|
|
|
|
Strumenti |
30-05-2018, 02:15 | #1 |
Member
Iscritto dal: May 2007
Messaggi: 280
|
Estensione Wonderful Weather
Da qualche giorno si è installata su Chrome questa estensione a mia insaputa e non riesco a rimuoverla perché manca l'opzione RIMUOVI.
Inoltre, compare la scritta "Questa estensione vìola le norme del Chrome Web Store". Purtroppo questa estensione mi impedisce di utilizzare google come motore di ricerca perché ogni volta che faccio una ricerca mi reindirizza ad un altro motore di ricerca. Ho provato a fare una scansione con malwarebytes PRO sulla partizione C del mio notebook ma non mi trova nessun malware. Ho seguito anche varie guide per rimuovere queste estensioni autoinstallanti e non rimovibili ma fin ora non ne sono venuto a capo. Volevo capire in quale cartella si trovano le estensioni di Chrome? Grazie per l'aiuto. |
30-05-2018, 07:31 | #2 |
Member
Iscritto dal: Jun 2017
Messaggi: 175
|
Ciao
prova cosi: Hai installato recentemente del software da internet?? Potenzialmente questi programma indesiderati installano queste estensioni quando si riavvia il browser Web (come attività di avvio). Visualizza il tuo elenco di software e disinstalla le app sconosciute. 1. Hai smesso di sincronizzare i dati di Chrome?Non sincronizzare piu i dati... 2. Vai all'impostazione Estensioni @ chrome: // extensions / in anno Chrome. 3. Abilita Developer mode 4. puoi individuare l ID esatto per quel Wonderful Weather? - Potrebbe essere necessario attivare temporaneamente i file nascosti. Ad esempio, desidero eliminare (id) ocinjdjondmhheihhgkbmjkofmomnppd>cercalo in Esplora risorse> quindi puoi individuare 2 cartelle C:\Users\tuo user\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings C:\Users\tuo user\AppData\Local\Google\Chrome\User Data\Default\Extensions 5.prova a eliminare quella cartella dentro a questi due percorsi(id di wonderful weather) premendo Shift + Canc. 6.Resetta Chrome 7.Chiudilo e riaprilo Vedi se hai risolto.... Se ancora persiste: Esegui queste scansioni: Malwarebyte antimalware scaricalo da qui https://it.malwarebytes.com/ fai la scansione ed elimina cio che trova e posta il log generato Poi scarica adwcleaner da quihttps://www.bleepingcomputer.com/download/adwcleaner/ tasto dx sopra eseguibile avvia come amministratore e fai la scansione elimina quello che trova e posta il log Poi ,esegui una scansione con roguekiller... Scaricalo da qui... http://www.adlice.com/download/roguekiller/ Scarica la versione portable... Segui questa guida per usare il programma http://it.ccm.net/faq/3204-come-usare Cancella solo le voci di colore rosso... Posta il.report Poi se non ci sono miglioramenti Chiudi i browser... Per primo apri Prompt dei comandi (cmd)come amministratore: digita o copia: RD /S /Q "%WinDir%\System32\GroupPolicyUsers" e dare invio digita o copia: RD /S /Q "%WinDir%\System32\GroupPolicy" e dare invio digita o copia: gpupdate /force e dare invio chiudi il Prompt e clicca col destro sul desktop e seleziona "Aggiorna" Si deve cambiare la pagina iniziale di Chrome e i browser.... Verifica se il problema persiste.... Se persiste ..... Disinstallare google chrome da Programmi e funzionalità. Nella finestra che si apre, metti il segno di spunta accanto alla voce "Eliminare anche i tuoi dati di navigazione"? Clicca sul pulsante Disinstalla per eliminare sia Chrome che la cronologia del browser dal PC. Fai la solita pulitura con CCleaner compreso il registro. Reistalla Crome. Come salvare i preferiti/segnalibri di Chrome: https://support.google.com/chrome/answer/96816?hl=it Reinstalla chrome dal sito ufficiale..https://www.google.com/chrome/ Riprova e se ancora non risolvi Infine scarica frst da quihttps://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ scarica la versione adatta al tuo sistemaoperativo 32 o 64 bit posiziona l eseguibile sul desktop tasto dx sopra eseguibile--apri come amministratore una volta aperto clicca su scan postare log frst.txt e addition.txt quest ultimo non elimina ne modifica nulla serve per avere una visione completa sullo stato del pc... |
30-05-2018, 13:19 | #3 |
Member
Iscritto dal: May 2007
Messaggi: 280
|
Prima di tutto grazie per la tua disponibilità.
Allora, ho seguito la prima procedura che mi hai indicato con esito purtroppo negativo. Ho addirittura disinstallato chrome ed eliminato completamente l'intera cartella GOOGLE (che conteneva le 4 cartelle dove era presente l'ID del malware) ma purtroppo quella malefica estensione persiste. Infatti, ho provato ad installare Chrome Beta senza sincronizzare con il mio account gmail. Diverse estensioni (una buona metà) sono sparite ma quella fastidiosa purtroppo no. Infine, ho fatto una scansione tramite Malwarebyte e questo è il relativo log: -Dettagli log- Data scansione: 30/05/18 Ora scansione: 14:06 File di log: eb51eb1e-6401-11e8-8a33-d8cb8af27577.json Amministratore: Sì -Informazioni software- Versione: 3.4.5.2467 Versione componenti: 1.0.342 Aggiorna versione pacchetto: 1.0.5304 Licenza: Premium -Informazioni sistema- SO: Windows 10 (Build 17134.48) CPU: x64 File system: NTFS Utente: MSI\Nome utente -Riepilogo scansione- Tipo di scansione: Ricerca elementi nocivi Scansione avviata da: Manuale Risultati: Completata Elementi analizzati: 363815 Minacce rilevate: 0 (Nessun elemento nocivo rilevato) Minacce messe in quarantena: 0 (Nessun elemento nocivo rilevato) Tempo impiegato: 0 min, 53 sec -Opzioni di scansione- Memoria: Attivata Esecuzioni automatiche: Attivata File system: Attivata Archivi compressi: Attivata Rootkit: Disattivata Analisi euristica: Attivata PUP: Rilevare PUM: Rilevare -Dettagli scansione- Processo: 0 (Nessun elemento nocivo rilevato) Modulo: 0 (Nessun elemento nocivo rilevato) Chiave di registro: 0 (Nessun elemento nocivo rilevato) Valore di registro: 0 (Nessun elemento nocivo rilevato) Dati di registro: 0 (Nessun elemento nocivo rilevato) Flusso di dati: 0 (Nessun elemento nocivo rilevato) Cartella: 0 (Nessun elemento nocivo rilevato) File: 0 (Nessun elemento nocivo rilevato) Settore fisico: 0 (Nessun elemento nocivo rilevato) Una curiosità: Perché non posso sincronizzare chrome con il mio account gmail? Ultima modifica di Pupido : 30-05-2018 alle 13:25. |
30-05-2018, 13:45 | #4 |
Member
Iscritto dal: Jun 2017
Messaggi: 175
|
Ciao
Hai eseguito anche le tre stringhe dal promt dei comandi (cmd)??? Completa tutte la scansioni e fornisci i log... Alla fine esegui come gia detto frst e posta i log.. per la sincronizzazione prova cosi: -Aggiorna Chrome all'ultima versione disponibile. -Disconnetti il tuo account Google da Chrome, chiudi completamente il browser, riavvialo ed effettua nuovamente l'associazione con l'account Google. -Se hai impostato una Passphrase per la sincronizzazione dei dati (diversa dalla password del tuo account Google) e non la ricordi, collegati alla dashboard di Google e clicca sul pulsante Reimposta sincronizzazione per resettare la sincronizzazione dei dati di Chrome. Tutti i dati del browser verranno cancellati dai server di Google ma non dal tuo PC. Ad operazione completata, effettua nuovamente l'associazione del tuo account Google con Chrome e tutto dovrebbe funzionare a dovere. Vedi anche qui https://support.google.com/nexus/answer/6212917?hl=it Prova,pero dopo non sincronizzare crhome fino a fine bonifica... Ciao grazie Ultima modifica di Dan1979 : 30-05-2018 alle 13:56. |
30-05-2018, 17:41 | #5 |
Member
Iscritto dal: May 2007
Messaggi: 280
|
