pc infetto, problemi

[Luk3]

Ciao,

il problema è il seguente:

1. una toolbar softronic che non riesco in nessun modo a togliere
2. popup che mi si aprono da soli con chrome

Ho letto il topic in evidenza per ripulire il pc. Prima ho fatto una scansione con malwarebytes, ed effettivamente mi ha trovato un bel pò di roba, fra cui una decina di trojian. Ma anche dopo questo passaggio il problema è rimasto.

Ho provato a lanciare combofix, ma mi si è piantato sulla schermata che dice:
"di solito la scansione dura 10 min, per computer infetti può volerci il doppio del tempo".

Sarà stato 45min fermo in quel modo.. stava facendo la scansione? non c'era nessun "completato" come si vede nell'img della guida, c'era solo quella scritta..ho provato a chiuderlo e non me lo faceva nemmeno chiudere, ctrl+alt+canc, idem non lo richiamava.. ho dovuto staccare la spina :)

 

[menatwork]

ciao Luk3

scarica adwcleaner

clicca su scan e poi su ''clean'' conferma con OK le varie finestre che ti compariranno.

alla fine clicca su Report e allega il contenuto insieme al log di malwarebytes

 

[Luk3]

ADW:
Wikisend: free file sharing service[R0].txt
Wikisend: free file sharing service[S0].txt

Malwarebytes:
Wikisend: free file sharing service (18-34-11).txt



sono rimasti sia i popup che la toolbar.. nella barra degli indirizzi quando parte il popup l'indirizzo comincia con flash.baseflash, e poi cambia subito indirizzo..

 

[menatwork]

dobbiamo ancora finire mi serve questa scansione di sola lettura, quando avro' controllato il report ti preparero' una procedura di rimozione

Scarica OTL e salvalo sul desktop

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta su minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi due log sul desktop. OTL.txt ed Extras.txt, salvali e allegali

 

[Luk3]

eccoli:

Wikisend: free file sharing service
Wikisend: free file sharing service

 

[menatwork]

apri otl e copia questo codice nel box bianco del programma

:OTL
SRV - (ServUpdater) -- C:\Users\Gianluca\AppData\Local\ServUpdater\ServiceUpd.exe (ServiceUpd)
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
O33 - MountPoints2\{ee10cd87-9e6d-11e1-8d40-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{ee10cd87-9e6d-11e1-8d40-806e6f6e6963}\Shell\AutoRun\command - "" = E:\SETUP.EXE
O33 - MountPoints2\{ee10cd87-9e6d-11e1-8d40-806e6f6e6963}\Shell\configure\command - "" = E:\SETUP.EXE
O33 - MountPoints2\{ee10cd87-9e6d-11e1-8d40-806e6f6e6963}\Shell\install\command - "" = E:\SETUP.EXE
O33 - MountPoints2\{ee10cd88-9e6d-11e1-8d40-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{ee10cd88-9e6d-11e1-8d40-806e6f6e6963}\Shell\AutoRun\command - "" = F:\EPSETUP.EXE
O33 - MountPoints2\{faf5fa9e-12c2-11e2-a097-002511c28235}\Shell - "" = AutoRun
O33 - MountPoints2\{faf5fa9e-12c2-11e2-a097-002511c28235}\Shell\AutoRun\command - "" = H:\setup.exe
[2014/03/07 20:08:44 | 000,000,000 | --SD | C] -- C:\ComboFix
[2014/03/07 20:08:42 | 000,000,000 | ---D | C] -- C:\Qoobox
[2014/03/07 20:06:05 | 005,187,267 | R--- | C] (Swearware) -- C:\Users\Gianluca\Desktop\ComboFix.exe
[2014/03/07 20:06:29 | 005,187,267 | R--- | M] (Swearware) -- C:\Users\Gianluca\Desktop\ComboFix.exe
[2014/03/07 11:50:05 | 000,000,000 | ---D | M] -- C:\Users\Gianluca\AppData\Roaming\BaseFlash
PRC - C:\Users\Gianluca\AppData\Roaming\BaseFlash\protect\ProtectExtension.exe ()
SRV - (srvProtectExtension) -- C:\Users\Gianluca\AppData\Roaming\BaseFlash\protect\ProtectExtension.exe ()
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\BaseFlash@B1a2s3e4F5l6a7s8h9.es: C:\Users\Gianluca\AppData\Roaming\BaseFlash\Firefox [2014/03/07 11:50:00 | 000,000,000 | ---D | M]
CHR - Extension: BaseFlash = C:\Users\Gianluca\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhokfmhpdoppcompklkineedkmhinhdf\1.0_1\
CHR - Extension: BaseFlash = C:\Users\Gianluca\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhokfmhpdoppcompklkineedkmhinhdf\1.0_1\
O2 - BHO: (BaseFlash Object) - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\Users\Gianluca\AppData\Roaming\BaseFlash\IE\BaseFlash.dll ()
[2014/03/07 11:22:35 | 000,000,000 | ---D | C] -- C:\Users\Gianluca\AppData\Roaming\BaseFlash
[2014/03/07 11:50:05 | 000,000,000 | ---D | M] -- C:\Users\Gianluca\AppData\Roaming\BaseFlash

