Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
probabile malware e altro
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
unnoacaso
Mortale adepto
Mortale adepto


Registrato: 11/03/17 15:24
Messaggi: 31

MessaggioInviato: 11 Mar 2017 15:56    Oggetto: probabile malware e altro Rispondi citando

salve a tutti, sono nuovo del forum e volevo chierde il vostro aiuto.
a causa di una disattenzione mi è entrata un po' di roba nel pc con Windows 10.
in pratica mi si era installato questo antivirus "one system care" che ha rimpiazzato windows defender e poi questo "trotux" che cambia pagina iniziale dei browser. oltre questo anche le ricerche che effettuavo con i motori di ricerca uscivano piene di risultati modificati ecc.
ho disinstallato entrambi manualmente e poi non conoscendo ancora questo forum ho fatto la seguente procedura:

1)atfcleaner mi ha fatto la pulizia della scheda main ma in quella di firefox mi dice "no file were removed". eppure io ho crome+firefox+edge
2)malwarebytes, allego il log
3)emsisoft anche allego il log però dice rilevati 5 rimossi 4
4)dr web cure it non riesco a fare la scansione perchè parte ma manda tutti i processori al 100% di consumo perciò dopo qualche minuto la temperatura sale troppo e il pc si spegne in protezione, non so perche fa cosi
5) esetonline scanner posto il log
6) esetsysinspector ho fatto, il log che mi ha restituito in xml pesa 3 mb
7) hijackfree posto il log
8) gmer mi dice che ci sono tracce di rootkit, posto il log e all'interno della finestra come voce in rosso mi da un file dentro appdata\local\temp\alsys064.sys (hidden) (manual) alsysio e poi altri in nero con punto interrogativo

emisoft_scan_170310-094627.txt
esetonline.txt
gmerlog.log
HiJackFree.log
mlawareanti.txt
SysInspector-DESKTOP-9R3DBS4-170311-0843.xml

siccome ho visto solo dopo la procedura che consigliate qui che credo sia questa
link
mi chiedevo se devo appunto ricominciare da capo o intanto andavano bene anche questi log. resto in attesa di un vostro consiglio su come procedere. grazie
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 11 Mar 2017 19:13    Oggetto: Rispondi citando

Ciao e benvenuto.
Viste le infezioni rilevate è meglio seguire la guida che hai riportato nel link.
Rifai anche la scansione con Malwarebytes.
Posta i log richiesti.
Top
Profilo Invia messaggio privato
unnoacaso
Mortale adepto
Mortale adepto


Registrato: 11/03/17 15:24
Messaggi: 31

MessaggioInviato: 12 Mar 2017 16:57    Oggetto: Rispondi citando

ho cominciato la procedura ma mi è successo questo (premetto che nella procedura precedente che avevo eseguito con mbam non avevo attivato la ricerca rootkit): in pratica ho avviato la scansione con malwarebytes ma il computer si spegne perchè come mi succedeva con drweb cureit i processori lavorano tutti e tre al 100% quindi dopo un pò mi scatta la protezione per la temperatura. al secondo tentativo ho interrotto prima che scattasse (durante analisi filesystem) visto che aveva trovato già 120 elementi e ho pensato intanto di mettere in quarantena quelli (allego il log di questa scansione parziale), dopo il riavvio che mi chiedeva il programma adesso non riesco più ad accedere con il mio utente in windows 10. mi dice non è possibile accedere al tuo account e mi fa entrare con un utente provvisorio, quindi non vedo più tutti i miei file col desktop e posso recuperare le cose solo entrando in c:\ ecc... a questo punto non so più come procedere.

mbam1203.txt
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 13 Mar 2017 18:13    Oggetto: Rispondi citando

Ciao.
Quello che vorrei sapere è se puoi scaricare programmi e tool, e fare le relative scansioni.
Ovviamente il pc è pieno di infezioni, alcune molto importanti.
Vedi se riesci a fare una scansione con TDSSKiller:
Scarica TDSSKiller sul desktop:
link
Fai doppio clik su TDSSKiller.exe
Accetta le condizioni di utilizzo.
Clicca su:
Change parameters.
Metti la spunta su "detect tdlfs file system" e "verify file digital signature"
Clicca OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.

