PROBLEMA adWare immune a MalwareBytes e ADWCleaner

[robertDurden]

Ciao a tutti!
Sono giorni ormai che ho un adware nel PC (S.O. Windows 11 24H2) che apre una pagina web di Edge che lo stesso browser indentifica come dannosa e blocca automaticamente (per fortuna). Inutile dirlo, Windows Defender non ha rilevato nulla dopo un'analisi veloce. Ho scaricato e installato la versione free del noto MalawareBytes e ha rilevato un software dannoso identificato come "AdWare", allora metto in quarantena e rimuovo, riavvio il PC per verificare che sia effettivamente stato rimosso, ma nulla, la pagina si apre ancora. Eseguo diverse ricerche online e scopro che esiste ADWCleaner, quindi scarico, installo e ricerco; ma non viene neanche identificato (immagino perchè "rimosso" da MalwareBytes). Faccio un po' di ricerche sul PC, mi spulcio tutti i processi in Gestione attività che mi sembrano anomali e scopro che tra le app in avvio c'è il propt dei comandi di Windows (cmd) che all'interno della tendina (vedesi screenshot) c'è la voce di Edge, allora provo a disabilitare l'esecuzione all'avvio ed effettivmante la pagina non appare più. Ora, diciamo che sono riuscito ad accantonare il problema ma vorrei che l'adware in questione venga rimosso dal PC, non vorrei facesse sniffing o raccogliesse comunque dati sull'utilizzo del PC.
Come posso fare? Una soluzione sarebbe formattare il dico C, ma suona un po' drastico per un adWare, vorrei mi aiutaste a cercare strade alternative.
Mi scuso per essermi dilungato e vi ringrazio anticipatamente.

 

[andrea1957]

vedo che non hai risposte, e mi sembra che si entri nel campo virus, vi sono altri post simili, uno è questa - https://forum.tomshw.it/threads/wusa-exe-è-normale.1192913/ - potresti leggerla, semmai inizia dall'inizio, poi facci sapere e vedremo insieme come affrontarlo.
una lista dei virus affrontati - https://forum.tomshw.it/search/5758766/?q=virus&o=relevance - - - - + una lista di adware affrontati - https://forum.tomshw.it/search/5758767/?q=adware&o=relevance
Saluti da Andrea1957

 

[r3dl4nce]

Io prenderei un Bitdefender e farei scansione con quello, è attualmente uno dei più validi antivirus

 

[yardrat]

ciao, mettiti un antivirus serio (kaspersky o bitdefender)
e nel frattempo scansione completa con roguekiller (che ora lo hanno rinominato in "Adlice Protect")

 

[Italicus Magnus]

Fai pure una scansione gratuita, una alla volta, con:

Kaspersky Virus Removal Tool https://www.kaspersky.it/downloads/free-virus-removal-tool
Hitman Pro https://www.hitmanpro.com/en-us/downloads
Norton Power Eraser https://support.norton.com/sp/it/it/home/current/solutions/kb20100824120155EN

 

[robertDurden]

Ciao a tutti! Innanzitutto, grazie tante a tutti per le risposte.
Ho provato una scansione con Rouge Killer (attualmente Adlice Protect) e ha rilevato queste chiavi malevoli nel registro di sistema:


├── [Suspicious.Path (Potenzialmente dannoso)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{16149293-EA6C-4C16-A53E-343997283703} -- v2.31|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\Users\Roberto\AppData\Local\Temp\ACFL\ACSetup\ACSetup.exe|Name=ACSETUP| (missing) -> Trovato


└── [Suspicious.Path (Potenzialmente dannoso)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{AE0F1434-F047-4479-A371-F2508BE2C667} -- v2.31|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\Users\Roberto\AppData\Local\Temp\ACFL\ACSetup\ACSetup.exe|Name=ACSETUP| (missing) -> Trovato

Ho cliccato "Rimuovi" ma il problema persiste. Sono andato io manualmente nella cartella "Temp" ma non ho trovato nulla e ho attivato la visualizzazione dei file nascosti... Provo con BitDefender o altri antivirus?

 

[yardrat]

Ho cliccato "Rimuovi" ma il problema persiste. Sono andato io manualmente nella cartella "Temp" ma non ho trovato nulla e ho attivato la visualizzazione dei file nascosti... Provo con BitDefender o altri antivirus?

questo trova varia roba, ma sta a te eliminarla poi manualmente:

Hitman Pro https://www.hitmanpro.com/en-us/downloads

poi anche prova la trial o di bitdefender o di kaspersky, non la versione free..
o uno o l'altro, non tenere più di un antivirus con la protezione proattiva
ne provi uno, vedi se ti convince e poi compri la licenza, link kaspersky, oppure bitdefender

 

[Leggend_1]

la situazione è complessa perché che sai se magari hai qualche script che si esegue automaticamente che non reinstalli l'adware e lo reinserisca nella lista dell'esecuzione automatica.
prova a fare la scansione con gli antivirus, ma se il problema si ripresenta, non ti resta che trasferire i tuoi file su un disco rigido (stando ovviamente attento a quello che trasferisci) e reinstallare.

