Olimpo Informatico

[capitanib]

Salve.
Ho il pc infetto e non riesco a rimuovere il virus.
Ieri pomeriggio mi sono apparsi dei file, che si duplicano in cartelle e sottocartelle, compresa l'Esecuzione Automatica. I file sono i seguenti:
HELP_DECRYPT (collegamento)
HELP_DECRYPT.HTML
HELP_DECRYPT.PNG
HELP_DECRYPT.TXT
Nelle cartelle dove sono comparsi i suddetti file mi si sono corrotti i file con estensione avi, jpg, mp4.
In più, explorer è rallentato e, se apro il gestore attività, mi compaiono molti processi iexplorer.exe, anche che non ho nessuna finestra explorer aperta.
Sul pc ho due utenti diversi definiti (uno standard e uno amministratore) ma il problema si presenta in uno solo dei due, quello standard.
Ho rimosso manualmente i file indesiderati, cancellato i file corrotti, fatto girare l'antivirus e fatta la scansione con MBAM, ma al successivo riavvio dopo la pulizia i file sono ricomparsi (ben due volte). Non so come pulire il mio pc.
Il sistema operativo è windows 7, l'antivirus è kaspersky endpoint security 10 for windows.
Grazie

[R16]

Ciao.

[capitanib]

Ecco i due log:

FRST.txt

Addition.txt

Grazie

[R16]

Ciao.
Il pc è messo molto male.
Inoltre risulta che la scansione di FRST, non è stata eseguita come Amministratore.

Prova eseguirla così:
Clicca con il tasto destro sopra l'icona di FRST e scegli "Esegui come Amministatore"
Poi fai la scansione.
Posta il log.

[capitanib]

In questa seconda scansione mi è uscito aggiornato uno solo dei log.

FRST.txt

Ritieni che l'infezione non si riesca a togliere?
Per i file criptati non è un grosso problema, dato che ho un backup recente e quello che non avevo salvato posso recuperarlo. Spererei tuttavia di riuscire a pulire il pc.

Grazie

[R16]

[capitanib]

Ecco il log della fix:

Fixlog.txt

Non sono riuscita ad avviare combofix con quest'utente e non sono riuscita a disabilitare l'antivirus.
Avrei pensato di loggarmi con l'altro utente che ho con privilegi di amministratore (che uso solo per lavoro e non per la mia attività personale).
Con l'altro utente riesco ad attivare combofix, ma non a disattivare l'antivirus (l'utente non ha i pieni poteri).

Salvo combofix nell'altro desktop e procedo come mi hai detto?

Grazie

[R16]

Il pc è stato riavviato dopo le eliminazioni?

Prova a eseguire Combofix in Modalità provvisoria. (nel account infetto)

Se non funziona fai una scansione con OTL in modalità normale.

http://forum.zeusnews.com/viewtopic.php?t=51382

[capitanib]

Non sono riuscita ad eseguire combofix nell'account infetto, neppure in modalità provvisoria.
Ho eseguito otl. Ecco i logs:
Extras.Txt
OTL.Txt

Dopo le eliminazioni della fix precedente il riavvio è stato fatto ed ho ravvisato già dei miglioramenti. Non mi sono riapparsi i files che si propagavano nelle varie sottocartelle, cosa che avveniva nei riavvii precedenti, non mi proliferano più i processo iexplorer.exe e riesco a rivedere il menù a tendina di "arresta il sistema", che dopo l'infezione vedevo solo come un riquadro trasparente.

Grazie.

[R16]

Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

[capitanib]

Ho fatto la scansione con la fix, ma non è uscito nessun log.
Al riavvio ho notato i che file nascosti sono diventati visibili.

Prima di chiedere aiuto qui, avevo buttato tutti i file che avevo individuato come criptati, perché temevo che fossero a loro volta infetti. Non so quindi quali mi erano rimasti illeggibili che ora si sono ripristinati. Forse sono stata un po' precipitosa....

Il pc ora è disinfettato?

Grazie.

[R16]

[capitanib]

I file nascosti visibili, non mi danno noia, tutt'altro.

Ho fatto la pulizia con otl clean up e con cccleaner.
Il ripristino da System Restore non mi ha fatto fare nulla, mi veniva la finestra bianca.

Grazie infinite per il prezioso aiuto.

[R16]

Ciao.

[diberoby]

salve..anch'io ho beccato questo virus..m ha criptato quasi tutti i file..ho seguito un pò le istruzioni ma poi mi son bloccato perchè mi chiede una password nel sito link..
il virus l ho rimosso..almeno credo..ma quell che mi interessa è recuperare i file..mi potete aiutare??grazie anticipatamente.