:Files
ipconfig /flushdns /c 

:commands
[purity]
[Reboot]

clicca su run fix ...... attendi la fine delle operazioni, dopo il riavvio allega il log che trovi in C:\_OTL
\MovedFiles

 

[Luk3]

eccolo:

========== OTL ==========Service ServUpdater stopped successfully!
Service ServUpdater deleted successfully!
C:\Users\Gianluca\AppData\Local\ServUpdater\ServiceUpd.exe moved successfully.
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ee10cd87-9e6d-11e1-8d40-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ee10cd87-9e6d-11e1-8d40-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ee10cd87-9e6d-11e1-8d40-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ee10cd87-9e6d-11e1-8d40-806e6f6e6963}\ not found.
File E:\SETUP.EXE not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ee10cd87-9e6d-11e1-8d40-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ee10cd87-9e6d-11e1-8d40-806e6f6e6963}\ not found.
File E:\SETUP.EXE not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ee10cd87-9e6d-11e1-8d40-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ee10cd87-9e6d-11e1-8d40-806e6f6e6963}\ not found.
File E:\SETUP.EXE not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ee10cd88-9e6d-11e1-8d40-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ee10cd88-9e6d-11e1-8d40-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ee10cd88-9e6d-11e1-8d40-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ee10cd88-9e6d-11e1-8d40-806e6f6e6963}\ not found.
File F:\EPSETUP.EXE not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{faf5fa9e-12c2-11e2-a097-002511c28235}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{faf5fa9e-12c2-11e2-a097-002511c28235}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{faf5fa9e-12c2-11e2-a097-002511c28235}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{faf5fa9e-12c2-11e2-a097-002511c28235}\ not found.
File H:\setup.exe not found.
C:\ComboFix\N_ folder moved successfully.
C:\ComboFix\it-IT folder moved successfully.
C:\ComboFix\en-US folder moved successfully.
C:\ComboFix folder moved successfully.
C:\Qoobox\TestC folder moved successfully.
C:\Qoobox\Test folder moved successfully.
C:\Qoobox\Quarantine\Registry_backups folder moved successfully.
C:\Qoobox\Quarantine\C folder moved successfully.
C:\Qoobox\Quarantine folder moved successfully.
C:\Qoobox\LastRun folder moved successfully.
C:\Qoobox\BackEnv folder moved successfully.
C:\Qoobox folder moved successfully.
C:\Users\Gianluca\Desktop\ComboFix.exe moved successfully.
File C:\Users\Gianluca\Desktop\ComboFix.exe not found.
C:\Users\Gianluca\AppData\Roaming\BaseFlash\protect\files folder moved successfully.
C:\Users\Gianluca\AppData\Roaming\BaseFlash\protect folder moved successfully.
C:\Users\Gianluca\AppData\Roaming\BaseFlash\IE folder moved successfully.
C:\Users\Gianluca\AppData\Roaming\BaseFlash\Firefox\chrome\content folder moved successfully.
C:\Users\Gianluca\AppData\Roaming\BaseFlash\Firefox\chrome folder moved successfully.
C:\Users\Gianluca\AppData\Roaming\BaseFlash\Firefox folder moved successfully.
C:\Users\Gianluca\AppData\Roaming\BaseFlash\Chrome\tempCRX folder moved successfully.
C:\Users\Gianluca\AppData\Roaming\BaseFlash\Chrome folder moved successfully.
C:\Users\Gianluca\AppData\Roaming\BaseFlash folder moved successfully.
Process ProtectExtension.exe killed successfully!
Service srvProtectExtension stopped successfully!
Service srvProtectExtension deleted successfully!
File  C:\Users\Gianluca\AppData\Roaming\BaseFlash\protect\ProtectExtension.exe  not found.
Registry value HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\BaseFlash@B1a2s3e4F5l6a7s8h9.es deleted successfully.
File C:\Users\Gianluca\AppData\Roaming\BaseFlash\Firefox not found.
C:\Users\Gianluca\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhokfmhpdoppcompklkineedkmhinhdf\1.0_1 folder moved successfully.
File C:\Users\Gianluca\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhokfmhpdoppcompklkineedkmhinhdf\1.0_1 not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53}\ deleted successfully.
File C:\Users\Gianluca\AppData\Roaming\BaseFlash\IE\BaseFlash.dll not found.
Folder C:\Users\Gianluca\AppData\Roaming\BaseFlash\ not found.
Folder C:\Users\Gianluca\AppData\Roaming\BaseFlash\ not found.
========== FILES ==========
[COLOR=#A23BEC]< ipconfig /flushdns /c  >[/COLOR]
Configurazione IP di Windows
Cache del resolver DNS svuotata.
C:\Users\Gianluca\Desktop\cmd.bat deleted successfully.
C:\Users\Gianluca\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
OTL by OldTimer - Version 3.2.69.0 log created on 03082014_161235

