problema windows script host

[cf service]

Il problema che non sono "virus".
E' come se io ti facessi un file vbs che ogni 3 minuti ti cancella il desktop. Nessun antivirus, nemmeno quello della nasa me lo rileverebbe, essendo script lanciati volutamente dall'utente.
Fai backup dei dati importanti ( anche se dovevi averlo già ) e fai un bel formattone

@Moffetta88 ok in pratica dovrei formattare tutto pero oltre a perdere i file che ho sul pc ..andrei a perdere anche il sistema operativo che ho attualmente win 10 home..?

cercando in rete ho trovato anche questo su un sito potebbe essere una soluzione prima di formattare..?

Disabilitare Windows Script Host (WSH) per bloccare i malware .VBS

Windows Script Host (o WSH) (noto anche come Windows Scripting Host) è un linguaggio di scripting fornito in dotazione su tutte le principali distribuzioni d

www.ryadel.com

 

[Moffetta88]

va bene per bloccare l'esecuzione, ma non sai che danni potrebbe aver fatto.
Il sistema operativo lo scarichi gratuitamente dal sito della microsoft

 

[danilo79]

@cf service
Esegui frst (il programma n 4) come in questa guida e posta i due report ....frst.txt e addition.txt

GUIDA - Procedura scansioni preliminari

PROCEDURA SCANSIONI PRELIMINARI Tutti i programmi sotto citati non necessitano di installazione essendo TOOL.. L' unico che bisogna installare è Malwarebyte Antimalware.... MALWAREBYTE ANTIMALWARE -Se già non hai installato Malwarebytes, procedi come segue: -Scarica Malwarebytes...

forum.tomshw.it

Per caso ,quando hai eseguito malwarebyte ha eliminato qualche file?
La scritta ti appare ad ogni avvio?
Potrebbe essere un residuo di qualche file eliminato in precedenza, e quindi non trovandolo rilascia l errore...
Verifichiamo con frst....

 

[Francesco C.]

Ciao, formatta usando le impostazioni del PC, fa tutto lui: Formattazione, Disinstallazione e Installazione di W10. Attento però, ti da 2 opz: 1. MANTIENI I DATI 2. ELIMINA TUTTO
Se vuoi fare le cose fatte bene meglio che usi ELIMINA TUTTO in modo che con la formattazione risolvi sicuro.
I file x sicurezza li salverei o su un Drive Online (G Drive, OneDrive, Dropbox ecc...) o in chiavetta USB.

 

[cf service]

@cf service
Esegui frst (il programma n 4) come in questa guida e posta i due report ....frst.txt e addition.txt

GUIDA - Procedura scansioni preliminari

PROCEDURA SCANSIONI PRELIMINARI Tutti i programmi sotto citati non necessitano di installazione essendo TOOL.. L' unico che bisogna installare è Malwarebyte Antimalware.... MALWAREBYTE ANTIMALWARE -Se già non hai installato Malwarebytes, procedi come segue: -Scarica Malwarebytes...

forum.tomshw.it

Per caso ,quando hai eseguito malwarebyte ha eliminato qualche file?
La scritta ti appare ad ogni avvio?
Potrebbe essere un residuo di qualche file eliminato in precedenza, e quindi non trovandolo rilascia l errore...
Verifichiamo con frst....

si @danilo79 se scorri indietro il 4 e 5 messaggio ho postato i risultati di malwarebyte...si qui i file dannosi li ha messi in quarantena il programma stesso...
si la scritta esce come avvi il pc
le ho fatte quasi tutte le scansioni preliminari..non danno nessun risultato...nemmeno frst non da nessun file dopo la scansione..

 

[danilo79]

si @danilo79 se scorri indietro il 4 e 5 messaggio ho postato i risultati di malwarebyte...si qui i file dannosi li ha messi in quarantena il programma stesso...
si la scritta esce come avvi il pc
le ho fatte quasi tutte le scansioni preliminari..non danno nessun risultato...nemmeno frst non da nessun file dopo la scansione..

Frst rilascia sul desktop (se il programma lo hai messo sul desktop come da guida)i due file frst.txt e addition.txt....
I file li trovi nella stessa directory dove è posizionato il programma frst....

Postali e poi li controllo....

 

[cf service]

@danilo79 ecco:

 

[danilo79]

Ciao @cf service

Dovrei aver individuato il problema....
Forse in giornata ,se riesco, ti fornisco un fixlist di correzione e poi proviamo....
Aspetta prima di formattare può darsi che si risolve.....

 

[danilo79]

Ciao @cf service

esegui i seguenti passaggi in ordine come scritti:

1)
Entra nel pannello di controllo, poi in programmi , poi in disinstalla un programma;
Ora disinstalla questi programmi:
-Amazon Assistant
-App Explorer
-Bonjour (se non usi un programma apple tipo itune,ichat,ifoto, o per impostare la rete)
-Java 8 Update 111
-Java 8 Update 161
-Java 8 Update 201
Se java ti serve lo puoi installare dal sito di Oracle e scarichi l ultima relase (java è preso di mira da malware)....

2)
-Adesso posiziona nel desktop il programma FRST e scarica il file allegato sotto FIXLIST.txt e posiziona pure questo sempre sul desktop....(in pratica sia FRST che FIXLIST decono essere nella stessa directory)....
-Clicca sopra FRST con il tasto dx del mouse ed esegui come amministratore...
-Quando si apre fai click su FIX (non su scan come hai fatto per fare la scansione)....
-Lascialo finire ci vorra un pochino....
-Quando ha fatto il pc si riavviera' in automatico se non lo fa riavvia te...
-Quando rientri in windows sul desktop trovi un file che ti ha creato chiamato FIXLOG.txt, postalo....

3) verifica se il problema è risolto.....

4) Esegui anche questa scansione..

Scarica TDSSKiller sul desktop:

Download TDSSKiller​

TDSSKiller is a utility created by Kaspersky Labs that is designed to remove the TDSS rootkit. This rootkit is know under other names such as Rootkit.Win32.TDSS, Tidserv, TDSServ, and Alureon. TDSSKiller will also attempt to remove other rootkits such as the ZeroAccess or ZeroAccess rootkit if...

www.bleepingcomputer.com
-Fai doppio clik su TDSSKiller.exe
-Accetta le condizioni di utilizzo.
-Clicca su:
-Change parameters.
-Metti la spunta su "detect tdlfs file system" e "verify file digital signature"
-Clicca OK.
-Poi clicca su "Start Scan"
-Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
-Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
-Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
-Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
-Se è richiesto il riavvio, il rapporto può anche essere trovato nella directory principale (in genere C: \ cartella) sotto forma di "TDSSKiller. [Versione] _ [Data] _ [Ora] _log.txt".
-Postare il file qui.


Ciao e grazie

 

[cf service]

Ciao @cf service

esegui i seguenti passaggi in ordine come scritti:

1)
Entra nel pannello di controllo, poi in programmi , poi in disinstalla un programma;
Ora disinstalla questi programmi:
-Amazon Assistant
-App Explorer
-Bonjour (se non usi un programma apple tipo itune,ichat,ifoto, o per impostare la rete)
-Java 8 Update 111
-Java 8 Update 161
-Java 8 Update 201
Se java ti serve lo puoi installare dal sito di Oracle e scarichi l ultima relase (java è preso di mira da malware)....

2)
-Adesso posiziona nel desktop il programma FRST e scarica il file allegato sotto FIXLIST.txt e posiziona pure questo sempre sul desktop....(in pratica sia FRST che FIXLIST decono essere nella stessa directory)....
-Clicca sopra FRST con il tasto dx del mouse ed esegui come amministratore...
-Quando si apre fai click su FIX (non su scan come hai fatto per fare la scansione)....
-Lascialo finire ci vorra un pochino....
-Quando ha fatto il pc si riavviera' in automatico se non lo fa riavvia te...
-Quando rientri in windows sul desktop trovi un file che ti ha creato chiamato FIXLOG.txt, postalo....

3) verifica se il problema è risolto.....

4) Esegui anche questa scansione..

Scarica TDSSKiller sul desktop:

Download TDSSKiller​

TDSSKiller is a utility created by Kaspersky Labs that is designed to remove the TDSS rootkit. This rootkit is know under other names such as Rootkit.Win32.TDSS, Tidserv, TDSServ, and Alureon. TDSSKiller will also attempt to remove other rootkits such as the ZeroAccess or ZeroAccess rootkit if...

www.bleepingcomputer.com
-Fai doppio clik su TDSSKiller.exe
-Accetta le condizioni di utilizzo.
-Clicca su:
-Change parameters.
-Metti la spunta su "detect tdlfs file system" e "verify file digital signature"
-Clicca OK.
-Poi clicca su "Start Scan"
-Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
-Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
-Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
-Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
-Se è richiesto il riavvio, il rapporto può anche essere trovato nella directory principale (in genere C: \ cartella) sotto forma di "TDSSKiller. [Versione] _ [Data] _ [Ora] _log.txt".
-Postare il file qui.


Ciao e grazi

ciao @danilo79 ..ok ho disinstallato quei programmi che mi hai scritto, unica cosa non riesco a capire il secondo passaggio dove devo aprire frst e scaricare l allegato...ho aperto il programma frst come amministratore e premendo fix mi dice :

 

[danilo79]

Ciao devi posizionarli tutti e due sul desktop....
Poi apri frst e premi fix....
Quella scritta vuol dire che non trova il file fixlist significa che non sono tutti e due sul desktop e quindi nella stessa directory...
L hai scaricato l allegato fixlist.txt nel mio post sopra....?
Se si basta che lo sposti sul desktop ,poi apri FRST e clicchi Fix...

Ricapitolando per capirci....
In pratica, dai report vedo che te hai già FRST sul desktop, quindi basta che scarichi il fixlist.txt, e lo metti sempre sul desktop ....
Poi apri FRST come hai sempre fatto e fai click su fix....

È più semplice farlo che spiegarlo...

 

[cf service]

@danilo79 si ok adesso va... probabilmente ho sbagliato qualche passaggio....ho fatto la scansione con tdsskiller non rileva nulla ..ho notato che si e svuotato il cestino sul desktop e siccome utilizzo opera come browser ho notato che mi si e cancellato la cronologia di navigazione e alcuni siti che utilizzo con pw sono tutti in log out bisogna reinserire le credenziali..
al momento sembra risolto non esce piu quella scritta
per il momento ti scrivo GRAZIE

 

[danilo79]

@danilo79 si ok adesso va... probabilmente ho sbagliato qualche passaggio....ho fatto la scansione con tdsskiller non rileva nulla ..ho notato che si e svuotato il cestino sul desktop e siccome utilizzo opera come browser ho notato che mi si e cancellato la cronologia di navigazione e alcuni siti che utilizzo con pw sono tutti in log out bisogna reinserire le credenziali..
al momento sembra risolto non esce piu quella scritta
per il momento ti scrivo GRAZIE

Ok....bene...
Ho fatto una pulizia profonda....
Siccome ho pulito la cache di sistema e il resolver DNS può essere che le credenziali di siano cancellate.....
Io non memorizzo mai nel browser le credenziali, ma uso un password manager....questo per la sicurezza....
Per abitudine quindi sono andato a colpo sicuro..ho errato a non avvertirti.... scusa...
Un consiglio però...non memorizzare più le password nel browser...

Comunque questa è la pulizia che ho fatto:

-Windows Temp
-Users Temp folders
-Caches, HTML5 storages, Cookies and History for browsers scanned by FRST except Firefox clones
-Recently opened files cache
-Flash Player cache
-Java cache
-Steam HTML cache
-Explorer thumbnail and icon cache
-BITS transfer queue (qmgr*.dat files)
-Recycle Bin (cestino)

In più logicamente ho eliminato i residui di virus e programmi vecchi, e azioni (task) che tra le quali c'era quel problema.....

Ti ho fatto eliminare programmi indesiderati e Java che se non serve è bene non lasciare nel PC....

Verifica se il problema si ripresenta...(ma non dovrebbe)
Se sei ok rinomina il programma FRST in uninstall.exe e poi fai doppio click sopra....
Così di disinstallera e cancellerà pure la quarentena....

Ciao

 

[cf service]

ciao @danilo79 per il momento funziona tutto quella scritta non esce piu..oltre a frst che ho scaricato da disinstallare ho anche scaricato
tdskiller
antithreat rootkit
rogue killer
questi faccio la stessa procedura per disinstallare , li rinomino unistall.exe
Grazie

 

[cf service]

@danilo79 poi un altra cosa utilizzo un programma per fare fatture e preventivi invoicex ..ora non si apre perche necessita di java...