Poi sarebbe molto importante fare una scansione con FRST, e postare i log.
Mi permetterebbe di avere un quadro più chiaro della situazione.
Top
Profilo Invia messaggio privato
unnoacaso
Mortale adepto
Mortale adepto


Registrato: 11/03/17 15:24
Messaggi: 31

MessaggioInviato: 13 Mar 2017 19:14    Oggetto: Rispondi citando

fatto la scansione con tdsskiller questo il log
tdss.txt
si apparentemente riesco a scaricare e ad usare. l'unica cosa è che dopo quella scansione parziale con mbam come scritto non accedo più al mio account ma solo con utente provvisorio. l'unica cosa che vorrei evitare è che usando altri programmi e facendo altre scansioni mi succeda qualche altro casino prima di riuscire a recuperare qualche file che avevo sul disco.
per quanto riguarda frst64 quando provo a farlo partire mi dice "Windows SmartScreen ha impedito l'avvio di un'app non riconosciuta. L'esecuzione di tale app potrebbe costituire un rischio per il PC.
Ulteriori informazioni"
edit: ah ok non avevo visto che schiacciando su informazioni potevo fare esegui comunque, adesso sto scansionando
edit2: FRST.txt
Addition.txt
ho notato che microsoft edge non si apre
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 13 Mar 2017 19:39    Oggetto: Rispondi citando

Citazione:
succeda qualche altro casino prima di riuscire a recuperare qualche file che avevo sul disco.

E allora salva le cose che ti interessano, adesso.
Inoltre vedo che hai il Ripristino configurazione sistema disattivato.
Il mio consiglio è attivarlo e, creare un punto di ripristino prima di eseguire queste indicazioni.

Scarica questo file sul desktop: (dove si trova FRST)

link

Avvia FRST e clicca su FIX una sola volta

Attendi la fine della scansione.
Se il pc non si riavvia da solo, lo devi riavviare tu.
Posta il file fixlog.txt.

Altra cosa: fai una scansione con Adwcleaner, le istruzioni sono nel link in cui hai scaricato FRST. (è importante anche questa scansione perchè sei pieno di Adware come un uovo)
Top
Profilo Invia messaggio privato
unnoacaso
Mortale adepto
Mortale adepto


Registrato: 11/03/17 15:24
Messaggi: 31

MessaggioInviato: 13 Mar 2017 20:48    Oggetto: Rispondi citando

scusa prima avevo visto che mi dicevi di ripetere anche le scansioni con tdss ma adesso non vedo più il messaggio, comunque non le avevo ancora fatte.
per quanto riguarda il ripristino configurazione di sistema credo sia disattivato di default su Windows 10 perché io non ho toccato nulla, non sarebbe un controsenso creare un punto di ripristino adesso che il computer è infetto ed ha un sacco di problemi?
va bene allora cerco prima di salvare tutto quello che mi serve e poi faccio il fix con il file che mi hai mandato e poi il passaggio con adwcleaner e posto i log.
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 13 Mar 2017 20:55    Oggetto: Rispondi citando

Citazione:
non sarebbe un controsenso creare un punto di ripristino adesso che il computer è infetto ed ha un sacco di problemi?

E se per caso viene eliminato qualche file che ti interessa?
Comunque ecco le indicazioni di Microsoft per creare un punto di ripristino:
link
In seguito, a fine bonifica lo puoi eliminare quel punto di ripristino.
Citazione:
scusa prima avevo visto che mi dicevi di ripetere anche le scansioni con tdss ma adesso non vedo più il messaggio, comunque non le avevo ancora fatte.

Sì le ho eliminate io, perchè le infezioni le elimino nello script di FRST.
Inutile farti fare un lavoro doppio.
Top
Profilo Invia messaggio privato
unnoacaso
Mortale adepto
Mortale adepto


Registrato: 11/03/17 15:24
Messaggi: 31

MessaggioInviato: 14 Mar 2017 18:54    Oggetto: Rispondi citando

Fixlog.txt

questo il log dopo il fix. lo posto adesso prima di fare il restart perchè essendo con un utente provvisorio al riavvio poi perdo tutti i file creati.

edit: ok al riavvio sono tornato con l'accesso al mio profilo utente e tutti i miei files
questo il log della scansione con adwcleaner
.txt]AdwCleaner[C0].txt

edit2: adesso mi sono sparite anche le pagine di ricerca che dava nei browser però boh non mi convince questa parte di gestione attività
gestioneattivita.png
prima quando avevo il pc fermo la cpu scendeva praticamente a 0 invece adesso ci sono sempre questi processi attivi.
anche quando avevo fatto la prima procedura di pulizia, quella non consigliata da te che ho messo nel primo post, il pc sembrava pulito era sparito tutto dai browser (trotux ecc) ma poi dopo averlo usato un'oretta si era riproposto tutto anche se con un nome diverso (startpage123 o roba del genere). altra cosa che ho notato non mi funziona più mbam, mi dice unable to connect service unable to start.
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 14 Mar 2017 19:31    Oggetto: Rispondi citando

Ciao.
Elimina tutti i log di FRST.
Apri FRST, metti la spunta su "addition.txt e clicca su Scan.
Posta i 2 log che rilascia.

