Rimuovere Candy Box

[grad_p90]

Ciao a tutti

Ho provato a cercare discussioni simili ma non ne ho trovate di soddisfacenti quindi apro un nuovo thread:
in pratica stamattina ho scaricato per sbaglio alcuni programmi malware, fra cui Candy Box.
Io ho Windows 7: ho fatto partire la scansione con Malwareby e li ha rimossi tutti, ma è rimasta una cartella nominata "Candy Box" in Programmix86 con dentro quattro file, fra cui un "unins0000" che immagino serva a disinstallarlo.
Il computer per ora funziona normalmente, ma su Chrome mi si aprono ogni tanto delle pagine pubblicitarie bianche completamente a caso.

Ora i miei dubbi sono:
1) per rimuovere il programma posso far partire l'uninistaller che è presente nella cartella? Non è che per caso è anche quello maligno e mi installa altre cose indesiderabili?
2) come posso poi essere sicuro di non avere più nulla di strano nel computer?

Tenete presente che purtroppo sono abbastanza ignorante in fatto di computer, quindi mi servirebbe una spiegazione "passo passo" :asd:

Grazie mille a chi mi vorrà dare una mano!!! :)

 

[menatwork]

ciao per cominciare clicca su suo uninistaller, e gia' cosi' avrai eliminato l'adware poi per precauzione fai queste due scansioni, la prima serve a rimuovere quello che l'adware si e portato dietro, la seconda scansione e' per un controllo, nel caso si fossero installate altre ''schifezze'' te le faro' rimuovere successivamente con uno script personalizzato

parti con la prima scansione

scarica adwcleaner

clicca su ''analisi'' e poi su ''pulizia'' conferma con OK le varie finestre che ti compariranno.

alla fine clicca su Report e allega il contenuto

la seconda scansione e' la seguente

scarica farbar-recovery e mettilo sul desktop


Devi scaricare la versione(32 o 64 bit) compatibile con il tuo sistema)

Avvialo e clicca su yes quando ti chiede di accettare le condizioni

Clicca su SCAN

Una volta terminata la scansione il tool creerà nella stessa directory di dove è posizionato FRST due log FRST.txt e Addition.txt

Allegali nella tua prossima risposta

 

[grad_p90]

Allora, ti ringrazio per la risposta

Però in realtà ho già rimosso il programma utilizzando Revo Uninstaller: è bastato cliccare sulla cartella e lui ha individuato i vari file presenti nel computer. In effetti adesso non mi si aprono più finestre pubblicitarie su Chrome e sembra tutto risolto.

Ho però fatto lo stesso le due scansioni che mi hai consigliato, e ti allego i file qui (non mi sembra abbiano rilevato nulla)

 

[menatwork]

controlla la cartella segnata in rosso e dimmi cosa contiene

C:\Users\User\AppData\Roaming\PatrilinyElixir

stessa cosa per l'eseguibile che hai nella cartella Downloads, controllalo su virus total

C:\Users\User\Downloads\polimiWifiWindows.exe

hai altre infezioni da rimuovere, ora esegui questi passaggi nell'ordine in cui te li scrivo


scarica questo file zip
disconnetti il pc, estrai sul desktop dal file zip solo il file Hosts, selezionalo, tasto destro del mouse, copia, poi apri la cartella C:\Windows\System32\drivers\etc\ in un punto libero fai incolla, accetta la sostituzione del file hosts esistente, potrebbe darti errori non preoccuparti, riavvia il pc.


poi


salva il file in allegato e mettilo sul desktop

chiudi tutti i programmi

ora avvia nuovamente FRST e clicca su FIX

al termine della scansione verra' rilasciato un file come fixlog.txt

allegalo come i precedenti

Una volta finito riesegui una nuova scansione con FRST

 

[grad_p90]

controlla la cartella segnata in rosso e dimmi cosa contiene

C:\Users\User\AppData\Roaming\PatrilinyElixir

stessa cosa per l'eseguibile che hai nella cartella Downloads, controllalo su virus total

C:\Users\User\Downloads\polimiWifiWindows.exe

Il primo è un file che non so cosa sia sinceramente
Il secondo è sicuro, l'ho installato io.

