[PROBLEMA] Problema rimozione virus

#1
Ciao a tutti,
premetto che è il mio primo post, spero di essere nella sezione giusta.
Come da titolo, sono incappato in un "virus" (lo chiamerò così perchè non so esattamente di cosa si tratta) che non riesco a rimuovere.
Il virus si è presentato come un file .exe che aprendolo, ha iniziato a installare roba su roba. Ho provato a rimuovere le numerose cartelle manualmente ma alcune non me le fa rimuovere perchè sono ''aperte in altri programmi''. Ho anche provato a disattivare i processi ma non tutte sono state rimosse completamente sempre a causa dello stesso motivo. Provando ad aprire Malwarebytes mi compare un popup di errore che compare con ogni antivirus che ho scaricato. Aprendo internet e cercando qualche soluzione, ho notato che il browser (chrome) crashava in modo anomalo. Ho provato a scaricare findykill ma non sono riuscito a trovarlo (ogni download che trovavo in giro mi risultava ''not found''. Qualcuno ha qualche consiglio da darmi?

P.S. provando a riavviare il computer ho notato che si riavviava con la "schermata blu" e rimaneva al 100% senza schiodarsi.

Ringrazio in anticipo chiunque provi ad aiutarmi :thanks:

Aggiornamento delle 02:20 08/04:
Scaricando TDSSKiller e analizzando (https://support.kaspersky.com/viruses/utility#TDSSKiller) sono riuscito a "risolvere" il problema del crash del browser riuscendo così a scaricare HijackThis. Ho provato ad analizzare i log ma mi da un errore (allego log ed errore).
Errore-1.jpg

Provando ad aprire MalwareBytes o qualsiasi altro antivirus, la situazione è la stessa: appare lo stesso popup di errore.
 

Allegati

Ultima modifica:

danilo79

Utente Attivo
1,558
392
Hardware Utente
#2
Ciao

Lascia stare hijackthis è ormai obsoleto..


scarica frst da quihttps://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
scarica la versione adatta al tuo sistema operativo 32 o 64 bit
posiziona l eseguibile sul desktop
tasto dx sopra eseguibile--apri come amministratore
una volta aperto clicca su scan
postare log frst.txt e addition.txt

NB:se non ti fa eseguire frst esegui i passaggi sotto...

1. Scarica la versione 1.10.3.1001 di Malwarebytes Anti Rootkit (MBAR)
https://malwarebytes.app.box.com/s/flmkkcawxhohv6jf6wlkentlvycq0f3z
2. Eseguire il programma come amministratore. (tasto dx sopra l eseguibile--->esegui come amministratore)

Click ok per estrarre..
Se Mbar non funziona, scaricare la copia zip e seguire le istruzioni. Quindi continua al passaggio 3.
https://support.malwarebytes.com/docs/DOC-1267
3. Dopo l'estrazione, dovrebbe iniziare MBAR.

Cliccare su next

4. Aggiorna lo strumento premendo il pulsante di aggiornamento UPDATE.

Dopo l'aggiornamento, cliccare su next.
5. Premi il pulsante di scansione. Per favore lascia che finisca la scansione. Questo rootkit potrebbe rallentare il tuo computer e MBAR potrebbe sembrare che si bloccherà ma continuerà a scansionare. Si prega di lascirlo lavorare.

Se la scansione fallisce provare a lasciare selezionato solo DRIVER e deselezionare SECTOR e SYSTEM….Poi riprovare la scansione….

Se si ottiene il seguente messaggio di errore:
DDA driver was not installed...etc etc


Fare clic su Sì e il computer verrà riavviato.
Dopo il riavvio, la finestra di MBAR dovrebbe aprirsi automaticamente.
Nota: se il desktop è mancante / nero, non preoccuparti. Questo è normale e si prega di proseguire....
Fare clic su Avanti seguito da Avanti.


Postare il log della scansione scaturito

Se sei riuscito ad effettuare la scansione con mbar rifai la procedura di inizio post con frst....

Ciao
 
Ultima modifica:
Mi Piace: Oldguard
#3
Ciao, intanto ti ringrazio per l'aiuto.
Ho provato a scaricare FRST ma appena apro la scheda, chrome crasha.

Ho scaricato ed eseguito MBAR ben 2 volte. Alla prima mi ha trovato una trentina di errori, ma al momento del riavvio durante il cleanup, mi appare una schermata blu di errore (...il sistema potrà essere riavviato una volta ottenute le informazioni necessarie) che si blocca una volta arrivato al 100%. Forzando il riavvio non si riapre MBAR ma devo aprirlo manualmente io. Provo a rieffettuare la scansione e stavolta mi trova una ventina di errori. La procedura mi riporta alla stessa situazione. In tutto questo, quando provo ad aprire la finestra di FRST, chrome continua a crashare.

Fare clic su Sì e il computer verrà riavviato.
Dopo il riavvio, la finestra di MBAR dovrebbe aprirsi automaticamente.
In sostanza la procedura mi si blocca a questo passaggio.

Allego il log di MBAR.
 

