PROBLEMA Ho preso un virus.

[Fefolino]

Buongiorno,
Come uno scemo ieri mi sono preso un virus. Tra le varie cose, mi ha tipo installato 5 programmi di mining con la cpu, 20 programmi di "pulizia computer" e simili, apriva programmi e pagine web a caso, soprattutto mi aveva disattivato Windows Defender ("Errore imprevisto a causa di un problema. Riprova più tardi") e non mi faceva più aprire MalwareBytes che avevo installato da 2 giorni per fare una scansione ("Unable to connect to service"). Allora sono andato subito nel Task Manager e ho killato tutti i processi con nomi strani (nel senso dei virus.), circa una ventina, però due riapparivano sempre.
Allora ho avviato ADWCleaner, Kaspersky TDSSKiller, RogueKiller, e ho trovato una versione di MalwareBytes che mi si avvia. Penso sia tipo dell'anno scorso, ma meglio di niente.
Quando tutti avevano finito, ho fatto rimuovi a tutti e ho riavviato il pc. ADWCleaner aveva trovato un centinaio di roba, Kaspersky 10, Roguekiller 20, Malwarebytes ben 700.
Al riavvio, ulteriore problema. Ogni volta che cerco di riavviare ADWCleaner etc.. mi appare "L’app è stata bloccata a scopo di protezione". O meglio, lo schermo si "oscura" come quando stai per avviare un'app che richiede i diritti di amministratore, ma non appare la casella con scritto "Avvia" o "No", devo premere CTRL + ALT + CANC e per mezzo secondo appare quella schermata.
Allora riavvio in modalità provvisoria e inizio a fare scansioni su scansioni, riavvii su riavvii, ma ogni volta trovano nuovi file infetti. Molti meno rispetto a prima, ma diciamo che una decina ci sono sempre, anche se faccio una scansione e faccio "Elimina" e faccio una scansione subito dopo, oppure riavvio e scansione MalwareBytes ne trova sempre una decina. RogueKiller 2-4. Kaspersky e ADWCleaner invece non trovano più niente, e WindowsDefender e la versione installata di MalwareBytes danno sempre lo stesso errore.
Come posso fare? Ho anche fatto una scansione con FRST, ora vi allego i file

Grazie :)

Edit: Dopo aver avviato per 10 volte di fila MalwareBytes, mi trova solo 2 file infetti (sono sempre gli stessi ad ogni scansione), precisamente appare questo
Threat Category Type Location
Trojan.Wdfload Malware File C:Windows\Temp\g466A.tmp.exe
Trojan.Wdfload Malware Process C:\Windows\Temp\g466A.tmp.exe

 

[R16]

Salve.
Manca il log Addition.txt.
Devo vedere anche quello per avere un'idea completa sullo stato delle infezioni.
Scarica questo file sul desktop: (dove si trova FRST)
http://wikisend.com/download/162716/fixlist.txt
Avvia FRST e clicca su FIX.
Attendi la fine della scansione.
Se il pc non si riavvia da solo, lo devi riavviare tu.
Posta il file fixlog.txt.
Rifai una nuova scansione con FRST, metti la spunta sul tag Addition.txt.
Posta i 2 log che rilascia sul desktop.
Fai attenzione a non confonderli con i precedenti log.

 

[Fefolino]

Salve.
Manca il log Addition.txt.
Devo vedere anche quello per avere un'idea completa sullo stato delle infezioni.
Scarica questo file sul desktop: (dove si trova FRST)
http://wikisend.com/download/162716/fixlist.txt
Avvia FRST e clicca su FIX.
Attendi la fine della scansione.
Se il pc non si riavvia da solo, lo devi riavviare tu.
Posta il file fixlog.txt.
Rifai una nuova scansione con FRST, metti la spunta sul tag Addition.txt.
Posta i 2 log che rilascia sul desktop.
Fai attenzione a non confonderli con i precedenti log.

Grazie per la risposta.

Intanto ti metto il file che mancava (per sbaglio ho messo due volte lo stesso..) e faccio subito quello che hai detto!