# -------------------------------
# Malwarebytes AdwCleaner 7.1.1.0 # ------------------------------- # Build: 04-27-2018 # Database: 2018-05-29.2 # Support: https://www.malwarebytes.com/support # # ------------------------------- # Mode: Scan # ------------------------------- # Start: 05-30-2018 # Duration: 00:00:12 # OS: Windows 10 Home # Scanned: 40921 # Detected: 3 ***** [ Services ] ***** No malicious services found. ***** [ Folders ] ***** PUP.Optional.Legacy C:\Users\Nome utente\Documents\TotalAV PUP.Optional.SpyHunter C:\sh4ldr PUP.Optional.SpyHunter C:\Program Files (x86)\Enigma Software Group ***** [ Files ] ***** No malicious files found. ***** [ DLL ] ***** No malicious DLLs found. ***** [ WMI ] ***** No malicious WMI found. ***** [ Shortcuts ] ***** No malicious shortcuts found. ***** [ Tasks ] ***** No malicious tasks found. ***** [ Registry ] ***** No malicious registry entries found. ***** [ Chromium (and derivatives) ] ***** No malicious Chromium entries found. ***** [ Chromium URLs ] ***** No malicious Chromium URLs found. ***** [ Firefox (and derivatives) ] ***** No malicious Firefox entries found. ***** [ Firefox URLs ] ***** No malicious Firefox URLs found. ########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S01].txt ########## |
30-05-2018, 17:43 | #6 |
Member
Iscritto dal: May 2007
Messaggi: 280
|
RogueKiller V12.12.19.0 (x64) [May 28 2018] (Gratuito) di Adlice Software
posta : http://www.adlice.com/contact/ Commenti : https://forum.adlice.com Sito Web : http://www.adlice.com/download/roguekiller/ Discussione : http://www.adlice.com Sistema Operativo : Windows 10 (10.0.17134) 64 bits version Iniziato in : Modalità Normale Utente : Nome utente[Amministratore] Iniziato da : C:\Users\Nomeutente\Downloads\RogueKiller_portable64.exe Modalità : Scansione -- Data : 05/30/2018 17:02:48 (Durata : 00:34:28) ¤¤¤ Processi : 1 ¤¤¤ [VT.Unknown] tabitha.exe(6692) -- C:\Program Files (x86)\Sma\tabitha.exe[-] -> Trovato ¤¤¤ Registro : 0 ¤¤¤ ¤¤¤ Attività : 1 ¤¤¤ [PUP.HackTool] \AutoPico Daily Restart -- "C:\Program Files\KMSpico\AutoPico.exe" (/silent) -> Trovato ¤¤¤ Archivi : 2 ¤¤¤ [PUP.HackTool][Cartella] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico -> Trovato [PUP.HackTool][Cartella] C:\Program Files\KMSpico -> Trovato ¤¤¤ WMI : 0 ¤¤¤ ¤¤¤ Archivio Hosts : 0 ¤¤¤ ¤¤¤ Antirootkit : 0 (Driver: Caricato) ¤¤¤ ¤¤¤ Web Browser : 1 ¤¤¤ [PUM.SearchEngine][Firefox:Config] l3ynyj4j.default : user_pref("browser.search.selectedEngine", "Yahoo!"); -> Trovato ¤¤¤ Controllo MBR : ¤¤¤ +++++ PhysicalDrive0: NVMe THNSN5256GPU7 TO +++++ --- User --- [MBR] 075e79ed26e4839b43b2d471d156a955 [BSP] 2df4496bf9861d0b4311d92cd7f20f48 : Empty MBR Code Partition table: 0 - [MAN-MOUNT] EFI system partition | Offset (sectors): 2048 | Size: 300 MB 1 - [MAN-MOUNT] Microsoft reserved partition | Offset (sectors): 616448 | Size: 128 MB 2 - Basic data partition | Offset (sectors): 878592 | Size: 242869 MB 3 - [SYSTEM][MAN-MOUNT] Basic data partition | Offset (sectors): 498274304 | Size: 900 MB User = LL1 ... OK Error reading LL2 MBR! ([1] Funzione non corretta. ) +++++ PhysicalDrive1: HGST HTS721010A9E630 +++++ --- User --- [MBR] 4eb0e31716a940fe971c6213928db61e [BSP] 78338537f34c03d6b2c53584396e75eb : Empty MBR Code Partition table: 0 - Basic data partition | Offset (sectors): 2048 | Size: 934620 MB 1 - [SYSTEM][MAN-MOUNT] Basic data partition | Offset (sectors): 1914103808 | Size: 19248 MB User = LL1 ... OK User = LL2 ... OK |
30-05-2018, 17:51 | #7 |