Fai anche un'altra scansione con TDSSKiller.
Posta il log.

P.S:
Non riesco a visualizzare il log di Adwcleaner.
Prova anche tu.
Top
Profilo Invia messaggio privato
unnoacaso
Mortale adepto
Mortale adepto


Registrato: 11/03/17 15:24
Messaggi: 31

MessaggioInviato: 14 Mar 2017 21:42    Oggetto: Rispondi citando

link di prima di adwcleaner AdwCleaner.txt

i due di frst
FRST.txt
Addition.txt

quello di tdss
tdss.txt

edit: la cosa strana è che in questa sessione quei processi in gestione attività (che ti avevo mandato nello screnshot precedente) sono spariti
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 15 Mar 2017 18:10    Oggetto: Rispondi citando

Ciao.
C'è solo un'infezione da adware su Edge.
Il mio consiglio è di ripristinarlo di default, ti posto il link della Microsoft:
link

Altro consiglio, visto la marea di infezioni che hai preso è, ripristinare anche Firefox:
link

Se riscontri ancora problemi, con Malwarebytes, prova a disinstallarlo e poi reinstallarlo.
Il log di tdss è pulito.
Fammi sapere come funziona il pc e, quali eventuali problemi riscontri.
Top
Profilo Invia messaggio privato
unnoacaso
Mortale adepto
Mortale adepto


Registrato: 11/03/17 15:24
Messaggi: 31

MessaggioInviato: 15 Mar 2017 22:17    Oggetto: Rispondi citando

ok per firefox la procedura mi sembra semplice.
edge ho qualche problema a capire, devo fare il punto n. 6?
ho anche chrome, non devo fare nulla su questo?
sto provando a disinstallare mbam (da pannello di controllo, disinstalla un programma) ma la procedura rimane impallata con la barra ferma
quei processi in gestione attività mi sembra di non vederli più, può essere che stesse facendo un aggiornamento di windows in background?

edit: al secondo tentativo la disinstallazione di mbam è andata a buon fine, domani provo a reinstallarlo

edit2: adesso riesco a portare a termine le scansioni con mbam, nonostante i core vadano sempre a lavorare al 100% adesso durano sensibilmente meno quindi la protezione non scatta
questo il log della prima fatta senza rilevamento rootkit mbam1.txt
che rilevava due elementi.
questo il log della seconda con rilevamento rootkit e dopo aver messo in quarantena gli elementi precedenti
mbam2.txt

edit3: ogni tanto ad esempio adesso con il pc scollegato da internet ho questo "Windows modules installer worker" che usa il 34% di cpu e 190mb di memoria, potrebbe essere qualche conflitto con mbam di cui parla qui link
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 16 Mar 2017 18:01    Oggetto: Rispondi citando

Citazione:
questo il log della seconda con rilevamento rootkit e dopo aver messo in quarantena gli elementi precedenti
mbam2.txt

Quale rootkit....il log è pulito. Cool
Nel primo log Mbam ha eliminato l'adware che ti avevo segnalato su Edge.
Quindi anche Edge dovrebbe essere a posto.
Citazione:
ho anche chrome, non devo fare nulla su questo?

Se vuoi ripristina anche quello:
Apri Chrome.
Fai clic sul menu con le 3 barre in alto a destra.
Fai clic su Impostazioni.
Fai clic su Mostra impostazioni avanzate in basso.
Fai clic su Ripristino delle impostazioni nella sezione "Ripristino delle impostazioni".
Nella finestra di dialogo che viene visualizzata fai clic su Ripristina.
Citazione:
edit2: adesso riesco a portare a termine le scansioni con mbam, nonostante i core vadano sempre a lavorare al 100% adesso durano sensibilmente meno quindi la protezione non scatta