 

[Fefolino]

Salve.
Manca il log Addition.txt.
Devo vedere anche quello per avere un'idea completa sullo stato delle infezioni.
Scarica questo file sul desktop: (dove si trova FRST)
http://wikisend.com/download/162716/fixlist.txt
Avvia FRST e clicca su FIX.
Attendi la fine della scansione.
Se il pc non si riavvia da solo, lo devi riavviare tu.
Posta il file fixlog.txt.
Rifai una nuova scansione con FRST, metti la spunta sul tag Addition.txt.
Posta i 2 log che rilascia sul desktop.
Fai attenzione a non confonderli con i precedenti log.

Ecco qua,
non modifico il messaggio di sopra giusto per essere sicuro che ti arriva che ho risposto.

Domanda: è normale che non trovo più il "fixlist" nella cartella dove c'è FRST? Non so se magari sia normale che lo abbia cancellato il programma... O se ho sbagliato qualcosa io.
Ecco comunque i nuovi log + fixlog, grazie ancora! :)

Ah, è normale che mi abbia cancellato tutte le password salvate su chrome? (tom's, telegram, facebook etc..)

Comunque c'è sempre questo processo g****.tmp.exe, quei 4 asterischi cambiano ogni volta, ho trovato qualcosa su internet ma non ho capito come risolvere.

 

[R16]

L'infezione è di quelle toste.
Devo ricontrollare i 2 log che hai postato.
Intanto controlla sul Task Manager se esiste questo processo:
C:\Windows\Temp\g466A.tmp.exe
Se lo vedi lo termini.

 

[Fefolino]

L'infezione è di quelle toste.
Devo ricontrollare i 2 log che hai postato.
Intanto controlla sul Task Manager se esiste questo processo:
C:\Windows\Temp\g466A.tmp.exe
Se lo vedi lo termini.

Ok grazie... Comunque non c'è quel processo ma c'è questo ora
gCE3D.tmp.exe

Penso che ogni volta che faccio la scansione con MalwareBytes e lo elimino ritorni con un nome diverso

Secondo te è meglio formattare tutto e via?

 

[R16]

Scarica questo file sul desktop: (dove si trova FRST)
http://wikisend.com/download/296368/fixlist.txt
Avvia FRST e clicca su FIX.
Attendi la fine della scansione.
Se il pc non si riavvia da solo, lo devi riavviare tu.
Posta il file fixlog.txt.
Fai una pulizia con CCleaner compreso il registro

Secondo te è meglio formattare tutto e via?

Aspetta un attimo......
Fammi sapere come funziona il pc dopo questa operazione.

 

[Fefolino]

Scarica questo file sul desktop: (dove si trova FRST)
http://wikisend.com/download/296368/fixlist.txt
Avvia FRST e clicca su FIX.
Attendi la fine della scansione.
Se il pc non si riavvia da solo, lo devi riavviare tu.
Posta il file fixlog.txt.
Fai una pulizia con CCleaner compreso il registro

Aspetta un attimo......
Fammi sapere come funziona il pc dopo questa operazione.

Ecco qui il nuovo fixlog, ti allego anche i nuovi Addition.txt e FRST.txt della scansione, anche se non lo hai scritto non si sa mai che ti possano essere utili.

Comunque fondamentalmente il pc non è che vada male nel senso tipo rallentamenti, ma facendo scansioni i programmi trovano sempre virus su virus e come ho detto alcuni programmi (soprattutto antivirus) non vanno.

Ora faccio pulizia con CCleaner e poi che faccio, provo ad avviare una nuova scansione?

 

[R16]

Fai una scansione con TDSSKiller
Clicca su:
Change parameters.
Metti la spunta su "detect tdlfs file system" e "verify file digital signature"
Clicca OK.
Poi clicca su "Start Scan"
Posta il log.

Poi fammi una scansione con RougeKiller.
Posta il log.
Se hai un po di pazienza ti libero da questo bastardo.

 

[Fefolino]

Fai una scansione con TDSSKiller
Clicca su:
Change parameters.
Metti la spunta su "detect tdlfs file system" e "verify file digital signature"
Clicca OK.
Poi clicca su "Start Scan"
Posta il log.

Poi fammi una scansione con RougeKiller.
Posta il log.
Se hai un po di pazienza ti libero da questo bastardo.

TDSSKiller prima non si avviava (dava "L’app è stata bloccata a scopo di protezione") e invece già ora sia avvia, bene. Comunque l'ultima scansione che ero riuscito a fare aveva dato 0 risultati.
Per sicurezza sto facendo una scansione con quello, RogueKiller e anche MalwareBytes attivando anche la ricerca di Rootkit, non si sa mai. Appena ha finito posto tutto!

