Precedente :: Successivo |
Autore |
Messaggio |
paola68 Semidio
Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma
|
Inviato: 28 Ago 2013 09:53 Oggetto: virus polizia postale |
|
|
Ciao a tutti! Mi servirebbero consigli per rimuovere il virus da un pc portatile.
Non lo usavo da tempo e mi sono connessa wi-fi
S.O. Windows 7
Antivirus Avira
Il problema è che non si riesce ad entrare in modalità provvisoria: cliccando F8 non succede nulla, ormai il pc si avvia e basta. Mi chiede la pass per entrare e subito dopo compare la schermata fasulla: a questo punto il pc semplicemente si blocca su questa pagina.
Insomma, il giorno prima funzionava regolarmente, il giorno dopo è successo tutto questo.
Ovviamente adesso sto scrivendo dal pc fisso, ma vorrei tentare di salvare l'altro.
Grazie! Paola |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 28 Ago 2013 16:57 Oggetto: |
|
|
Ciao.
Possiedi una pennetta formattata?
Se sì, scarica nella pennetta questo file:
link (per S.O a 64 bit)
link (per S.O a 32 bit)
Inserisci la Pendrive nel Pc infetto.
Avvia il pc in Modalità provvisoria. (f8)
Clicca su Ripristina il computer tra le opzioni disponibili (in alto)
Seleziona la lingua
Seleziona il tuo account
Saranno ora disponibili le seguenti opzioni
Citazione: | Ripristino all'avvio / Startup Repair
Ripristino configurazione di sistema / System Restore
Ripristino immagine di sistema / Windows Complete Pc Restore
Strumento di diagnostica memoria Windows / Windows Memory Diagnostic Tool
Prompt Dei Comandi / Command Prompt |
Seleziona Prompt Dei Comandi e premi Invio.
Nel Prompt dei Comandi scrivi notepad e premi Invio.
Si aprirà un file di testo
Nel menu in alto clicca file e seleziona Apri.
Cerca la lettera a cui è riferita la pennetta usb.
Questa operazione serve per verificare con certezza quale lettera è assegnata alla pennetta.
Una volta identificata la lettera della pennetta:
Nel Prompt dei comandi digita E:\frst.exe (per i sistemi operativi a 64 Bit E:\frst64.exe) dove E è la lettera che è stata assegnata alla tua Pendrive, per cui nel comando sostituisci E con la lettera a cui si riferisce la pennetta usb.
Clicca Invio
Il tool si avvierà.
Clicca Yes per accettare le condizioni di contratto.
Premi su SCAN.
A scansione finita, verrà prodotto un log sulla pendrive stessa, chiamato FRST.TXT
Postalo qui.
Per postare il log:
Collegati ad internet e vai alla pagina WikiSend:
link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Seguiranno istruzioni. |
|
Top |
|
|
paola68 Semidio
Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma
|
Inviato: 28 Ago 2013 21:59 Oggetto: |
|
|
Grazie per la tua risposta, ci proverò domani quando torno dal lavoro.
Il problema è che finora il pc non risponde al comando F8 e si avvia come se niente fosse.
Ti farò sapere! |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 29 Ago 2013 16:33 Oggetto: |
|
|
Ciao.
Citazione: | Il problema è che finora il pc non risponde al comando F8 e si avvia come se niente fosse. |
Piano.......forse ho letto male il tuo post.
Se il pc si avvia, e puoi scaricare programmi, puoi agire in modo diverso:
Segui le istruzioni di questo topic per usare Combofix: ( ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log.
Poi:
Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta i 2 log con Wikisend.
Se invece il pc si avvia, ma si presenta la schermata del virus che ti blocca tutto, allora esegui le indicazioni che ho postato sopra. |
|
Top |
|
|
paola68 Semidio
Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma
|
Inviato: 30 Ago 2013 12:01 Oggetto: |
|
|
Scusa il ritardo!
Riprendendo le fila (perché nel post precedente non mi sono spiegata bene): quando avviavo il pc, nonostante premessi f8, Windows non si bloccava. Compariva la schermata in cui si inserisce la password per entrare nel computer, cliccavo invio e compariva immediatamente la pagina incriminata. A quel punto si bloccava tutto.
Mio marito (il pc è suo...) dopo vari tentativi e chiusure forzate, all'ennesimo avvio ha premuto ctrl alt canc ed è apparsa la schermata per la gestione delle attività.
Ha premuto "riavvio del sistema" e per pochissimo è apparsa la finestra di avvio di Windows media player che ha chiuso con l'apposita crocetta in alto.
E' apparsa la finestra che segnala se si vuole forzare l'arresto a causa di un programma ancora in esecuzione e ha cliccato "Annulla"
A questo punto è riapparso il desktop che non vedevamo da tre giorni e ha fatto partire l'antivirus per buona misura. Cmq Avira non ha rilevato nulla.
