UFFICIALE Virus Polizia di Stato/Guardia di Finanzia/Ukash : rimozione e supporto

[Bagio09]

@ocrim10:


@Bagio09
scarica questo file dove hai scaricato FRST:

Wikisend: free file sharing service


Avvia FRST e clicca su FIX.

Attendi la fine della scansione.
Posta il file fixlog.txt.

Poi fai una scansione completa con Malwarebytes. (aggiornalo prima della scansione)

Grazie, ho allegato il fixlog.
Sono riuscito ad avviare il pc senza che si aprisse la schermata, ho aggiornato Malwarebytes poi però appena ho iniziato la scansione il pc si è riavviato e alla schermata di caricamento di Windows si blocca e torna ad avviarsi.
Provo ad allegare anche il log di FRST ottenuto da una scansione eseguita dopo aver applicato il fix,nel caso servisse.

EDIT: A quanto pare ora riesco ad utilizzare la modalità provvisoria solo che non so che fare, non sono molto pratico e temo che facendo una scansione con Malwarebytes in modalità provvisoria possa riverificarsi quanto scritto sopra. Grazie mille per la disponibilità.

 

[R16]

@Bagio09:
Vai nella chiavetta dove hai scaricato FRST, ed elimina il file di testo (log) chiamato Fixlog.txt.
Poi elimina anche il file di testo (log) della prima scansione chiamato FRST.txt1
In pratica mantieni nella chiavetta SOLO il file dell'ultima scansione che hai eseguito con FRST.
Sono stato chiaro?

Poi:
scarica questo file sulla chiavetta: (dove si trova FRST)

Wikisend: free file sharing service

Avvia FRST e clicca su FIX.

Attendi la fine della scansione.
Posta il file fixlog.txt.

- - - Updated - - -

@Milrim
Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

:OTL
SRV - [2014/05/17 03:59:15 | 000,265,728 | ---- | M] () [Auto] -- C:\DOCUME~1\ALLUSE~1\DATIAP~1\2992199F9A\t7y3clrfcl.cpp -- (winmgmt)
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\ocr@babylon.com: C:\Programmi\Babylon\Babylon-Pro\Utils\ocr@babylon.com
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (no name) - {00000000-0000-0000-0000-000000000000} - No CLSID value found.
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - Startup: C:\Documents and Settings\Administrator\Menu Avvio\Programmi\Esecuzione automatica\lcfrlc3y7t.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O33 - MountPoints2\{0c29a1b4-5b2b-11e2-82b9-000c6efd4dc6}\Shell\AutoRun\command - "" = F:\lICYGe.Exe
O33 - MountPoints2\{0c29a1b4-5b2b-11e2-82b9-000c6efd4dc6}\Shell\OpEn\COmMAND - "" = F:\licYge.ExE
O33 - MountPoints2\{630a677e-2e6c-11e3-85e3-000c6efd4dc6}\Shell - "" = AutoRun
O33 - MountPoints2\{630a677e-2e6c-11e3-85e3-000c6efd4dc6}\Shell\AutoRun\command - "" = F:\LGAutoRun.exe
O33 - MountPoints2\{8f28ecc5-0886-11e2-8163-000c6efd4dc6}\Shell\AutoRun\command - "" = F:\lICYGe.Exe
O33 - MountPoints2\{8f28ecc5-0886-11e2-8163-000c6efd4dc6}\Shell\OpEn\COmMAND - "" = F:\licYge.ExE
O33 - MountPoints2\{a57db396-4bba-11e0-bb46-000c6efd4dc6}\Shell - "" = AutoRun
O33 - MountPoints2\{a57db396-4bba-11e0-bb46-000c6efd4dc6}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{a57db397-4bba-11e0-bb46-000c6efd4dc6}\Shell - "" = AutoRun
O33 - MountPoints2\{a57db397-4bba-11e0-bb46-000c6efd4dc6}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{cee1f9df-6000-11e2-82cc-000c6efd4dc6}\Shell\AutoRun\command - "" = G:\lICYGe.Exe
O33 - MountPoints2\{cee1f9df-6000-11e2-82cc-000c6efd4dc6}\Shell\OpEn\COmMAND - "" = G:\licYge.ExE
O33 - MountPoints2\{eed1e3c3-fe4c-11d5-b9f9-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{eed1e3c3-fe4c-11d5-b9f9-806d6172696f}\Shell\AutoRun\command - "" = D:\reatogoMenu.exe
[2014/05/17 03:59:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dati applicazioni\2992199F9A
[2014/05/17 04:00:04 | 000,000,838 | ---- | M] () -- C:\Documents and Settings\Administrator\Menu Avvio\Programmi\Esecuzione automatica\lcfrlc3y7t.lnk