Cosa vuol dire "la protezione non scatta".... Think
Hai scaricato la versione "Trial", che vuol dire che hai la protezione in "tempo reale".
Tale protezione dura 14 giorni, dopo, o acquisti la versione a pagamento, oppure passi alla versione gratuita.
Per passare subito alla versione gratuita fai:
Apri Mbam.
A sinistra clicca su "Impostazioni".
Poi clicca in alto su "il mio account" puoi disattivare subito il periodo di prova e passare alla versione Free.
Citazione:
edit3: ogni tanto ad esempio adesso con il pc scollegato da internet ho questo "Windows modules installer worker" che usa il 34% di cpu e 190mb di memoria, potrebbe essere qualche conflitto con mbam di cui parla qui link

Per saperlo hai 2 strade:
1) Passa alla versione gratuita di Mbam, e vedi come va la cpu.
2) Disinstalla Mbam e vedi se il problema era lui.
Top
Profilo Invia messaggio privato
unnoacaso
Mortale adepto
Mortale adepto


Registrato: 11/03/17 15:24
Messaggi: 31

MessaggioInviato: 16 Mar 2017 21:37    Oggetto: Rispondi citando

intendevo con opzione "rilevamento rootkit" attiva, la prima scansione avevo fatto senza.
la protezione non scatta intendo quella del pc che lo fa spegnere quando la temperatura del processore si scalda troppo, per questo prima non riuscivo a concludere le scansioni con mbam. adesso che non ci sono più i malware i core lavorano sempre al 100% ma la scansione dura meno e riesco a concluderla prima che la protezioni scatti.
firefox ho già ripristinato, adesso faccio chrome. mentre edge ho qualche difficoltà a capire come funziona la guida che mi avevi linkato.
faccio anche la prova disattivando la trial di mbam e poi ti dico.
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 17 Mar 2017 19:14    Oggetto: Rispondi citando

Citazione:
mentre edge ho qualche difficoltà a capire come funziona la guida che mi avevi linkato.

Forse questa è più chiara:
link
Se hai dubbi, dimmi dove ti blocchi.
Ricorda di chiudere tutte le istanze aperte, compreso Edge, prima di cominciare.
Top
Profilo Invia messaggio privato
unnoacaso
Mortale adepto
Mortale adepto


Registrato: 11/03/17 15:24
Messaggi: 31

MessaggioInviato: 18 Mar 2017 21:12    Oggetto: Rispondi citando

ho seguito la guida, sembrava tutto andato a buon fine invece edge non parte più, si avvia si vede la schermata blu e poi si chiude. ho provato anche a ripristinare la cartella che viene fatta eliminare all'inizio (era ancora nel cestino) ma niente. mi si apre per leggere i pdf visto che è il visualizzatore predefinito. anche quando apre un pdf se cerco di aggiungere una nuova scheda si chiude.

edit: a questo punto ho provato anche a seguire la guida microsoft che avevi linkato in precedenza come dice nel punto 6. a parte che dicono di dare quella stringa nel prompt dove non fa nulla, quindi l'ho messa nella powershell. fa tutta una procedura, scarica roba poi al riavvio fa gli aggiornamenti ma niente, il problema rimane lo stesso.
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 19 Mar 2017 13:53    Oggetto: Rispondi citando

Purtroppo per quanto riguarda Edge, Microsoft ha complicato le cose invece di semplificarle.
Invece di ripristinarlo prova a disinstallarlo e poi reistallarlo:
link
Se non ci riesci, dovrai appoggiarti a un'altro browser. ( Firefox, Chrome, Safari ecc...)
A parte Edge, riscontri altri problemi?
Top
Profilo Invia messaggio privato
unnoacaso
Mortale adepto
Mortale adepto


Registrato: 11/03/17 15:24
Messaggi: 31

MessaggioInviato: 20 Mar 2017 07:52    Oggetto: Rispondi citando

a me sembra la stessa identica procedura del ripristino della guida precedente.
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 20 Mar 2017 17:41    Oggetto: Rispondi

Citazione:
a me sembra la stessa identica procedura del ripristino della guida precedente.

No, una serve per "Ripristinare" Edge, l'altra serve per Disinstallare e poi Reinstallare Edge.
Quando disinstalli la cartella “Microsoft.MicrosoftEdge_8wekyb3d8bbwe” ti sei ricordato di riavviare il pc?
Sembra un particolare stupido, ma non lo è.
In Windows, il riavvio conferma le modifiche che si fanno sul S.O.
Senza il riavvio, le modifiche non vengono applicate.
Quindi, prenditi il tempo che ti serve, leggi con attenzione e calma l'ultimo link che ti ho postato, e se non ti è chiaro qualcosa me lo dici.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2, 3  Successivo
Pagina 1 di 3

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi