| Precedente :: Successivo |
| Autore |
Messaggio |
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
 Inviato: 30 Apr 2011 21:18 Oggetto: Infezione MS Removal Tool |
 |
|
Ciao a tutti, il mio portatile è infettato da un fastidiosissimo finto antivirus che si chiama MS Removal Tool. Sul forum a quanto pare sono il primo ad avere questo problema... ho fatto una scansione con Malwarebytes Anti-Malware in modalità provvisoria, sono stati trovati 7 file infetti e li ho eliminati, questo qui è il log:
mbam-log-2011-04-30 (19-21-52).txt
purtroppo però il problema persiste, cosa posso fare? spero che qualcuno mi aiuti  |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 30 Apr 2011 21:24 Oggetto: |
|
|
Edit
L'ultima modifica di R16 il 30 Apr 2011 21:32, modificato 1 volta |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 30 Apr 2011 21:25 Oggetto: |
|
|
Ciao RAIN84, 
Ri-esegui la procedura in questo ordine:
- Disabilita il tuo antivirus
- Scarica rkill da uno dei links seguenti (è lo stesso programma con nomi diversi):
rkill.com
rkill.exe
rkill.scr
eXplorer.exe
iExplore.exe
WiNlOgOn.exe
uSeRiNiT.exe
(se non dovesse funzionare il primo, procedi con i successivi)
- salvalo sul desktop e avvialo
se non dovesse funzionare al primo colpo, ritenta nuovamente (magari scaricando uno dei files rinominati).
- dovrebbe comparire una finestra DOS:
| Citazione: | Rkill by Lawrence Abrams (Grinler)
BleepingComputer.com
Terminating known malware process.
Please be patient. |
al termine, la finestra verrà chiusa e comparirà una finestra con un log contenente un elenco dei processi terminati dal rkill.
Segui le istruzioni di questo topic per usare MBAM. Carica il log su WikiSend e posta il Forum Link che ti viene assegnato. |
|
| Top |
|
|
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
| Inviato: 30 Apr 2011 21:42 Oggetto: |
|
|
| Grazie per la risposta velocissima bdoriano, avevo dimenticato però di dire che non riesco più ad avviare nessun programma... e di conseguenza neanche questo! infatti MBAM l'ho usato in modalità provvisoria... che mi consigli? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 30 Apr 2011 21:53 Oggetto: |
|
|
| In attesa di bdoriano, puoi provare a eseguire le sue indicazioni in Modalità provvisoria con rete |
|
| Top |
|
|
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
| Inviato: 30 Apr 2011 23:00 Oggetto: |
|
|
Benone, grazie anche a te R16! ecco i due log...
rkill.log
mbam-log-2011-04-30 (19-21-52).txt
pare siano state tolte alcune cose, al riavvio ho dovuto fare un controllo di coerenza e per il momento il problema c'è ancora... |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 30 Apr 2011 23:13 Oggetto: |
|
|
Segui queste indicazioni:
Apri Internet Explorer.
Clicca su: Strumenti"
Opzioni Internet.
Connessioni.
Impostazioni LAN.
Sotto: "Server proxy" Togli la spunta a:
"utilizza un server proxy per le connessioni lan".
Clicca OK.
In questo modo,Internet Explorer dovrebbe funzionare.
Ripristiniamo il file Hosts:
Scarica questo tool ed eseguilo seguendo le indicazioni a video:
link
Riavvia il pc.
Rifai la scansione completa con Malwarebytes, in Modalità normale.
Posta il log. |
|
| Top |
|
|
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
| Inviato: 30 Apr 2011 23:41 Oggetto: |
|
|
IE funziona, è l'unica che funziona! infatti quella voce sul server proxy non ha la spunta.
Ho provato ad eseguire il tool, sempre in modalità provvisoria, ma mi dice che non è possibile effettuare l'istallazione a causa dei criteri impostati dall'amministratore del sistema. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 30 Apr 2011 23:47 Oggetto: |
|
|
Ma scusa, non riesci a operare in Modalità normale?
Puoi fare scansioni in Modalità normale?
Se sì esegui queste indicazioni: (in Modalità normale)
Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su "Continue".
Se è richiesto il riavvio, acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.
L'ultima modifica di R16 il 30 Apr 2011 23:53, modificato 1 volta |
|
| Top |
|
|
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
| Inviato: 30 Apr 2011 23:52 Oggetto: |
|
|
| No come avevo detto all'inizio in modalità normale non riesco ad eseguire nessun programma |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 30 Apr 2011 23:58 Oggetto: |
|
|
| Allora prova a fare quella scansione in Modalità provvisoria. |
|
| Top |
|
|
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 01 Mag 2011 09:28 Oggetto: |
|
|
- Scarica questo programma (OTL) e salvalo sul desktop
- Doppio click sull'icona di OTL per avviarlo
- Metti il segno di spunta su Scan All Users
- Clicca il bottone Quick Scan
- Aspetta pazientemente fino al termine dei lavori
- Verranno creati 2 logs:
- OTListIt.txt (ridotto a icona)
- Extra.txt (ridotto a icona)
- Carica entrambi i logs su wikisend e posta i forum links che ti verranno assegnati
|
|
| Top |
|
|
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
| Inviato: 01 Mag 2011 10:19 Oggetto: |
|
|
Ecco fatto...
OTL.Txt
Extras.Txt
naturalmente sempre in modalità provvisoria altrimenti non c'era verso. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 01 Mag 2011 10:37 Oggetto: |
|
|
Si, tranquillo, dò per scontato che lavoriamo esclusivamente in modalità provvisoria. 
Avvia nuovamente OTL
Nel riquadro Custom Scans/Fixes incolla le righe seguenti:
| Codice: | :processes
killallprocesses
:OTL
O4 - HKU\S-1-5-21-1031386744-1586248937-479263028-1005..\RunOnce: [dA31000AaBbO31000] C:\Documents and Settings\All Users\Dati applicazioni\dA31000AaBbO31000\dA31000AaBbO31000.exe (Корпорация Майкрософт)
O4 - HKLM..\Run: [Zshutdown] File not found
:Files
C:\Documents and Settings\All Users\Dati applicazioni\dA31000AaBbO31000 /D
:Commands
[REBOOT] |
Clicca il bottone Run Fix e attendi pazientemente la fine dei lavori.
Il pc dovrebbe riavviarsi automaticamente.
Posta un log aggiornato di OTL. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 01 Mag 2011 11:19 Oggetto: |
|
|
Dimenticanza... 
Utilizza questo script al posto di quello precedente... 
Avvia nuovamente OTL
Nel riquadro Custom Scans/Fixes incolla le righe seguenti:
| Codice: | :processes
killallprocesses
:OTL
O4 - HKU\S-1-5-21-1031386744-1586248937-479263028-1005..\RunOnce: [dA31000AaBbO31000] C:\Documents and Settings\All Users\Dati applicazioni\dA31000AaBbO31000\dA31000AaBbO31000.exe (Корпорация Майкрософт)
O4 - HKLM..\Run: [Zshutdown] File not found
:Files
C:\Documents and Settings\All Users\Dati applicazioni\dA31000AaBbO31000 /D
C:\Windows\System32\Drivers\etc\HOSTS /D
:Commands
[REBOOT] |
Clicca il bottone Run Fix e attendi pazientemente la fine dei lavori.
Il pc dovrebbe riavviarsi automaticamente.
Posta un log aggiornato di OTL. |
|
| Top |
|
|
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
| Inviato: 01 Mag 2011 11:30 Oggetto: |
|
|
Oops, avevo già fatto tutto col primo script... e la situazione è notevolemte migliorata, i programmi si aprono tutti correttamente e non ci sono più gli avvisi di MS Removal Tool.
Ora che faccio col secondo script che mi hai dato? posso usarlo come mi hai detto senza problemi? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 01 Mag 2011 11:46 Oggetto: |
|
|
No, procediamo in maniera diversa.
Praticamente, il virus ha modificato il file hosts di Windows che va ripristinato per evitare nuove infezioni.
Scarica questo file sul desktop e avvialo.
Dopodiché, scarica quest'altro file (tasto destro, salva con nome) e salvalo nella directory C:\Windows\System32\Drivers\etc\.
Al termine, fai questa scansione con Norman Malware Scanner. |
|
| Top |
|
|
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
| Inviato: 01 Mag 2011 11:51 Oggetto: |
|
|
Mmmmmh il primo file quando lo avvio si chiude immediatamente... è normale?  provo in modalità provvisoria? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 01 Mag 2011 11:58 Oggetto: |
 |
|
Tranquillo, è corretto.
Scusami, mi sono dimenticato di specificarlo.
Puoi procedere con il resto. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
