Virus: System tools 2011 e non solo...

mtguido

Utente Attivo
1,021
29
Buonasera, un mio amico mi ha dato un pc fisso notevolmente infetto. Il sintomo principale era una bsod all'avvio di Windows XP SP3 al termine del suono di avvio. Sono entrato in modalità provvisoria ed ho notato un programmino vicino all'orologio chiamato System tools 2011 che all'apparenza sembra un antivirus ma leggendo su google ho scoperto essere un virus.
Da modalità provvisoria ho fatto girare Malwarebytes che ha trovato ben 529 files infetti, ho ripulito. Dopo ho fatto girare Superantispyware che ne ha trovati una 15ina. Infine ho lanciato Combofix che è riuscito ad eliminare un certo winxp.exe che malwarebytes non riusciva ad elminare.
Dopo il lavoro di questi 3 programmi all'avvio normale non si presenta più la bsod ma persistono notevoli problemi. Innanzitutto non riesco ad installare niente. Se per esempio avvio l'installazione di avira compare un errore:
presetup.exe Impossibile accedere alla periferica, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie.
Problemi simili si verificano al tentativo di installazione di altri programmi (volevo ad esempio far girare nuovamente combofix ma in modalità normale non si avvia).
Inoltre non entra nel task manager e non riesco ad avviare msconfig.

Cosa consigliate di fare?

Grazie
 

Er Barabba

Utente Èlite
4,507
1,567
CPU
i7 12700K @ Stock
Dissipatore
EK Velocity
Scheda Madre
Asus Z690 TUF Plus D4
HDD
Samsung 980pro
RAM
TridentZ 3600MHz CL15 4x8GB
GPU
RTX 3080 TUF OC
Monitor
Dell S3220DGF
PSU
RM850i
Case
FD Focus G custom
OS
Windows 11
Se vuoi ti presto la .9 mm, cosi smette di soffrire :lol:

Scherzi a aparte... visto lo stato della macchina controlla anche per la presenza rootkit. Senno avrai fatto tanta fatica per nulla :D
 

skynet81

Utente Èlite
8,562
1,391
CPU
Intel Core i5 9600K
Dissipatore
Cryorig H5
Scheda Madre
Asus Prime Z370M-PLUS
HDD
Samsung 970 EVO Plus
RAM
Crucial Ballistix Sport 2x8GB
Audio
Creative Sound BlasterX AE-5
Monitor
LG 24MK600
PSU
Seasonic Focus Gold 450
Case
NZXT H400
OS
Windows 10 Pro x64
Io sarei per far girare subito combofix. In molti casi quei rogue (falsi antivirus) installano dei rootkit.
 

mtguido

Utente Attivo
1,021
29
Dunque dopo vari giri di questi 3 programmi la situazioni sembra migliorata ma non credo sia tutto pulito.
Sono riuscito a installare avira e ogni tanto viene fuori il messaggio che ha trovato una 30ina di file infetti.
Ho fatto fare un altro giro a testa di Malwarebytes, Superantispyware e Combofix per postarvi i log. Unico problema, al termine del giro di Combofix mi va in bsod dopo aver detto che ha creato il Log.
Eccovi i log, attendo vostre indicazioni.Grazie
 

FDAC

Utente Attivo
1,335
194
Ciao.
Dovrebbe essere rimasto ancora qualcosa.
Fai queste due scansioni, con TDSS Killer e Kaspersky Virus Removal Tool.
Posta gli esiti.
Ciao e buon lavoro.

Scarica TDSSKiller: http://support.kaspersky.com/downloads/utils/tdsskiller.zip
● estrai il contenuto del file zippato sul Desktop
● doppio click su TDSSKiller.exe per avviare l'applicazione e successivamente sul pulsante Start Scan

Giunti a questo punto, inizia la scansione del tuo sistema alla ricerca di software malevolo:
● se viene trovato un file infetto, l'azione di default sarà Cure, clicca quindi su Continua
● se viene trovato un file sospetto, l'azione di default sarà Skip, clicca quindi su Continua

Una volta terminata la scansione, si presenterà una di queste due opzioni:
non è necessario il riavvio del sistema: clicca su Report e salva il contenuto in un file di testo
● è necessario riavviare il sistema: clicca su Riavvia ora
● una volta riavviato il sistema, il report del programma da allegare si trova in C:\ in questa forma:
TDSSKiller.[Version]_[Date]_[Time]_log.txt

Scarica Kaspersky Virus Removal Tool: Kaspersky Virus Removal Tool 2010
● al termine della installazione verrà mostrata la schermata principale del tool
● verrà creata una cartella sul Desktop dal nome Virus Removal Tool
● seleziona la partizione da scansionare e clicca su Scan per avviare la Scansione
● terminata la scansione, in caso di rilevazione di infezioni, clicca su Neutralize all
● si apriranno dei popup dove potrai scegliere se Cancellare o Disinfettare l'oggetto
● metti la spunta su Apply to all e clicca su Quarantine
● per salvare il Report che verrà rilasciato, clicca sul tasto Reports: salvalo sul Desktop poi allegalo sul forum
 

R16

Utente Èlite
2,307
425
CPU
boh
Scheda Madre
boh
HDD
boh
RAM
boh
GPU
boh
Audio
boh
Monitor
boh
PSU
boh
Case
boh
OS
boh
Dovrebbe essere rimasto ancora qualcosa.
Già.....chissà cosa.....:boh:
Non ti sei nemmeno accorto, che il log non è completo.

