Olimpo Informatico

paola68 · Semidio Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma

Ciao a tutti! Mi servirebbero consigli per rimuovere il virus da un pc portatile.
Non lo usavo da tempo e mi sono connessa wi-fi

S.O. Windows 7
Antivirus Avira

Il problema è che non si riesce ad entrare in modalità provvisoria: cliccando F8 non succede nulla, ormai il pc si avvia e basta. Mi chiede la pass per entrare e subito dopo compare la schermata fasulla: a questo punto il pc semplicemente si blocca su questa pagina.
Insomma, il giorno prima funzionava regolarmente, il giorno dopo è successo tutto questo.

Ovviamente adesso sto scrivendo dal pc fisso, ma vorrei tentare di salvare l'altro.

Grazie! Paola

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Ciao.
Possiedi una pennetta formattata?
Se sì, scarica nella pennetta questo file:

link (per S.O a 64 bit)

link (per S.O a 32 bit)

Inserisci la Pendrive nel Pc infetto.
Avvia il pc in Modalità provvisoria. (f8)
Clicca su Ripristina il computer tra le opzioni disponibili (in alto)
Seleziona la lingua
Seleziona il tuo account
Saranno ora disponibili le seguenti opzioni

paola68 · Semidio Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma

Grazie per la tua risposta, ci proverò domani quando torno dal lavoro.
Il problema è che finora il pc non risponde al comando F8 e si avvia come se niente fosse.

Ti farò sapere! Ciao

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Ciao.

paola68 · Semidio Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma

Scusa il ritardo!

Riprendendo le fila (perché nel post precedente non mi sono spiegata bene): quando avviavo il pc, nonostante premessi f8, Windows non si bloccava. Compariva la schermata in cui si inserisce la password per entrare nel computer, cliccavo invio e compariva immediatamente la pagina incriminata. A quel punto si bloccava tutto.

Mio marito (il pc è suo...) dopo vari tentativi e chiusure forzate, all'ennesimo avvio ha premuto ctrl alt canc ed è apparsa la schermata per la gestione delle attività.

Ha premuto "riavvio del sistema" e per pochissimo è apparsa la finestra di avvio di Windows media player che ha chiuso con l'apposita crocetta in alto.

E' apparsa la finestra che segnala se si vuole forzare l'arresto a causa di un programma ancora in esecuzione e ha cliccato "Annulla"

A questo punto è riapparso il desktop che non vedevamo da tre giorni e ha fatto partire l'antivirus per buona misura. Cmq Avira non ha rilevato nulla.

Così siamo riusciti a scaricare Combo e Otl, i cui log allego qui sotto.
Un'ultima precisazione: preso dal sacro furore dell'informatica, mio marito aveva anche scaricato Kaspersky perché stufo di Avira. Ci sono due log di Combo, perché nel primo risultano attivi entrambi gli antivirus (ero sicura che almeno Avira fosse bloccato), nel secondo non li troverai.

Combouno.txt

Combodue.txt

Extras.Txt

OTL.Txt

Rispondi con tutta calma, sto andando al lavoro e tornerò tardi.
Grazie!

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Ciao.

paola68 · Semidio Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma

Ho avviato runfix, una volta terminato mi ha chiesto di far ripartire il pc. Quando si è riaperto il desktop, è apparso il blocconote con il testo che riporto qui sotto ed è comparsa anche una finestrella con scritto "Errore durante l'avvio di C:\users\ligeia\Appdata..... impossibile trovare il modulo specificato"
Ho cliccato Ok e ho salvato il testo generato da Otl che è questo:

Otlrerrore.txt

Cmq, ho fatto di nuovo una scansione con Otl:

OTL.txt.Txt

Extras.Txt

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Ciao.
Sei in grado di seguire questo percorso ed eliminare il file in rosso?
C:\Users\ligeia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gmrhshwdhsjtwrrbjxb.lnk
Svuota il cestino.

Poi fai una pulizia del registro con CCleaner.

paola68 · Semidio Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma

Ho fatto la ricerca del file che hai evidenziato e l'ho trovato solo nel report di Otl (salvato sul desktop), altrove non ce n'è traccia.
Ho eseguito CCleaner per la pulizia del registro e spero proprio che il virus sia stato debellato.

