|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
maverick2 ha scritto:non c'è niente da fare? :-( Ma no...... Con un pò di pazienza risolviamo. Entra in Modalità provvisoria con rete e fai una scansione con il tuo antivirus. Oppure se hai installato Malwarebytes fai una scansione completa con quello. Shapiro ha scritto:Commenta:forse hai sbagliato qualche passaggio
ATTENTION:=====> THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY.
aspetta la risposta di r16
Ciao Ciao Shap. I passaggi sono giusti. Solo che FRST non funziona correttamente con XP. Alle volte funziona, altre volte no. Ho tentato, nella speranza che rilevasse il file incriminato, ma purtroppo l'infezione risiede nel registro, e FRST non scansiona il registro su XP. ( su Vista e Seven sì, perchè hanno un'architettura diversa da XP)
|
|
Rank: AiutAmico
Iscritto dal : 7/11/2012
Posts: 85
|
Purtroppo non mi fa più entrare in modalità provvisoria, ossia mi fa entrare solo in quella con il prompt di DOS , ma io non ricordo assolutamente più i comandi DOS (saranno diciotto - vent'anni che non li uso), quindi non saprei cosa digitare, oltre al fatto che ho Malware Bytes sulla chiavetta, ma non ricordo se l'ho installato sul PC di casa.
Non c'è modo di scaricare qualcosa su una chiavetta e pulirlo lanciando qualche antivirus da lì?...
scusate
grazie per la pazienza
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
maverick2 ha scritto:Purtroppo non mi fa più entrare in modalità provvisoria Allora sono problemi seri. Vorrei sapere se quando accendi il pc ti compare per qualche secondo il desktop, oppure ti appare instantaneamente la schermata del virus. Se ti compare il desktop per qualche secondo, possiamo bloccare il virus dal Task Manager. In alternativa a Kaspersky prova con un CD-Live di Avira, che non richiede una connessione a internet. Ecco le istruzioni per AVIRA AntiVir Rescue System: http://forum.zeusnews.com/viewtopic.php?t=40144
|
|
Rank: AiutAmico
Iscritto dal : 7/11/2012
Posts: 85
|
Grazie, r16.
Dunque:
quando accedo, c'è un momento in cui vedo il desktop e le icone. Ho provato a richiamare il Task manager (con CTRL + ALT +CANC) e per uno o due secondi riesco a vedere l'elenco dei processi che girano, ma poi si apre la maledetta maschera e buonanotte.
Per quanto riguarda AVIRA, potrò fare il CD lunedì in ufficio.
Grazie
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
maverick2 ha scritto:
quando accedo, c'è un momento in cui vedo il desktop e le icone. Ho provato a richiamare il Task manager (con CTRL + ALT +CANC) e per uno o due secondi riesco a vedere l'elenco dei processi che girano,
Ciao. Devi essere veloce.Quando si apre il Task Manager, cerca il più velocemente possibile il processo " explorer.exe" (NON confonderlo con iexplorer.exe) lo selezioni, e poi clicca " Termina processo". Magari fai vari tentativi. Ti spariranno dal desktop tutte le icone, ma il virus resta bloccato. A questo punto vai su Start e clicca su " Tutti programmi". Da lì fai partire Malwarebytes (se è installato) oppure l'antivirus. Poi per ripristinare le icone: Apri il Task Manager. Clicca in alto su File e poi su " Nuova operazione" (Esegui..) Digita explorer.exe e poi clicca OK. Riavvia il pc.
|
|
Rank: AiutAmico
Iscritto dal : 7/11/2012
Posts: 85
|
Caro R16, grazie ai tuoi suggerimenti sono riuscita a rientrare in possesso del mio PC. Ho fatto così (casomai fosse utile a qualcun altro): come mi hai detto ho fatto control+alt+canc e velocemente ho cercato e chiuso explorer.exe A questo punto, però, non vedevo nemmeno la barra orizzontale in basso con lo Start. Però mi avevi detto che dal task manager si poteva avviare un eseguibile. Allora ho preso la chiavetta sulla quale avevo scaricato Malwarebytes, l'ho scompattato (sempre sulla chiavetta da un altro PC) e poi l'ho avviato dal task manager. Il problema è che non sapevo quale fosse il file che avviava MWB. Ma per fortuna, quando Malwarebytes si è installato sul pc, mi ha chiesto tra le varie opzioni se volevo che si avviasse al termine dell'installazione. Quindi è partito, ha trovato 3 cose, e le ha pulite. Questo è il log. Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.orgVersione database: v2012.12.14.11 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 MR :: MR [amministratore] 03/02/2013 14.40.34 MBAM-log-2013-02-03 (15-13-00).txt Tipo di scansione: Scansione completa (C:\|D:\|E:\|) Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File di sistema | Euristica/Extra | Euristica/Shuriken | PUP | PUM Opzioni di scansione disattivate: P2P Elementi esaminati: 284389 Tempo impiegato: 20 minuti, 27 secondi Processi rilevati in memoria: 0 (non sono stati rilevati elementi nocivi) Moduli di memoria rilevati: 0 (non sono stati rilevati elementi nocivi) Chiavi di registro rilevate: 2 HKCR\AppID\{186E19A3-B909-4F48-B687-BB81EB8BC7CE} (Trojan.BHO) -> Nessuna azione intrapresa. HKLM\SOFTWARE\Google\Chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl (PUP.FCTPlugin) -> Nessuna azione intrapresa. Valori di registro rilevati: 0 (non sono stati rilevati elementi nocivi) Voci rilevate nei dati di registro: 0 (non sono stati rilevati elementi nocivi) Cartelle rilevate: 0 (non sono stati rilevati elementi nocivi) File rilevati: 1 C:\Documents and Settings\MR\Menu Avvio\Programmi\Esecuzione automatica\runctf.lnk (Trojan.Ransom.SUGen) -> Nessuna azione intrapresa. (fine) L'unica cosa che persiste è che quando apro internet (uso Mozilla), cliccando sulle pagine che mi interessano, mi si aprono delle altre pagine random (tipo "la ruota della fortuna" oppure cose di finanza). Però a ben pensarci non ho ancora riavviato. Riavvio. A dopo. Per ora GRAZIEEEEEEEEEEEEEEEEEEEEEEEEEEE! Mi rendo conto solo
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
ELIMINA quello che ha trovato Malwarebytes. Fai questa scansione: Scarica OTL, e salvalo sul desktop: http://oldtimer.geekstogo.com/OTL.exeClicca sull'icona di OTL che trovi sul tuo desktop . Metti la spunta su SCAN ALL USERS. Sotto output, metti la spunta : minimal outputClicca sulla freccettina di File Age e seleziona 60 Days Metti la spunta a LOP Check e Purity Check. Clicca su RUN SCANLascia fare la scansione senza interferire. Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.
|
|
Rank: AiutAmico
Iscritto dal : 7/11/2012
Posts: 85
|
Ho riavviato ed è ritornato tutto come prima.
Allora rifaccio tutto da capo e invece di riavviare, faccio anche le ulteriori cose che mi hai detto.
Ora però non so con quale comando far partire Malwarebytes.
inoltre all'inizio mi ha chiesto: che ci faccio con questa cosa che ho trovato?
le opzioni erano:
lasciala stare
un'altra cosa simile
mettila in quarantena
e io gli ho detto di metterla in quarantena
ma non c'era l'opzione CANCELLA....
:-(
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Sarebbe più importante se riesci a fare la scansione con OTL. La scansione non rimuove nulla per il momento, ma poi ti farò uno script in cui elimineremo l'infezione. Quindi non riavviare il pc finchè non avremo eliminato il virus. Comunque, il file che blocca il pc è questo in rosso: C:\Documents and Settings\MR\Menu Avvio\Programmi\Esecuzione automatica\ runctf.lnkCome vedi,seguendo il percorso, si trova nella cartella " Esecuzione automatica", per cui parte ad ogni riavvio del pc. Commenta:A questo punto, però, non vedevo nemmeno la barra orizzontale in basso con lo Start. In teoria, per visualizzare Start con tutte le icone, prova a eseguire la procedura (con il TaskManager) di explorer.exeDovrebbero ricomparire, ma NON riavviare o spegnere il pc. Finchè non riavii, il pc dovrebbe funzionare regolarmente, e puoi fare tutte le operazioni necessarie.
|
|
Rank: AiutAmico
Iscritto dal : 7/11/2012
Posts: 85
|
Buonasera.
La situazione mi pare drammatica: ho rifatto tutta la trafila per arrivare al task manager e da lì ho lanciato Malwarebytes, che ha trovato i malware.
Li ha messi in quarantena (compreso quel runctf.lnk). Finita la scansione, ho eliminato tutto dalla quarantena (prima avevo fatto una domanda cretina, scusami).
Poi ho provato a ridare il comando explorer.exe, è riapparso il desktop con le icone, ho lanciato la connessione a internet e mi è riapparso il virus sullo schermo.
Ho dovuto riavviare e ricominciare tutto da capo. Ovviamente Malwarebytes ha ri-trovato per l'ennesima volta il fetente, quanrantena, cancella quarantena, rifai la scansione, stavolta non c'è niente. Bene.
Scarico da un altro pc OTL sulla chiavetta. Do il comando explorer.exe e mi ri-appare la maledetta schermata del virus.
Tutto da capo. Riavvio, scansione, cancella, etc, poi lancio OTL dalla chiavetta con i settings che mi hai detto tu.
Il programma fa la scansione, ma mi dà solo un file (OTL.txt).
Se tento di fare "salva con nome" va in errore. Comunque lo salvo sulla chiavetta.
Stavolta SENZA PIU' FARE explorer.exe, dal task manager ho lanciato la connessione, aperto IE e provato a caricare il file su wikisend. Ma né dalla chiavetta, né copiandolo sul desktop e provando l'upload da lì, riesco a caricarlo.
Wikisend mi dice che si è verificato un errore.
Provo a postartelo qui. Poi magari, dopo che l'hai letto lo cancello, per non lasciare troppa confusione nel thread.