Allegati

danilo79

Utente Attivo
1,558
392
Hardware Utente
#4
Cosa vuol dire che chrome va in crash...
Riesci a scaricare frst??
Prova con un altro browser....
Se ancora ti da problemi prova dalla modalita provvisoria con rete...

In alternativa scarica da un altro pc frst e poi importalo nel pc infetto ed esegui la scansione...
 
#9
Un altra cosa ho visto dal report di mbar che le voci devono essere eliminate al riavvio...si è riavviato??..se no prova ad riavviare e postare il nuovo log...
Il pc non riesce a riavviarsi, esce sempre una schermata blu. Sia quando lo spengo sia quando lo riavvio. Di conseguenza non riesco ad avere un log dopo il riavvio

Inviato da SM-G950F tramite App ufficiale di Tom\'s Hardware Italia Forum
 

danilo79

Utente Attivo
1,558
392
Hardware Utente
#10
Fai una cosa....
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked":

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE -startup
O4 - HKLM\..\Run: [NvBackend] "C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [StatusAlerts] "C:\Program Files\HP\StatusAlerts\bin\HPStatusAlerts.exe" /enum:on /alerts:on /notifications:on /fl:on /fr:on /appData:on /tmcp:on
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Plumbytes Anti-Malware] "C:\Program Files\Plumbytes Software\Plumbytes Anti-Malware\Plumbytes.exe" /tray
O4 - HKCU\..\Run: [OneDrive] "C:\Users\Alessio\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\steam.exe" -silent
O4 - HKCU\..\Run: [Akamai NetSession Interface] "C:\Users\Alessio\AppData\Local\Akamai\netsession_win.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKCU\..\Run: [DAEMON Tools Lite Automount] "C:\Program Files\DAEMON Tools Lite\DTAgent.exe" -autorun
O4 - HKCU\..\Run: [ALDKWD4YSLNMP0P] "C:\Program Files\3OG3E3SH84\3OG3E3SH8.exe"
O4 - HKCU\..\Run: [1081508] "C:\Users\Alessio\AppData\Roaming\voin345xnu1\qsdsuwjzwjb.exe" /VERYSILENT
O4 - HKCU\..\Run: [OZ4JOV7O6KYQ50T] "C:\Program Files\0q1podq3mro\5RLK1.exe"
O4 - HKCU\..\Run: [3175523] "C:\Users\Alessio\AppData\Roaming\tfh5z12bkdy\ksslfcdbtrc.exe" /VERYSILENT
O4 - HKCU\..\Run: [KAH5ROU2X7CYUYH] "C:\Program Files\QMFYEEOI3P\QMFYEEOI3.exe"
O4 - HKCU\..\Run: [fKmooçf4Ka.exe] C:\Program Files\Microsoft.NET\HYCIHQJOKCILKH87QRJJHJH5C7QATO8WI7\fKmooçf4Ka.exe
O4 - HKCU\..\Run: [FragrantFlower] "C:\WINDOWS\rss\csrss.exe"
O4 - HKCU\..\Run: [CloudNet] "C:\Users\Alessio\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" 2017
O17 - HKLM\System\CCS\Services\Tcpip\..\{807d24b2-d9f6-4f19-a5d1-1d844b0dac6f}: NameServer = 1.1.1.1,1.0.0.1
O23 - Service: f7435b231e74a2338aae66675504e483 - Unknown owner - rundll32.exe (file missing)
O23 - Service: KMS-R@1n - Unknown owner - C:\Windows\KMS-R@1n.exe
O23 - Service: saiyi technology limit (saiyitechnology) - Unknown owner - C:\ProgramData\yahoochrome_D\desktop74.exe (file missing)



Eliminale e riprova con malwarebyte antimalware e frst...
 
Ultima modifica:
#13
Ho provato frst ma si chiude appena lo apro. In compenso mi si è aperto malwarebytes, fatta scansione, fatta la quarantena ma al riavvio succede sempre il solito problema: schermata blu e non si riavvia.
Con Hijackthis ho eliminato qualche voce (non le ho trovate tutte quelle elencate). Ora sto notando che il pc ogni tanto si riavvia da solo sempre con la solita schermata blu. Chrome presenta sempre lo stesso problema e Edge non si connette ai siti.

Inviato da SM-G950F tramite App ufficiale di Tom\'s Hardware Italia Forum
 

danilo79

Utente Attivo
1,558
392
Hardware Utente
#14
Che sistema operativo hai....??
Cancella frst che hai sul pc infetto...
Riscarica frst dal pc pulito e
prova a rinominare frst.exe in frst.com
Poi importalo nel pc infette e vedi se parte la scansione...
 
#15
Ho windows 10.
Ho provato a ricontrollare se Hijack era andato a buon fine e non lo aveva fatto, allora ho provato a selezionare gli elementi della lista (ho visto che ne avevi aggiunti altri), li ho rimossi e ho riavviato. Il riavvio è andato a buon fine. Chrome non sembra stia crashando. Provo a vedere se funziona la scansione con frst?
 

Discussioni Simili


Entra