Comunque grazie a te per il tempo che mi stai dedicando! :D

 

[Fefolino]

Fai una scansione con TDSSKiller
Clicca su:
Change parameters.
Metti la spunta su "detect tdlfs file system" e "verify file digital signature"
Clicca OK.
Poi clicca su "Start Scan"
Posta il log.

Poi fammi una scansione con RougeKiller.
Posta il log.
Se hai un po di pazienza ti libero da questo bastardo.

Ecco entrambi i log. Ognuno ha individuato un file ma penso siano file diversi... Tra l'altro quello di RogueKiller sembra essere un file di una versione di MalwareBytes che avevo scaricato, purtroppo quella ufficiale ancora non si apre (e nemmeno Windows Defender si apre, non è che da errore come prima quando vado ad avviare, non si apre proprio)
Faccio pulire ad entrambi?

 

[R16]

Facciamo una pulizia per tutti i software che hai scaricato: (FRST, TDSSKiller,RogueKiller ecc...)
Scarica Delfix sul desktop:
https://toolslib.net/downloads/viewdownload/2-delfix/
Metti la spunta solo sul tag "Remove disinfection tools"(dovrebbe essere selezionata di default)
Clicca "Run".
Aspetta pazientemente che vengano eseguite le eliminazioni .
Il report verrà salvato negli appunti e sul disco rigido (C:\DelFix.txt).
Il pc sembra pulito, quelle rilevate dai software non sono infezioni.
Disinstalla Malwarebytes completamente.
Fai una pulizia con CCleaner.
Riavvia il pc.
Poi lo reistalli :
https://it.malwarebytes.com/
Fai attenzione a NON installare la versione a pagamento.
Rifai la scansione e vedi se rileva qualcosa.
Per Windows Defender (parliamo dell'antivirus vero? ) ci pensiamo in seguito.
E' possibile che sia bloccato da qualche installazione precedente di qualche altro antivirus. (Avast! Avira o altro)

 

[Fefolino]

Facciamo una pulizia per tutti i software che hai scaricato: (FRST, TDSSKiller,RogueKiller ecc...)
Scarica Delfix sul desktop:
https://toolslib.net/downloads/viewdownload/2-delfix/
Metti la spunta solo sul tag "Remove disinfection tools"(dovrebbe essere selezionata di default)
Clicca "Run".
Aspetta pazientemente che vengano eseguite le eliminazioni .
Il report verrà salvato negli appunti e sul disco rigido (C:\DelFix.txt).
Il pc sembra pulito, quelle rilevate dai software non sono infezioni.
Disinstalla Malwarebytes completamente.
Fai una pulizia con CCleaner.
Riavvia il pc.
Poi lo reistalli :
https://it.malwarebytes.com/
Fai attenzione a NON installare la versione a pagamento.
Rifai la scansione e vedi se rileva qualcosa.
Per Windows Defender (parliamo dell'antivirus vero? ) ci pensiamo in seguito.
E' possibile che sia bloccato da qualche installazione precedente di qualche altro antivirus. (Avast! Avira o altro)

Ho fatto tutto, sul sito https://it.malwarebytes.com/ ho clickato "Download Gratuito", mi ha chiesto di riavviare, quando lo avvio mi da questo errore "Impossibile contattare il server delle licenze. Controlla la tua connesione di rete o contatta l'amministratore di sistema per assistenza." ma si avvia comunque. Intanto ti allego il log di Delfix.

Si per Windows Defender intendo l'antivirus, proprio se ci clicco sopra si apre per un millesimo di secondo una finestra di cui posso vedere solo la cornice e si chiude. Oltre ai programmi che ti ho detto non ne ho installati altri (Es. Avast!)

 

[R16]

ma si avvia comunque.

Non ho capito se sei riuscito a installarlo.
Se non sei riuscito prova a installarlo da qui:
https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

 

[Fefolino]

Non ho capito se sei riuscito a installarlo.
Se non sei riuscito prova a installarlo da qui:
https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

Sisi ci sono riuscito... Ma sono 2 ore che sta andando la scansione e ha trovato 1 minaccia