Funzionamento Anomalo Dopo Rimozione Virus "polizia"

[DrMagik]

Dopo aver rimosso (credo, spero) il virus che lanciava la scermata "PC-bloccato-dalla-Polizia-di-Stato-paga-€-100-e-te-la-cavi" noto anomalie di funzionamento.

• dando il comando di spegnimento il PC continua a funzionare anche se windows cessa le attività; forzo quindi lo spegnimento ed al riavvio non ci sono segnali di arresto anomalo
  
• il riavvio è possibile previo distacco della batteria, altrimenti nessun segno di vita
  

Allego i vari log così da potervi aiutare a capire cosa affligge la mia macchina (non riesco a caricare il log OTL in quanto troppo grande)

Grazie in anticipo

aswMBR.txt

hijackthis.log

Extras.Txt

[tecnico24]

Manca OTL.txt

[DrMagik]

Si, come ho scritto il file è superiore ai 100 MB; l'ho diviso in due parti e lo allego

grazie

OTL1.Txt

[DrMagik]

seconda parte

OTL2.txt

[tecnico24]

Ciao.

Il pc è ancora infetto da quel ransomware.

Apri OTL

metti la spunta su SCAN ALL USERS

sotto output metti MINIMAL OUTPUT

sotto file Age seleziona 60 days

premi RUN SCAN

allega i due report su www.freefilehosting.net e posta i link per scaricarli(onde evitare confusioni).

Modificato December 21, 2012 da tecnico24

[DrMagik]

http://www.freefilehosting.net/otl_28

[tecnico24]

Ciao.

Segui la guida per Combofix e posta il log:

http://forum.wininizio.it/index.php/topic/98188-combofix-guida-illustrata/

[DrMagik]

fatto!!

Combofix.txt

[tecnico24]

Disinstalla in ordine

max secure software

Ad-aware antivirus

Scarica Ccleaner

http://download.html.it/software/vedi/7503/ccleaner-free/

Aprilo

portati in opzioni-impostazioni

in tipo di cancellazione imposta sicura(lenta)

Sezione Pulizia , analizza e pulisci tutto ciò che trova

Sezione Registro , analizza e ripara tutte le chiavi effettuando il backup.

Seconda operazione:

Start

nella casella di ricerca scrivi Msconfig

aprilo

portati in Servizi

Metti la spunta su Nascondi servizi microsoft

clicca su disabilita tutto

Applica-OK.

Entra nella modalita provvisoria con rete :

Riavvia il pc

premi F8 ripetutamente

tra le modalità che ti appariranno , scegli Modalità provvisoria con rete con i tasti freccia seguito da invio.

Scarica Malwarebytes

http://download.html.it/software/vedi/8910/malwarebytes-anti-malware-free/

Effettua l'aggiornamento dei database <- IMPORTANTE

Effettua una scansione completa del sistema , NON veloce <- IMPORTANTE

Quando ha finito , se rileverà minaccie , assicurati che tutte siano spuntate e clicca su Rimuovi elementi selezionati.

posta il report della scansione.

[DrMagik]

Fatto, allego il log MBAM.

Noto che l'inconveniente del mancato spegnimento dell'apparecchio persiste ed la mancata accensione potrebbe dipendere da una elevata emperatura (dopo lo spegnimento dello schermo la ventola comincia a girare molto più velocemente). Problema software o hardware?

Grazie

mbam-log-2012-12-22 (18-03-45).txt

[DrMagik]

...e, prima che me lo chieda, allego anche il log di Hijack

hijackthis.log

mbam-log-2012-12-22 (18-03-45).txt

[tecnico24]

Ciao.

Adesso il pc è pulito dal lato infezioni.

Ripristiniamo windows di default e vediamo se riusciamo ad ottenere qualcosa , altrimenti presumo sia un problema hardware.

Scarica Windows Repair(All in one Tweaking):

MajorGeeks.Com - Contacting Download Site

sul desktop.