:Files
C:\Documents and Settings\All Users\Dati applicazioni\2992199F9A
ipconfig /flushdns /c

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*" 

:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot]

Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.

Poi consiglio una scansione con Malwarebytes.

- - - Updated - - -


@ocrim10
Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

:OTL
SRV - (MsMpSvc) -- C:\Programmi\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
IE - HKU\S-1-5-21-3836835847-821659138-712518676-1000\..\SearchScopes\E8AD5464E3304EF7B3F96D5BDA2740E2: "URL" = http://search.easylifeapp.com/?q={searchTerms}&pid=518&src=ie2&r=2013/03/12&hid=490861736&lg=EN&cc=IT

:Files
ipconfig /flushdns /c

:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot]

Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log

ogni volta che pulisco con ccleaner, quando lo riapro mi dice "il file delle preferenze è danneggiato o non valido.

Anche OTL mi segnala quella anomalia.
A mio avviso, non hai disinstallato Chrome correttamente. (hai fatto un ripristino, invece di una disinstallazione? )

 

[ocrim10]

ecco il log dopo il fix: OTL log.txt

Chrome ho provato a disinstallarlo con revo unistaller, modalità avanzata, eliminando tutte le voci di registro anche, ma niente! come si fa il ripristino?

 

[Milrim]

@R16 Grazie mille, sembra tutto a posto, la scansione di malwarebytes ha fatto il pienone! Dopo aver messo in quarantena tutta quella roba possiamo considerare il pc pulito o dobbiamo continuare con altri strumenti?

 

[R16]

@ocrim1:

Chrome ho provato a disinstallarlo con evo unistaller, modalità avanzata

Strano; perchè Revo Unistaller elimina completamente (specie in " Modalità Avanzata" ) il programma.
Per capire meglio ti faccio una proposta:
Disinstalla Chrome con Revo.
Poi fai una pulizia con CCleaner. (Registro compreso)
Riavvia il pc.
Ripeti la pulizia con CCleaner.

Poi rifai una nuova scansione con OTL e posta il log.
Vedo se sono rimaste delle voci di Chrome, e poi le elimino per mezzo di uno script.
In seguito lo reistalli da qui:
Browser Chrome


@Milrim:

possiamo considerare il pc pulito o dobbiamo continuare con altri strumenti?

Consiglio questa scansione:

Scarica Adwcleaner sul desktop:
301 Moved Permanently
Chiudi tutti i browser (è importante che siano chiusi: IE,Firefox, Chrome ecc...)
Clicca sul pulsante "Scansiona".
Finita la scansione clicca su "Pulisci"
Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Postalo qui.

 

[Bagio09]

@Bagio09:
Vai nella chiavetta dove hai scaricato FRST, ed elimina il file di testo (log) chiamato Fixlog.txt.
Poi elimina anche il file di testo (log) della prima scansione chiamato FRST.txt1
In pratica mantieni nella chiavetta SOLO il file dell'ultima scansione che hai eseguito con FRST.
Sono stato chiaro?

Poi:
scarica questo file sulla chiavetta: (dove si trova FRST)

Wikisend: free file sharing service

Avvia FRST e clicca su FIX.

Attendi la fine della scansione.
Posta il file fixlog.txt.

Fatto, in modalità provvisoria sono riuscito a fare la scansione con Malwarebytes che mi ha trovato gli elementi nocivi, ora posso riavviare o devo fare altre scansioni?

 

[ocrim10]

@R16 ho disintallato chrome con revo e pulito con CCleaner. Tra le voci di registro tornava sempre questa, anche se la riparavo ogni volta:
ImagePath - "c:\program files\microsoft security client\msmpeng.exe" HKLM\SYSTEM\CurrentControlSet\services\MsMpSvc

Allego la scansione OTL:
OTL.Txt

grazie!

