Problema Malware o Spyware - Presentazione [Archivio]

View Full Version : Problema Malware o Spyware - Presentazione

CraCra

08-04-2014, 07:36

Buongiorno a tutti, mi chiamo Marco è ho deciso di sottoporvi il mio problema perchè mi trovo un po' in difficoltà.
Venerdi' scorso ho dovuto scaricare un programmino che generasse file pdf, una stampante pdf in pratica, e mi sono beccato qualche spyware o malware, ieri ho peso tutta la giornata a girovagare per forum tra pareri di luminari o pseudo tali, ma purtroppo non ho ottenuto molti risultati.
Ho usato tutta una serie di programmini da adwcleaner, adw-Aware, e altri che non ricordo e in ultimo SuperSpyware, ho provato a reinstallare Chrome, ho installato Firefox che non avevo perchè mi dicono essere piu' sicuro, soprattutto ho disattivato tutti i servizi da msconfig.
Ok, ora le famose finestre ad apertura automatica non ci sono piu', ma credo sia solo perchè l'ho bloccato dai servizi e non perchè ho ripulito il sistema, cosa che invece ci terrei a fare, soprattutto perchè trovo il pc parecchio rallentato, inoltre autocad 2012 non mi si apre piu' tenendo spenti i servizi!

Gentilmente qualcuno sa darmi una mano a ripulire per bene il pc e eliminare il maledetto malware o spyware che sia?

Vi ringrazio sin d'ora per l'aiuto e mi scuso per eventuali errori di forma nella gestione della discussione!

Buona giornata

Marco

JohnCipollina

08-04-2014, 08:17

prova a leggere la guida alla disinfezione per infetti , segui passo dopo passo le procedure e vedrai che ti ripulisci.

CraCra

08-04-2014, 08:29

Si grazie infatti ho trovato quella guida e sto procedendo, allego il primo log:

Malwarebytes Anti-Malware
www.malwarebytes.org

Scan Date: 08/04/2014
Scan Time: 09:30:22
Logfile: log.txt
Administrator: Yes

Version: 2.00.1.1004
Malware Database: v2014.04.08.01
Rootkit Database: v2014.03.27.01
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Chameleon: Disabled

OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: m.ferrero

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 381971
Time Elapsed: 12 min, 9 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Shuriken: Enabled
PUP: Enabled
PUM: Enabled

Processes: 1
PUP.Optional.SearchProtection.A, C:\ProgramData\Search Protection\SearchProtection.exe, 3848, , [bb26a384681372c40d266110689ae917]

Modules: 0
(No malicious items detected)

Registry Keys: 0
(No malicious items detected)

Registry Values: 1
PUP.Optional.SearchProtection.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Search Protection, C:\ProgramData\Search Protection\SearchProtection.exe, , [bb26a384681372c40d266110689ae917]

Registry Data: 0
(No malicious items detected)

Folders: 0
(No malicious items detected)

Files: 1
PUP.Optional.SearchProtection.A, C:\ProgramData\Search Protection\SearchProtection.exe, , [bb26a384681372c40d266110689ae917],

Physical Sectors: 0
(No malicious items detected)

(end)

JohnCipollina

08-04-2014, 08:55

Penso che MBAM riesca ad eliminare facilmente "SearchProtection.exe" .
Non dovrebbe essere un virus ma un programma "non voluto" , che si è istallato insieme ad un altro programma (pdf?) , e con lui si è attivato all' avvio anche il servizio/processo omonimo.
Comunque ti consiglio di eseguire anche tutti gli altri programmi fino a quando dai log non viene fuori più nulla.
Per l' autocad non credo proprio che dipenda da "SearchProtection.exe" , ma dal fatto che hai disattivato qualcosa che non andava disattivato, prima però ripulisciti a fondo.

CraCra

08-04-2014, 09:26

CraCra

08-04-2014, 12:44

Emsisoft Anti-Malware - Versione 8.1
Ultimo aggiornamento: 4/8/2014 9:45:23 AM
Account utente:

Impostazioni scansione:

Tipo scansione: Completa
Oggetti: Rootkits, Memoria, Tracce, C:\, D:\

Rileva PUPs: On
Archivio scansioni: On
Scansione ADS: On
Filtro estensione dei file: Off
Caching avanzato: On
Accesso diretto al disco: Off

