RISOLTO Tutti i download da browser vengono eliminati appena completati e non posso accerdervi

[gabrilovic991]

Buonasera,
è dall'inizio di questa settimana che ho il problema che ho scritto nel titolo. Qualsiasi file scarico dai browser (succede con tutti i browser che ho: Chrome, Firefox, Internet Explorer e Lunascape) viene rimosso non appena completato e non posso accedervi. Ho notato che scaricando con Internet Explorer è l'unico ad avvertirmi che i file sono stati rimossi perchè erano contrassegnati come virus, ma visto che succede anche con delle immagini prese dalla ricerca di google immagini dubito sia vero... Come antivirus utilizzo AVG e sono su windows 7 Home Premium a 64bit
Ho provato di tutto per risolvere: scansioni su scansioni con l'antivirus, malwarebytes, antivirus online e antivirus che fanno il boot da chiavetta ma niente (specifico che li ho scaricati da un altro pc completamente pulito in quanto è stato ripristinato la settimana scorsa), ho provato anche a disinstallare AVG e rimuovere tutte le tracce per poi reinstallarlo come consigliavano su un thread che ho visto cercando informazioni...
Altra cosa che ho fatto e che in molti casi viene considerata quasi come dannosa è stata effettuare diversi tentativi di ripristino del sistema: all'inizio sembrava funzionare correttamente ma dopo il primo riavvio il problema si ripresentava...
Spero di riuscire a risolvere senza dover formattare, sarebbe una bella noia per me, e mi ritengo fortunato ad avere due partizioni.

Ho letto che HijackThis compie quasi dei miracoli in questi casi: ho già fatto una scansione, la allego qui sotto:

hijackthis.txt

Vi ringrazio anticipatamente per l'aiuto, spero di aver dato tutti i dettagli necessari e scusatemi nel caso avessi commesso qualche errore.

 

[tecnico24]

Ciao , per windows 7 Hijackthis è di poco aiuto , in quanto ci sono problemi di compatibilità.
Serve in allegato il log di Combofix , ecco la guida:
http://www.tomshw.it/forum/sicurezz...omputer-infetto-leggere-prima-di-postare.html

 

[gabrilovic991]

Ciao,
innanzitutto grazie per la risposta fulminea.
Benissimo, scarico combofix e provo. Secondo te mi conviene scaricarlo dal pc pulito o lo posso scaricare anche da questo infetto?

 

[tecnico24]

Ciao,
innanzitutto grazie per la risposta fulminea.
Benissimo, scarico combofix e provo. Secondo te mi conviene scaricarlo dal pc pulito o lo posso scaricare anche da questo infetto?

Infetto assolutamente , le eventuali infezioni vanno eliminate da li.

 

[gabrilovic991]

Ok grazie, non avevo ragionato sul fatto che comunque sarebbe andato sul pc infetto e non sarebbe cambiato nulla.

Ecco il log:

log.txt

 

[tecnico24]

Ciao , il tuo pc è notevolmente infetto , puzza di rootkit.

Scarica qui in basso il file CFScript.txt e salvalo sul desktop.
A questo punto trascina con il tasto sinistro del mouse il file CFScript.txt sull'icona di combofix a forma di leone posizionata sul desktop.
Attendi il lavoro del programma e al prossimo riavvio ti mostrerà il log delle operazioni , mettilo da parte.

Scarica Virit Explorer Lite:
Download VirIT eXplorer Lite 7.2.25: l'AntiVirus ITALIANO - TG Soft Software House
Disattiva antivirus , anzi se puoi disinstalla Avg , firewall e connessione internet.
Avvia la scansione completa ed attendi , se rileverà minaccie le eliminerà automaticamente.
Al termine allega anche il suo logfile.

Scarica Kaspersky TDSS Killer:
http://support.kaspersky.com/downloa...tdsskiller.exe
Chiudi tutti i programmi aperti
Clicca su Start Scan per avviare la scansione
Se trova file infetti l'azione da intrapendere sarà Cure , invece se trova quello sospetto su Skip
Al termine posta il suo relativo log .

Quindi dovrai postare il log di Virit , TDSS Killer e quello delle operazioni di combofix.
Buon Lavoro.

 

[gabrilovic991]

Scusate se ho cancellato e riscritto il messaggio ma è per aggiornare la situazione,spero sia consentito dal regolamento

Grazie mille, mi metto subito al lavoro

EDIT: Buongiorno.
Stanotte mi sono messo all'opera... Scansione di combofix fatta usando il file txt che mi hai allegato, e ho il log. Da quanto ho visto ha cancellato un file nei driver nella cartella windows, aveva un nome fatto di numeri ed estensione sys. Altra cosa: nel post precedente nelle istruzioni di Combofix non avevi menzionato di disattivare antivirus firewall e rete, io li ho disattivati come dice nel tuo post in rilievo delle scansioni di combofix, ho sbagliato?

Virit Explorer installato, aggiornato e tutto, sta facendo la scansione dalle 2 di notte, e mi sembra che al momento si sia bloccato, o meglio incantato in un punto preciso. Mi spiego: dal nome che vedo delle cartelle sta controllando i file dei programmi in C:\Programmi, solo che è da stamattina (precisamente non so da quanto a dire il vero, stanotte sono crollato mentre lavorava e l'ho controllato alle 8 circa) che continua a scansionare avanti e indietro in quella zona, subito pensavo fosse normale ma sono quasi 5 ore che sta controllando lì, gira tra le cartelle, magari va un po' avanti e poi torna su, come se lavorasse in tondo. Sono oltre 10 ore che lavora, lo devo lasciar continuare o stoppare e ricominciare? File infetti non ne trova, sta lavorando con AVG disinstallato e la rete e il firewall disabilitati, non ho effettuato nessuna operazione nel frattempo

Spero di essere stato chiaro nella spiegazione.

Ah, ovviamente sto scrivendo dal pc pulito

 

[tecnico24]

Spiegazione chiarissima.
Incomincia ad allegare il report di Combofix.
Avvia in modalità provvisoria e riprova a far partire Virit da lì , non dovrebbe bloccarsi.
Inoltre , Scarica RogueKiller 8.1.0.0 Download
sul desktop.
Avvialo , aspetta il caricamento e clicca sul pulsante Scan
Quando ha finito , non effettuare operazioni ed allega il rapporto in formato .txt

 

[gabrilovic991]

Ciao tecnico, grazie per la risposta.
Allora, ecco il log di combofix:
combofix.txt

Per quanto riguarda RogueKiller, lo faccio partire dopo aver fatto la scansione con VirIt? In modalità provvisoria o in modalità normale?

 

[tecnico24]

Ciao tecnico, grazie per la risposta.
Allora, ecco il log di combofix:
combofix.txt

Per quanto riguarda RogueKiller, lo faccio partire dopo aver fatto la scansione con VirIt? In modalità provvisoria o in modalità normale?

Modalita normale , utilizzalo prima di Virit ed allega il report.

 

[gabrilovic991]

Ok, ecco il report di RogueKiller (l'ho dovuto allegare su Free File Hosting perchè wikisend mi dava errore)

http://www.freefilehosting.net/rkreport1

Ora devo aspettare o posso andare in modalità provvisoria e fare lo scan con VirIt?

 

[tecnico24]

Ok, ecco il report di RogueKiller (l'ho dovuto allegare su Free File Hosting perchè wikisend mi dava errore)

http://www.freefilehosting.net/rkreport1

Ora devo aspettare o posso andare in modalità provvisoria e fare lo scan con VirIt?

Riapri RogueKiller , rifai lo scan , portati sulla scheda Registry e assicurati che le seguenti voci siano selezionate :

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ DESK] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
[STARTUP][SUSP PATH] _uninst_50089937.lnk @gabriele : C:\Users\Gabriele\AppData\Local\Temp\_uninst_50089937.bat -> FOUND
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> FOUND
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> FOUND
[HJ] HKLM\[...]\Wow6432Node\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> FOUND



C'è un'altra voce ma lasciala perdere.
Adesso clicca sul pulsante Delete.
Rifai lo scan e posta il nuovo log , dopo aver fatto l'operazione con virit ;)

 

[gabrilovic991]

Ciao tecnico,
scusa se c'ho messo un po' a rispondere ma ero in palestra...

Allora, ho fatto quello che mi hai detto con roguekiller, cancellato le voci nel registro.
Dopo ho fatto partire la scansione con virit, ma anche in modalità provvisoria ha lo stesso comportamento che ho descritto oggi, si è fermato sullo stesso gruppo di cartelle e non si muove da lì, continua a controllare avanti e indietro in quella zona... Ho riprovato in modalità normale e si blocca sempre anche lì...

Cosa devo fare?

P.S.: Ho notato che dopo aver cancellato quelle voci nel registro l'UAC è stato riattivato, era un risultato voluto? Aprendo una parentesi, io lo trovo una noia perchè ad esempio ogni volta che apro steam o faccio partire un gioco da lì mi chiede l'autorizzazione, però posso capire che sia una misura precauzionale efficace, e lo dico ritenendomi un non nabbo che sa i rischi che può correre con certi eseguibili...

 

[tecnico24]

Manca il log di TDSS killer , lo hai tralasciato per via di VIRIT..lascialo perdere.
Scarica Complete Internet Repair:
http://www.utilitypc.biz/download_08/CompleteInternetRepair/internetrepair-0_9_3.zip
sul desktop.
Avvialo e metti la spunta a

Reset Internet Protocol
Repair Winsock
Flush DNS resolver cache
Repair SSL / HTTPS / Cryptography
Restore the default hosts file

Clicca su GO! ed attendi le operazioni.Riavvia il computer.
Attendo il log di TDSS.

 

[gabrilovic991]

Hai ragione scusa, è vero, VirIt mi ha portato via un sacco di tempo, ecco il log di TDSS. Io gli ho fatto fare la scansione senza toccare nessuna impostazione, nei parametri sono selezionati solo i primi 3 (System Memory, Service & Drivers e Boot Sectors), è giusto così?

Ecco il log comunque:
TDSSKiller.2.8.10.0_02.10.2012_00.00.27_log.txt

Ora vado con complete internet repair