 

[menatwork]

prova a navigare e dimmi se hai risolto

 

[Luk3]

Si allora tutti quei popup non partono più. è rimasta solo la seconda pagina di ricerca softronic, ma parte solo all'avvio di chrome..

 

[menatwork]

da start tutti i programmi vai sull'icona di chrome e scegli proprieta', copiami tutto il contenuto nel campo destinazione

 

[Luk3]

C:\Users\Gianluca\AppData\Local\Google\Chrome\Application\chrome.exe

 

[Luk3]

intanto ti ringrazio, sei stato gentilissimo ;)

 

[beppe93]

ciao, scusate l'intrusione, ho visto che l'utente @menatwork è stato di grande aiuto, io ho un trojan back door, ho postato il mio problema in una discussione, purtroppo non sono ancora riuscito a risolverlo pur essendo in ballo da ben 2 giorni....:cry:
mi sono permesso di fare questa intrusione perchè mi serve pulito al più presto per un esame :(
spero di non essere stato troppo invadente, nella speranza che qualcuno risponda vi ringrazio in anticipo e scusate ancora

 

[Luk3]

ciao, scusate l'intrusione, ho visto che l'utente @menatwork è stato di grande aiuto, io ho un trojan back door, ho postato il mio problema in una discussione, purtroppo non sono ancora riuscito a risolverlo pur essendo in ballo da ben 2 giorni....:cry:
mi sono permesso di fare questa intrusione perchè mi serve pulito al più presto per un esame :(
spero di non essere stato troppo invadente, nella speranza che qualcuno risponda vi ringrazio in anticipo e scusate ancora

nessun problema per me, ma se hai aperto un tuo topic credo che avrai più visibilità lì che qui.

 

[Luca_F]

Sto usando SpyHunter (anche se non è consigliato da alcune persone), ma mi piace