@mtguido:
Segui queste indicazioni: (lascia perdere, per il momento, le indicazioni di FDAC)
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Codice:
KillAll::
Driver::
eshtdk
jnvvziyn
sztpjeshm
NetSvcs::
jnvvziyn
sztpjeshm
eshtdk
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.

N.B:
E' possibile, che ci siano altre infezioni, per cui, quando uscirà il log,postalo completo.
 

mtguido

Utente Attivo
1,021
29
Già.....chissà cosa.....:boh:
Non ti sei nemmeno accorto, che il log non è completo.

@mtguido:
Segui queste indicazioni:
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Codice:
KillAll::
Driver::
eshtdk
jnvvziyn
sztpjeshm
NetSvcs::
jnvvziyn
sztpjeshm
eshtdk
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.

N.B:
E' possibile, che ci siano altre infezioni, per cui, quando uscirà il log,postalo completo.

Ok allora faccio così, mi spieghi però perchè è incompleto? Può essere perchè mi è andato in bsod al termine quando mi ha scritto che aveva creato il log?
 

R16

Utente Èlite
2,307
425
CPU
boh
Scheda Madre
boh
HDD
boh
RAM
boh
GPU
boh
Audio
boh
Monitor
boh
PSU
boh
Case
boh
OS
boh
mi spieghi però perchè è incompleto?
Perchè conosco i log di Combofix.....:D
Manca tutta una serie di informazioni, che devono esserci per forza.
Vedrai che dopo l'indicazionie che ti ho dato, il log sarà diverso.

Per cortesia, non "quotare" le mie risposte.
Mi trovo meglio.
 

mtguido

Utente Attivo
1,021
29
Perchè conosco i log di Combofix.....:D
Manca tutta una serie di informazioni, che devono esserci per forza.
Vedrai che dopo l'indicazionie che ti ho dato, il log sarà diverso.

Non metto assolutamente in dubbio che sia incompleto, anzi...Volevo solo capirne il motivo. E' per il bsod oppure perchè consideri "incompleto" un log ottenuto dopo una scansione senza il tuo metodo?
 

mtguido

Utente Attivo
1,021
29
Dunque creando il file txt in quel modo si avvia combofix, fa i primi passaggi ma quando inizia a fare la scansione si riavvia il computer subito prima che inizi lo stage 1. Ho provato di nuovo in modo normale, completa la scansione e poi si riavvia. Questo è il log.
 

FDAC

Utente Attivo
1,335
194
Ahia.. Lo Script non ha funzionato.. E per giunta, il log non è completo neancora.
Attendi il maestro.
 

R16

Utente Èlite
2,307
425
CPU
boh
Scheda Madre
boh
HDD
boh
RAM
boh
GPU
boh
Audio
boh
Monitor
boh
PSU
boh
Case
boh
OS
boh
Per forza non ha funzionato....:rolleyes:
Non hai salvato il file di testo con il nome di CFScript.txt

Se non lo salvi con detto nome, non funzionerà mai.

Esegui questo script:
Codice:
KillAll::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2333:TCP"=-
Driver::
eshtdk
jnvvziyn
sztpjeshm
NetSvcs::
jnvvziyn
sztpjeshm
eshtdk

@FDAC:
Per favore, evita di "ironizzare".
Se non hai argomenti migliori,puoi sempre stare zitto.
Il silenzio, vale più di qualsiasi parole, dette a vanvera.
 

mtguido

Utente Attivo
1,021
29
Il file veramente l'ho salvato proprio con quel nome, ci sono stato molto attento, eppure non ha funzionato. Il fatto che si riavvii il computer al termine della scansione mi fa pensare che ci sia qualcosa che non va altrimenti non capisco perchè non abbia funzionato. Ad ogni modo proverò con il nuovo codice e ti faccio sapere il prima possibile.
 

R16

Utente Èlite
2,307
425
CPU
boh
Scheda Madre
boh
HDD
boh
RAM
boh
GPU
boh
Audio
boh
Monitor
boh
PSU
boh
Case
boh
OS
boh
Il file veramente l'ho salvato proprio con quel nome
Mi dispiace ma non è così.
Se lo avessi salvato come ho indicato, l'intestazione sarebbe così:
Eseguito da: C:\Documents and Settings\Bruno\Desktop\CFScript.txt

Invece, l'intestazione risulta così:
Eseguito da: C:\Documents and Settings\Bruno\Desktop\ComboFix.exe
Per cui, devi avere commesso qualche errore.

Il fatto che si riavvii il computer al termine della scansione mi fa pensare che ci sia qualcosa che non va
Certo.
Ci sono quei rootkit, (segnati sullo script) che si devono eliminare.
E, in ogni caso, sia al termine della scansione, che al termine dell'eliminazione dei file, il pc, si deve riavviare.
 

Entra

oppure Accedi utilizzando
Discord Ufficiale Entra ora!