PROBLEMA Malware Problem! [Risolto]

[danilo79]

Ciao
Rifai la scansione con malwarebyte antirootkit e cancella cio che trova..
Posta il log dovrebbe essere tipo cosi:
mbar-(la data e l ora).txt

Poi Scarica tdsskiller daquiwww.bleepingcomputer.com/download/tdsskiller/
Segui questa guida per ilprogrammahttp://www.why-tech.it/come-rimuovere-defi...t-dal-pc-1.html
Posta il log report

adesso prova Malwarebyte antimalware scaricalo da qui https://it.malwarebytes.com/
fai la scansione ed elimina cio che trova eposta il log generato

esegui anche una scansione con roguekiller...
Scaricalo da qui...
http://www.adlice.com/download/roguekiller/
Segui questa guida per usare il programma
http://it.ccm.net/faq/3204-come-usare
Cancella solo le voci di colore rosso...
Posta il.report

Infine scarica frst da qui https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
scarica la versione adatta al tuo sistema operativo 32 o 64 bit
posiziona l eseguibile sul desktop
tasto dx sopra eseguibile-->apri comeamministratore
una volta aperto clicca su scan
postare log frst.txt e addition.txt

 

[IlMollo]

Buongiorno,

ho eseguito tutte le scansioni ed i fix che mi hai postato. Ti ho lasciato i report in allegato.

 

[danilo79]

Ciao
perfetto....
ora un altra cortesia e pazienza...

riesegui roguekiller e seleziona e cancella cancella queste voci:

¤¤¤ Registro ¤¤¤
[PUP.OnlineIO] (X86) HKEY_LOCAL_MACHINE\Software\Microleaves -> Non selezionato
[PUP.SweetLabs|PUP.Gen1] (X64) HKEY_USERS\S-1-5-21-1467497044-1135459756-2962170632-1005\Software\SweetLabs App Platform -> Non selezionato
[PUP.SweetLabs|PUP.Gen1] (X86) HKEY_USERS\S-1-5-21-1467497044-1135459756-2962170632-1005\Software\SweetLabs App Platform -> Non selezionato
[PUP.SweetLabs|PUP.Gen1] (X64) HKEY_USERS\S-1-5-21-1467497044-1135459756-2962170632-1005-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-11292017232723342\Software\SweetLabs App Platform -> Non selezionato
[PUP.Pokki|PUP.Gen1] (X64) HKEY_USERS\S-1-5-21-1467497044-1135459756-2962170632-1005\Software\Microsoft\Windows\CurrentVersion\Uninstall\Pokki -> Non selezionato
[PUP.Pokki|PUP.Gen1] (X86) HKEY_USERS\S-1-5-21-1467497044-1135459756-2962170632-1005\Software\Microsoft\Windows\CurrentVersion\Uninstall\Pokki -> Non selezionato
[PUP.Pokki|PUP.Gen1] (X64) HKEY_USERS\S-1-5-21-1467497044-1135459756-2962170632-1005-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-11292017232723342\Software\Microsoft\Windows\CurrentVersion\Uninstall\Pokki -> Non selezionato
[PUP.Pokki|PUP.Gen1] (X86) HKEY_USERS\S-1-5-21-1467497044-1135459756-2962170632-1005-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-11292017232723342\Software\Microsoft\Windows\CurrentVersion\Uninstall\Pokki -> Non selezionato
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-1467497044-1135459756-2962170632-1005\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : http://lenovo13.msn.com/?pc=LCJB -> Non selezionato
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-1467497044-1135459756-2962170632-1005\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : http://lenovo13.msn.com/?pc=LCJB -> Non selezionato
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-1467497044-1135459756-2962170632-1005-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-11292017232723342\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : http://lenovo13.msn.com/?pc=LCJB -> Non selezionato
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-1467497044-1135459756-2962170632-1005-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-11292017232723342\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : http://lenovo13.msn.com/?pc=LCJB -> Non selezionato
[PUP.Gen1] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {66345677-25AD-49FD-BAE5-2A3D1DEAF080} : v2.22|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Program Files (x86)\Popcorn Time\PopcornTimeDesktop.exe|Name=Popcorn Time| [x] -> Non selezionato
[PUP.Gen1] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {720F555A-1141-427D-BE89-671BDF68B8E6} : v2.22|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Program Files (x86)\Popcorn Time\PopcornTimeDesktop.exe|Name=Popcorn Time| [x] -> Non selezionato
[PUP.Gen1] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {92C3CA10-78D3-4499-97C3-EAD9F175812C} : v2.22|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Program Files (x86)\Popcorn Time\Updater.exe|Name=Updater.exe| [x] -> Non selezionato
[PUP.Gen1] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {B8BF6905-5126-4FA4-A2C9-239F2562377C} : v2.22|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Program Files (x86)\Popcorn Time\Updater.exe|Name=Updater.exe| [x] -> Non selezionato
[PUM.Policies] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0 -> Non selezionato
[PUM.Policies] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0 -> Non selezionato

¤¤¤ Attività ¤¤¤
[Suspicious.Path] %WINDIR%\Tasks\{1AF468C2-19D6-44EE-88F4-724F8619FFB4}.job -- C:\Users\FRANCE~1\AppData\Local\Temp\is-165ER.tmp\XRD Manager.exe (/exenoupdates /exelang 0 /noprereqs /qr AI_RESUME=1 ADDLOCAL=MainFeature,XRDdrivers64 ACTION="INSTALL" EXECUTEACTION="INSTALL" ROOTDRIVE="C:\" AI_PREREQFILES="C:\Users\FRANCE~1\AppData\Local\Temp\{1AF468C2-19D6-44EE-88F4-724F8619FFB4}\drivers64.msi" AI_PREREQDIRS="C:\Users\FRANCE~1\AppData\Local\Temp" AI_SETUPEXEPATH="C:\Users\FRANCE~1\AppData\Local\Temp\is-165ER.tmp\XRD Manager.exe" SETUPEXEDIR="C:\Users\FRANCE~1\AppData\Local\Temp\is-165ER.tmp\" TARGETDIR="C:\" APPDIR="C:\Program Files (x86)\X-Rite\Devices\") -> Non selezionato
[PUP.OtherSearch] \AQaC20Me1c -- C:\Program Files (x86)\JwYLj8VSzF\updengine.exe -> Non selezionato
[PUP.Pokki|PUP.Gen0|PUP.Gen1] \Pokki -- %LOCALAPPDATA%\Pokki\Engine\ServiceHostAppUpdater.exe (/LOGON) -> Non selezionato
[Suspicious.Path] \{1AF468C2-19D6-44EE-88F4-724F8619FFB4} -- C:\Users\FRANCE~1\AppData\Local\Temp\is-165ER.tmp\XRD Manager.exe (/exenoupdates /exelang 0 /noprereqs /qr AI_RESUME=1 ADDLOCAL=MainFeature,XRDdrivers64 ACTION="INSTALL" EXECUTEACTION="INSTALL" ROOTDRIVE="C:\" AI_PREREQFILES="C:\Users\FRANCE~1\AppData\Local\Temp\{1AF468C2-19D6-44EE-88F4-724F8619FFB4}\drivers64.msi" AI_PREREQDIRS="C:\Users\FRANCE~1\AppData\Local\Temp" AI_SETUPEXEPATH="C:\Users\FRANCE~1\AppData\Local\Temp\is-165ER.tmp\XRD Manager.exe" SETUPEXEDIR="C:\Users\FRANCE~1\AppData\Local\Temp\is-165ER.tmp\" TARGETDIR="C:\" APPDIR="C:\Program Files (x86)\X-Rite\Devices\") -> Non selezionato

