PROBLEMA Virus che continua a scaricarsi da solo

[xkky]

Buongiorno
Sono un paio di giorni che sto cercando di eradicare un virus, con scarsi risultati. Malwarebytes e Adware rimuovono i file infetti, ma continua a tornare. Avast e quello di Windows non vedono nemmeno i file infetti.
Li ho avviati anche in modalità provvisoria.
Qualche minuto dopo aver ripulito tutto, compare questo:
https://imgur.com/f3NePhi

Di fatto continua a crearmi finestre su chrome che mi aprono bltno.com e scaricarmi altri trojan che però vengono messi in quarantena subito. Se Chrome è chiuso, lo avvia.
C'erano dei Task programmati che richiamavano l'applicazione, li ho cancellati, ma non ha sortito alcun effetto.
Non riesco, e non so come fare, ad individuare il programma che fa partire il cmd.

Grazie

 

[epicfail]

Ho il tuo stesso problema.
Ho scaricato per sbaglio un bel pacchetto di virus, adware perlopiù, li ho rimossi tutti a parte questo(che non viene rilevato): ogni volta che avvio il pc si apre quella finestra del prompt di comandi e cerca di scaricare nuovi virus,immagino. L’unica è fermarlo in tempo, anche se credo che gli antivirus metterebbero subito in quarantena i nuovi Trojan.
Attendo un suggerimento.

 

[epicfail]

Up

 

[.MaxTechnology]

Buongiorno
Sono un paio di giorni che sto cercando di eradicare un virus, con scarsi risultati. Malwarebytes e Adware rimuovono i file infetti, ma continua a tornare. Avast e quello di Windows non vedono nemmeno i file infetti.
Li ho avviati anche in modalità provvisoria.
Qualche minuto dopo aver ripulito tutto, compare questo:
https://imgur.com/f3NePhi

Di fatto continua a crearmi finestre su chrome che mi aprono bltno.com e scaricarmi altri trojan che però vengono messi in quarantena subito. Se Chrome è chiuso, lo avvia.
C'erano dei Task programmati che richiamavano l'applicazione, li ho cancellati, ma non ha sortito alcun effetto.
Non riesco, e non so come fare, ad individuare il programma che fa partire il cmd.

Grazie

Ciao, puoi allegare le scansioni di MalwareBytes & Adwcleaner? Vorrei vedere le directory.
Inoltre , dopo il download del virus (quindi si autorigenera, ci sono dei files che non vengono rilevati deduco) hai constatato che il percorso e' sempre uguale o cambia ?

 

[epicfail]

Ciao, puoi allegare le scansioni di MalwareBytes & Adwcleaner? Vorrei vedere le directory.
Inoltre , dopo il download del virus (quindi si autorigenera, ci sono dei files che non vengono rilevati deduco) hai constatato che il percorso e' sempre uguale o cambia ?

Da me gli antivirus non rilevano più nulla. Il percorso è sempre lo stesso anche se diverso da quello dell'altro utente.
Update: anzi, pare cambiare di volta in volta

 

[.MaxTechnology]

Da me gli antivirus non rilevano più nulla. Il percorso è sempre lo stesso anche se diverso da quello dell'altro utente.
Update: anzi, pare cambiare di volta in volta

Deduco abbiate Windows 10 , vi prego di dirmi il vostro AntiVirus. Grazie.

Ciao, ecco a te prova questi procedimenti nell'esatto ordine in cui li ho scritti, preveniamo anche altre infezioni.
Avvia il computer in modalità provvisoria con rete ed cerca "esegui" e scrivi msconfig.exe, recati nella voce "Servizi" e spunta "Nascondi tutti i servizi microsoft".
Successivamente, togli la spunta - e quindi - disabilita tutte le voci all'avvio che non conosci , tranne servizi di driver oppure del tuo antivirus.

NOTA: Cerca di tenere a mente che il tuo computer non e' sicuro, non installare o eseguire files sospetti , ed infine non collegare al computer pendrive od altro.

Le logs puoi caricarle qui https://pastebin.com/ spunta su "unlisted" in fondo.

1) Esegui :
http://www.emsisoft.it/it/software/eek/
Effettua una scansione ed allega qui il risultato.

2) Esegui :
https://www.bleepingcomputer.com/download/junkware-removal-tool/
Effettua una scansione ed allega qui il risultato.

3) Scarica ed esegui lo strumento di rimozione malware offerto da Microsoft, attendi il suo completamento ed allega il risultato.
http://www.microsoft.com/it-it/download/malicious-software-removal-tool-details.aspx

4) Scarica ed esegui come amministratore :
http://www.adlice.com/download/roguekiller/
Clicca su "Scan", ed attendine il completamento e successivamente clicca su "delete", e dopo che avrà finito di eliminare le minacce rilevate allega qui il report( ti consiglio di salvarlo sul desktop.

5) Scarica ed esegui nuovamente AdwCleaner :
https://it.malwarebytes.com/adwcleaner/
Attendi il completamento anche qui della scansione ed allega il risultato.




Per il momento procedi così. Fammi sapere, altrimenti procediamo con FRST.

 

[epicfail]

Deduco abbiate Windows 10 , vi prego di dirmi il vostro AntiVirus. Grazie.

Ciao, ecco a te prova questi procedimenti nell'esatto ordine in cui li ho scritti, preveniamo anche altre infezioni.
Avvia il computer in modalità provvisoria con rete ed cerca "esegui" e scrivi msconfig.exe, recati nella voce "Servizi" e spunta "Nascondi tutti i servizi microsoft".
Successivamente, togli la spunta - e quindi - disabilita tutte le voci all'avvio che non conosci , tranne servizi di driver oppure del tuo antivirus.

NOTA: Cerca di tenere a mente che il tuo computer non e' sicuro, non installare o eseguire files sospetti , ed infine non collegare al computer pendrive od altro.

Le logs puoi caricarle qui https://pastebin.com/ spunta su "unlisted" in fondo.

1) Esegui :
http://www.emsisoft.it/it/software/eek/
Effettua una scansione ed allega qui il risultato.

2) Esegui :
https://www.bleepingcomputer.com/download/junkware-removal-tool/
Effettua una scansione ed allega qui il risultato.

3) Scarica ed esegui lo strumento di rimozione malware offerto da Microsoft, attendi il suo completamento ed allega il risultato.
http://www.microsoft.com/it-it/download/malicious-software-removal-tool-details.aspx

4) Scarica ed esegui come amministratore :
http://www.adlice.com/download/roguekiller/
Clicca su "Scan", ed attendine il completamento e successivamente clicca su "delete", e dopo che avrà finito di eliminare le minacce rilevate allega qui il report( ti consiglio di salvarlo sul desktop.

5) Scarica ed esegui nuovamente AdwCleaner :
https://it.malwarebytes.com/adwcleaner/
Attendi il completamento anche qui della scansione ed allega il risultato.




Per il momento procedi così. Fammi sapere, altrimenti procediamo con FRST.

Ho fatto come scritto nei passaggi, non ho risolto.

 

[.MaxTechnology]

Ho fatto come scritto nei passaggi, non ho risolto.

Ciao, ti prego di essere più specifico ed esaustivo nelle tue risposte, altrimenti non potrò aiutarti in modo corretto per garantire la sicurezza nel tuo computer.

) * I tool forniti, non rilevano la minaccia oppure la rilevano ed non viene eliminata ?
) * Puoi postare le varie logs, come da me richiesto precedentemente ?
) * Che AntiVir. hai che opera nel computer ed nel momento dell'infezione ha rilevato qualcosa ? Se sì ti chiedo per cortesia di essere più esauriente indicando il nome della minaccia rilevata.

 

[epicfail]

Solo Roguekiller ha rilevato qualcosa:
[PUP.Gen0][Archivio] C:\Windows\SECOH-QAD.exe -> Cancellato
[PUP.uTorrentAds][Archivio] C:\Users\Riccardo\AppData\Roaming\uTorrent\updates\3.4.9_42973\utorrentie.exe -> Cancellato
[PUP.uTorrentAds][Archivio] C:\Users\Riccardo\AppData\Roaming\uTorrent\updates\3.4.9_43085\utorrentie.exe -> Cancellato
[PUP.uTorrentAds][Archivio] C:\Users\Riccardo\AppData\Roaming\uTorrent\updates\3.5.0_43580\utorrentie.exe -> Cancellato
[PUP.uTorrentAds][Archivio] C:\Users\Riccardo\AppData\Roaming\uTorrent\updates\3.5.0_43804\utorrentie.exe -> Cancellato
[PUP.uTorrentAds][Archivio] C:\Users\Riccardo\AppData\Roaming\uTorrent\updates\3.5.0_43916\utorrentie.exe -> Cancellato
[PUP.uTorrentAds][Archivio] C:\Users\Riccardo\AppData\Roaming\uTorrent\updates\3.5.0_44090\utorrentie.exe -> Cancellato
Gli altri non hanno rilevato nulla.
Ho tolto tutti i processi sconosciuti all'avvio.
Quasi sempre all'avvio di windows si apre quella schermata del prompt dei comandi con quel download: io cerco di annullarlo quasi subito, anche perchè non viene rilevato dall'antivirus (malwarebytes e windows defender).

Ho rifatto una scansione con malwarebytes e ha rilevato diversi "adware.filetour", descritti come adware di origine russa, il che coincide col tipo di pubblicità che mi si aprivano nel browser all'inizio. Credo che questi adware.filetour siano i virus scaricati da quel processo.

 

[.MaxTechnology]

Solo Roguekiller ha rilevato qualcosa:
[PUP.Gen0][Archivio] C:\Windows\SECOH-QAD.exe -> Cancellato
[PUP.uTorrentAds][Archivio] C:\Users\Riccardo\AppData\Roaming\uTorrent\updates\3.4.9_42973\utorrentie.exe -> Cancellato
[PUP.uTorrentAds][Archivio] C:\Users\Riccardo\AppData\Roaming\uTorrent\updates\3.4.9_43085\utorrentie.exe -> Cancellato
[PUP.uTorrentAds][Archivio] C:\Users\Riccardo\AppData\Roaming\uTorrent\updates\3.5.0_43580\utorrentie.exe -> Cancellato
[PUP.uTorrentAds][Archivio] C:\Users\Riccardo\AppData\Roaming\uTorrent\updates\3.5.0_43804\utorrentie.exe -> Cancellato
[PUP.uTorrentAds][Archivio] C:\Users\Riccardo\AppData\Roaming\uTorrent\updates\3.5.0_43916\utorrentie.exe -> Cancellato
[PUP.uTorrentAds][Archivio] C:\Users\Riccardo\AppData\Roaming\uTorrent\updates\3.5.0_44090\utorrentie.exe -> Cancellato
Gli altri non hanno rilevato nulla.
Ho tolto tutti i processi sconosciuti all'avvio.
Quasi sempre all'avvio di windows si apre quella schermata del prompt dei comandi con quel download: io cerco di annullarlo quasi subito, anche perchè non viene rilevato dall'antivirus (malwarebytes e windows defender).

Ho rifatto una scansione con malwarebytes e ha rilevato diversi "adware.filetour", descritti come adware di origine russa, il che coincide col tipo di pubblicità che mi si aprivano nel browser all'inizio. Credo che questi adware.filetour siano i virus scaricati da quel processo.

Ciao,

Perfetto, ti ringrazio per avermi aggiornato, questo adware mira anche a modificare dei file originari di Windows.

Partiamo dal presupposto che, Windows Defender da solo non e' consigliabile come antivirus, un'alternativa ti consiglio :
https://www.avira.com/it/ oppure https://www.avast.com/it-it/index .

Scegli chi installare, per il problema attuale ti consiglio Avira, che nel suo database ha già questa tipologia di Adware.

Salva i vari report da allegare qui grazie.

0) Entra in modalità provvisoria senza rete , cerca cmd ed eseguilo come amministratore.

0a) Inizia ad digitare sfc /scannow e dai invio. Attendi il suo completamento.

0b) Subito dopo aver terminato ciò cerca nuovamente cmd e digita CHKDSK C: /F , se non funziona, vai in Esplora risorse e su Computer (Sarebbe C tasto destro , clicca su proprietà , recati su strumenti e clicca su "Controlla" , ed attendi.

Riavvia il pc , in modalità provvisoria con rete per il passaggio successivo (1)

0) Scarica ed esegui :
https://www.bleepingcomputer.com/download/rkill/
Attendine il completamento e passa al passaggio successivo.

1) Scarica ed esegui esclusivamente :
Oltre ad pulirti il computer , riesce anche ad eliminare adware o software di terze parti;
https://www.avast.com/it-it/cleanup


Lancia nuovamente RogueKiller alla fine, e vedi se rileva altro.
https://www.adlice.com/download/roguekiller/

Una volta terminato, riavvia il computer. Se il browser credi sia ancora infetto :
Ripristina le impostazioni predefinite di GH Seguendo questa guida..
https://support.google.com/chrome/answer/3296214?hl=it


se il problema persiste...

0b ) Scarica ed esegui :
https://www.bleepingcomputer.com/download/rkill/
Attendine il completamento e passa al passaggio successivo.


1b) Scarica ed esegui:
http://www.carifred.com/ultra_adware_killer/
Clicca su "Scan" ed attendi il risultato.

Lancia nuovamente RogueKiller alla fine, e vedi se rileva altro.
https://www.adlice.com/download/roguekiller/


Allega i report

Ultima spiaggia sarà FRST, tienimi aggiornato.

EDIT: Hai per caso Windows Crack, ho visto una voce comune di KMSpico?