Trojan pubblicitario persistente, come toglierlo?

[DemianH]

Ciao ragazzi,
da un po' di tempo (troppo) quando apro qualunque browser mi esce spesso
un grosso riquadro pubblicitario in basso a destra (sarà 250X250) con ads più o meno contestuali, una specie di pop up sempre presente e in rilievo sulla pagina...
Inoltre occasionalmente mentre navigo e clicco su un qualsiasi link a volte mi redirecta su siti pubbblicitati vari...
ho provato un po di tutto ma non riesco a toglierlo:

malwarebytes,
avast,
spyboot search and destroy
inoltre ho controllato i programmi in avvio ma non noto nulla di strano...

altri suggerimenti?
comincio a disperare, help me please.

saluti,
Demian

[DemianH]

UP

Nessuno ha idee, qualche software che trovi questi ads maligni?

[Chill-Out]

Scarica AdwCleaner http://www.bleepingcomputer.com/download/adwcleaner/

Avvia il programma, clicca sul tasto Search, attendi il termine della scansione ed allega il log.

[Lifedj]

Hai visto anche nei servizi in avvio? E nel registro di sistema hai guardato gli svchost?
Ad ogni modo se non riesci a toglierlo con quei programmi prova a installare un firewall tipo comodo (mettendolo in modalità sicura): ti avviserà ogni volta che un programma prova a collegarsi a internet! A quel punto basta guardare il percorso e lo vai a cancellare!

[DemianH]

Avvia il programma, clicca sul tasto Search, attendi il termine della scansione ed allega il log.[/quote]

Ecco il log di scansione, ha tolto un po di porcherie ma il problema permane
su tutti i browser... suggerimenti?

Quote:

# AdwCleaner v2.110 - Logfile creato il 04/02/2013 alle 15:30:41
# Aggiornamento 03/02/2013 by Xplode
# Sistema Operativo : Windows 7 Professional Service Pack 1 (64 bits)
# Utente : Demian - PC
# Modalità Avvio : Modalità Normale
# Eseguito da : E:\download\AdwCleaner.exe
# Opzioni [Elimina]


***** [Servizi] *****


***** [File / Cartelle] *****

Cartella Eliminato : C:\ProgramData\boost_interprocess
Cartella Eliminato : C:\ProgramData\InstallMate
Cartella Eliminato : C:\Users\Demian\AppData\Local\Ilivid Player
Cartella Eliminato : C:\Users\Demian\AppData\LocalLow\Toolbar4
Eliminato al riavvio : C:\ProgramData\Premium
Eliminato al riavvio : C:\Users\Demian\AppData\Roaming\Mozilla\Firefox\Profiles\6idtbm9i.default\extensions\5073de8c3dd6b@5073de8c3dda6.com.xpi
Eliminato al riavvio : C:\Users\Demian\AppData\Roaming\Mozilla\Firefox\Profiles\6idtbm9i.default\extensions\508ac83600859@508ac83600891.com.xpi
File Eliminato : C:\Users\Demian\AppData\Roaming\Mozilla\Firefox\Profiles\6idtbm9i.default\searchplugins\search.xml
File Eliminato : C:\Users\Demian\AppData\Roaming\Mozilla\Firefox\Profiles\6idtbm9i.default\searchplugins\WebSearch.xml

***** [Registro] *****

Chiave Eliminata : HKCU\Software\AppDataLow\SProtector
Chiave Eliminata : HKCU\Software\Conduit
Chiave Eliminata : HKCU\Software\Softonic
Chiave Eliminata : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}
Chiave Eliminata : HKLM\SOFTWARE\Classes\AppID\{4CE516A7-F7AC-4628-B411-8F886DC5733E}
Chiave Eliminata : HKLM\SOFTWARE\Classes\AppID\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
Chiave Eliminata : HKLM\SOFTWARE\Classes\AppID\TbCommonUtils.DLL
Chiave Eliminata : HKLM\SOFTWARE\Classes\AppID\TbHelper.EXE
Chiave Eliminata : HKLM\SOFTWARE\Classes\Applications\ilividsetupv1.exe
Chiave Eliminata : HKLM\SOFTWARE\Classes\TbCommonUtils.CommonUtils
Chiave Eliminata : HKLM\SOFTWARE\Classes\TbCommonUtils.CommonUtils.1
Chiave Eliminata : HKLM\SOFTWARE\Classes\TbHelper.TbDownloadManager
Chiave Eliminata : HKLM\SOFTWARE\Classes\TbHelper.TbDownloadManager.1
Chiave Eliminata : HKLM\SOFTWARE\Classes\TbHelper.TbPropertyManager
Chiave Eliminata : HKLM\SOFTWARE\Classes\TbHelper.TbPropertyManager.1
Chiave Eliminata : HKLM\SOFTWARE\Classes\TbHelper.TbRequest
Chiave Eliminata : HKLM\SOFTWARE\Classes\TbHelper.TbRequest.1
Chiave Eliminata : HKLM\SOFTWARE\Classes\TbHelper.TbTask
Chiave Eliminata : HKLM\SOFTWARE\Classes\TbHelper.TbTask.1
Chiave Eliminata : HKLM\SOFTWARE\Classes\TbHelper.ToolbarHelper
Chiave Eliminata : HKLM\SOFTWARE\Classes\TbHelper.ToolbarHelper.1
Chiave Eliminata : HKLM\SOFTWARE\Classes\TypeLib\{B87F8B63-7274-43FD-87FA-09D3B7496148}
Chiave Eliminata : HKLM\SOFTWARE\Classes\TypeLib\{C4BAE205-5E02-4E32-876E-F34B4E2D000C}
Chiave Eliminata : HKLM\SOFTWARE\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}
Chiave Eliminata : HKLM\Software\Conduit
Chiave Eliminata : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetupV1_RASAPI32
Chiave Eliminata : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetupV1_RASMANCS
Chiave Eliminata : HKLM\Software\SP Global
Chiave Eliminata : HKLM\Software\SProtector
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{01221FCC-4BFB-461C-B08C-F6D2DF309921}
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{452AE416-9A97-44CA-93DA-D0F15C36254F}
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{45CDA4F7-594C-49A0-AAD1-8224517FE979}
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{81E852CC-1FD5-4004-8761-79A48B975E29}
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{B2CA345D-ADB8-4F5D-AC64-4AB34322F659}
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{B9F43021-60D4-42A6-A065-9BA37F38AC47}
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BF921DD3-732A-4A11-933B-A5EA49F2FD2C}
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D83B296A-2FA6-425B-8AE8-A1F33D99FBD6}
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{01221FCC-4BFB-461C-B08C-F6D2DF309921}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{452AE416-9A97-44CA-93DA-D0F15C36254F}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{45CDA4F7-594C-49A0-AAD1-8224517FE979}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{81E852CC-1FD5-4004-8761-79A48B975E29}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{B2CA345D-ADB8-4F5D-AC64-4AB34322F659}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{B9F43021-60D4-42A6-A065-9BA37F38AC47}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{BF921DD3-732A-4A11-933B-A5EA49F2FD2C}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{D83B296A-2FA6-425B-8AE8-A1F33D99FBD6}
Dato Eliminata : HKLM\..\Windows [AppInit_DLLs] = c:\progra~2\contin~1\sprote~1.dll
Dato Eliminata : HKLM\..\Windows [AppInit_DLLs] = c:\progra~2\softqu~1\sprote~1.dll

***** [Browser Internet] *****

-\\ Internet Explorer v9.0.8112.16457

Sostituito : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://websearch.soft-quick.info/ --> hxxp://www.google.com
Sostituito : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main - Start Page] = hxxp://websearch.soft-quick.info/ --> hxxp://www.google.com

-\\ Mozilla Firefox v18.0.1 (it)

File : C:\Users\Demian\AppData\Roaming\Mozilla\Firefox\Profiles\6idtbm9i.default\prefs.js

C:\Users\Demian\AppData\Roaming\Mozilla\Firefox\Profiles\6idtbm9i.default\user.js ... Eliminato !

Eliminata : user_pref("aol_toolbar.default.homepage.check", false);
Eliminata : user_pref("aol_toolbar.default.search.check", false);
Eliminata : user_pref("browser.search.defaultenginename", "WebSearch");
Eliminata : user_pref("browser.search.defaultenginename,S", "WebSearch");
Eliminata : user_pref("browser.search.defaulturl", "hxxp://websearch.soft-quick.info/?l=1&q=");
Eliminata : user_pref("browser.search.order.1", "WebSearch");
Eliminata : user_pref("browser.search.order.1,S", "WebSearch");
Eliminata : user_pref("browser.search.selectedEngine", "WebSearch");
Eliminata : user_pref("browser.search.selectedEngine,S", "WebSearch");
Eliminata : user_pref("browser.startup.homepage", "hxxp://websearch.soft-quick.info/");
Eliminata : user_pref("extensions.5073de8c3de1a.scode", "(function(){try{if('aol.com,mail.google.com,mystart.inc[...]
Eliminata : user_pref("extensions.508ac836008f4.scode", "(function(){try{if('aol.com,mail.google.com,mystart.inc[...]
Eliminata : user_pref("extensions.BabylonToolbar.prtkDS", 0);
Eliminata : user_pref("extensions.BabylonToolbar.prtkHmpg", 0);
Eliminata : user_pref("keyword.URL", "hxxp://websearch.soft-quick.info/?l=1&q=");
Eliminata : user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "");
Eliminata : user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "");
Eliminata : user_pref("sweetim.toolbar.previous.browser.startup.homepage", "");
Eliminata : user_pref("sweetim.toolbar.previous.keyword.URL", "");
Eliminata : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");
Eliminata : user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_DS", "");
Eliminata : user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_HP", "");
Eliminata : user_pref("sweetim.toolbar.searchguard.enable", "");

-\\ Google Chrome v24.0.1312.57

File : C:\Users\Demian\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] File Pulito.

-\\ Opera v11.10.2092.0

File : C:\Users\Demian\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] File Pulito.

*************************

AdwCleaner[R1].txt - [8174 octets] - [04/02/2013 15:29:12]
AdwCleaner[R2].txt - [8234 octets] - [04/02/2013 15:30:29]
AdwCleaner[S1].txt - [8387 octets] - [04/02/2013 15:30:41]

########## EOF - C:\AdwCleaner[S1].txt - [8447 octets] ##########

[Chill-Out]

Fai un controllo con HitmanPro >> Vedi http://www.hwupgrade.it/forum/showthread.php?t=2539794

>> Come allegare un log http://www.hwupgrade.it/forum/showthread.php?t=1751598

[DemianH]

Grazie Chill!
il programma è una bonba, mi ha trovato e neutralizzato 2 trojan e diversi altri problemi!
ora gli ads pirata non appaiono più!
grazie ancora,
Demian

[Lifedj]

L'ho provato anche io ed effettivamente sembra funzionare abbastanza bene ... ... ;-))) Grazie del suggerimento!!! ;-)

[Lifedj]

Insomma ... mi devo un attimino ricredere ... alla fine della scansione mi dice di aver trovato 300 malware che in realtà malware non sono! Sono tutti i programmini che avevo scritto io per esercitarmi per esame di programmazione: addirittura è arrivato a dirmi che il programma che calcola la media è un trojan ... mah ... vabbè, però un problema reale con i socket me l'ha trovato!!! ;-)