazione sistema disattivato.
Il mio consiglio è attivarlo e, creare un punto di ripristino prima di eseguire queste indicazioni.
Scarica questo file sul desktop: (dove si trova FRST)
link
Avvia FRST e clicca su FIX una sola volta
Attendi la fine della scansione.
Se il pc non si riavvia da solo, lo devi riavviare tu.
Posta il file fixlog.txt.
Altra cosa: fai una scansione con Adwcleaner, le istruzioni sono nel link in cui hai scaricato FRST. (è importante anche questa scansione perchè sei pieno di Adware come un uovo) |
|
Top |
|
|
unnoacaso Mortale adepto
Registrato: 11/03/17 15:24 Messaggi: 31
|
Inviato: 13 Mar 2017 20:48 Oggetto: |
|
|
scusa prima avevo visto che mi dicevi di ripetere anche le scansioni con tdss ma adesso non vedo più il messaggio, comunque non le avevo ancora fatte.
per quanto riguarda il ripristino configurazione di sistema credo sia disattivato di default su Windows 10 perché io non ho toccato nulla, non sarebbe un controsenso creare un punto di ripristino adesso che il computer è infetto ed ha un sacco di problemi?
va bene allora cerco prima di salvare tutto quello che mi serve e poi faccio il fix con il file che mi hai mandato e poi il passaggio con adwcleaner e posto i log. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 13 Mar 2017 20:55 Oggetto: |
|
|
Citazione: | non sarebbe un controsenso creare un punto di ripristino adesso che il computer è infetto ed ha un sacco di problemi? |
E se per caso viene eliminato qualche file che ti interessa?
Comunque ecco le indicazioni di Microsoft per creare un punto di ripristino:
link
In seguito, a fine bonifica lo puoi eliminare quel punto di ripristino.
Citazione: | scusa prima avevo visto che mi dicevi di ripetere anche le scansioni con tdss ma adesso non vedo più il messaggio, comunque non le avevo ancora fatte. |
Sì le ho eliminate io, perchè le infezioni le elimino nello script di FRST.
Inutile farti fare un lavoro doppio. |
|
Top |
|
|
unnoacaso Mortale adepto
Registrato: 11/03/17 15:24 Messaggi: 31
|
Inviato: 14 Mar 2017 18:54 Oggetto: |
|
|
Fixlog.txt
questo il log dopo il fix. lo posto adesso prima di fare il restart perchè essendo con un utente provvisorio al riavvio poi perdo tutti i file creati.
edit: ok al riavvio sono tornato con l'accesso al mio profilo utente e tutti i miei files
questo il log della scansione con adwcleaner
.txt]AdwCleaner[C0].txt
edit2: adesso mi sono sparite anche le pagine di ricerca che dava nei browser però boh non mi convince questa parte di gestione attività
gestioneattivita.png
prima quando avevo il pc fermo la cpu scendeva praticamente a 0 invece adesso ci sono sempre questi processi attivi.
anche quando avevo fatto la prima procedura di pulizia, quella non consigliata da te che ho messo nel primo post, il pc sembrava pulito era sparito tutto dai browser (trotux ecc) ma poi dopo averlo usato un'oretta si era riproposto tutto anche se con un nome diverso (startpage123 o roba del genere). altra cosa che ho notato non mi funziona più mbam, mi dice unable to connect service unable to start. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 14 Mar 2017 19:31 Oggetto: |
|
|
Ciao.
Elimina tutti i log di FRST.
Apri FRST, metti la spunta su "addition.txt e clicca su Scan.
Posta i 2 log che rilascia.
Fai anche un'altra scansione con TDSSKiller.
Posta il log.
P.S:
Non riesco a visualizzare il log di Adwcleaner.