Grazie
|
|
Rank: AiutAmico
Iscritto dal : 7/11/2012
Posts: 85
|
OTL logfile created on: 03/02/2013 21.45.37 - Run 2
OTL by OldTimer - Version 3.2.69.0 Folder = L:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000410 | Country: Italia | Language: ITA | Date Format: dd/MM/yyyy
3,25 Gb Total Physical Memory | 2,64 Gb Available Physical Memory | 81,22% Memory free
5,09 Gb Paging File | 4,56 Gb Available in Paging File | 89,50% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
Devi rifare la scansione con MBAM, ma devi staccare la connessione. Il virus si attiva non appena ti connetti a Internet.
|
|
Rank: AiutAmico
Iscritto dal : 7/11/2012
Posts: 85
|
Allora ho fatto così:
ho visto che, usando il task manager, finché non ridavo il comando explorer.exe, il virus taceva.
Quindi, attraverso il task manager (ho finalmente visto il pulsante "Sfoglia"), ho attivato internet e successivamente, dalla chiavetta ho reinstallato Malwarebytes, spuntando l'opzione "aggiorna" e l'opzione "Avvia subito".
Quindi, stavolta ho fatto girare Malwarebytes AGGIORNATO e stavolta ha trovato un file .dll.
A scansione conclusa, ho eliminato questo file che era stato messo in quarantena.
A questo punto Malwarebytes mi ha detto di riavviare SUBITO.
Ho riavviato normalmente, e SEMBREREBBE che il virus sia morto.
Onestamente era quasi l'una (io non capivo quasi più niente) e non ho provato ad accedere a internet e vedere come va (prima, quando cliccavo all'interno di una pagina internet, mi si aprivano altre pagine strane, ma forse era qualche altro malware...boh).
Oggi quando torno, ci provo.
Per adesso grazie infinite.
PS posso eliminare il post lunghissimo?
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Avvia OTL. Sotto " Custom Scans\Fixes" copia-incolla questo codice: Code::OTL
PRC - C:\Programmi\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe
[2013/02/03 21.38.41 | 000,002,874 | ---- | C] () -- C:\Documents and Settings\All Users\Dati applicazioni\9619453.js
[2013/02/03 21.38.41 | 000,000,778 | ---- | C] () -- C:\Documents and Settings\MR\Menu Avvio\Programmi\Esecuzione automatica\runctf.lnk
[2012/07/09 22.32.37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\MR\Dati applicazioni\f-secure
[2012/07/09 19.20.05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\MR\Dati applicazioni\Toolbar4
:Files
C:\Documents and Settings\MR\Menu Avvio\Programmi\Esecuzione automatica\runctf.lnk
ipconfig /flushdns /c
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"
:commands
[purity]
[emptytemp]
[RESETHOSTS]
[start explorer]
[Reboot] Clicca sul pulsante RUN FIX. Lascia fare la scansione senza interferire. Posta il log.
|
|
Rank: AiutAmico
Iscritto dal : 7/11/2012
Posts: 85
|
Buonasera, R16.
Ho provato a fare come mi hai detto.
Il prg parte, scompare la prima riga (quella con scritto :OTL) e rimane con sotto la scritta
Processing C:\Programmi\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe
senza fare altro....ormai sono più di due ore che l'ho lanciato.
Inoltre il task manager mi mostra OTL come applicazione e vicino dice "Non risponde".
Che faccio? l'ammazzo?
|
|
Rank: AiutAmico
Iscritto dal : 7/11/2012
Posts: 85
|
Ti posto il txt OTL che ho fatto (cioè dopo essere riuscita a cancellare il virus).
(sempre perché wikisend lo carica, ma poi dà una pagina bianca muta e non so come ritrovare il file che ho caricato).
|
|
Rank: AiutAmico
Iscritto dal : 7/11/2012
Posts: 85
|
OTL logfile created on: 04/02/2013 18.24.34 - Run 4
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Documents and Settings\MR\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000410 | Country: Italia | Language: ITA | Date Format: dd/MM/yyyy
3,25 Gb Total Physical Memory | 2,43 Gb Available Physical Memory | 74,90% Memory free
5,09 Gb Paging File | 4,39 Gb Available in Paging File | 86,24% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
[.....]
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Sembra che il virus sia stato eliminato Vorrei che tu facessi questa scansione: (sarebbe importante) Scarica Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exeSalvalo sul desktop. ( è obbligatorio) Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione. Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO. E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali, e prosegui con la scansione.Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni. Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.
|
|
Rank: AiutAmico
Iscritto dal : 7/11/2012
Posts: 85
|
ComboFix 13-02-03.03 - Marco e Roberta 04/02/2013 21.56.53.1.2 - x86
Eseguito da: c:\documents and settings\MR\Desktop\ComboFix.exe
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Dati applicazioni\9619453.pad
[...]
|
|
Rank: AiutAmico
Iscritto dal : 7/11/2012
Posts: 85
|
alla fine posso eliminare combofix, kaspersky, otl e tutto il resto dal desktop?
|
|
|
Guest |