 

[R16]

Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

:OTL
SRV - (MsMpSvc) -- C:\Program Files\Microsoft Security Client\MsMpEng.exe File not found
DRV - (amyju2f7) --  File not found
IE - HKU\S-1-5-21-3836835847-821659138-712518676-1000\..\SearchScopes\E8AD5464E3304EF7B3F96D5BDA2740E2: "URL" = http://search.easylifeapp.com/?q={searchTerms}&pid=518&src=ie2&r=2013/03/12&hid=490861736&lg=EN&cc=IT
[2014/04/24 18:33:31 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
[2014/04/24 18:33:18 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Wise Installation Wizard

:Files
C:\Program Files\Microsoft Security Client
ipconfig /flushdns /c

:commands
[emptytemp]

Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.

Revo ha fatto "piazza pulita" di Chrome.
Nel log di OTL non esiste nessuna traccia (a parte il setup che hai sul desktop)

Dopo avere postato il log delle eliminazioni di OTL, fai la solita pulizia del registro con CCleaner.
Riavvia il pc, e installa Chrome.

- - - Updated - - -

Bagio09
Riavvia pure il pc in modalità normale.
Dovrebbe funzionare.

 

[ocrim10]

OTL.txt

il file di microsoft nel registro con cclenear lo ritrovo sempre!
Chrome da ancora il problema! ho provato a eliminare tutte le estensioni che aveva, ma dopo la pulizia cclenaer, oltre al solito errore, ha sempre l'estensione "divx plus web player html 5 video"

 

[R16]

il file di microsoft nel registro con cclenear lo ritrovo sempre!

Non volendo farti mettere le mani nel registro, mettilo nelle "Eccezzioni" di CCleaner, e buonanotte.
In fin dei conti non è pericoloso.

Chrome da ancora il problema!

Evidentemente hai qualcosa nel pc che non và d'accordo con Chrome.
E cosa sia, non lo sò.

 

[ocrim10]

Non volendo farti mettere le mani nel registro, mettilo nelle "Eccezzioni" di CCleaner, e buonanotte.
In fin dei conti non è pericoloso.

ok!! per il resto sono pulito da tutto dunque?

Chrome nn so, provo a fare qualcosa io!!

Grazie mille per tutto il supporto cmq, sei un grande :)

 

[Bagio09]

I virus parrebbero essere eliminati purtroppo però ora non mi si carica più la modalità normale di windows (si blocca al logo di windows e poi per un attimo appare una schermata blu e si riavvia), solo la provvisoria funziona, questo problema si presenta da dopo quella volta che sono riuscito ad accendere windows in modalità normale e ad aggiornare malwarebytes ma senza riuscire a fare la scansione perché al momento del comando mi si è disconnesso il PC e riavviato (come avevo scritto nel precedente messaggio)

 

[R16]

@Bagio09
Fai una nuova scansione con FRST.
Posta il log.

@ocrim10

per il resto sono pulito da tutto dunque?

Sei pulito.

Per Chrome vedo se trovo qualcosa in rete.
P.S:
I "Guru" di Chrome consigliano questo per il tuo problema:
https://support.google.com/chrome/answer/142059?hl=it
Ad alcuni ha funzionato, ad altri no.
Se vuoi, puoi provare.

Altra cosa:
Che versione hai di CCleaner?
Non vorrei che fosse un bug di CCleaner.

Poi, potresti anche fregartene di Chrome, usando Firefox.

 

[ocrim10]

@ocrim10

Sei pulito.

Per Chrome vedo se trovo qualcosa in rete.
P.S:
I "Guru" di Chrome consigliano questo per il tuo problema:
https://support.google.com/chrome/answer/142059?hl=it
Ad alcuni ha funzionato, ad altri no.
Se vuoi, puoi provare.

Altra cosa:
Che versione hai di CCleaner?
Non vorrei che fosse un bug di CCleaner.

Poi, potresti anche fregartene di Chrome, usando Firefox.

Era proprio CCleaner il problema!! l'ho aggiornato e ora nn lo fa più!! Grazie capo :D

 

[Bagio09]

@Bagio09
Fai una nuova scansione con FRST.
Posta il log.

eccolo: