PC messo male - Falsi antivirus - File e cartelle diventati invisibili

apprendistaIT

Utente Attivo
Ciao a tutti :D,
ho per le mani una bella gatta da pelare :), un amico mi ha chiesto se fosse possibile rimettere a posto il suo portatile, il problema è che tutte le cartelle ed i file di sistema sono diventati invisibili, ho dovuto andare in impostazioni cartella e selezionare "visualizza file e cartelle nascosti" per poter vedere i suoi file, poi quando windows è appena avviato parte un falso antivirus e si aprono una marea di popup di falsi errori.

Qui ho fatto uno snap shot del desktop dove si vedono i falsi positivi: ImageShack® - Online Photo and Video Hosting

Qui il log di malwarebyte: Wikisend: free file sharing service (11-03-39).txt

Qui il log di hijackthis: Wikisend: free file sharing service

C'era avg installato che ho provveduto a togliere (anche se non sono sicuro che lo abbia fatto correttamente) e ho quindi intallato avira, ora sto facendo una scansione con questo e quando avrà finito posto il log.

Grazie mille per il vostro aiuto :D
 

Federico83

UTENTE LEGGENDARIO
Utente Èlite
35,158
6,162
Hardware Utente
CPU
Intel 3570k @4.200
Scheda Madre
AsRock Z77 Extreme4
Hard Disk
4.5TB + 7 di NAS lol
RAM
16 GB G.Skill 2133
Scheda Video
AMD R9 290 TRI-X
Monitor
IIyama 28" 4K
Alimentatore
Cooler Master GX 650
Case
Corsair 600T
Sistema Operativo
Windows10x64pro
un formattone e via?
 

FDAC

Utente Attivo
1,335
194
Hardware Utente
Iniziamo..

Disinstalla AVG (Obsoloto, non aggiornato, fra i piedi.. e chi più ne ha più ne metta!).

Per disinstallare AVG:
● cessane l'esecuzione dalla Traybar (vicino all'orologio)
● clicca su Start - Pannello di Controllo - Installazione Applicazioni e disinstalla AVG

Scarica AVG Remover:
Download AVG 2011 Removal Tool
● scegli la versione compatibile con il tuo Sistema Operativo
● posiziona il file sul Desktop
● doppio click sul tool per eseguirlo
● segui le istruzioni che verranno rilasciate dal programma per rimuovere correttamente l'antivirus in questione
riavvia il sistema

Disinstalla i seguenti programm/toolbar (dannosi e comunque portatrici di spyware, al limite se vuoi tieni la Google Toolbar proprio proprio..);
Google Toolbar
facemoods Toolbar
Conduit Engine
Vuze Remote Toolba
SweetIM Toolbar for Internet Explorer
AVG Security Toolbar
OfferBox

Elimina queste cartelle in grassetto;
C:\Program Files (x86)\facemoods.com
C:\Program Files (x86)\OfferBox

Infine;
Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
● posiziona il file scaricato sul Desktop
disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix con un doppio click
● segui le istruzioni che verranno rilasciate per eseguire la scansione
● in caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● potrebbero comparire alcuni file sul Desktop, e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:
● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato da te dopo l'utilizzo del software stesso.
Lo stesso vale per me; questo tool non è un giocattolo e non è destinato all'utilizzo quotidiano. Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto
ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, sarai costretto ad avviarla dalle Risorse del computer. Una precauzione in più, una possibile minaccia in meno
 

FDAC

Utente Attivo
1,335
194
Hardware Utente
Sostanzialmente, quando gli altri tool fanno cilecca ;)

Ora, dal log -ho dato una rapida occhiata- non emergono infezioni.

Esegui questa scansione, allega insieme un report aggiornato di Hijackthis, e comunica quali problemi riscontri.

Scarica Kaspersky TDSS Killer: http://support.kaspersky.com/downloads/utils/tdsskiller.exe
● posiziona il file scaricato sul Desktop
● doppio click su TDSSKiller.exe per avviare l'applicazione e successivamente sul pulsante Start Scan

Giunti a questo punto, inizia la scansione del sistema alla ricerca di software malevolo:
● se viene trovato un file infetto, l'azione di default sarà Cure, clicca quindi su Continua
● se viene trovato un file sospetto, l'azione di default sarà Skip, clicca quindi su Continua

Una volta terminata la scansione, si presenterà una di queste due opzioni:
non è necessario il riavvio del sistema: clicca su Report e salva il contenuto in un file di testo
● è necessario riavviare il sistema: clicca su Riavvia ora
● una volta riavviato il sistema, il report del programma da allegare si trova in C:\ in questa forma:
TDSSKiller.[Version]_[Date]_[Time]_log.txt
 

apprendistaIT

Utente Attivo
Ah, ok :D

Ecco il log di hijackthis: Wikisend: free file sharing service

Questo è un messaggio di errore che mi da hijackthis quando tenta di leggere il file host: Wikisend: free file sharing service

Qui c'è il file host incriminato: Wikisend: free file sharing service
non mi sembra però infetto


Qui c'è il report di TDSSKiller: Wikisend: free file sharing service TDSSKiller.txt


Attualmente riscontro due "problemi", il primo non mi smonta le chiavette (impossibile arrestare il dispositivo ecc) quando invece su altri pc non ci sono problemi, ho controllato con ubuntu se ci fosse qualche autorun ma non ce nulla di diverso dal contenuto solito.
Il secondo "problema" è che mi si apre sempre una finestra "gestione componenti aggiuntivi" e non trovo l'opzione per disabilitarla.

Grazie mille :D
 

FDAC

Utente Attivo
1,335
194
Hardware Utente
4. Disattiva il Ripristino Configurazione di Sistema

Procedura per Windows XP:
● clicca sul pulsante Start
● tasto destro del mouse sull'icona Risorse del computer
● seleziona, dal menù a tendina, la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● metti la spunta alla voce Disattiva Ripristino configurazione di sistema su tutte le unità
● conferma la modifica, con Applica e OK

Procedura per Windows Vista e Windows Seven:
● clicca sul pulsante Start
● tasto destro del mouse sull'icona Computer
● seleziona, dal menù a tendina, la voce Proprietà
● clicca, nel menù a sinistra, su Protezione sistema; compare un avviso relativo al Controllo Account Utente: clicca su Continua
● deseleziona la casella di controllo visualizzata accanto al Disco Locale C:
● clicca sul pulsante OK
● conferma la modifica apportata, cliccando sul pulsante Applica e OK

******************************

5. Svuota del suo contenuto la cartella Prefetch

Procedura per Windows XP:
● clicca sul pulsante Start
● clicca su Risorse del computer
● apri il Disco locale C:
● individua ed apri la cartella Windows
● individua ed apri la cartella Prefetch
elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella

Procedura per Windows Vista e Windows Seven:
● clicca sul pulsante Start
● clicca su Computer
● apri il Disco locale C:
● individua ed apri la cartella Windows
● individua ed apri la cartella Prefetch
elimina tutte le voci conservate al suo interno, tranne il file Layout.ini: fai attenzione però, a non eliminare la cartella

Nota - riguardo alla procedura:
● la cartella Prefetch contiene i file che il sistema operativo esegue; un'operazione di prefetch consiste nel rendere immediatamente disponibili, nella memoria cache, i file utilizzati più spesso e quelli necessari per il processo di avvio del personal computer.
Il riavvio successivo sarà un po' lento, ma quelli seguenti saranno senza dubbio più veloci

******************************

6. Svuota del suo contenuto la cartella Download

Procedura per Windows XP:
● clicca sul pulsante Start
● clicca su Risorse del computer
● apri il Disco locale C:
● individua ed apri la cartella Windows
● individua ed apri la cartella SoftwareDistribution
● individua ed apri la cartella Download
elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella

Procedura per Windows Vista e Windows Seven:
● clicca sul pulsante Start
● clicca su Computer
● apri il Disco locale C:
● individua ed apri la cartella Windows
● individua ed apri la cartella SoftwareDistribution
● individua ed apri la cartella Download
elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella

Nota - riguardo alla procedura:
● la cartella Download contiene i file di installazione degli aggiornamenti di Windows, che possono essere eliminati senza problemi per recuperare spazio su disco e risolvere fastidiosi problemi di aggiornamenti

8. Scarica ed installa CCleaner: CCleaner - Download
Nota - durante l'installazione: non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare): non installarne alcuno, quindi togli la spunta alla relativa voce

Una volta installato ed avviato, esegui queste operazioni:
● nel menù di sinistra, clicca su Opzioni
● nella finestra successiva, clicca su Impostazioni
● spunta la voce Tipo cancellazione: Sicura (lenta) e nel menù a tendina seleziona la voce DOD 5220.22-M (3 passaggi)
● clicca su Avanzate
● togli la spunta alla voce Cancella file in Windows Temp solo se più vecchi di 24 ore e alla voce Chiedi se salvare un backup dei problemi del registro
● clicca, nel menù a sinistra, su Pulizia: nella sezione Avanzate, metti la spunta alle voci Vecchi dati Prefetch, Disinstallatori Aggiornamenti di Windows e File Log IIS
● apri, in alto, il tab Applicazioni: spunta tutte le voci presenti
termina tutti i programmi attivi, comprese le pagine Internet
● clicca, in basso a sinistra, sul bottone Analizza, per cercare i file temporanei
● clicca, in basso a destra, sul bottone Avvia Pulizia, per avviare la pulizia dei file temporanei
● nella finestra che compare, metti la spunta alla voce Non mostrare più questo messaggio, e conferma cliccando sul pulsante OK
● terminata la pulizia, nel menù a sinistra, clicca sulla voce Registro
● clicca sul bottone Trova Problemi, per avviare la ricerca delle voci di registro corrotte e danneggiate
● clicca sul bottone Ripara selezionati... e prosegui con la riparazione: la pulizia del registro ripetila più volte, fino a quando non verranno più rilevati problemi da correggere
● una volta terminate le operazioni, chiudi il programma

******************************

9. Lancia Hijackthis e pulisci gli ADS (esclusivamente su partizioni formattate in NTFS):
● clicca sulla voce Open the Misc Tools section
● clicca su Open ADS Spy..., nel tab System tools
● in alto, togli la spunta alla voce Quick scan (Windows base folder only)
● clicca, in basso, sul pulsante Scan
● attendi pazientemente il termine della scansione
● se venissero rilevati molti ADS, clicca con il tasto destro sulla prima casellina, e scegli la voce Select all
● clicca, in basso, sul pulsante Remove selected: conferma con
● una volta terminate le operazioni, chiudi il programma

Nota - riguardo al programma:
● in caso avessi un sistema operativo a 64 Bit, tralascia la procedura. Fai click qui per scoprire se il tuo sistema operativo è a 32 o 64 Bit: Come determinare se nel computer è in esecuzione una versione a 32 bit o a 64 bit del sistema operativo Windows

******************************

10. Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe
● posiziona il tool sul Desktop
● chiudi tutti i programmi attivi
● avvia il tool con un doppio click
● clicca sul pulsante CleanUp!
● il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte

Note - riguardo al programma:
OTC by OldTimer va eseguito solamente nel caso tu abbia utilizzato in precedenza particolari programmi che richiedono una particolare procedura di disinstallazione, come ComboFix, FindAWF, GMER, RSIT
● per eseguire correttamente OTC by OldTimer su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore: conferma la richiesta proposta

******************************

11. Riabilita il Ripristino Configurazione di Sistema, seguendo la procedura inversa al punto 4

******************************

12. Scarica ed installa Defraggler: Defraggler - Download

Nota - durante l'installazione:
non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare): non installarne alcuno, quindi togli la spunta alla relativa voce

Una volta installato, esegui queste operazioni:
● avvia il programma con un doppio click
● seleziona con il tasto sinistro del mouse l'unità Disco Locale C:
● clicca, in basso a sinistra, sul bottone Deframmenta
● attendi pazientemente il termine delle operazioni

******************************

13. Controlla l'Hard Disk per eventuali errori

Procedura per Windows XP:
● clicca sul pulsante Start
● clicca su Esegui
● nello spazio bianco, copia ed incolla questa riga:
cmd /c chkdsk c: |find /v "percent" >> "%userprofile%\desktop\checkhd.txt"
● clicca sul pulsante OK
● attendi pazientemente il termine delle operazioni
● una finestra DOS vuota si aprirà sul Desktop, per poi chiudersi automaticamente: nulla di cui preoccuparsi
● allega il file checkhd.txt presente sul Desktop per un controllo

Procedura per Windows Vista e Windows Seven:
● clicca sul pulsante Start
● scegli la voce Tutti i programmi
● clicca su Accessori
● clicca su Esegui
● nello spazio bianco, copia ed incolla questa riga:
cmd /c chkdsk c: |find /v "percent" >> "%userprofile%\desktop\checkhd.txt"
● clicca sul pulsante OK
● attendi pazientemente il termine delle operazioni
● una finestra DOS vuota si aprirà sul Desktop, per poi chiudersi automaticamente: nulla di cui preoccuparsi
● allega il file checkhd.txt presente sul Desktop per un controllo

******************************

Note - al termine della procedura:
riavvia il sistema
 

FDAC

Utente Attivo
1,335
194
Hardware Utente
Dimenticavo;
Scarica Avira AntiVir Personal - Free Edition: Avira AntiVir Personal - Free Antivirus
● posiziona il file scaricato sul sul Desktop
● installa il programma, seguendo questa semplice video guida: Avira AntiVir Personal - Free Antivirus
● durante l'installazione, togli la spunta alla voce Esegui breve scansione del sistema dopo l’installazione
● al termine dell'installazione, esegui una Scansione Completa del sistema, procedendo così:
● doppio click sull'icona di Avira AntiVir Control Center, situata sul Desktop
● si aprirà la schermata principale del programma
● clicca su Avvia l'aggiornamento, per aggiornare le definizioni virali del programma
● una volta concluso, clicca su Analizza il sistema ora, per scansionare il sistema alla ricerca di malware
● attendi pazientemente il termine della scansione
● metti in quarantena le infezioni trovate: in tal modo se legittime, potrai ripristinarle
allega il risultato che verrà rilasciato: per farlo, clicca su Report
 

FDAC

Utente Attivo
1,335
194
Hardware Utente
Ciao. Sembrerebbero esserci degli oggetti nascosti (molteplici, a dir la verità), inclusi TDSS Boot Rootkit.

Esegui, per scrupolo, queste scansioni;
Scarica ed installa NoVirusThanks Anti-Rootkit Free: http://downloads.novirusthanks.org/files/NVTArk_Free_Setup.exe
riavvia il sistema
● avvia il programma con un doppio click
● portati sul tab Quick Report
● clicca su Scan
● clicca su All, in basso
● clicca su Ok
● attendi pazientemente il termine della scansione
● clicca su Save Report, in basso a destra
● salva il Report sul Desktop, al fine di allegarlo in seguito

Poi, elimina -se presente- la copia di Kaspersky TDSS Killer presente sul Desktop, e;
Scarica Kaspersky TDSS Killer: http://support.kaspersky.com/downloads/utils/tdsskiller.exe
● posiziona il file scaricato sul Desktop
● doppio click su TDSSKiller.exe per avviare l'applicazione e successivamente sul pulsante Start Scan

Giunti a questo punto, inizia la scansione del sistema alla ricerca di software malevolo:
● se viene trovato un file infetto, l'azione di default sarà Cure, clicca quindi su Continua
● se viene trovato un file sospetto, l'azione di default sarà Skip, clicca quindi su Continua

Una volta terminata la scansione, si presenterà una di queste due opzioni:
non è necessario il riavvio del sistema: clicca su Report e salva il contenuto in un file di testo
● è necessario riavviare il sistema: clicca su Riavvia ora
● una volta riavviato il sistema, il report del programma da allegare si trova in C:\ in questa forma:
TDSSKiller.[Version]_[Date]_[Time]_log.txt
 

apprendistaIT

Utente Attivo
Ciao, quando avvio NoVirusThanks Anti-Rootkit Free ma da questo errore:
Codice:
Access violation at address 0047E6B6 in module 'NVTArk.exe'. Read of address FFFFFFFF.
Poi si avvia la finestra ma quando faccio la procedura che hai detto torna fuori lo stesso errore e non fa nulla.
 

FDAC

Utente Attivo
1,335
194
Hardware Utente
Ciao. Quel file appartiene al programma stesso, NoVirusThanks Anti-Rootkit Free.
Evidentemente, il programma non 'è compatibile con il tuo SO.

Prosegui con TDSS Killer.
 

Entra

oppure Accedi utilizzando