PROBLEMA Problema virus ineliminabili da ESET NOD 32 (Win64/ Agent.Ba trojan; Win64/sirefef. AD trojan)

[Anarchico Mi Svago]

Salve, sono nuovo della community, purtroppo sono qui per un'emergenza (a me sembra)... Premetto che non ho esperienza in questo campo, quindi scusatemi se farò e dirò stupidaggini. Il problema è questo: il mio pc ha contratto questi virus e ESET NOD32 non è in grado di eliminarli. Anche provandoci manualmente le cose non cambiano. Mi sono scaricato combofix, tdsskiller e Malwarebytes, come suggerito nella guida di questo forum, seguendo tutte le istruzioni, ma hanno trovato poco o niente. In realtà non sono sicuro che combofix abbia funzionato correttamente, perché per fare la scansione ci mette neanche 20 secondi, e inoltre non dà traccia di log, né mi fa riavviare il pc. Malwarebytes non ha trovato assolutamente niente, mentre tdsskiller ha trovato 5 file sospetti, che ho skippato.
Vi allego alcuni avvisi che mi escono praticamente ogni minuto da parte di Eset NOD 32, e anche il log di tdsskiller. Purtroppo non riesco a trovare il log di Combofix.
Sono a vostra completa disposizione per qualsiasi domanda e chiarimento, ovviamente.

 

[R16]

Ciao.
Possiedi una pennetta formattata?

Se sì, scarica nella pennetta questo file:

http://download.bleepingcomputer.com/farbar/FRST64.exe (per S.O a 64 bit)

http://download.bleepingcomputer.com/farbar/FRST.exe (per S.O a 32 bit)

Inserisci la Pendrive nel Pc infetto.
Avvia il pc in Modalità provvisoria. (f8)
Clicca su Ripristina il computer tra le opzioni disponibili (in alto)
Seleziona la lingua
Seleziona il tuo account
Saranno ora disponibili le seguenti opzioni

Ripristino all'avvio / Startup Repair
Ripristino configurazione di sistema / System Restore
Ripristino immagine di sistema / Windows Complete Pc Restore
Strumento di diagnostica memoria Windows / Windows Memory Diagnostic Tool
Prompt Dei Comandi / Command Prompt

Seleziona Prompt Dei Comandi

Nel Prompt dei Comandi scrivi notepad e premi Invio.

Si aprirà un file di testo
Nel menu in alto clicca file e seleziona Apri.

Cerca la lettera a cui è riferita la pennetta usb.

Questa operazione serve per verificare con certezza quale lettera è assegnata alla pennetta.

Una volta identificata la lettera della pennetta:

Nel Prompt dei comandi digita E:\frst.exe dove E è la lettera che è stata assegnata alla tua Pendrive, per cui nel comando sostituisci E con la lettera a cui si riferisce la pennetta usb.

Clicca Invio

Il tool si avvierà.
Clicca Yes per accettare le condizioni di contratto.
Premi su SCAN.
A scansione finita, verrà prodotto un log sulla pendrive stessa, chiamato FRST.TXT
Postalo qui.

Per postare il log:

Collegati ad internet e vai alla pagina WikiSend:
Wikisend: free file sharing service
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

 

[Anarchico Mi Svago]

Ciao R16. Grazie per avermi risposto così velocemente. Prima di procedere, ho un problema sulla voce Ripristina il computer, che io non trovo... sta in alto in quale schermata? non la trovo neanche cercando tra i programmi (ho windows 7). Quando poi provo ad andare alla voce Ripristino configurazione di sistema, dal pannello di controllo, trovo una X rossa e il seguente messaggio: "La protezione del sistema è disattivata. Per riattivarla e poter utilizzare Ripristino configurazione di sistema, vedere Attivare e disattivare Ripristino configurazione di sistema.". La suddetta pagina fa parte della guida e supporto tecnico di Windows, e in teoria mi spiegherebbe come attivare Protezione sistema per un disco specifico, ma in realtà mi dice "fare clic su Sistema --> fare clic su Protezione sistema", che è una voce che ancora una volta non trovo nel riquadro a sinistra.
Dimmi se ho sbagliato a intendere questo passaggio, o c'è effettivamente qualcosa di strano. Grazie ancora :)

 

[R16]

ho un problema sulla voce Ripristina il computer, che io non trovo... sta in alto in quale schermata?

Deve esserci.
Quando premi f8 ti dovresti trovare nella classica schermata nera con una serie di opzioni:

Modalità provvisoria
Modalita provvisoria con rete
Modalita provvisoria con Prompt dei comandi

E altre voci.

