PROBLEMA Virus che chiude ccleaner e altre utility di sistema

[Lizardon]

Salve a tutti, volevo esporvi il mio problema...
In pratica ho beccato un virus, me ne sono accorto perché all'apertura di Ccleaner, subito il programma si chiudeva, inoltre non riuscivo più ad effettuare la pulizia del disco e aprire correttamente alcuni programmi se non solo dopo aver messo in moto Combofix. Da premettere che io non ho antivirus nel pc, da un bel po' di anni ormai ci ho rinunciato, ma ho sempre compensato la cosa tenendolo quasi maniacalmente: effettuando le varie pulizie del disco e di registro tramite programmi come Ccleaner, Glary utilities e simili. Inoltre ho sempre effettuato la deframmentazione del disco giornalmente e periodicamente avviavo Combofix, che è sempre stata la mia ancora di salvezza. Utilizzavo anche Malwarebytes prima, ma se devo essere sincero poi non l'ho più adoperato perché l'ho praticamente rimpiazzato con Combofix. Adesso, se tutto questo sia corretto o meno, devo dire che mi sono trovato sempre bene e, ripeto, già da un po' di anni il pc ha tirato avanti che è una meraviglia. Sta di fatto, che adesso, Combofix non è più sufficiente, o meglio lo è solo in parte e vi spiego perché... Dato che non riuscivo neppure ad avviarlo, perché anch'esso mi si chiudeva all'apertura, ho intanto avviato il pc in modalità provvisoria (sistema che avevo adottato anche in altre circostanze, "Virus Polizia di Stato/Guardia di Finanzia") e da lì ero riuscito ad avviarlo e a fargli fare le solite operazioni, ma al riavvio del sistema il problema sussisteva. Perciò sono passato all'operazione che voi avete consigliato nel forum (scaricandolo sul desktop, ho rinominato il file in abc.exe, e copiato e incollato ciò "%userprofile%\desktop\abc.exe" /killall su esegui...insomma a fine discussione troverete in allegato il report che ho ottenuto).

Fin qui tutto bene, Combofix fa il suo lavoro, il computer si riavvia e tutto sembrerebbe sistemato...ma basta riavviare il pc ed ecco che il problema si ripresenta. Cosa posso fare? Vi sarei davvero molto grato se riusciste a darmi una mano e a capire qual è il problema... Tra l'altro non ho alcuna possibilità di formattare al momento.

Una cosa che avevo letto tempo fa su internet per capire se in un pc c'è un virus o comunque qualcosa di anomalo, è quella di controllare la cartella Esecuzione automatica, ed effettivamente continua a comparire un File che risulta di script JScript (.js) e che si chiama c29. Sapreste dirmi di cosa si tratta e se il problema potrebbe essere questo? Non so cosa altro aggiungere per darvi materiale sufficiente ad aiutarmi, anzi mi scuso se mi sono dilungato un po' troppo. Aspetto trepidante una vostra risposta.
P.S: lavoro molto al pc e sistemare al più presto questa rogna mi faciliterebbe di molto il lavoro, anche perché dopo un po' di tempo i software, in particolare Photoshop, mi si impallano e mi appaiono notifiche strane sul processore grafico (che invece credo sia appostissimo) e che avrei dedotto essere legate al virus. Oltre al fatto che la navigazione su internet, non appena il virus "rientra in funzione" mi rallenta pure parecchio. Per cui vi sarei molto grato se mi aiutaste a risolvere in fretta, perché la situazione sta divenendo insostenibile e il lavoro a causa di questo problema sta andando molto a rilento, per cui scusate l'insistenza!
Grazie ancora in anticipo!!!

 

[Tarta99]

cut

usa kaspersky rescue disc , lo masterizzi o usi il tool per usb, fai il boot della live , poi segui la procedura guidata,
non usare più combofix al posto di malwarebytes , serve solo in casi di estrema neccessità.

 

[R16]

Ciao.
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

KillAll::

File::
c:\users\Alessio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\c29.js

Folder::
C:\829b
c:\users\Alessio\AppData\Roaming\83cc8
c:\users\Alessio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\c29.js

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"95d"=-
"AdobeBridge"=-

RegNull::
[HKEY_USERS\S-1-5-21-1739335617-45622530-1743251556-1001\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{83348AAB-DA39-78BE-D06E-D0C9720DF088}*]

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix

Vedi se il problema persiste.

Se persiste:
Scarica RougeKiller sul desktop.
http://www.adlice.com/softs/roguekiller/RogueKiller.exe (per S.O 32 bit)
http://www.adlice.com/softs/roguekiller/RogueKillerX64.exe (per S.O 64 bit)
Chiudi tutti i programmi in esecuzione.
Avvia RogueKiller.exe.
Il tool farà una pre-scansione in automatico.
Finita la pre-scansione,si apre una finestra: clicca su " Accept".
Adesso clicca su "Scan".
Finita la scansione, clicca su "Report" troverai il log sul desktop.
Postalo qui

 

[Lizardon]

Ciao, grazie per le risposte.
@Tarta99 al momento non dispongo di cd per poter masterizzare, e non ho trovato da nessun parte il tool per usb, per cui al momento mi sono attenuto alla procedura consigliata da @R16 ma è stato ugualmente un fallimento, spiego nel dettaglio... Ho fatto lavorare Combofix con il nuovo codice (il nuovo report lo trovate in allegato), una volta finito si è riavviato automaticamente il pc e tutto funzionava. Per fare la prova del nove ho riavviato nuovamente il pc, ma riavviandolo il problema si è ripresentato e stavolta all'avvio è apparso un messaggio d'errore (ho allegato anche questo)... Adesso insieme a Ccleaner e a Combofix ovviamente non riesco ad aprire neanche RogueKiller per postarvi il suo report, ma prima di proseguire, anche in base a quello che mi ha detto Tarta, con quale codice mi conviene far lavorare Combofix per fixare temporaneamente il problema e poter eseguire RogueKiller? Grazie ancora.

