Olimpo Informatico

[sarci111]

Anche il computer di mia figlia ha preso il simpatico virus.
Parte solo con il prompt dei comandi (altri tipi di modalità provvisoria attivano sempre il virus).
Mi potete aiutare?
Grazie in anticipo

[R16]

Ciao e benvenuto.
Che Sistema Operativo è in uso sul pc infetto?
Se hai XP:
Procurati una pennetta formattata.
Scarica nella pennetta questo file:
link

Inserisci la Pendrive nel Pc infetto.
Avvia il pc in Modalità provvisoria. (f8)
Scegli Modalità provvisoria"Prompt dei Comandi".
Seleziona il tuo account
Nel Prompt Dei Comandi digita notepad e clicca Invio.
Si aprirà un file di testo
Nel menu in alto clicca file e seleziona Apri.
Cerca la lettera a cui è riferita la pennetta usb.
Questa operazione serve per verificare con certezza quale lettera è assegnata alla pennetta.

Una volta identificata la lettera della pennetta:

Nel Prompt dei comandi digita E:\frst.exe dove E è la lettera che è stata assegnata alla tua Pendrive, per cui nel comando sostituisci E con la lettera a cui si riferisce la pennetta usb.
Clicca Invio

Il tool si avvierà.
Clicca Yes per accettare le condizioni di contratto.
Premi su SCAN.
A scansione finita, verrà prodotto un log sulla pendrive stessa, chiamato FRST.TXT
Postalo qui.

Per postare il log:
Collegati ad internet e vai alla pagina WikiSend:
link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[sarci111]

Ciao e grazie per il benvenuto.

Il sistema è Windows XP.

[sarci111]

R16, sei un grande.

Sono riuscito a fare tutto quello che mi hai detto (wow - non sono proprio un genio del computer).

ecco il log
FRST.txt

Ciao

[R16]

Ciao.
Copia il file allegato nella pendrive.
link
Avvia nuovamente FRST,ma questa volta clicca sul pulsante fix .
Il tool creerà un log sulla flashdrive (Fixlog.txt) .
Postalo qui.

Probabilmente al riavvio del pc, troverai il desktop senza icone.
Apri il Task Manager
Clicca in alto su "File".
Clicca su "Nuova Operazione"
Digita: explorer.exe e poi clicca OK.

Le icone dovrebbero essere ricomparse.

Importante:
Segui le istruzioni di questo topic per usare Combofix: (ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log.

N.B:
Scarica Combofix in una pennetta, e poi lo trasferisci nel pc infetto.
La scansione puoi farla anche in Modalità provvisoria.

[sarci111]

Ciao R16,
ho fatto il fix e posto qui sotto il log

Fixlog.txt

Confesso di non aver capito bene la parte di Combofix

Devo scaricarlo dal web, copiarlo sul desktop e eseguirlo?
Grazie
Ciao

[R16]

Scaricalo da qui:
link
L'importante è che tu riesca a fare la scansione sul pc infetto.

P.S:
Lo script non ha funzionato.

Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome fixlist.txt

[sarci111]

Ho riavviato il computer in modalità provvisoria, ma mi ricompare la schermata del virus

Lo posso riavviare solo con il prompt dei comandi (come prima).

Cosa faccio, copio il file di combofix nella directory 'desktop' (so come trovarla e come copiare il file dalla chiavetta tramite il prompt) e faccio la scansione da li?

Grazie
Ciao

[R16]

[sarci111]

Una volta fatto quello che mi dici, devo fare qualcosa con FRST.exe?

[sarci111]

scusa, non avevo visto l'ultimo pezzo del messaggio.
Faccio fix...

[R16]

Ricorda che per premere FIX, devi inserire il file di testo nella pennetta PRIMA.
Quando la scansione è finita trasporta Combofix sul desktop del pc infetto e fai la scansione.

Non importa come farai la scansione, purchè venga fatta.
E ricorda di postare il log.

[sarci111]

Ciao R16.
Ho fatto il FIX, copiato combofix nella cartella 'desktop' tramite il prompt e fatto partire la scansione.
Qui è sorto il problema.

mi è comparso il messaggio che riporto integralmente qui sotto:

Attenzione!!
Combofix ha rilevato che il seguente scanner(s) in real t ime è attivo:
antivirus: avast! Antivirus

E' risaputo che gli antivirus e i software Hips interferiscono con
CombFix's se è in esecuzione. Questo potrebbe portare risultati imprevedibili o a macchine danni. Per favore disabilitate gli scanner e cliccate su 'OK'.

Non ho toccato più niente. Non ho potuto (saputo come) disabilitare avast dal prompt.
Cosa devo fare?
Ciao e grazie

[R16]

No no....
Fregatene altamente di tutti i messaggi che verranno mostrati, e prosegui con la scansione.

[sarci111]

Scusa se ti perseguito.
Vuole creare la 'Console di ripristino di emergenza'.
Mi pare che serva il collegamento a internet (che in modalità 'prompt' io credo che non ci sia). Rispondo'NO', giusto?

[R16]

[sarci111]

R16,

non vorrei cantare vittoria troppo presto, ma Combofix ha completato il suo lavoro, riavviato il computer, e tutto sembra funzionare

Ti posto il log di combofix

ComboFix.txt

e quello che aveva fatto FRST

Fixlog.txt


Sei un grande
Ciao

[R16]

Segui questo percorso, ed elimina la cartella in rosso:
c:\documents and settings\All Users\Dati applicazioni\fdvultwzfhrowan

Poi per verificare che tutto sia a posto:
Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta i 2 log.

[sarci111]

Eccoli

OTL.Txt

Extras.Txt

[R16]

Apri OTL e clicca su Cleanup.
Si disistallerà correttamente sia Combofix che lo stesso OTL
Se richiede il riavvio, acconsenti.

Vai in "Installazione Applicazioni (da Pannello di controllo) e rimuovi TUTTE le versioni Java che trovi.
Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670
Riavvia il pc.
Scarica l'ultima versione di Java:
link

Sempre da Installazione Applicazioni disistalla queste Toolbar:
Toolbar: (Fast Browser Search Toolbar
Toolbar: (IMinent Toolbar)
Toolbar: (Babylon Toolbar)
Toolbar: (Wincore Mediabar)

Hai l'antivirus (Avast) obsoleto.
Ti cosiglio di disistallarlo e installare l'ultima versione free:
link

Poi:
Disattiva il ripristino configurazione di sistema:
http://forum.zeusnews.com/viewtopic.php?t=22084

Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch

Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)

Svuota il cestino.

Fai uno ScanDisk e una deframmentazione.

Riattiva il ripristino configurazione di sistema.

Se non riscontri problemi abbiamo concluso.