[diberoby]

con OTL:

Extras.Txt

OTL.Txt

con farbar:

Addition.txt

FRST.txt

[R16]

Ciao diberoby.

[diberoby]

il comando : %AppData%\WinCL\winclwp.jpg
non esce..il virus potrei averlo tolto..con tanti antimalware che c ho installato e poi ho seguito delle istruzioni prese da qualche parte per rimuoverlo..ho messo mano anche nel registro di win.

[R16]

Ciao.
Aspetto il risultato delle eliminazioni di OTL che ho indicato. (il log che ha rilasciato)
Ripeto il consiglio di disinstallare i software che ho indicato.
Oltre a non servire, intasano il pc per nulla.

Se sei d'accordo, ti invito a spedirmi alcuni file criptati, in una cartella.
Se vuoi puoi spedirmeli in privato, tramite MP, oppure qui nel forum, per me va bene lo stesso.

[diberoby]

il risultato di OTL:
All processes killed
========== OTL ==========
Service smlqibvp stopped successfully!
Service smlqibvp deleted successfully!
File C:\Windows\system32\drivers\smlqibvp.sys File not found not found.
Service ojdmhkjd stopped successfully!
Service ojdmhkjd deleted successfully!
File C:\Windows\system32\drivers\ojdmhkjd.sys File not found not found.
Error: No service named az2ocx0j was found to stop!
Service\Driver key az2ocx0j not found.
File File not found not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls not found.
C:\Users\ROBERTO\AppData\Roaming\HELP_DECRYPT.HTML moved successfully.
C:\Users\ROBERTO\AppData\Roaming\HELP_DECRYPT.URL moved successfully.
C:\ProgramData\HELP_DECRYPT.PNG.ecc moved successfully.
C:\ProgramData\HELP_DECRYPT.HTML moved successfully.
C:\ProgramData\HELP_DECRYPT.URL moved successfully.
C:\Users\ROBERTO\AppData\Local\HELP_DECRYPT.HTML moved successfully.
C:\Users\ROBERTO\AppData\Local\HELP_DECRYPT.URL moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Configurazione IP di Windows
Cache del resolver DNS svuotata.
C:\Users\ROBERTO\Downloads\cmd.bat deleted successfully.
C:\Users\ROBERTO\Downloads\cmd.txt deleted successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\\""|""%1" %*" /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 88008017 bytes
->Temporary Internet Files folder emptied: 126121776 bytes
->Java cache emptied: 2768337 bytes
->FireFox cache emptied: 13803151 bytes
->Flash cache emptied: 927 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Guest

User: HomeGroupUser$

User: Public

User: ROBERTO
->Temp folder emptied: 441134 bytes
->Temporary Internet Files folder emptied: 354767716 bytes
->Java cache emptied: 55684009 bytes
->FireFox cache emptied: 16910870 bytes
->Google Chrome cache emptied: 209322930 bytes
->Flash cache emptied: 27775 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1461085 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 8566650 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 837,00 mb


[EMPTYJAVA]

User: Administrator
->Java cache emptied: 0 bytes

User: All Users

User: Default

User: Default User

User: Guest

User: HomeGroupUser$

User: Public

User: ROBERTO
->Java cache emptied: 0 bytes

Total Java Files Cleaned = 0,00 mb

File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
Error: Unble to create default HOSTS file!

[EMPTYFLASH]

User: Administrator
->Flash cache emptied: 0 bytes

User: All Users

User: Default

User: Default User

User: Guest

User: HomeGroupUser$

User: Public

User: ROBERTO
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 04252015_144602

Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\Low\SkypeClickToCall\Logs\AutoUpdateSvc.log scheduled to be moved on reboot.
File move failed. C:\Windows\temp\avg_secure_search.log scheduled to be moved on reboot.
File move failed. C:\Windows\temp\EasyRedirect.log scheduled to be moved on reboot.
File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

come hai chiesto ecco qualche file decriptato:

[url]ASSEGNAZ. TESI DOC. - 01 Regolamento ASSEGNAZIONE TESI Tivoli.doc.ecc

[/url]ASSEGNAZ. TESI DOC. - 02 Modulo RICHIESTA ARGOMENTO TESI DI LAUREA Tivoli.doc.ecc

[url]ASSEGNAZ. TESI DOC. - 04 RELAZ. STATO AVANZAMENTO TESI.pdf.ecc

[/url]Indici_di_affidabilita.pdf.ecc

eseguo l'eliminazione dei software che mi hai detto;)
grazie infinite dell'aiuto.