DOMANDA Strani messaggi CMD

[romirom]

Salve, so che probabilmente è la sezione sbagliata in cui chiederlo, ma sono abbastanza disperato e non so come fare.
Un paio di giorni fa, volendo installare il gioco "The Forest", mi imbattei in un installer, che mi installò tutto tranne il gioco.
I programmi che mi ha installato sono Mail.ru e Lite, che ho prontamente rimosso attraverso geek uninstaller, eliminando le tracce anche dal regedit e facendo una scansione con Malwarebytes, rilevando 75 minacce ed eliminandole.
Da quel momento, però, ogni tanto si apre una finestra di CMD che si chiude molto velocemente. Sono riuscito a copiarne il conenuto in un nano secondo:


1 file copiati.
1 file copiati.
OPERAZIONE RIUSCITA: l'attività pianificata "OdhIye" è stata creata.

BITSADMIN version 3.0
BITS administration utility.
(C) Copyright 2000-2006 Microsoft Corp.

BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.

Unable to connect to BITS - 0x80070422


Cosa sta succedendo? Vi prego aiutatemi.

 

[romirom]

Salve, so che probabilmente è la sezione sbagliata in cui chiederlo, ma sono abbastanza disperato e non so come fare.
Un paio di giorni fa, volendo installare il gioco "The Forest", mi imbattei in un installer, che mi installò tutto tranne il gioco.
I programmi che mi ha installato sono Mail.ru e Lite, che ho prontamente rimosso attraverso geek uninstaller, eliminando le tracce anche dal regedit e facendo una scansione con Malwarebytes, rilevando 75 minacce ed eliminandole.
Da quel momento, però, ogni tanto si apre una finestra di CMD che si chiude molto velocemente. Sono riuscito a copiarne il conenuto in un nano secondo:


1 file copiati.
1 file copiati.
OPERAZIONE RIUSCITA: l'attività pianificata "OdhIye" è stata creata.

BITSADMIN version 3.0
BITS administration utility.
(C) Copyright 2000-2006 Microsoft Corp.

BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.

Unable to connect to BITS - 0x80070422


Cosa sta succedendo? Vi prego aiutatemi.

Ed un'altra volta c'era scritto AYinkaeo al posto di Odhyle, oppure AYinkeao. Confido nel vostro aiuto, non avendo trovato nulla su internet.
E l'antivirus non rileva più alcuna minaccia.

 

[lionx08]

Ed un'altra volta c'era scritto AYinkaeo al posto di Odhyle, oppure AYinkeao. Confido nel vostro aiuto, non avendo trovato nulla su internet.
E l'antivirus non rileva più alcuna minaccia.

quel programma bitsadmin serve per creare e monitorare dei lavori di download e upload da e verso il sistema.
Probabilmente non si avvia correttamente o c'è qualche operazione in corso sospetta e sei ancora infetto.
RKILL
ADW
JUNK
DELFIX
rimuovi tutto.
Poi riavvii e fai un bel wise per il registro
Elimina anche tutti i residui degli update.

 

[romirom]

quel programma bitsadmin serve per creare e monitorare dei lavori di download e upload da e verso il sistema.
Probabilmente non si avvia correttamente o c'è qualche operazione in corso sospetta e sei ancora infetto.
RKILL
ADW
JUNK
DELFIX
rimuovi tutto.
Poi riavvii e fai un bel wise per il registro
Elimina anche tutti i residui degli update.

Devo scaricare tutti i programmi che hai citato?

 

[lionx08]

Devo scaricare tutti i programmi che hai citato?

si e rimuovi tutto di ognuno.

 

[romirom]

si e rimuovi tutto di ognuno.

Scusa l'ignoranza ma, in che senso "rimuovi tutto di ognuno"?
Comunque questo è il log di rkill:

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2018 BleepingComputer.com
More Information about Rkill can be found at this link:
http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 01/06/2018 06:25:12 PM in x64 mode.
Windows Version: Windows 10 Home

Checking for Windows services to stop:

* No malware services found to stop.

Checking for processes to terminate:

* No malware processes found to kill.

Checking Registry for malware related settings:

* No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

* No issues found.

Searching for Missing Digital Signatures:

* No issues found.

Checking HOSTS File:

* Cannot edit the HOSTS file.
* Permissions Fixed. Administrators can now edit the HOSTS file.

* HOSTS file entries found:

35.156.90.191 authserver.mojang.com
35.156.90.191 sessionserver.mojang.com
0.0.0.0 keystone.mwbsys.com
0.0.0.0 telemetry.malwarebytes.com

Program finished at: 01/06/2018 06:37:00 PM
Execution time: 0 hours(s), 11 minute(s), and 48 seconds(s)

 

[lionx08]

Scusa l'ignoranza ma, in che senso "rimuovi tutto di ognuno"?
Comunque questo è il log di rkill:

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2018 BleepingComputer.com
More Information about Rkill can be found at this link:
http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 01/06/2018 06:25:12 PM in x64 mode.
Windows Version: Windows 10 Home

Checking for Windows services to stop:

* No malware services found to stop.

Checking for processes to terminate:

* No malware processes found to kill.

Checking Registry for malware related settings:

* No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

* No issues found.

Searching for Missing Digital Signatures:

* No issues found.

Checking HOSTS File:

* Cannot edit the HOSTS file.
* Permissions Fixed. Administrators can now edit the HOSTS file.

* HOSTS file entries found:

35.156.90.191 authserver.mojang.com
35.156.90.191 sessionserver.mojang.com
0.0.0.0 keystone.mwbsys.com
0.0.0.0 telemetry.malwarebytes.com

Program finished at: 01/06/2018 06:37:00 PM
Execution time: 0 hours(s), 11 minute(s), and 48 seconds(s)

se trovano qualcosa lo rimuovi. Fai come scritto non è difficile.

 

[romirom]

Cosa devo fare con ADWCleaner? Analizza o File Registro Eventi?

 

[lionx08]

Cosa devo fare con ADWCleaner? Analizza o File Registro Eventi?

analizza.

 

[romirom]

il programma Delfix ha eliminato C:\ADWCleaner e Delfix si è disinstallato da solo, è normale? comunque sto procedendo e manca solo junkware removal tool. metterò anche i log di Junkware e Adwcleaner, che sembra avermi liberato del problema perché ha eliminato un file che aveva a che fare con mail.ru.

 

[lionx08]

il programma Delfix ha eliminato C:\ADWCleaner e Delfix si è disinstallato da solo, è normale? comunque sto procedendo e manca solo junkware removal tool. metterò anche i log di Junkware e Adwcleaner, che sembra avermi liberato del problema perché ha eliminato un file che aveva a che fare con mail.ru.

ottimo prosegui.
Si delfix era per eliminare gli altri alla fine.

 

[romirom]

Ricapitolando, rkill:
Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2018 BleepingComputer.com
More Information about Rkill can be found at this link:
http://www.bleepingcomputer.com/forums/topic308364.html

Spoiler

Program started at: 01/06/2018 06:25:12 PM in x64 mode.
Windows Version: Windows 10 Home

Checking for Windows services to stop:

* No malware services found to stop.

Checking for processes to terminate:

* No malware processes found to kill.

Checking Registry for malware related settings:

* No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.


Performing miscellaneous checks:

* No issues found.

Searching for Missing Digital Signatures:

* No issues found.

Checking HOSTS File:

* Cannot edit the HOSTS file.
* Permissions Fixed. Administrators can now edit the HOSTS file.

* HOSTS file entries found:

35.156.90.191 authserver.mojang.com
35.156.90.191 sessionserver.mojang.com
0.0.0.0 keystone.mwbsys.com
0.0.0.0 telemetry.malwarebytes.com

Program finished at: 01/06/2018 06:37:00 PM
Execution time: 0 hours(s), 11 minute(s), and 48 seconds(s)


ADWCleaner:
# AdwCleaner 7.0.6.0 - Logfile created on Sat Jan 06 17:43:38 2018
# Updated on 2017/21/12 by Malwarebytes
# Running on Windows 10 Home (X64)
# Mode: clean
# Support: https://www.malwarebytes.com/support

***** [ Services ] *****

No malicious services deleted.

***** [ Folders ] *****

Deleted: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DriverToolkit
Deleted: C:\Users\roman\AppData\Local\DriverToolkit
Deleted: C:\ProgramData\Mail.Ru
Deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Mail.Ru
Deleted: C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Mail.Ru
Deleted: C:\Users\All Users\Mail.Ru
Deleted: C:\Program Files (x86)\DnsJumper


***** [ Files ] *****

No malicious files deleted.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

Deleted: Driver Booster Scheduler
Deleted: DRIVERTOOLKIT AUTORUN


***** [ Registry ] *****

Deleted: [Key] - HKU\S-1-5-21-2793637166-2326019949-4266482534-1001\Software\DriverToolkit
Deleted: [Key] - HKCU\Software\DriverToolkit
Deleted: [Key] - HKLM\SOFTWARE\Mail.Ru
Deleted: [Key] - HKU\S-1-5-21-2793637166-2326019949-4266482534-1001\Software\Mail.Ru
Deleted: [Key] - HKU\S-1-5-21-2793637166-2326019949-4266482534-1001\Software\AppDataLow\Software\Mail.Ru
Deleted: [Key] - HKCU\Software\Mail.Ru
Deleted: [Key] - HKCU\Software\AppDataLow\Software\Mail.Ru
Deleted: [Key] - HKCU\Software\Mozilla\NativeMessagingHosts\ru.mail.go.ext_info_host


***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries deleted.

***** [ Chromium (and derivatives) ] *****

Plugin deleted: User-Agent Switcher for Chrome -


*************************

::Tracing keys deleted
::Winsock settings cleared
::Additional Actions: 0



*************************

C:/AdwCleaner/AdwCleaner[S0].txt - [2266 B] - [2018/1/6 17:43:2]


########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt ##########


JRT:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.4 (07.09.2017)
Operating System: Windows 10 Home x64
Ran by roman (Administrator) on 06/01/2018 at 18:48:22.44
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 2

Successfully deleted: C:\ProgramData\productdata (Folder)
Successfully deleted: C:\WINDOWS\system32\Tasks\Driver Booster SkipUAC (roman) (Task)

Deleted the following from C:\Users\roman\AppData\Roaming\Mozilla\Firefox\Profiles\j79wpgjd.default\prefs.js
user_pref(browser.startup.homepage, hxxp://mail.ru/cnt/10445?gp=811141);
user_pref(extensions.homepage@mail.ru.rfr, 811141);
user_pref(extensions.search@mail.ru.rfr, 811142);



Registry: 0





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 06/01/2018 at 18:52:23.67
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

[lionx08]

Ricapitolando, rkill:
Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2018 BleepingComputer.com
More Information about Rkill can be found at this link:
http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 01/06/2018 06:25:12 PM in x64 mode.
Windows Version: Windows 10 Home

Checking for Windows services to stop:

* No malware services found to stop.

Checking for processes to terminate:

* No malware processes found to kill.

Checking Registry for malware related settings:

* No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.


Performing miscellaneous checks:

* No issues found.

Searching for Missing Digital Signatures:

* No issues found.

Checking HOSTS File:

* Cannot edit the HOSTS file.
* Permissions Fixed. Administrators can now edit the HOSTS file.

* HOSTS file entries found:

35.156.90.191 authserver.mojang.com
35.156.90.191 sessionserver.mojang.com
0.0.0.0 keystone.mwbsys.com
0.0.0.0 telemetry.malwarebytes.com

Program finished at: 01/06/2018 06:37:00 PM
Execution time: 0 hours(s), 11 minute(s), and 48 seconds(s)


ADWCleaner:
# AdwCleaner 7.0.6.0 - Logfile created on Sat Jan 06 17:43:38 2018
# Updated on 2017/21/12 by Malwarebytes
# Running on Windows 10 Home (X64)
# Mode: clean
# Support: https://www.malwarebytes.com/support

***** [ Services ] *****

No malicious services deleted.

***** [ Folders ] *****

Deleted: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DriverToolkit
Deleted: C:\Users\roman\AppData\Local\DriverToolkit
Deleted: C:\ProgramData\Mail.Ru
Deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Mail.Ru
Deleted: C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Mail.Ru
Deleted: C:\Users\All Users\Mail.Ru
Deleted: C:\Program Files (x86)\DnsJumper


***** [ Files ] *****

No malicious files deleted.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

Deleted: Driver Booster Scheduler
Deleted: DRIVERTOOLKIT AUTORUN


***** [ Registry ] *****

Deleted: [Key] - HKU\S-1-5-21-2793637166-2326019949-4266482534-1001\Software\DriverToolkit
Deleted: [Key] - HKCU\Software\DriverToolkit
Deleted: [Key] - HKLM\SOFTWARE\Mail.Ru
Deleted: [Key] - HKU\S-1-5-21-2793637166-2326019949-4266482534-1001\Software\Mail.Ru
Deleted: [Key] - HKU\S-1-5-21-2793637166-2326019949-4266482534-1001\Software\AppDataLow\Software\Mail.Ru
Deleted: [Key] - HKCU\Software\Mail.Ru
Deleted: [Key] - HKCU\Software\AppDataLow\Software\Mail.Ru
Deleted: [Key] - HKCU\Software\Mozilla\NativeMessagingHosts\ru.mail.go.ext_info_host


***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries deleted.

***** [ Chromium (and derivatives) ] *****

Plugin deleted: User-Agent Switcher for Chrome -


*************************

::Tracing keys deleted
::Winsock settings cleared
::Additional Actions: 0



*************************

C:/AdwCleaner/AdwCleaner[S0].txt - [2266 B] - [2018/1/6 17:43:2]


########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt ##########


JRT:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.4 (07.09.2017)
Operating System: Windows 10 Home x64
Ran by roman (Administrator) on 06/01/2018 at 18:48:22.44
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 2

Successfully deleted: C:\ProgramData\productdata (Folder)
Successfully deleted: C:\WINDOWS\system32\Tasks\Driver Booster SkipUAC (roman) (Task)

Deleted the following from C:\Users\roman\AppData\Roaming\Mozilla\Firefox\Profiles\j79wpgjd.default\prefs.js
user_pref(browser.startup.homepage, hxxp://mail.ru/cnt/10445?gp=811141);
user_pref(extensions.homepage@mail.ru.rfr, 811141);
user_pref(extensions.search@mail.ru.rfr, 811142);



Registry: 0





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 06/01/2018 at 18:52:23.67
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ottimo finisci con gli ultimi due e abbiamo risolto.

 

[romirom]

Una volta che avrò finito, mi consigli di tenere Wise e fare delle scansioni regolarmente o dovrei eliminarlo?

 

[lionx08]

Una volta che avrò finito, mi consigli di tenere Wise e fare delle scansioni regolarmente o dovrei eliminarlo?

tienilo pure è consigliato da mamma microsoft.