Nel mio Win7 (e penso su tutti) la prima voce in alto si chiama Ripristina il computer e all'apertura della pagina nera è già selezionata.
Se il S.O è originale deve esserci.

 

[Anarchico Mi Svago]

Ok R16, ho "trovato" la voce (in realtà non mi usciva proprio la schermata nera, se non tengo premuto f8 per i primi 3-4 sec di accensione mi carica direttamente la schermata in modalità provvisoria), e ho fatto anche tutto il resto. Incollo il link del log di FRST e attendo nuove disposizioni.

FRST.txt

 

[R16]

Ciao.
Scarica questo file nella chiavetta:

http://wikisend.com/download/566942/fixlist.txt

Avvia nuovamente FRST,ma questa volta clicca sul pulsante fix

Il tool creerà un log sulla flashdrive (Fixlog.txt)
Postalo qui.

Avvia il pc in modalità normale.

Elimina Combofix rinominandolo in unistall

Avvialo, e aspetta che ti comunichi l'eliminazione.

Reistalla Combofix con queste modalità:

Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop. (è obbligatorio)

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (se usi Vista o Seven: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )



E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali, e prosegui con la scansione

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
Postalo qui.

 

[Anarchico Mi Svago]

Ciao R16.
Ho fatto la prima operazione e ti allego quindi il log.

Fixlog.txt

Per la seconda, prima di procedere vorrei essere sicuro di cosa intendi per chiudere TUTTI i programmi aperti. Ci sono programmi, oltre al firewall, all'antivirus e a quelli presenti nella scheda Applicazioni di Gestione attività, che bisogna chiudere (penso ai programmi in esecuzione automatica)? Se sì, come si individuano?

 

[R16]

Basta che disattivi il firewall, e l'antivirus.
Se ti compaiono messaggi sia di Combofix che dell'antivirus, fregatene, e prosegui con la scansione.
Il pc dovrebbe funzionare abbastanza bene adesso.

 

[Anarchico Mi Svago]

Bene, posso cautamente dire che il pc sembra dare segni di ripresa, ma non essendo competente potrei sbagliarmi.

Ecco il log della scansione di Combofix:
log.txt

 

[R16]

Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

KillAll::

DirLook::
c:\users\Gian Marco\AppData\Roaming\Olirvo
c:\users\Gian Marco\AppData\Roaming\Nuel
c:\users\Gian Marco\AppData\Roaming\Daad

Driver::
McComponentHostService

File::
c:\program files (x86)\McAfee Security Scan\3.0.207\McCHSvc.exe

Folder::
c:\program files (x86)\McAfee Security Scan\3.0.207
c:\program files (x86)\McAfee Security Scan

Registry::
[-HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
[-HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix

 

[Anarchico Mi Svago]

Ecco fatto.

Log:

ComboFix.txt

 

[R16]

Senza stressare il pc con una nuova scansione sei in grado di seguire il percorso, ed eliminare le cartelle in rosso:

c:\users\Gian Marco\AppData\Roaming\Daad
c:\users\Gian Marco\AppData\Roaming\Nuel
c:\users\Gian Marco\AppData\Roaming\Olirvo

Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Clicca su Cleanup.

Di disistallerà correttamente sia Combofix che lo stesso OTL.

Ti chiederà di riavviare il pc: acconsenti.

Poi fai una pulizia con CCleaner. (registro compreso)

Disattiva il Ripristino configurazione sistema:
Attivare o disattivare Ripristino configurazione di sistema
Riavvia il pc.
Riattiva il Ripristino configurazione sistema.

Se il pc funziona bene abbiamo concluso.

 

[Anarchico Mi Svago]

Benissimo, ho fatto anche queste operazioni... non posso credere che questo problema sia già risolto, io già pensavo alla formattazione.
Comunque pare che adesso funzioni tutto bene, sembra anche più veloce. Secondo te posso continuare a utilizzare uTorrent, con l'antivirus attivo? Mi puoi dare qualche indicazione per non rischiare di farmi nuovamente infettare dal virus?
Per il resto, non mi resta che ringraziarti per la disponibilità e la precisione con cui mi hai aiutato, il vostro lavoro è davvero prezioso. Se necessiti di qualcosa, tipo feedback, o altro, dimmi pure.

 

[R16]

Secondo te posso continuare a utilizzare uTorrent, con l'antivirus attivo?

Perchè no ?

Mi puoi dare qualche indicazione per non rischiare di farmi nuovamente infettare dal virus?

La migliore indicazione che posso darti, stà fra la sedia e la tastiera.
Il vero antivirus sei tu.

Se necessiti di qualcosa, tipo feedback, o altro, dimmi pure.

Ti ringrazio, ma non necessito di niente.
Ciao.