Malaware JS/Adware.Agent.AA

[Cippore]

Ciao ragazzi
ho un maledetto problema al portatile. credo mi si sia annidato del malaware e non riesco a toglierlo.
mi reindirizza il browser dove vuole lui. mi crea difficoltà a trovare alcune pagine (credo sia lui). ho eset antivirus ma nulla: eset mi blocca l'apertura della pagina quando il virus entra in funzione, mi dice threat found virus bloccato e computer protetto .... ma io non vedo la pagina !! e poi il problema si ripresenta ... altro che problema risolto dall'antivirus
CHE FACCIO ?? non riesco a toglierlo neanche con malawarebytes ecc ...

mi date u consiglio o dovrò reinstallare tutto .... nooooo ....

vedete allegato per esempio di quanto succede ..

[Cippore]

Quote:

Originariamente inviato da Cippore

Ciao ragazzi
ho un maledetto problema al portatile. credo mi si sia annidato del malaware e non riesco a toglierlo.
mi reindirizza il browser dove vuole lui. mi crea difficoltà a trovare alcune pagine (credo sia lui). ho eset antivirus ma nulla: eset mi blocca l'apertura della pagina quando il virus entra in funzione, mi dice threat found virus bloccato e computer protetto .... ma io non vedo la pagina !! e poi il problema si ripresenta ... altro che problema risolto dall'antivirus
CHE FACCIO ?? non riesco a toglierlo neanche con malawarebytes ecc ...

mi date u consiglio o dovrò reinstallare tutto .... nooooo ....

vedete allegato per esempio di quanto succede ..

ECCO ANCORA QUESTO MALWARE con questa segnalazione:

Threat found
Access to the web page was blocked.
http://cobalten.com/afu.php?zoneid=1806838

Threat: JS/Adware.Agent.AA application

dove scovo quella maledetta applicazione per distruggerla ??
come la trovo che non la vedo ???
aiutoooo

NB: ora sto lavorando da altr portatile nella stessa rete locale collegato allo stesso router. HO gli stessi identici problemi. O ho infettato entrambi i pc oppure il problema non è sui portatili. POSSIBILE ?

[Cippore]

grazie x la risposta
ecco …. spero sia questa la lista che dicevi (allegata)…. non so se sia il log che mi dicevi, spero di sì

ora provo a vedere le altre indicazioni

NB: nella rete locale, oltre ai 2 portatili wireless, ho anche altri 2 pc fissi collegati via cavo. anche loro hanno lo stesso identico problema. pensando che potesse centrare il router l'ho resettato alle impostazioni di fabbrica … ma non è cambiato nulla.

[Cippore]

Quote:

Originariamente inviato da Phoenix2005

Ciao. Per prima cosa toccherà creare una lista dei programmi installati:

Poi segui le indicazioni che ho già dato qui (l'infezione è diversa ma il risultato finale è simile)…
https://www.hwupgrade.it/forum/showp...05&postcount=2
...e posta il log di hijackthis.

Eccomi.
Segnalo che il reset del router l'avevo già fatto ma senza staccarlo da internet e attraverso l'interfaccia browser. non se sia necessario staccarlo pure e se l'effetto sarà diverso scollegandolo e poi facendo il reset dal pulsantino.

DNS: non mi accorgo se cambiano. li avevo già settati su quelli di google 8 8 8 8 e 8 8 4 4 e sono ancora quelli. non ho idea se ci sia stato un cambio e ripristino ogni volta che si manifesta il problema.

allego ora anche il log di HiJackThis zippato altrimenti è grande x l'upload

[Cippore]

forse ho fatto un passo giusto...

i dns a cui mi riferivo non erano quelli del router ! erano quelli delle schede di rete in windows (di ethernet e wifi) ==> ecco perchè non era cambiato nulla, credo.

ora ho invece resettato il router e sono andato a mettere i dns di google sulla wan e sul wifi. ora non m isi dirotta più ... mi pare per un po'.

non so però quel cavolo di virus se c'è amcora o se tornerà. non vedo nessuno che lo abbia disntallato. come si fa a sapere cosa era veramente per evitare che si ripresenti ??
ciao

[Cippore]

Mamma mia !
C'è un sacco di lavoro da fare.... comincerò stasera. Sono al lavoro.
Certo che gli antivirus servono a poco se c'è tutto questo.....
Grazie

[Cippore]

[quote=Phoenix2005;rWindows in modalità normale ed esegui nuovamente la scansione con HiJackThis e posta il log aggiornato.[/QUOTE]

CIAO,
ecco, ho provato a fare tutto. solo qualche programma non l'ho trovato nella lista di wise uninstaller. riallego il log di hijachthis fatto dopo le operazioni.

Domanda: non devo ricollegare il pc"lavorato" alla rete lan e al router fino a che non ho fatto le stesse operazioni su tutti gli altri ... o posso usarlo nel frattempo ?

ri-grazie nel frattempo....

[Cippore]

Quote:

Originariamente inviato da Phoenix2005

Di nulla, figurati...buona derattizzazione!

-----

Ammazza.... grazie ancora.
Qui mi hai dato da lavorare per un mese. Nella lan ci sono almeno 3 portatili, 3 fissi e un numero imprecisato di dispositivi android tra smartphone (almeno 4/5) e tablet (almeno 3/4).

A proposito altumine 2 cose:

1- e i dispositivi android come entrano in tutto questo ?

2- magari centrava anche questo: ho dovuto cambiare in coincidenza di tutto questo il router che era anche una bella bestia: netgear Nighthawk D8500. capitava che un volta spento all'improvviso x mancanza di corrente non riuscisse proprio più a riattivarsi, neanche con reset, ed assegnare gli ip della lan e del wifi. capitato 2 volte. dopo essere stato spento per 10 gg ci è riuscto. poi ancora via la corrente .... non si è più ripreso.. sostituito in garanzia .... magari era craccato xchè provava in continuazione a riavviarsi ma senza riuscire ad avere un fuunzionamento normale. ora arriverà tra una decina di giorni il nuovo. non sembrava problema elettrico. vediamo un po'. CIAO

[Cippore]

Ok ci provo e se qualche passaggio nn lo capirò benone ... ridisturbo. In ogni caso aggiorno il post.
Ciao e 1000 grazie

[Cippore]

[quote=Phoenix2005;45703576]
Dopo aver selezionato le suddette voci esegui la pulizia tramite il pulsante FIX CHECKED; riavvia Windows, esegui ancora HiJackThis e posta il nuovo log.

Posta anche gli eventuali messaggi di errore durante la fase di caricamento di Windows, se (speriamo di no) dovessero comparire quale conseguenza della pulizia del sistema.

ALLORA ....
ecco il log POST lavori. non ho idea se quei virus ci siano ancora.
no errori ricaricando. non collegato pc alla rete per ora. sto utilizzando altro portatile che da quando ho settato i dns del router ... funziona senza enomalie evidentemente covando da qualche parte quelle infezioni.

[Cippore]

Quote:

Originariamente inviato da Phoenix2005

Prova, cos'hai da perdere? O tenti la strada della pulizia o formatti, alternative non ve ne sono...e fra le due opzioni quella più veloce passa per il FIX via HiJackThis. E, se la bonifica avrà successo, probabilmente noterai un aumento della reattività e stabilità delle singole postazioni perché verranno rimosse non solo le restanti tracce dell'infezione ma anche tutti quei processi e task che lavorano inutilmente in background, sottraendo al sistema risorse utili ed utilizzabili in altro modo. Se poi - durante la successiva fase di boot post-pulizia - dovessero verificarsi delle anomalie dovute alla rimozione di uno o più elementi, c'è la possibilità di rimediare al problema eseguendo, sempre via HiJackThis, un undo sugli elementi precedentemente rimossi.

Inizia con il portatile della Lenovo: ti rammento soltanto che le procedure di pulizia - riavvi di Windows compresi - vanno effettuate rigorosamente offline (sia internet che intranet).

beh
... ok ecco qui i log di altro pc della rete lan wifi. che ne dici ? messo male ?

[Cippore]

[quote=Phoenix2005;45706089] servizi della Conexant (che al limite puoi lasciare così), mentre le voci qui sotto andrebbero selezionate per l'eliminazione sempre via HiJackThis (modalità provvisoria):

non li avevo selezionati xchè i trovo nel log come "Service S2" .... e non "service R2" ==> ora li fucilo lo stesso.

[Cippore]

[quote=Phoenix2005;45706089] le voci qui sotto andrebbero selezionate per l'eliminazione sempre via HiJackThis (modalità provvisoria):

O22 - Task (Job): (disabled) (Not scheduled) CreateExplorerShellUnelevatedTask.job - C:\WINDOWS\explorer.exe /NOUACCHECK
O23 - Service R2: Wondershare Application Framework Service - (WsAppService) - C:\Program Files (x86)\Wondershare\WAF\2.4.3.237\WsAppService.exe
O23 - Service R2: Wondershare Driver Install Service - (WsDrvInst) - C:\Program Files (x86)\Wondershare\drfone\Library\DriverInstaller\DriverInstall.exe

ora trovo anche quel 022 task (job) ..... e lo elimino
nel nuovo logo mi sono riapparsi una serie di altri 022 Task Lenovo che rielimino. xchè rinascono ?

..............

Una volta eseguita la pulizia, subito dopo il riavvio procedi con EEK...
https://www.emsisoft.com/en/software/eek/
...aggiorna il DB delle firme virali ed esegui una scansione AV su tutte le unità di tutti gli SSD/HD dei vari PC ed elimina le eventuali minacce rilevate.

questo potrebbe essere un problema. non lo collego in rete quello pulito. possibile fare tramite altro pc lo scaricamento del database aggiornato ?

.......................

[Cippore]

Quote:

Originariamente inviato da Phoenix2005

Ad occhio direi che, a parte SpyHunter4 e Wondershare, questo secondo PC è messo decisamente meglio rispetto all'altro...

DA DISINSTALLARE

Google Update Helper Google Inc. 1.3.33.17 15/08/2018 82,0 KB
Host esperienza dello Store Microsoft Corporation C:\Program Files\WindowsApps\Microsoft.StorePurchaseApp_11807.1001.1.0_x64__8wekyb3d8bbwe 11807.1001.0.1 03/08/2018 6,5 MB
Hub di Feedback Microsoft Corporation C:\Program Files\WindowsApps\Microsoft.WindowsFeedbackHub_1.1712.1141.0_x64__8wekyb3d8bbwe 1.1712.0.1141 04/05/2018 34,2 MB
Java Auto Updater Oracle Corporation 2.8.171.11 01/07/2018 1,8 MB
Mozilla Maintenance Service Mozilla C:\Program Files (x86)\Mozilla Maintenance Service\ 52.9.1.6764 06/08/2017 261,0 KB
SpyHunter4 C:\Program Files\SpyHunter\ 28/01/2018 225,2 MB
Wondershare Helper Compact 2.5.2 Wondershare C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\ 2.5.2 15/08/2017 6,6 MB
Wondershare PDF to PowerPoint (Build 4.0.1) Wondershare Software D:\Program Files (x86)\Wondershare\PDF to PowerPoint\ 4.0.1 11/02/2018 23,5 MB
Wondershare PDFelement 6 Pro(Build 6.2.2) Wondershare Software Co.,Ltd. C:\Program Files (x86)\Wondershare\PDFelement 6 Pro\ 6.2.2.2615 15/08/2017 92,5 MB

DA AGGIORNARE (con OS = W7/W8/W10)

VERSIONE 60.x ---> Mozilla Thunderbird 52.9.1 (x86 it) Mozilla C:\Program Files (x86)\Mozilla Thunderbird 52.9.1 04/04/2018 90,6 MB
VERSIONE 4.12 o superiore --> qBittorrent 4.0.4 The qBittorrent project C:\Program Files\qBittorrent\ 4.0.4 28/04/2018 109,9 MB

DA DISINSTALLARE SE NON UTILIZZATI

Adobe Acrobat Reader DC - Italiano Adobe Systems Incorporated C:\Program Files (x86)\Adobe\Acrobat Reader DC\ 18.011.20058 15/08/2018 258,6 MB
Adobe Refresh Manager Adobe Systems Incorporated C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\ 1.8.0 01/03/2018 1,6 MB
Advanced IP Scanner 2.5 Famatech C:\Program Files (x86)\Advanced IP Scanner\ 2.5.3233 06/08/2017 43,9 MB
ASUS Smart Gesture ASUS 4.0.18 16/12/2017 108,8 MB
Autodesk SketchBook Autodesk Inc. C:\Program Files\WindowsApps\89006A2E.AutodeskSketchBook_1.8.1.0_x64__tf1gferkr813w 1.8.0.1 15/05/2018 70,5 MB
Backup and Sync from Google Google, Inc. 3.42.9858.3671 15/08/2018 57,0 MB
CodeTwo QR Code Desktop Reader & Generator CodeTwo 1.1.1.17 05/09/2017 5,0 MB
CPUID CPU-Z 1.83 CPUID, Inc. D:\Program Files\CPUID\CPU-Z\ 1.83 28/01/2018 4,1 MB
EaseUS MobiSaver for Android version 5.0 CHENGDU YIWO Tech Development Co., Ltd. D:\Program Files (x86)\EaseUS\EaseUS MobiSaver for Android\ 5.0 23/10/2017 54,8 MB
FILEminimizer Pictures balesio AG d:\Program Files (x86)\FILEminimizer Pictures\ 18/02/2018 4,1 MB
Foxit Advanced PDF Editor 3 Foxit Corporation C:\Program Files (x86)\Foxit Software\Foxit Advanced PDF Editor\ 3.0.5.0 02/09/2017 66,0 MB
Google Chrome Google Inc. C:\Program Files (x86)\Google\Chrome\Application 68.0.3440.106 06/08/2017 353,5 MB
Groove Musica Microsoft Corporation C:\Program Files\WindowsApps\Microsoft.ZuneMusic_10.18071.11711.0_x64__8wekyb3d8bbwe 10.18071.0.11711 12/08/2018 56,3 MB
HYPlayer 1.0.0.15 HYPlayer, Inc. C:\Program Files (x86)\HYPlayer\ 1.0.0.15 22/04/2018 6,6 MB
ImTOO PDF to PowerPoint Converter ImTOO D:\Program Files (x86)\ImTOO\PDF to PowerPoint Converter\ 1.0.2.20120229 09/02/2018 37,3 MB
IPCamera V1.0.1.2 PCamera C:\Program Files (x86)\IPCamera\ 22/09/2017 2,8 MB
IPCSearch version 2.4 PCamera D:\Program Files (x86)\IPCSearch\ 2.4 28/10/2017 1.009,0 KB
Manager 2017 pdfforge GmbH. All rights reserved 5.0.26.33533 07/08/2017 8,3 MB
Mappe Windows Microsoft Corporation C:\Program Files\WindowsApps\Microsoft.WindowsMaps_5.1805.1431.0_x64__8wekyb3d8bbwe 5.1805.0.1431 18/06/2018 20,7 MB
Microsoft Skype for Business MUI (Italian) 2016 Microsoft Corporation C:\Program Files\Microsoft Office\ 16.0.4266.1001 14/04/2017 104,5 MB
Microsoft.SkypeApp Skype C:\Program Files\WindowsApps\Microsoft.SkypeApp_12.1815.210.0_x64__kzf8qxf38zg5c 12.1815.0.210 30/07/2018 95,5 MB
Midori 0.5.11 Christian Dywan C:\Program Files (x86)\Midori\bin\ 0.5.11 20/08/2017 110,9 MB
Minecraft for Windows 10 Microsoft Studios C:\Program Files\WindowsApps\Microsoft.MinecraftUWP_1.5.300.0_x64__8wekyb3d8bbwe 1.5.0.300 09/08/2018 184,9 MB
Mixed Reality Portal Microsoft Corporation C:\Windows\SystemApps\Microsoft.Windows.HolographicFirstRun_cw5n1h2txyewy 10.0.1.17134 12/04/2018 8,9 MB
PDF Architect 5 Create Module pdfforge GmbH C:\Program Files\PDF Architect 5\ 5.0.28.34044 07/08/2017 67,2 MB
PDF Architect 5 Edit Module pdfforge GmbH C:\Program Files\PDF Architect 5\ 5.0.28.34044 07/08/2017 8,1 MB
PDF Architect 5 View Module pdfforge GmbH C:\Program Files\PDF Architect 5\ 5.0.28.34044 07/08/2017 109,1 MB
PDFCreator pdfforge GmbH C:\Program Files\PDFCreator\ 2.5.3 07/08/2017 39,1 MB
Readiris Corporate 16 I.R.I.S. 16.01.9591 14/08/2017 401,8 MB
RICOH SP 200 Series TWAIN/WIA RICOH C:\ProgramDataes (x86)\Ricoh\SP_200_Series 1.00.0000 06/08/2017 16,4 MB
TeamViewer 13 TeamViewer D:\Program Files (x86)\TeamViewer 13.0.6447 16/01/2018 93,0 MB
Tema dinamico Christophe Lavalle C:\Program Files\WindowsApps\55888ChristopheLavalle.DynamicTheme_1.4.30207.0_x64__jdggxwd41xcr0 1.4.0.30207 18/06/2018 13,3 MB
TeraCopy 2.3 Code Sector C:\Program Files\TeraCopy\ 06/08/2017 6,2 MB
Test ed esami Microsoft Corporation C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy 10.0.1.17134 12/04/2018 1,0 MB
TreeSize V6.3 (64 bit) JAM Software D:\Program Files\JAM Software\TreeSize\ 6.3 14/01/2018 24,8 MB
UltraISO Premium V9.66 C:\Program Files (x86)\UltraISO\ 06/08/2017 6,6 MB
VLC media player VideoLAN C:\Program Files (x86)\VideoLAN\VLC 2.2.6 06/08/2017 123,3 MB
Xbox Game UI Microsoft Corporation C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy 1000.17134.0.1 12/04/2018 1,3 MB
Xerox WorkCentre 6027 Xerox C:\Program Files (x86)\Xerox Office Printing\ 1.029.00 04/08/2018 22,3 MB

