Hardware Upgrade Forum

Hardware Upgrade Forum (https://www.hwupgrade.it/forum/index.php)
-   Aiuto sono infetto! Cosa faccio? (https://www.hwupgrade.it/forum/forumdisplay.php?f=125)
-   -   Complimenti! Sei stato selezionato... (https://www.hwupgrade.it/forum/showthread.php?t=2862400)


erreenne 06-09-2018 16:18

Complimenti! Sei stato selezionato...
 
Ciao, da oggi quando apro Firefox (con win10), dopo qualche tempo che il programma è aperto, anche senza navigare, si apre una nuova finestra con la scritta

COMPLIMENTI!

Vogliamo ringraziarti per la tua fedeltà a Firefox!

Il tuo indirizzo IP è stato selezionato per ricevere un Galaxy S9!

Data: giovedi 6 settembre 2018

Riferimento dell'utente: GIFT-9222931-97


Ho pulito la cache, ho fatto passare il computer con l'antimalware, ho installato l'ultima versione di Firefox, ma continua ad apparire questo messaggio.

Il tutto riporta a un sito del genere SSSSShits.net-bq97.stream/survey-r/index-it-s9 ma leggo online che è capitato ad altri con altri indirizzi.

Cosa può essere? Qui o altrove non ho trovato una soluzione
Grazie
Andrea

Dan1979 06-09-2018 17:02

Ciao

esegui le seguenti scansioni in ordine come scritte:

Malwarebyte antimalware scaricalo da qui https://it.malwarebytes.com/
fai la scansione ed elimina cio che trova e posta il log generato

Poi scarica adwcleaner da qui https://www.bleepingcomputer.com/download/adwcleaner/
tasto dx sopra eseguibile avvia come amministratore e fai la scansione elimina quello che trova e posta il log

Poi scarica frst da qui https://www.bleepingcomputer.com/dow...ery-scan-tool/
scarica la versione adatta al tuo sistemaoperativo 32 o 64 bit
posiziona l eseguibile sul desktop
tasto dx sopra eseguibile--apri come amministratore
una volta aperto clicca su scan
postare log frst.txt e addition.txt

Ciao

Nicodemo Timoteo Taddeo 06-09-2018 17:17

A Firefox chiuso, vai in C:\Utenti\nome_utente\AppData\Roaming, troverai una cartella Mozilla (devi attivare la visualizzazione dei file nascosti in esplora file). Rinominala in Mozilla_old.

Riavvia Firefox, ti partirà come fosse la prima volta che lo hai installato, prova a navigare. Ti appare sempre quella finestra?

Non ti preoccupare, non hai perso le tue cose, stanno sempre nella cartella Mozilla_old, si sarà nel frattempo creata una nuova Mozilla. In ogni momento puoi cancellare l'ultima e rinominare Mozilla_old in Mozilla e riavere il tuo Firefox.

Per il momento quello che conta è sapere se il problema è localizzato dentro il tuo profilo utente in Forefox.

erreenne 07-09-2018 12:11

Quote:

Originariamente inviato da Dan1979 (Messaggio 45741677)
Ciao

esegui le seguenti scansioni in ordine come scritte:

Malwarebyte antimalware scaricalo da qui https://it.malwarebytes.com/
fai la scansione ed elimina cio che trova e posta il log generato

Poi scarica adwcleaner da qui https://www.bleepingcomputer.com/download/adwcleaner/
tasto dx sopra eseguibile avvia come amministratore e fai la scansione elimina quello che trova e posta il log

Poi scarica frst da qui https://www.bleepingcomputer.com/dow...ery-scan-tool/
scarica la versione adatta al tuo sistemaoperativo 32 o 64 bit
posiziona l eseguibile sul desktop
tasto dx sopra eseguibile--apri come amministratore
una volta aperto clicca su scan
postare log frst.txt e addition.txt

Ciao

SCANSIONE 1
Malwarebytes
www.malwarebytes.com

-Dettagli log-
Data scansione: 07/09/18
Ora scansione: 11:54
File di log: f4973f8c-b283-11e8-b7d6-f46d0421bcc7.json

-Informazioni software-
Versione: 3.5.1.2522
Versione componenti: 1.0.441
Aggiorna versione pacchetto: 1.0.6685
Licenza: Free

-Informazioni sistema-
SO: Windows 10 (Build 17134.254)
CPU: x64
File system: NTFS
Utente: Andrea

-Riepilogo scansione-
Tipo di scansione: Ricerca elementi nocivi
Scansione avviata da: Manuale
Risultati: Completata
Elementi analizzati: 404377
Minacce rilevate: 0
(Nessun elemento nocivo rilevato)
Minacce messe in quarantena: 0
(Nessun elemento nocivo rilevato)
Tempo impiegato: 3 min, 54 sec

-Opzioni di scansione-
Memoria: Attivata
Esecuzioni automatiche: Attivata
File system: Attivata
Archivi compressi: Attivata
Rootkit: Disattivata
Analisi euristica: Attivata
PUP: Rilevare
PUM: Rilevare

-Dettagli scansione-
Processo: 0
(Nessun elemento nocivo rilevato)

Modulo: 0
(Nessun elemento nocivo rilevato)

Chiave di registro: 0
(Nessun elemento nocivo rilevato)

Valore di registro: 0
(Nessun elemento nocivo rilevato)

Dati di registro: 0
(Nessun elemento nocivo rilevato)

Flusso di dati: 0
(Nessun elemento nocivo rilevato)

Cartella: 0
(Nessun elemento nocivo rilevato)

File: 0
(Nessun elemento nocivo rilevato)

Settore fisico: 0
(Nessun elemento nocivo rilevato)

WMI: 0
(Nessun elemento nocivo rilevato)



SCANSIONE 2
# -------------------------------
# Malwarebytes AdwCleaner 7.2.3.0
# -------------------------------
# Build: 08-30-2018
# Database: 2018-09-06.1 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 09-07-2018
# Duration: 00:00:14
# OS: Windows 10 Home
# Scanned: 41889
# Detected: 4


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

PUP.Optional.Legacy C:\ProgramData\54F3DE4E-B7BA-4EBD-8B3B-385D272CC583

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.Legacy HKLM\Software\Wow6432Node\Classes\CLSID\{8BF0126F-A5B7-4720-ABB2-2414A0AF5474}
PUP.Winlogon.Heuristic HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit

***** [ Chromium (and derivatives) ] *****

PUP.Optional.Legacy MSN Homepage & Bing Search Engine

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########


Il secondo mi ha trovato dei malware che il primo non aveva individuato. Provo a vedere se il problema persiste.
Grazie!

Dan1979 07-09-2018 13:36

Se il problema persiste ripristina firefox e vedi de tra le estensioni e app ce ne sono alcune che reputi nocive o che non conosci....

se ancora nada prova anche come ha detto nicodemo....

infine se tutte le soluzioni non vanno a buon fine disinstalla firefox completamente;
Vai in "Programmi e funzionalità" e disinstallalo.
Poi da "Esegui" copia e incolla %APPDATA%
Si aprirà la cartella C:\user\appdata\roaming.
Cerca la cartella Mozilla e la elimini.
Riavvia il pc, fai una pulizia con CCleaner compreso il registro e reinstalla Firefox dal sito ufficiale.
https://support.mozilla.org/it/kb/In...fox su Windows
N.B:
I segnalibri verranno eliminati.
Quindi,per salvare i "Segnalibri" di Firefox e ripristinarli:
https://support.mozilla.org/it/kb/Sa...dei segnalibri

ciao

erreenne 07-09-2018 14:36

Quote:

Originariamente inviato da Dan1979 (Messaggio 45743376)
Se il problema persiste ripristina firefox e vedi de tra le estensioni e app ce ne sono alcune che reputi nocive o che non conosci....

se ancora nada prova anche come ha detto nicodemo....

infine se tutte le soluzioni non vanno a buon fine disinstalla firefox completamente;
Vai in "Programmi e funzionalità" e disinstallalo.
Poi da "Esegui" copia e incolla %APPDATA%
Si aprirà la cartella C:\user\appdata\roaming.
Cerca la cartella Mozilla e la elimini.
Riavvia il pc, fai una pulizia con CCleaner compreso il registro e reinstalla Firefox dal sito ufficiale.
https://support.mozilla.org/it/kb/In...fox su Windows
N.B:
I segnalibri verranno eliminati.
Quindi,per salvare i "Segnalibri" di Firefox e ripristinarli:
https://support.mozilla.org/it/kb/Sa...dei segnalibri

ciao

Con gli antimalware non ha funzionato. Come ha suggerito Nicodemo sembrava tutto ok, invece il problema si è riproposto, anche annullando il mio profilo personale. Proverò a reinstallare tutto, poi vedremo. Intanto ringrazio entrambi per i suggerimenti, molto gentili e disponibili

erreenne 07-09-2018 15:38

Quote:

Originariamente inviato da erreenne (Messaggio 45743509)
Con gli antimalware non ha funzionato. Come ha suggerito Nicodemo sembrava tutto ok, invece il problema si è riproposto, anche annullando il mio profilo personale. Proverò a reinstallare tutto, poi vedremo. Intanto ringrazio entrambi per i suggerimenti, molto gentili e disponibili

Novità, anche senza installare il browser, quindi senza applicazioni predefinite, mi appare dal nulla la finestra "Con cosa vuoi aprire questo file". Quindi presumo che Firefox non c'entri un tubo. Provo con l'antivirus a fare una pulizia generale (ci mette anni), poi vi farò sapere... :muro:

Aiace 07-09-2018 16:10

A me sta capitando in parecchi pc della scuola... impensabile reinstallare tutto. Eppure antivirus e Adwcleaner non trovano nulla....

Nicodemo Timoteo Taddeo 07-09-2018 16:14

Quote:

Originariamente inviato da Aiace (Messaggio 45743763)
A me sta capitando in parecchi pc della scuola... impensabile reinstallare tutto. Eppure antivirus e Adwcleaner non trovano nulla....

Controllate a quali server DNS si collega la rete.

Aiace 07-09-2018 16:26

E' il DNS di ateneo. Ho detto "scuola" ma in realtà è un dipartimento universitario...
:p

Nicodemo Timoteo Taddeo 07-09-2018 16:30

Quote:

Originariamente inviato da Aiace (Messaggio 45743795)
E' il DNS di ateneo. Ho detto "scuola" ma in realtà è un dipartimento universitario...
:p

Che sia di un ateneo in questo senso importa relativamente, può essere lui quello che vi propone quelle finestre...

dgpweb 07-09-2018 16:55

Ciao,
stesso problema, si apre chrome (browser predefinito) all'improvviso, anche quando è chiuso direttamente ad un url come questo:
safe.cluba24.date/survey-r/index-it-s9.html?country=IT&td=www.astroandina.com&br=Chrome&isp=Chrome&cep=JIFWGhKNzP0ZesvfbFQgTxmFOsZbXLDk1q-3wlMHcpdyfdP-dEwHKv4TsmzZePXLCI8FnPtf_0P2jBFTpzQwM30o7ShHiHzNwYmt7WYKMZAuupKj9AqZZLVYRrl8jLkV1FvPZNMJ14-scGziw-vJHzwJJbS-96IWflT9M3w2qP5fTYP0PLD6WBM-zLDb8kD3twJ_-dmpbiLWEi5owVhPSqu9S0E64mocAoHsz3CaIdhA6PcJOsNCWt5cAZMqeWdZ&2=1975&1=6598489833184691616&3=1975-c562568z#

L'url è ogni volta simile ma non identico, quello che trovo in comune tra tutti è la stringa survey-r/index-it nell'url

Succede da ieri e non ho installato niente di recente.

Ho provato tutti gli antimalware e antivirus (malwarebytes, hijack, kaspersky) ma nessuno trova niente di rilevante.
Quando chrome si apre, controllando da process explorer, sembra che il processo chrome.exe sia aperto da skype.exe (e questo è davvero strano). Il fatto che chrome si apra da solo all'improvviso mi fa pensare che non sia un problema di chrome ma qualcosa che apre il browser predefinito in automatico...

Avete qualche suggerimento?

Grazie

Dan1979 07-09-2018 17:06

Come gia suggerito verificate i dns....

Eseguite la scansione con frst e seguite le istruzioni date nei post sopra per effettuare la scansione.....
Senza quella scansione non è possibile sapere in che stato è il pc..
Quindi eseguitela e postate i log con il pulsante gestisci allegati

Aiace 07-09-2018 17:08

Ma in firefox, le schede si aprono in automatico su quella pagina. Mi sembra strano dipenda dal DNS....


Non è che si viene ridirezionati li, ma si aprono schede aggiuntive

(Appena possibile faccio la scansione e posto il log)

dgpweb 07-09-2018 17:57

Quote:

Originariamente inviato da dgpweb (Messaggio 45743875)
Ciao,
stesso problema, si apre chrome (browser predefinito) all'improvviso, anche quando è chiuso direttamente ad un url come questo:
safe.cluba24.date/survey-r/index-it-s9.html?country=IT&td=www.astroandina.com&br=Chrome&isp=Chrome&cep=JIFWGhKNzP0ZesvfbFQgTxmFOsZbXLDk1q-3wlMHcpdyfdP-dEwHKv4TsmzZePXLCI8FnPtf_0P2jBFTpzQwM30o7ShHiHzNwYmt7WYKMZAuupKj9AqZZLVYRrl8jLkV1FvPZNMJ14-scGziw-vJHzwJJbS-96IWflT9M3w2qP5fTYP0PLD6WBM-zLDb8kD3twJ_-dmpbiLWEi5owVhPSqu9S0E64mocAoHsz3CaIdhA6PcJOsNCWt5cAZMqeWdZ&2=1975&1=6598489833184691616&3=1975-c562568z#

L'url è ogni volta simile ma non identico, quello che trovo in comune tra tutti è la stringa survey-r/index-it nell'url

Succede da ieri e non ho installato niente di recente.

Ho provato tutti gli antimalware e antivirus (malwarebytes, hijack, kaspersky) ma nessuno trova niente di rilevante.
Quando chrome si apre, controllando da process explorer, sembra che il processo chrome.exe sia aperto da skype.exe (e questo è davvero strano). Il fatto che chrome si apra da solo all'improvviso mi fa pensare che non sia un problema di chrome ma qualcosa che apre il browser predefinito in automatico...

Avete qualche suggerimento?

Grazie

Ovviamente i DNS sono impostati correttamente nelle impostazioni della scheda di rete e wifi...

dgpweb 07-09-2018 17:58

Quote:

Originariamente inviato da Dan1979 (Messaggio 45743910)
Come gia suggerito verificate i dns....

Eseguite la scansione con frst e seguite le istruzioni date nei post sopra per effettuare la scansione.....
Senza quella scansione non è possibile sapere in che stato è il pc..
Quindi eseguitela e postate i log con il pulsante gestisci allegati

Come fanno i DNS ad aprire chrome? :mc:

Dan1979 07-09-2018 18:07

Come suggerito posta i log delka scansione con frst

jack19 07-09-2018 19:54

Stesso problema con EDGE.


Codice HTML:

https://safe.cluba24.date/survey-r/index-it-s9.html?country=IT&td=www.astroandina.com&br=Microsoft%20Edge&isp=Microsoft%20Edge&cep=EoAc4_Z_J1oo22D_Z25VC6BSpS4Z920HzHfbPeiSvdKsEH1hOkNg_p6otKXmzz9yNy-qWeBmvg1LsWR3AoLaZhbcaAKlyBJmXNQQKJh_HU-DIJmzcjoZXQIxFxqgFe5xT_1eGo5eBrk8W9SC3d5fUJmOCLxw_z9n6ycpAkOo8Tcl0OVC8qfD4jI_EQ3zWt4tPIFuO6btZ27N1gDBNmLZGLvgSu8YdbYzxRHEZKWWhWayw4Ml8dvc4PKod_N2m7oo&2=1975&1=6598491456682328212&3=1975-c562568z#

ercolino 07-09-2018 21:20

Quote:

Originariamente inviato da dgpweb (Messaggio 45744008)
Quando chrome si apre, controllando da process explorer, sembra che il processo chrome.exe sia aperto da skype.exe (e questo è davvero strano). Il fatto che chrome si apra da solo all'improvviso mi fa pensare che non sia un problema di chrome ma qualcosa che apre il browser predefinito in automatico..


Ciao, ti confermo che a quanto pare sembra proprio dipendere da Skype. (uso ancora la versione 7 su Win 7)

Le due volte che mi è capitato, avevo aperto da poco Skype e una finestra per dialogare con un contatto.

Successo con Firefox 62.0

Sembra qualcosa che viene richiamato dal banner in alto su Skype 7, quando si apre la finestra di un contatto.

Ed è esattamente il link che ha messo Jack19

_https://safe.cluba24.date/......


https://www.virustotal.com/it/url/ee...is/1536348408/


Se guardate bene tutta l'url c'è il referente _www.astroandina.com che fa un redirect 302 su questo sito

_https://www.buzzfeed.com/

dgpweb 07-09-2018 23:03

Quote:

Originariamente inviato da ercolino (Messaggio 45744327)
Ciao, ti confermo che a quanto pare sembra proprio dipendere da Skype. (uso ancora la versione 7 su Win 7)

Le due volte che mi è capitato, avevo aperto da poco Skype e una finestra per dialogare con un contatto.

Successo con Firefox 62.0

Sembra qualcosa che viene richiamato dal banner in alto su Skype 7, quando si apre la finestra di un contatto.

Ed è esattamente il link che ha messo Jack19

_https://safe.cluba24.date/......


https://www.virustotal.com/it/url/ee...is/1536348408/


Se guardate bene tutta l'url c'è il referente _www.astroandina.com che fa un redirect 302 su questo sito

_https://www.buzzfeed.com/

Sì, confermo. Con skype chiuso il problema non si presenta. Anche io versione vecchia ma su windows 10. A questo punto penso sia una vulnerabilità della vecchia versione di skype.
Passerò (anche se non mi piace) alle nuova :)

Grazie per il tuo feedback :)


Tutti gli orari sono GMT +1. Ora sono le: 17:54.

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Hardware Upgrade S.r.l.