Grazie per il supporto! Grazie

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Ciao.
Vorrei eliminare quel file, se non sei già scappata: (gmrhshwdhsjtwrrbjxb.lnk)
Scarica RougeKiller sul desktop.
link
Chiudi tutti i programmi in esecuzione.
Avvia RogueKiller.exe.
Il tool farà una pre-scansione in automatico.
Finita la pre-scansione,si apre una finestra: clicca su " Accept".
Adesso clicca su "Scan".
Finita la scansione, troverai il log sul desktop.
Postalo qui con Wikisend.

paola68 · Semidio Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma

No, non sono scappata!
Ho fatto rogue ed ecco il report:

_S_09052013_115855.txt]RKreport[0]_S_09052013_115855.txt

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Ciao.
Riesegui RougeKiller
Finita la scansione, LASCIA la spunta a queste voci:

[RUN][BLPATH] HKLM\[...]\Run : tuto4pc_it_24 ("C:\Program Files\tuto4pc_it_24\tuto4pc_it_24.exe" [7]) -> Trovato
[RUN][SUSP PATH] HKCU\[...]\RunOnce : Del593973 (cmd.exe /Q /D /c del "C:\Users\ligeia\AppData\Local\Temp\0.del" [x][x]) -> Trovato
[RUN][SUSP PATH] HKLM\[...]\RunOnce : Del594582 (cmd.exe /Q /D /c del "C:\Users\ligeia\AppData\Local\Temp\0.del" [x][x]) -> Trovato
[RUN][BLPATH] HKLM\[...]\RunOnce : upt4pc_it_24.exe (C:\Users\ligeia\AppData\Local\tuto4pc_it_24\upt4pc_it_24.exe -runonce [7]) -> Trovato
[RUN][SUSP PATH] HKUS\S-1-5-21-2637911962-1790943642-1463100496-1000\[...]\RunOnce : Del593973 (cmd.exe /Q /D /c del "C:\Users\ligeia\AppData\Local\Temp\0.del" [x][x]) -> Trovato
[V1][SUSP PATH] DSite.job : C:\Users\ligeia\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE - /Check [-] -> Trovato
[V2][SUSP PATH] DSite : C:\Users\ligeia\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE - /Check [-] -> Trovato
[V2][SUSP PATH] EPUpdater : C:\Users\ligeia\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe [7] -> Trovato
[ligeia][SUSP PATH] gmrhshwdhsjtwrrbjxb.lnk : C:\Users\ligeia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gmrhshwdhsjtwrrbjxb.lnk @C:\Windows\System32\rundll32.exe C:\Users\ligeia\AppData\Local\Temp\bxjbrrwtjshdwhshrmg.bfg,OKL00 [-][-][x] -> Trovato

E TOGLI la spunta a TUTTE le altre.

Clicca su "Delete".
Finita l'eliminazione clicca su "Report".
Postalo qui.
Fai attenzione all'ultima voce: (quella in rosso)
Quella deve essere eliminata per forza.

Rifai la scansione con RougeKiller
Posta il log.

paola68 · Semidio Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma

Rifatto le scansioni e selezionato le voci.
Primo report:

.txt]RKreport[1].txt

secondo report:

RKreport2.txt

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Ciao.
Sembra tutto a posto, ma io sono come San Tommaso..... Very Happy

Vorrei verificare con una nuova scansione con OTL.
Posta il log.

Come funziona il pc?
Riscontri qualche problema?

paola68 · Semidio Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma

Ecco i report di Otl:

Extras.Txt

OTL.Txt

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Ciao.
Il virus è stato eliminato, in compenso hai imbarcato qualche Adware.... Cool

Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

paola68 · Semidio Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma

Ho tentato più volte il copia-incolla del codice che hai scritto, peccato che su Otl veniva copiato su di un'unica riga! Così ho dato invio ad ogni riga seguendo lo specchietto del tuo messaggio. Magari ho fatto una fatica inutile, ma questo è il risultato:

reportOtl.txt

Poi ho eseguito Adwcleaner:

.txt]AdwCleaner[R0].txt

.txt]AdwCleaner[S0].txt

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Ok.
Quello che volevo eliminare è stato eliminato.
Se il pc funziona bene, abbiamo concluso.

paola68 · Semidio Registrato: 16/08/06 11:16 Messaggi: 266 Residenza: Roma

Il pc funziona bene.
Grazie ancora per l'aiuto! Grazie

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Prego.
Ciao! Ciao