Effettuate le disinstallazioni, procedi con la solita scansione via HiJackThis sul PC (modalità provvisoria) e posta il log.

i rogrammi da disinstallare (consigliati o non usati) li disinstallo con "Wise program nintaller" con la procedura descritta in precedenza ?

[Cippore]

Quote:

Originariamente inviato da Phoenix2005

Scarica ed esegui come amministratore Sysinternals Autoruns...
https://docs.microsoft.com/en-us/sys...loads/autoruns
...poi vai nel menù in alto a sinistra > File > Save –-> e salva l'elenco delle voci in formato *.arn; zippa il report così ottenuto e postalo su di un servizio di filehosting tipo: https://wikisend.com/

ok fatto il file .arn ==> 230k circa la sua dimensione
però wikisend mi da' errore ... come lo carico ?

domanda: ma poi che faccio se mi arriva il link dell'upload ?

[Cippore]

Quote:

Originariamente inviato da Phoenix2005

In alternativa a WikiSend puoi utilizzare uno dei seguenti filehosting:

https://www.mediafire.com
https://www.filedropper.com
http://www.senduit.com
https://mega.co.nz



[1] Verifica che il link ottenuto sia valido (ovvero che il file sia scaricabile) [2] posta il link sul forum in modo da consentirmi di scaricarlo ed analizzarlo.

ecco qui il link di mediafire
ciao

http://www.mediafire.com/file/wpp6t3...JIUTQ.zip/file

[Cippore]

Quote:

Originariamente inviato da Phoenix2005

Stando ad Autoruns il portatile adesso è pulito. Giusto per scrupolo, oltre alla scansione con EEK verifica il portatile utilizzando Kaspersky TDSSKiller: https://www.bleepingcomputer.com/download/tdsskiller/
Riavvia Windows in modalità provvisoria, esegui TDSSKiller come amministratore ed effettua una scansione anti-rootkit. Posta il report di TDSSKiller solo nel qual caso vengano segnalati uno o più elementi sospetti/infetti, altrimenti non è necessario.

Subito dopo, esegui una scansione online delle “commonports” via ShieldsUP!! in modo da verificare la presenza di eventuali porte aperte dalle quali potrebbe essere passata (o ripassare...) l'infezione: https://www.grc.com/x/ne.dll?rh1dkyd2
Per essere tutto ok il risultato finale dovrà essere identico a quello visibile in questa immagine:



Se una o più porte dovessero risultare non-stealth, posta l'immagine del portscan effettuato via ShieldsUP!!, altrimenti non è necessario (nel caso ricordati di oscurare dal report il tuo IP).

CIAO Phoenix2005
grande aiuto il tuo. Ora sarò via per una decina di giorni e quindi devo sospendere le pulizie. appena torno riparto da qui x completare.
Intanto grazie davvero e ... ancora ... 6 in gamba!
CIAO

[xcdegasp]

ho spostato la discussione nell'area dedicata, capisco che quando si hanno problemi con il pc e non ci si salta fuori si cerchino le risposte velocemente ma questo non esula dal assicurarsi di essere nella giusta area e che vengano lette le regole di sezione, grazie per la comprensione

[Cippore]

Riformulato sotto

[Cippore]

Quote:

Originariamente inviato da Phoenix2005

Stando ad Autoruns il portatile adesso è pulito. Giusto per scrupolo, oltre alla scansione con EEK verifica il portatile utilizzando Kaspersky TDSSKiller: https://www.bleepingcomputer.com/download/tdsskiller/
Riavvia Windows in modalità provvisoria, esegui TDSSKiller come amministratore ed effettua una scansione anti-rootkit. Posta il report di TDSSKiller solo nel qual caso vengano segnalati uno o più elementi sospetti/infetti, altrimenti non è necessario.

Subito dopo, esegui una scansione online delle “commonports” via ShieldsUP!! in modo da verificare la presenza di eventuali porte aperte dalle quali potrebbe essere passata (o ripassare...) l'infezione: https://www.grc.com/x/ne.dll?rh1dkyd2
Per essere tutto ok il risultato finale dovrà essere identico a quello visibile in questa immagine:



Se una o più porte dovessero risultare non-stealth, posta l'immagine del portscan effettuato via ShieldsUP!!, altrimenti non è necessario (nel caso ricordati di oscurare dal report il tuo IP).

..........

CIAO Phoenix2005
rieccomi qui a continuare il lavoro sospeso per chiudere con il primo pc ho fatto le prove che mi suggerivi

==>> tutto OK nessuna minaccia cn TDS Killer!!

==》》Commonports e schiesUp:
nessuna immagine. Questo invece non riesco. mi collego al link e mi esce un messaggio che dice "browser reload suppressed" e poi una descrizione che dice in inglese che il browser usato è stato bloccata la possibilità del refresh della pagina per evitare rischi di sicurezza. boh .... Non arrivo a vedere il test sulle porte ? Perché?

........

Ora riproverò a fare il procedimento della pulizia col secondo pc che intanto sto usando e provo senza a postare seguendo i tuoi passi. non avere fretta a rispondere e fallo solo se nn ti scoccia ....

ciao e grazie i ogni caso.