Prova anche tu. |
|
Top |
|
|
unnoacaso Mortale adepto
Registrato: 11/03/17 15:24 Messaggi: 31
|
Inviato: 14 Mar 2017 21:42 Oggetto: |
|
|
link di prima di adwcleaner AdwCleaner.txt
i due di frst
FRST.txt
Addition.txt
quello di tdss
tdss.txt
edit: la cosa strana è che in questa sessione quei processi in gestione attività (che ti avevo mandato nello screnshot precedente) sono spariti |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 15 Mar 2017 18:10 Oggetto: |
|
|
Ciao.
C'è solo un'infezione da adware su Edge.
Il mio consiglio è di ripristinarlo di default, ti posto il link della Microsoft:
link
Altro consiglio, visto la marea di infezioni che hai preso è, ripristinare anche Firefox:
link
Se riscontri ancora problemi, con Malwarebytes, prova a disinstallarlo e poi reinstallarlo.
Il log di tdss è pulito.
Fammi sapere come funziona il pc e, quali eventuali problemi riscontri. |
|
Top |
|
|
unnoacaso Mortale adepto
Registrato: 11/03/17 15:24 Messaggi: 31
|
Inviato: 15 Mar 2017 22:17 Oggetto: |
|
|
ok per firefox la procedura mi sembra semplice.
edge ho qualche problema a capire, devo fare il punto n. 6?
ho anche chrome, non devo fare nulla su questo?
sto provando a disinstallare mbam (da pannello di controllo, disinstalla un programma) ma la procedura rimane impallata con la barra ferma
quei processi in gestione attività mi sembra di non vederli più, può essere che stesse facendo un aggiornamento di windows in background?
edit: al secondo tentativo la disinstallazione di mbam è andata a buon fine, domani provo a reinstallarlo
edit2: adesso riesco a portare a termine le scansioni con mbam, nonostante i core vadano sempre a lavorare al 100% adesso durano sensibilmente meno quindi la protezione non scatta
questo il log della prima fatta senza rilevamento rootkit mbam1.txt
che rilevava due elementi.
questo il log della seconda con rilevamento rootkit e dopo aver messo in quarantena gli elementi precedenti
mbam2.txt
edit3: ogni tanto ad esempio adesso con il pc scollegato da internet ho questo "Windows modules installer worker" che usa il 34% di cpu e 190mb di memoria, potrebbe essere qualche conflitto con mbam di cui parla qui link |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 16 Mar 2017 18:01 Oggetto: |
|
|
Citazione: | questo il log della seconda con rilevamento rootkit e dopo aver messo in quarantena gli elementi precedenti
mbam2.txt |
Quale rootkit....il log è pulito.
Nel primo log Mbam ha eliminato l'adware che ti avevo segnalato su Edge.
Quindi anche Edge dovrebbe essere a posto.
Citazione: | ho anche chrome, non devo fare nulla su questo? |
Se vuoi ripristina anche quello:
Apri Chrome.
Fai clic sul menu con le 3 barre in alto a destra.
Fai clic su Impostazioni.
Fai clic su Mostra impostazioni avanzate in basso.
Fai clic su Ripristino delle impostazioni nella sezione "Ripristino delle impostazioni".
Nella finestra di dialogo che viene visualizzata fai clic su Ripristina.
Citazione: | edit2: adesso riesco a portare a termine le scansioni con mbam, nonostante i core vadano sempre a lavorare al 100% adesso durano sensibilmente meno quindi la protezione non scatta |
Cosa vuol dire "la protezione non scatta"....
Hai scaricato la versione "Trial", che vuol dire che hai la protezione in "tempo reale".
Tale protezione dura 14 giorni, dopo, o acquisti la versione a pagamento, oppure passi alla versione gratuita.
Per passare subito alla versione gratuita fai:
Apri Mbam.
A sinistra clicca su "Impostazioni".
Poi clicca in alto su "il mio account" puoi disattivare subito il periodo di prova e passare alla versione Free.