Così siamo riusciti a scaricare Combo e Otl, i cui log allego qui sotto.
Un'ultima precisazione: preso dal sacro furore dell'informatica, mio marito aveva anche scaricato Kaspersky perché stufo di Avira. Ci sono due log di Combo, perché nel primo risultano attivi entrambi gli antivirus (ero sicura che almeno Avira fosse bloccato), nel secondo non li troverai.
Combouno.txt
Combodue.txt
Extras.Txt
OTL.Txt
Rispondi con tutta calma, sto andando al lavoro e tornerò tardi.
Grazie! |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 30 Ago 2013 16:53 Oggetto: |
|
|
Ciao.
Citazione: | A questo punto è riapparso il desktop che non vedevamo da tre giorni |
Perchè il virus si annidava, e partiva all'avvio del pc.
E c'è ancora in parte.
Avvia OTL.
Sotto "Custom Scans\Fixes" copia-incolla questo codice:
Codice: | :OTL
O4 - Startup: C:\Users\ligeia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gmrhshwdhsjtwrrbjxb.lnk = C:\Windows\System32\rundll32.exe (Microsoft Corporation)
[2013/08/27 22:38:18 | 000,001,115 | ---- | M] () -- C:\Users\ligeia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gmrhshwdhsjtwrrbjxb.lnk
:Files
ipconfig /flushdns /c
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"
:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot] |
Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.
Rifai la scansione con OTL per vedere se tutto è a posto.
Posta il log. |
|
Top |
|
|
paola68 Semidio
Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma
|
Inviato: 31 Ago 2013 11:39 Oggetto: |
|
|
Ho avviato runfix, una volta terminato mi ha chiesto di far ripartire il pc. Quando si è riaperto il desktop, è apparso il blocconote con il testo che riporto qui sotto ed è comparsa anche una finestrella con scritto "Errore durante l'avvio di C:\users\ligeia\Appdata..... impossibile trovare il modulo specificato"
Ho cliccato Ok e ho salvato il testo generato da Otl che è questo:
Otlrerrore.txt
Cmq, ho fatto di nuovo una scansione con Otl:
OTL.txt.Txt
Extras.Txt |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 31 Ago 2013 12:45 Oggetto: |
|
|
Ciao.
Sei in grado di seguire questo percorso ed eliminare il file in rosso?
C:\Users\ligeia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gmrhshwdhsjtwrrbjxb.lnk
Svuota il cestino.
Poi fai una pulizia del registro con CCleaner. |
|
Top |
|
|
paola68 Semidio
Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma
|
Inviato: 02 Set 2013 12:07 Oggetto: |
|
|
Ho fatto la ricerca del file che hai evidenziato e l'ho trovato solo nel report di Otl (salvato sul desktop), altrove non ce n'è traccia.
Ho eseguito CCleaner per la pulizia del registro e spero proprio che il virus sia stato debellato.
Grazie per il supporto! |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 03 Set 2013 16:48 Oggetto: |
|
|
Ciao.
Vorrei eliminare quel file, se non sei già scappata: (gmrhshwdhsjtwrrbjxb.lnk)
Scarica RougeKiller sul desktop.
link
Chiudi tutti i programmi in esecuzione.
Avvia RogueKiller.exe.
Il tool farà una pre-scansione in automatico.
Finita la pre-scansione,si apre una finestra: clicca su " Accept".
Adesso clicca su "Scan".
Finita la scansione, troverai il log sul desktop.
Postalo qui con Wikisend. |
|
Top |
|
|
paola68 Semidio
Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma
|
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 05 Set 2013 17:02 Oggetto: |
|
|
Ciao.
Riesegui RougeKiller
Finita la scansione, LASCIA la spunta a queste voci:
[RUN][BLPATH] HKLM\[...]\Run : tuto4pc_it_24 ("C:\Program Files\tuto4pc_it_24\tuto4pc_it_24.exe" [7]) -> Trovato
[RUN][SUSP PATH] HKCU\[...]\RunOnce : Del593973 (cmd.exe /Q /D /c del "C:\Users\ligeia\AppData\Local\Temp\0.del" [x][x]) -> Trovato
[RUN][SUSP PATH] HKLM\[...]\RunOnce : Del594582 (cmd.exe /Q /D /c del "C:\Users\ligeia\AppData\Local\Temp\0.del" [x][x]) -> Trovato
[RUN][BLPATH] HKLM\[...]\RunOnce : upt4pc_it_24.exe (C:\Users\ligeia\AppData\Local\tuto4pc_it_24\upt4pc_it_24.exe -runonce [7]) -> Trovato
[RUN][SUSP PATH] HKUS\S-1-5-21-2637911962-1790943642-1463100496-1000\[...]\RunOnce : Del593973 (cmd.exe /Q /D /c del "C:\Users\ligeia\AppData\Local\Temp\0.del" [x][x]) -> Trovato
[V1][SUSP PATH] DSite.job : C:\Users\ligeia\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE - /Check [-] -> Trovato
[V2][SUSP PATH] DSite : C:\Users\ligeia\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE - /Check [-] -> Trovato
[V2][SUSP PATH] EPUpdater : C:\Users\ligeia\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe [7] -> Trovato
[ligeia][SUSP PATH] gmrhshwdhsjtwrrbjxb.lnk : C:\Users\ligeia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gmrhshwdhsjtwrrbjxb.lnk @C:\Windows\System32\rundll32.exe C:\Users\ligeia\AppData\Local\Temp\bxjbrrwtjshdwhshrmg.bfg,OKL00 [-][-][x] -> Trovato
E TOGLI la spunta a TUTTE le altre.