 

[R16]

Il virus si è rigenerato perchè Combofix non ha eliminato il file che si trova in avvio:
c:\users\Alessio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\c998c.js
Devi seguire il percorso ed eliminare il file c998c.js

Poi prova RogueKiller, e alla fine della scansione clicca sul pulsante "Cancella".

 

[Lizardon]

Ho già provato manualmente, ma purtroppo si rigenera sempre e ho notato (e non vorrei sbagliarmi) che cambia nome... Prima del riavvio sistema era c998c, dopo era c90, adesso che l'ho cancellato e si è rigenerato è diventato c19. Che fare?

 

[R16]

Possiedi una pennetta formattata?
Se sì, scarica nella pennetta questo file:

Downloading Farbar Recovery Scan Tool (per S.O a 64 bit)

Downloading Farbar Recovery Scan Tool (per S.O a 32 bit)

Inserisci la Pendrive nel Pc infetto.
Avvia il pc in Modalità provvisoria. (f8)
Clicca su Ripristina il computer tra le opzioni disponibili (in alto)
Seleziona la lingua
Seleziona il tuo account
Saranno ora disponibili le seguenti opzioni

Ripristino all'avvio / Startup Repair
Ripristino configurazione di sistema / System Restore
Ripristino immagine di sistema / Windows Complete Pc Restore
Strumento di diagnostica memoria Windows / Windows Memory Diagnostic Tool
Prompt Dei Comandi / Command Prompt

Seleziona Prompt Dei Comandi

Nel Prompt dei Comandi scrivi notepad e premi Invio.

Si aprirà un file di testo

Nel menu in alto clicca file e seleziona Apri.

Cerca la lettera a cui è riferita la pennetta usb.

Questa operazione serve per verificare con certezza quale lettera è assegnata alla pennetta.

Una volta identificata la lettera della pennetta:

Nel Prompt dei comandi digita E:\frst.exe (Per S.O a 64 bit si digita:
E:\frst64.exe) dove E è la lettera che è stata assegnata alla tua Pendrive, per cui nel comando sostituisci E con la lettera a cui si riferisce la pennetta usb.
Clicca Invio

Il tool si avvierà.
Clicca Yes per accettare le condizioni di contratto.
Premi su SCAN.
A scansione finita, verrà prodotto un log sulla pendrive stessa, chiamato FRST.TXT
Postalo qui.

 

[Lizardon]

Ecco qui:

 

[R16]

Mi serve tempo per prepararti una procedura per l'eliminazione del virus.

 

[Lizardon]

No problem, l'importante appunto è risolvere... Grazie mille ancora.

 

[R16]

scarica questo file nella pennetta: (dove si trova FRST)

fixlist.txt :: Free File Hosting - File Dropper: File Host for Mp3, Videos, Music, Documents.

Avvia FRST e clicca su FIX.

Attendi la fine della scansione.
Posta il file fixlog.txt.

Poi fai questa scansione:

Scarica TDSSKiller sul desktop:
TDSSKiller Download
Fai doppio clik su TDSSKiller.exe
Clicca su:
Change parameters.
Metti la spunta su "detect tdlfs file system" e "verify file digital signature"
Clicca OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.

- - - Updated - - -

Il server non funziona.
Fai così:
Apri un file di testo con il Block Note.
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome fixlist.txt
Questo file lo devi mettere obligatoriamente dove si trova FRST. (nella pennetta)

start
HKU\Alessio\...\Run: [95d] => C:\Users\Alessio\AppData\Roaming\83cc8\95d.js  [46924 2014-07-22] ()
Startup: C:\Users\Alessio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\c29b.js ()
014-07-22 10:45 - 00000000 _SHDC () C:\Users\Alessio\AppData\Roaming\83cc8
2014-07-22 10:45 - 2014-07-22 10:45 - 00000000 _SHDC () C:\829b
2014-07-22 10:45 - 2014-07-22 10:45 - 00000000 _SHDC () C:\Users\Alessio\AppData\Roaming\83cc8
2014-07-22 10:45 - 2014-07-22 10:45 - 00000000 _SHDC () C:\829b
end

Avvia FRST e clicca su FIX.

Attendi la fine della scansione.
Posta il file fixlog.txt.

Poi esegui TDSSKiller

 

[Lizardon]

Al momento sto eseguendo la scansione con TDSSKiller, nel mentre eccoti il file fixlog.txt:

P.S: Avevo già fatto la scansione con TDSSKiller, la posto lo stesso, ma faccio subito come mi hai appena suggerito.

- - - Updated - - -

Ho caricato i nuovi report fixlog e TDSSKiller. Quest'ultimo tool non ha rilevato né infezioni, né file sospetti, né tanto meno sono apparse notifiche di riavvio del pc...perciò, come richiesto, ho caricato il relativo report.

Ovviamente Ccleaner continua a chiudersi all'avvio e dopo la scansione di TDSSKiller mi sono limitato a lasciare il pc acceso, senza riavviarlo manualmente. Aspetto nuove direttive, grazie.

 

[R16]

Vediamo se OTL rileva ancora qualcosa:

Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.

Ovviamente Ccleaner continua a chiudersi all'avvio

Disinstallalo.
Lo installerai a bonifica finita.

 

[Lizardon]

C'è solo un problema...non appena lo avvio, OTL mi si chiude pure :cav:
La cartella Esecuzione automatica però è vuota adesso!

 

[R16]

Prova OTL in Modalità provvisoria.