Tasto destro->esegui come amministratore

Vai allo step 2

Check File System(optional) Very important If Doing File Permission Repair

clicca su Do It

Il pc si riavvierà per il controllo

Avvia di nuovo Windows Repair come amministratore

Vai allo step 3

System File Check (optional)

Clicca su Do It

quando ha finito , riavvia il pc

Avvia di nuovo Windows repair come amministratore

vai allo step 4

sotto system restore clicca su create

sotto registry backup clicca su backup

Avvia di nuovo Windows repair come amministratore

Vai all'ultimo step Start Repairs

clicca Start in basso a destra

Lascia le spunte di default

Metti la spunta su Restart/Shutdown System When finished

assicurati che sotto sia spuntato su Restart system

clicca Start

al termine delle operazioni il pc si riavvierà da solo.

[DrMagik]

Seguite le istruzioni, fatti due tentativi falliti al passo 4 in quanto il sistema è andato in crash (schermata blu, sistema andato in protezione BAD_POOL_CALLER)

E' in corso il terzo tentativo

Per la cronaca: è il passo 4/30 che provoca l'arresto

[DrMagik]

Buon Nataleeeee

[tecnico24]

La procedura è terminata?

[DrMagik]

Ahimè no... l'ho ripetuta svariate volte ma, sempre al punto 4, si interrompe con un crash. Il messaggio più frequente è quello che ho riportato sopra. Altri non sono stato in grado di leggerli, troppo veloci oppure ero lontano dal PC

[pike]

Usiamo BlueScreenView

http://www.nirsoft.net/utils/blue_screen_view.html

E scopriamo qualcosa di più di quei bluescreen

[tecnico24]

Possiedi il cd di windows vista?

Farei un altro tentativo per verificare i file di sistema .

[DrMagik]

Non ho il CD, Windows è sul disco D (Recovery ec ecc..)

[DrMagik]

Ecco il report del BluScreenWiewer; ho selezionato quelli relativi agli inconvenienti riscontrati dopo le operazioni che mi hai consigliato

grazie, ciao

report.html

[pike]

Che bello... tra i file coinvolti c'è il buon IDSvix86.sys, che è parte di un sistema di Intrusion Detection System di Symantec.

HAi qualche prodotto Symantec o Norton installato nel tuo PC?

[DrMagik]

No, nessun prodotto Symantec/Norton; in effetti l'installazione standard prevedeva Norton Antivirus bla bla bla e lo installai a seguito di una formattazione forzata effettuata tempo fa. Immediatamente disinstallato per antica antipatia.

Ho controllato su CCleaner la presenza di prodotti Symntec/Norton...nulla

Grazie

[pike]

A mio parere hai ancora in giro pezzi di quel prodotto.

Ti suggerisco caldamente di fare girare questo tool di Norton/Symantec.

https://www-secure.symantec.com/norton-support/jsp/help-solutions.jsp?docid=kb20080710133834EN_EndUserProfile_it_it&product=home&pvid=f-home&version=1&lg=en&ct=us

Se invece si tratta di Norton 360, dovrai usare questo tool.

https://www-secure.symantec.com/norton-support/jsp/help-solutions.jsp?docid=kb20071130124653EN_EndUserProfile_it_it&product=home&pvid=f-home&version=1&lg=en&ct=us

I tool linkati ti dovrebbero consentire di pulire completamente la macchina dagli "avanzi" del prodotto di sicurezza.

Il computer è ancora instabile?

[DrMagik]

Ho fatto girare il primo tool che mi hai consigliato; successivamente ho completato i 4 steep di Windows Repair (All in One Tweaking).

I residui di Norton parrebbero, quindi eliminati.

Segnalo che ho dovuto spegnere manualmente l'apparecchio visto che permane l'inconveniente già segnalato: la macchina continua a restare accesa e le ventole aumentano la loro velocità.

Ora (dopo troppi giorni a letto con la febbre) ho provato a riaccendere il PC che parte regolarmente, successivamente appare il sinbolo di Windows, appare la scritta attendere e, successivamente, Arresto in corso. Fa parte del gioco o devo preoccuparmi? al momento sarà accaduto 5, 6 volte

[pike]

Ciao DrMagik,

per come la vedo io, no, non fa parte del gioco.

Il comportamento è strano ed è da analizzare.