Clicca su "Delete".
Finita l'eliminazione clicca su "Report".
Postalo qui.
Fai attenzione all'ultima voce: (quella in rosso)
Quella deve essere eliminata per forza.
Rifai la scansione con RougeKiller
Posta il log. |
|
Top |
|
|
paola68 Semidio
Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma
|
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 06 Set 2013 19:34 Oggetto: |
|
|
Ciao.
Sembra tutto a posto, ma io sono come San Tommaso.....
Vorrei verificare con una nuova scansione con OTL.
Posta il log.
Come funziona il pc?
Riscontri qualche problema? |
|
Top |
|
|
paola68 Semidio
Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma
|
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 07 Set 2013 22:12 Oggetto: |
|
|
Ciao.
Il virus è stato eliminato, in compenso hai imbarcato qualche Adware....
Avvia OTL.
Sotto "Custom Scans\Fixes" copia-incolla questo codice:
Codice: | :OTL
IE - HKU\S-1-5-21-2637911962-1790943642-1463100496-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=FC199A004E76E89C&affID=119357&tsp=4996
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (delta Helper Object) - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.24.6\bh\delta.dll (Delta-search.com)
O3 - HKLM\..\Toolbar: (Delta Toolbar) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.24.6\deltaTlbr.dll (Delta-search.com)
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O3 - HKU\S-1-5-21-2637911962-1790943642-1463100496-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} http://it.king.com/ctl/kingcomie.cab (king.com)
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} http://game.zylom.com/activex/zylomgamesplayer.cab (Zylom Games Player)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
[2013/09/05 11:17:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TUTO4PC
[2013/09/05 11:17:38 | 000,000,000 | ---D | C] -- C:\Users\ligeia\AppData\Local\tuto4pc_it_24
[2013/09/05 11:17:37 | 000,000,000 | ---D | C] -- C:\Program Files\tuto4pc_it_24
[2013/09/05 11:17:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon
[2013/09/05 11:17:26 | 000,000,000 | ---D | C] -- C:\Users\ligeia\AppData\Roaming\DSite
[2013/09/05 11:17:26 | 000,000,000 | ---D | C] -- C:\Users\ligeia\AppData\Roaming\Babylon
[2013/08/14 23:54:14 | 000,000,000 | ---D | M] -- C:\Users\ligeia\AppData\Roaming\Systweak
:Files
C:\Program Files\Delta
C:\Users\ligeia\AppData\Roaming\BabSolution
C:\Program Files\WebConnect
C:\Users\ligeia\AppData\Local\eorezo
ipconfig /flushdns /c
:commands
[purity]
[emptytemp]
[Emptyjava]
[EMPTYFLASH]
[start explorer]
[Reboot] |
Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.
Poi:
Scarica Adwcleaner sul desktop:
link
Chiudi tutti i browser, (è importante IE,Firefox Chrome ecc...)
Clicca sul pulsante "Scan".
Finita la scansione clicca su "Clean"
Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Postalo qui. |
|
Top |
|
|
paola68 Semidio
Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma
|
Inviato: 13 Set 2013 10:39 Oggetto: |
|
|
Ho tentato più volte il copia-incolla del codice che hai scritto, peccato che su Otl veniva copiato su di un'unica riga! Così ho dato invio ad ogni riga seguendo lo specchietto del tuo messaggio. Magari ho fatto una fatica inutile, ma questo è il risultato:
reportOtl.txt
Poi ho eseguito Adwcleaner:
.txt]AdwCleaner[R0].txt
.txt]AdwCleaner[S0].txt |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 13 Set 2013 17:52 Oggetto: |
|
|
Ok.
Quello che volevo eliminare è stato eliminato.
Se il pc funziona bene, abbiamo concluso. |
|
Top |
|
|
paola68 Semidio
Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma
|
Inviato: 14 Set 2013 20:00 Oggetto: |
|
|
Il pc funziona bene.
Grazie ancora per l'aiuto! |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 14 Set 2013 20:30 Oggetto: |
|
|
Prego.
Ciao! |
|
Top |
|
|
|