Scansione avviata: 4/8/2014 9:47:06 AM
Key: HKEY_USERS\S-1-5-21-488250291-2549030433-1726240123-1001\SOFTWARE\SOFTONIC rilevati: Application.InstallAd (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\ADAWARETB rilevati: Application.InstallAd (A)
Key: HKEY_USERS\S-1-5-21-488250291-2549030433-1726240123-1001\SOFTWARE\INSTALLCORE rilevati: Application.AdTool (A)
Key: HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\EVENTLOG\APPLICATION\IEPLUGINSERVICE rilevati: Application.AdShort (A)
C:\Windows\system32\CGZipLibrary.DLL rilevati: Rogue.Win32.FakeAV (A)
Key: HKEY_USERS\S-1-5-21-488250291-2549030433-1726240123-1001\SOFTWARE\YAHOOPARTNERTOOLBAR rilevati: Application.Win32.YTool (A)

Scansionati 312044
Rilevato 6

Fine scansione: 4/8/2014 1:21:38 PM
Tempo scansione: 3:34:32

Key: HKEY_USERS\S-1-5-21-488250291-2549030433-1726240123-1001\SOFTWARE\YAHOOPARTNERTOOLBAR In quarantena Application.Win32.YTool (A)
Key: HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\EVENTLOG\APPLICATION\IEPLUGINSERVICE In quarantena Application.AdShort (A)
Key: HKEY_USERS\S-1-5-21-488250291-2549030433-1726240123-1001\SOFTWARE\INSTALLCORE In quarantena Application.AdTool (A)
Key: HKEY_USERS\S-1-5-21-488250291-2549030433-1726240123-1001\SOFTWARE\SOFTONIC In quarantena Application.InstallAd (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\ADAWARETB In quarantena Application.InstallAd (A)

In quarantena 5

Il Malware Rogue.Win32.FakeAV (A) che risulta ad alto rischio pero' non me lo elimina, provero' a cercare qualcosa su internet...:mc:

CraCra

08-04-2014, 13:45

HitmanPro, mi riconosce la mia piccola rete e non mi da la licenza gratuita dimostrativa,
quindi non posso procedere all'eliminazione di cio' che trova,
ma che casino....

allego il log

code]
HitmanPro 3.7.9.216
www.hitmanpro.com

Scan date . . . . . . : 2014-04-08 14:44:54
Scan mode . . . . . . : Normal
Scan duration . . . . : 4m 20s
Disk access mode . . : Direct disk access (SRB)
Cloud . . . . . . . . : Internet
Reboot . . . . . . . : No

Threats . . . . . . . : 1
Traces . . . . . . . : 70

Objects scanned . . . : 2.144.282
Files scanned . . . . : 51.706
Remnants scanned . . : 464.210 files / 1.628.366 keys

Malware remnants ____________________________________________________________

HKU\S-1-5-21-488250291-2549030433-1726240123-1001\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA}\ (Adware.MyWebSearch)

Potential Unwanted Programs _________________________________________________

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E\ (AskBar)
HKLM\SYSTEM\ControlSet002\services\eventlog\Application\IePluginService\ (FTDownloader)
HKU\S-1-5-21-2350407841-820747227-1077653446-1107\Software\Microsoft\Internet Explorer\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}\ (Blekko)
HKU\S-1-5-21-488250291-2549030433-1726240123-1001\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D4027C7F-154A-4066-A1AD-4243D8127440} (AskBar)

CraCra

08-04-2014, 13:49

piu' tutta una serie di cookies...

CraCra

08-04-2014, 14:03

Gli ultimi programmi servono solo per dare dei log? per altro lunghissimi...

devo postarli?ci capisco piu' niente...

CraCra

09-04-2014, 07:15

Grazie dovrei averlo eliminato con Rogue killer

non so se sono a posto o meno...per ora non mi apre piu' finestre, ma volevo fare una pulizia approfondita, peccato non poter usare HitmanPro

CraCra

09-04-2014, 13:29

la licenza di hitman pro l' hai registrata gia una volta, e quindi è scaduto il termine, dovresti vedere nel registro le chiavi relative a hitman pro e rimuoverle, ma rischi di far danni , cmq se quel rogue win32 non si è ricreato allora dovresti essere tranquillo , per sicurezza fai ancora una scansione con malwarebite free in modalita provvisoria

Ciao Davide e grazie per la tua attenzione,

la licenza non l'ho mai potuta attivare perchè mi riconosce la rete e quindi non mi da la possibiità di avere una licenza free di prova!

per ora non mi si aprono piu' finestre, faro' ancora una scansione come dici tu in modalità provvisoria...

grazie!

Chill-Out

09-04-2014, 15:11

Ciao Davide e grazie per la tua attenzione,

la licenza non l'ho mai potuta attivare perchè mi riconosce la rete e quindi non mi da la possibiità di avere una licenza free di prova!

per ora non mi si aprono piu' finestre, faro' ancora una scansione come dici tu in modalità provvisoria...

grazie!

>>> Come allegare i log http://www.hwupgrade.it/forum/showthread.php?t=1751598