¤¤¤ Archivi ¤¤¤
[PUP.Pokki|PUP.Gen0|PUP.Gen1][Archivio] C:\Users\Francesca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Menu Start.lnk [LNK@] C:\Users\FRANCE~1\AppData\Local\Pokki\Engine\SERVIC~1.EXE /OPEN"menu" -> Non selezionato
[PUP.Pokki|PUP.Gen0|PUP.Gen1][Archivio] C:\Users\Francesca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk [LNK@] C:\Users\FRANCE~1\AppData\Local\Pokki\Engine\SERVIC~1.EXE /OPEN"f22abfeae27a67446927d078890381efc546d3e1" -> Non selezionato
[PUP.Pokki|PUP.Gen0|PUP.Gen1][Archivio] C:\Users\Francesca\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Menu Start.lnk [LNK@] C:\Users\FRANCE~1\AppData\Local\Pokki\Engine\SERVIC~1.EXE /OPEN"menu" -> Non selezionato
[PUP.uTorrentAds][Archivio] C:\Users\Francesca\AppData\Roaming\uTorrent\updates\3.4.7_42330\utorrentie.exe -> Non selezionato
[PUP.uTorrentAds][Archivio] C:\Users\Francesca\AppData\Roaming\uTorrent\updates\3.4.8_42449\utorrentie.exe -> Non selezionato
[PUP.uTorrentAds][Archivio] C:\Users\Francesca\AppData\Roaming\uTorrent\updates\3.4.8_42576\utorrentie.exe -> Non selezionato
[PUP.uTorrentAds][Archivio] C:\Users\Francesca\AppData\Roaming\uTorrent\updates\3.4.9_42606\utorrentie.exe -> Non selezionato
[PUP.uTorrentAds][Archivio] C:\Users\Francesca\AppData\Roaming\uTorrent\updates\3.4.9_42973\utorrentie.exe -> Non selezionato
[PUP.uTorrentAds][Archivio] C:\Users\Francesca\AppData\Roaming\uTorrent\updates\3.4.9_43085\utorrentie.exe -> Non selezionato
[PUP.uTorrentAds][Archivio] C:\Users\Francesca\AppData\Roaming\uTorrent\updates\3.4.9_43295\utorrentie.exe -> Non selezionato
[PUP.uTorrentAds][Archivio] C:\Users\Francesca\AppData\Roaming\uTorrent\updates\3.4.9_43388\utorrentie.exe -> Non selezionato
[PUP.uTorrentAds][Archivio] C:\Users\Francesca\AppData\Roaming\uTorrent\updates\3.5.0_43580\utorrentie.exe -> Non selezionato
[PUP.uTorrentAds][Archivio] C:\Users\Francesca\AppData\Roaming\uTorrent\updates\3.5.0_43804\utorrentie.exe -> Non selezionato
[PUP.uTorrentAds][Archivio] C:\Users\Francesca\AppData\Roaming\uTorrent\updates\3.5.0_43916\utorrentie.exe -> Non selezionato
[PUP.uTorrentAds][Archivio] C:\Users\Francesca\AppData\Roaming\uTorrent\updates\3.5.0_44090\utorrentie.exe -> Non selezionato
[PUP.uTorrentAds][Archivio] C:\Users\Francesca\AppData\Roaming\uTorrent\updates\3.5.0_44294\utorrentie.exe -> Non selezionato

 

[IlMollo]

Ciao,
ti lascio il report di rogue

 

[danilo79]

Ciao

benfatto...
Ora continuiamo le pulizie...

Prima cosa disinstalla da pannello di controllo:

Host App Service (HKU\S-1-5-21-1467497044-1135459756-2962170632-1005\...\Pokki) (Version: 0.269.7.768 - Pokki)
Host App Service (HKU\S-1-5-21-1467497044-1135459756-2962170632-1005-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-11292017232723342\...\Pokki) (Version: 0.269.7.768 - Pokki)
Menu Start (HKU\S-1-5-21-1467497044-1135459756-2962170632-1005\...\Pokki_Start_Menu) (Version: 0.269.7.768 - Pokki)
Menu Start (HKU\S-1-5-21-1467497044-1135459756-2962170632-1005-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-11292017232723342\...\Pokki_Start_Menu) (Version: 0.269.7.768 - Pokki)

Conosci questi programmi??:
i1Profiler (HKLM-x32\...\i1Profiler_is1) (Version: 1.6.3 - X-Rite)
X-Rite Device Services Manager (HKLM-x32\...\{1AF468C2-19D6-44EE-88F4-724F8619FFB4}) (Version: 2.3.212 - X-Rite)
Se li conosci e li usi lasciali tienili....altrimenti disinstalla anche questi...(fammelo sapere se li hai disinstallati o meno)