Comunque adesso faccio come mi hai detto, però sei sicuro che la sostituzione dell'host nella cartella Windows/32 ecc. non mi causerà problemi in futuro?

 

[menatwork]

però sei sicuro che la sostituzione dell'host nella cartella Windows/32 ecc. non mi causerà problemi in futuro?

ti consiglio di farlo hai dei siti malevoli

 

[grad_p90]

Allora, grazie di nuovo per l'assistenza, io ho provato a sostituire il file host ma mi dice:
"è necessario fornire le autorizzazioni di amministratore per spostare nella cartella"
sia se clicco su "continua" o su "ignora", mi scompare semplicemente l'avviso ma il file hosts originale rimane sempre lì!

allora ho provato (sempre restando sconnesso da internet) a ripetere l'operazione con gli antivirus disattivati, poi anche (come ho letto su un altro sito) facendo start -> blocco note -> esegui come amministratore e tenendolo aperto nella barra in basso ho provato di nuovo a sostituire il file, ma niente...

quando dicevi che mi avrebbe dato errori intendevi questo? Devo andare avanti come se nulla fosse?

 

[menatwork]

Devo andare avanti come se nulla fosse?

si ignora l'avviso e continua, ricorda anche che tu hai windows 7 e devi eseguire col destro e come amministratore

una volta terminato allegami il risultato del file fixlog.txt poi riesegui una nuova scansione con frst

 

[grad_p90]

Dunque, scusa se mi ripeto però sono un po' tardo con queste cose :D
In pratica io faccio quello che hai detto, cioè:
1) estraggo HOSTS sul desktop e poi faccio copia
2) apro la cartella windows/system32/drivers/etc
3) faccio incolla con il tasto destro (non mi esce nessuna opzione "esegui come amministratore", ma solo "incolla")
4) mi dice che ci sono due file, dico sostituisci
5) mi dice che servono autorizzazioni di amministratore, opzioni possibili: continua (simbolo dell'amministratore) - ignora - annulla
6) faccio clic su "continua" e la finestra di avviso semplicemente scompare, ma il file hosts continua a essere quello precedente (la sua data di modifica non è oggi ma un po' di tempo fa!)

Quindi in pratica non riesco a cambiare il file: non è che posso semplicemente eliminare quello vecchio col cestino e incollare quello nuovo?
Oppure l'operazione è già andata a buon fine e io non me ne rendo conto?

Mille grazie ancora per la pazienza!!!

 

[menatwork]

5) mi dice che servono autorizzazioni di amministratore, opzioni possibili: continua (simbolo dell'amministratore) - ignora - annulla

prova a cliccare su continua

 

[grad_p90]

prova a cliccare su continua

Eh appunto, leggi il punto 6) della mia risposta precedente...! Mi chiedo: non posso semplicemente gettare nel cestino il file hosts vecchio e incollare quello nuovo?

 

[menatwork]

prova con questo

scaricalo e mettilo sul desktop

Clicca su Restore MS Hosts File

Poi su Make read only e chiudi il programma.

Riavvia il pc

 

[grad_p90]

Ok adesso lo ha sostituito.
Ho fatto il fix con FRST come mi hai detto, ho riavviato e ti allego il Fixlog che mi ha salvato.

Poi ho fatto la nuova scansione con FRST e ti allego anche i due nuovi file di questa scansione.

 

[menatwork]

rimuovi questa cartella

C:\Users\User\AppData\Roaming\PatrilinyElixir

vai in C ed elimina la cartella FRST

fammi sapere se il problema e' risolto

 

[grad_p90]

Ok ho gettato nel cestino il file PatrilinyElixir e la cartella FRST.
Poi ho cestinato le icone di FRST, i vari log che aveva salvato, la icona di AdwCleaner e la cartella di AdwCleaner che era in Programmi.
Devo fare altro secondo te?


Grazie mille davvero per la tua assistenza!!! Sei stato gentilissimo