Member
Iscritto dal: May 2007
Messaggi: 280
|
Ciao,
allora sopra ho postato i 2 log mancanti. I programmi hanno trovato qualcosa. Tuttavia, nonostante abbia scelto l'opzione RIPARA, in entrambi i programmi, l'estensione non è scomparsa. Poi, ho proceduto con il promt dei comandi. Appena digito quello che mi hai indicato mi esce il seguente messaggio di errore:"impossibile trovare il file specificato". Allora ho scaricato ed eseguito il file "Chrome policy remover" che credo che faccia la stessa cosa della procedura che mi hai suggerito con il prompt dei comandi. Tuttavia l'estensione ancora persiste... Allora, ho disinstallato Chrome e fatto pulizia (anche del registro) con CCCleaner, nei modi che mi hai detto. Infine, ho reinstallato Chrome. Dopo di che ho notato un primo cambiamento. Infatti, anche se l'estensione malevola persiste ancora non compare più la scritta rossa: "Questa estensione vìola le norme del Chrome Web Store". EDIT: Dopo la sincronizzazione dell'account è ricomparsa la scritta rossa. Ultima modifica di Pupido : 30-05-2018 alle 18:23. |
31-05-2018, 06:06 | #8 |
Member
Iscritto dal: Jun 2017
Messaggi: 175
|
Ciao
Per quanto rigurda i comandi cmd ,il promt l hai aperto come amministratore?? Hai provato ha disinstallare completamente chrome?? Riprova la procedura di rimozione ,cioe quella dall inizio in modalita provvisoria..... Esegui la scansione con frst e posta i relstivi report.... Ciao |
31-05-2018, 10:01 | #9 | |
Member
Iscritto dal: May 2007
Messaggi: 280
|
Quote:
2) Si 3) Modalità provvisoria? Che significa? |
|
31-05-2018, 10:18 | #10 | |
Member
Iscritto dal: May 2007
Messaggi: 280
|
Quote:
Una curiosità: esiste un programma per PC che permetta di fare una sorta di nandroid backup come avviene sui cellulari? |
|
31-05-2018, 16:16 | #11 |
Member
Iscritto dal: Jun 2017
Messaggi: 175
|
Ciao
@Phoenix2005 Hai ragione per quanto rigurada Spyhunter é un una bestia nera.... Comunque dipende se ha effettuato le scansioni prima dell utilizzo del punto oppure dopo!!!! La data delle scansioni é il 30-05-2018...se il punto lo ha utilizzato dopo quella data é lecito che quelle voci ci siano ancora...Altrimenti il punto potrebbe essere compromesso... E se anche non avesse utilizzato il punto ci sarebbero state ugualmente perche non le ha eliminate....ha effettuato solo la scansione con roguekiller senza cancellare nulla...infatti se noti a fine riga ci sta "-> Trovato"....e non eliminato... Verifica se tra la lista dei programmi installati risulta spyhunter... Se cè disinstallalo e poi fai pulizia con ccleaner sia sistema che registro... Ho un dubbio...hai risolto per quanto rigurda spyhunter e anche l estensione??? Come dici, bisogna effettuare le scansioni che hai consigliato piu malwarebyte... In piu una scansione con frst darebbe una visione completa sullo stato del pc.... hajiackthis è ormai obsoleto e non supportato da S.O. a 64bit... In pratica potrebbe non rilevare piu i nuovi malware...o dare falsi positivi... Consiglio una scansione con frst e postare i due log come gia detto in precedenza.... Ciao Ultima modifica di Dan1979 : 31-05-2018 alle 16:29. |
01-06-2018, 09:03 | #12 | |
Member
Iscritto dal: Jun 2017
Messaggi: 175
|
Quote:
Anche se non sono portato subito a formattare... Mi piace risolvere i problemi in modo "difficile" in piu mi da una certa soddisfazione centrare il problema senza passare necessariamnente al formattone..... Quello che voglio dire è che non consiglio quasi mai subito di effettuare tabula rasa....poi che quest ultima sia piu efficace e piu veloce non metto in dubbio sicuro.... Hajackthis non l uso piu da un paio di anni anche di piu(quindi sicuramente hai ragione, sarà uscita una relase per i 64bit)... Da quando ho scoperto frst (farbar recovery scan tool).....(secondo me ,e non solo, è il top nel suo campo)... Basta guardare nei migliori siti esteri e italiani(bleeping,malwarebyte,avast,geekto,etc)...i loro esperti di sicurezza lo utilizzano regolarmente.... Certo è un po complicatato da utilizzare...(non da parte dell utente ma da chi deve verificare il tutto)... Comunque ognuno ha il suo metodo di ripulire i pc... Non è criticabile uno o la altro... L importante è il risultato finale.. Secondo me a questo punto effettua la scansione sia con frst che hajackthis e posta i report... Ciao |
|
01-06-2018, 11:47 | #13 |
Member
Iscritto dal: May 2007
Messaggi: 280
|
Purtroppo dopo tutti i vari tentativi l'estensione non è mai sparita.
Allora, ho deciso di fare un bel formattone. Grazie a tutti per l'aiuto. |
01-06-2018, 12:02 | #14 |
Member
Iscritto dal: Jun 2017
Messaggi: 175
|
Ciao
Secondo me un format per questo genere di problema è alquanto esagerato.... Se mi dicevi che ti eri beccato un rootkit o un trojan aggressivo allora si ci poteva stare.... Sicuramente con frst avremmo risolto.... Oppure dalla modalita provvisoria.... Va be ormai.... Comunque se hai risolto meglio cosi..... Ciao |
08-06-2018, 06:35 | #15 |
Member
Iscritto dal: Jun 2017
Messaggi: 175
|
Ciao @Phoenix2005
Hajackthis cerchero di rivalutarlo ma ormai ho l abitudine di usare frst.... Comunque anche frst ha la sua quarantena ripristinabile oppure si puo sempre creare un punto di ripristino tramite script prima delle eliminazioni, questo sempre che sia attivo il system restore (vedi win10 che è disattivato di defoult)....se è disattivato lo faccio riattivare immediatamente a mano o lo attivo io tramite script (powershell)...cosi si è piu tranquilli ... Come hai detto te quell estensione si poteva eliminare anche con le cattive....volendo....(mettendo anche mano al registro se necessario....) Per quanto riguarda spyhunter anche questo era possinile eliminare quasi agevolmente....il problema è la robaccia che puo tirarsi dietro se tenuto li sul sistema parecchio tempo.... Per quanto rigurda i rootkit concordo in pieno... Anche se dobbiamo distinguere due generi di rootkit, uno a livello utente e questo è meno aggressivo e l altro a luvello kernel difficile da eradicare ma si puo (in questo caso la formattazzione è azzeccata) Infatti quando è uscita l infezione di ccleaner in quel caso jo consigliato immediatamente tabula rasa...questo perche nel caso specifico era quasi impossibile avere la certezza che l infezione fosse eradicata, questo perche risiedeva direttamente in memoria senza passare tramite hdd... Comunque si sono daccordo sui rootkit in genere, anche se ci provo sempre a ripulire il pc prima poi valuto se i danni fartti dal rootkit all sistema sono ingenti e riparabili....se non lo sono formatto... Ciao Ultima modifica di Dan1979 : 08-06-2018 alle 06:37. |
14-06-2018, 11:31 | #16 | |
Senior Member
Iscritto dal: Jan 2010
Messaggi: 37002
|
Quote:
|
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 02:07.