Ora viene il bello...
Esegui questi passaggi:
-Posiziona il programma frst sul desktop assieme al file allegato fixlist.txt (mi raccomando sul desktop).
-Tasto destro con il mouse sopra a frst---->esegui come amministratore
-quando si apre clicca su FIX
-attendi che finisca le operazioni e che il pc si riavvii (importante:se non si riavvia fallo te manualmente)
-Quando rientri in windows, posta il file fixlog.txt scaturito (lo trovi sul desktop)


Dopo i passaggi eseguiti sopra :

scarica adwcleaner da qui https://www.bleepingcomputer.com/download/adwcleaner/
tasto dx sopra eseguibile avvia come amministratore e fai la scansione elimina quello che trova e posta il log generato

poi prova jrt scaricalo da qui https://www.bleepingcomputer.com/download/junkware-removal-tool/
disattiva antivirus
metti l eseguibile sul desktop
tasto dx sopra ed apri come amministratore
dai invio quando richiesto
attendi la fine della scansione
riattiva antivirus
posta il log scaturito(lo trovi sul desktop)

-Fai pulizia con cclenaer sia sistema che registro scaricalo da qui https://www.piriform.com/ccleaner/download
-resetta i browser vedi qui http://it.ccm.net/faq/1767-come-ripristinare-il-browser

Fai sapere come va il pc e che problemi riscontri....

 

[IlMollo]

Ciao,
perdonami non riesco a trovare sul pannello i 4 programmi che mi hai indicato, per quanto riguarda x-rite e i1profile sono programmi di profilazione schermo che vengono utilizzati dalla mia ragazza.

 

[danilo79]

Nel menu di Start, immetti Pannello di controllo nella casella di ricerca e seleziona Pannello di controllo dai risultati.

• Seleziona Programmi > Programmi e funzionalità, quindi seleziona il programma e cancellalo

Se non ci sono passa e vai avanti con le istruzioni.....

 

[IlMollo]

Ecco i log richiesti, anche le ultime "pulizie" sono state eseguite.

 

[danilo79]

Ok grazie

Come va il pc..??
Si aprono piule pagine indesiderate in internet??
Adesso verifichiamo i rimasugli rimasti...

Cancella i report frst.txt ,additio.txt e il fixlist.txt appena scaricato...
Poi rifai una nuova scansione con frst facendo attenzione a spuntare addition...
Posta i nuovi report frst.txt e additio.txt

Grazie

 

[IlMollo]

ecco i log, il PC sembra essere tornato alla normalità.

 

[danilo79]

Ti chiedo un favore non installate ne disinstallare programmi fino a fine bonifica questo per facilitare il da farsi...
Ha cambiato antivirus ,da panda ad avg...
Ti chiedo perchè ??
Non funzionava bene panda??

 

[IlMollo]

Pardon, Panda era scaduto da due anni. Avg è una scelta temporanea, prima di acquistare una nuova licenza.

 

[danilo79]

No problem ci mancherebbe...
È che disinstallando e reinstallando programmi si modifica la configurazione del pc e variano le voci nei log....tutto qui...
Domattina ti controllo i report e ti fornisco un fix per le voci da eliminare....
Poi se tutto fynziona bene, seguira la pulizia del programmi utilizzati per fare le scansioni....
Ciao e buona serata

 

[IlMollo]

Grazie mille per l'aiuto, buona serata

 

[danilo79]

Ciao buongiorno,
.
I programmi che non riuscivi a trovare per disinstallare, erano gia stati rimossi dalle scansioni precedenti, infatti in questo ultimo listato di frst non ci sono piu....

Allora come detto finiamo di ripulire il pc dagli ultimi rimasugli:

Esegui questi passaggi:
-Posiziona il programma frst sul desktop assieme al file allegato fixlist.txt (mi raccomando sul desktop).
-Tasto destro con il mouse sopra a frst---->esegui come amministratore
-quando si apre clicca su FIX
-attendi che finisca le operazioni e che il pc si riavvii (importante:se non si riavvia fallo te manualmente)
-Quando rientri in windows, posta il file fixlog.txt scaturito (lo trovi sul desktop)

Adesso testa bene il pc e verifica se riscontri problemi...

Seguiranno istruzioni per eliminare tutti i programmi usati per fare scansioni..(tranne roguekiller e malwarebyte antimalware che li puoi usare per fare scansioni periodiche)

Ciao