 

[andrea1957]

Redirecting

HitmanPro and HitmanPro.Alert. Advanced Malware Scanning, Detection and Removal Tools.

HitmanPro cleans malware, viruses, trojans, keyloggers, rootkits, trackers, ransomware and spyware while HitmanPro.Alert provides continuous scanning in real time.

www.hitmanpro.com

Kaspersky Removal Tool did not work!

Hello, it’s me again. I attempted to run the KRT, the one I downloaded a few months ago from this site. It asked me if I wanted it to change my PC, I gave permission. It asked me if i accept the terms, and I accepted. Then… nothing! Nothing happened. Every time I try to run the program, it create...

forum.kaspersky.com

come è anche Bitdefender, ottimo, ma https://it.safetydetectives.com/best-antivirus/bitdefender/
anche se ho messo questi, non dico che il consiglio di Italicus Magnus non sia piu che valido.
nel tuo ultimo post, Rouge Killer è buono, e uno di quelli che uso io, e non mi ha mai dato problemi.
da quello che vedo, hai problemi nelle chiavi di regedit, niente cartella Temp, riporta i temporanei, ma poi li elimina di norma è vuota o simile, semmai devi andare manualmente nelle chiavi che elenchi e verificare se esistono ancora, se non esistono, meglio, se esistono potresti anche rimuoverle manualmente, naturalmente solo quella incriminata, se però, non è stato debellato, te la riforma. Puoi anche andare in Gestioni attività, e nella scheda avvio, disattiva qualsiasi voce che ti sembra sospetta o non riconosci, ma soprattutto quelle riguardanti, cmd o ACSetup.exe. Ora devo farti notare, che ACSetup.exe fa parte di molti programmi, ma viene anche usata da molti malware per mascherarsi come un file legittimo. Come verificare se è legittimo, - non è facile, talvolta Il file legittimo si trova in una sottocartella della cartella temporanea di Windows, come C:\Users\USERNAME\AppData\Local\Temp\ACFL\ACSetup\ ma non è detto, gli antivirus di regola lo riconoscono dalla sua posizione e dalla sua struttura interna. Poi puoi provare a resettare il tuo firewall = Impostazioni - Aggiornamento e sicurezza - Sicurezza di Windows - Firewall e protezione della rete --- e ripristinare le impostazioni predefinite del tuo firewall per rimuovere eventuali regole sospette.
E a questo punto si ritorna, a parlare di antimalware, antispyware, adware, trojan, e chi ne a di più, più ne metta, io ti posso rimandare alla discussione indicata nel primo posto https://forum.tomshw.it/threads/wusa-exe-è-normale.1192913/ dove ne vengono elencati molti, ma tutto sta a te decidere, quale è il più idoneo per te. A te decidere, quale usare - Personalmente preferisco, quelli senza installazione, e non prendo in considero quelli che vogliono che windows defender sia disattivato, o ci pensano loro a farlo. Quelli poi a pagamento, poi ancor più è una tua decisione, i soldi sono i tuoi, a te decidere, quale strada intraprendere. Senza togliere niente o sminuire ciò che è elencato sopra di me, e ogni uno si trova bene con quello che crede meglio per se stesso, per cui, è logico dire, - che a tale riguardo, sono più che validi.

 

[Leggend_1]

non mi pare tanto risolutivo andare nella gestione attività e terminare programmi a fortuna, perché saranno comunque presenti nel PC. e se ci sta uno script che li riattiva, è tutto inutile.
le chiavi di registro che vedo sono relative a delle regole di firewall aggiunte da un programma esterno
sei sicuro che nella cartella temp non esista questa directory? C:\Users\Roberto\AppData\Local\Temp\ACFL\ACSetup\ACSetup.exe
Se esiste elimina (shift+canc) la cartella radice ACFL.
il fatto è che il programma potrebbe essere radicato in altre directory. controllerei ACFL nei programmi e in system32.
se fare la scansione con gli antivirus non risolve, non ti resta che fare un installazione pulita.

 

[andrea1957]

forse mi sono spiegato male, la mia era solo una annotazione di verifica, niente di più, pensavo fosse logico, anche perchè, quelle che gli servono poi le deve riattivare, e rifare un'installazione pulita è l'ultima spiaggia, ma sicuramente la più sicura. Ma rincominciare tutto da capo, mica piace a tutti.