Citazione: | edit3: ogni tanto ad esempio adesso con il pc scollegato da internet ho questo "Windows modules installer worker" che usa il 34% di cpu e 190mb di memoria, potrebbe essere qualche conflitto con mbam di cui parla qui link |
Per saperlo hai 2 strade:
1) Passa alla versione gratuita di Mbam, e vedi come va la cpu.
2) Disinstalla Mbam e vedi se il problema era lui. |
|
Top |
|
|
unnoacaso Mortale adepto
Registrato: 11/03/17 15:24 Messaggi: 31
|
Inviato: 16 Mar 2017 21:37 Oggetto: |
|
|
intendevo con opzione "rilevamento rootkit" attiva, la prima scansione avevo fatto senza.
la protezione non scatta intendo quella del pc che lo fa spegnere quando la temperatura del processore si scalda troppo, per questo prima non riuscivo a concludere le scansioni con mbam. adesso che non ci sono più i malware i core lavorano sempre al 100% ma la scansione dura meno e riesco a concluderla prima che la protezioni scatti.
firefox ho già ripristinato, adesso faccio chrome. mentre edge ho qualche difficoltà a capire come funziona la guida che mi avevi linkato.
faccio anche la prova disattivando la trial di mbam e poi ti dico. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 17 Mar 2017 19:14 Oggetto: |
|
|
Citazione: | mentre edge ho qualche difficoltà a capire come funziona la guida che mi avevi linkato. |
Forse questa è più chiara:
link
Se hai dubbi, dimmi dove ti blocchi.
Ricorda di chiudere tutte le istanze aperte, compreso Edge, prima di cominciare. |
|
Top |
|
|
unnoacaso Mortale adepto
Registrato: 11/03/17 15:24 Messaggi: 31
|
Inviato: 18 Mar 2017 21:12 Oggetto: |
|
|
ho seguito la guida, sembrava tutto andato a buon fine invece edge non parte più, si avvia si vede la schermata blu e poi si chiude. ho provato anche a ripristinare la cartella che viene fatta eliminare all'inizio (era ancora nel cestino) ma niente. mi si apre per leggere i pdf visto che è il visualizzatore predefinito. anche quando apre un pdf se cerco di aggiungere una nuova scheda si chiude.
edit: a questo punto ho provato anche a seguire la guida microsoft che avevi linkato in precedenza come dice nel punto 6. a parte che dicono di dare quella stringa nel prompt dove non fa nulla, quindi l'ho messa nella powershell. fa tutta una procedura, scarica roba poi al riavvio fa gli aggiornamenti ma niente, il problema rimane lo stesso. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 19 Mar 2017 13:53 Oggetto: |
|
|
Purtroppo per quanto riguarda Edge, Microsoft ha complicato le cose invece di semplificarle.
Invece di ripristinarlo prova a disinstallarlo e poi reistallarlo:
link
Se non ci riesci, dovrai appoggiarti a un'altro browser. ( Firefox, Chrome, Safari ecc...)
A parte Edge, riscontri altri problemi? |
|
Top |
|
|
unnoacaso Mortale adepto
Registrato: 11/03/17 15:24 Messaggi: 31
|
Inviato: 20 Mar 2017 07:52 Oggetto: |
|
|
a me sembra la stessa identica procedura del ripristino della guida precedente. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 20 Mar 2017 17:41 Oggetto: |
|
|
Citazione: | a me sembra la stessa identica procedura del ripristino della guida precedente. |
No, una serve per "Ripristinare" Edge, l'altra serve per Disinstallare e poi Reinstallare Edge.
Quando disinstalli la cartella “Microsoft.MicrosoftEdge_8wekyb3d8bbwe” ti sei ricordato di riavviare il pc?
Sembra un particolare stupido, ma non lo è.
In Windows, il riavvio conferma le modifiche che si fanno sul S.O.
Senza il riavvio, le modifiche non vengono applicate.
Quindi, prenditi il tempo che ti serve, leggi con attenzione e calma l'ultimo link che ti ho postato, e se non ti è chiaro qualcosa me lo dici. |
|
Top |
|
|
|