DOMANDA [Win7] Processi sconosciuti all'avvio

[sshisui]

Ciao ragazzi,
ho un portatile acer con win7 e avira free antivirus aggiornato e attivo.

Ho scansionato il disco con avira (che ha rimosso un adware), e con CCleaner ho fatto pulizia, riparazione registro e bonifica dello spazio libero.
Avira tra l'altro mi dice che trova degli oggetti nascosti ma non c'è verso di andare a scansionarli, forse un problema dell'antivirus: Link

Infine con un controllo del SO tramite Pannello di controllo\Tutti gli elementi del Pannello di controllo\Risoluzione dei problemi (visto che è lentissimo a partire, mettendoci in media 2 minuti) ho notato che fra i processi all'avvio ce ne sono alcuni che non conosco:

C:\Users\***\AppData\Roaming\Sixth\Sixth.exe
C:\Users\***\AppData\Roaming\Seventh\Seventh.exe
C:\Users\***\AppData\Roaming\Intermediate\Intermediate.exe
C:\Users\***\AppData\Roaming\SCheck\SCheck.exe
C:\Users\***\AppData\Local\omesuperv.exe

Cercando su google viene fuori di tutto e sembra che sia meglio rimuoverli tutti.

Prima di fare danni vorrei assicurarmi che non siano processi di windows e che si possano/debbano rimuovere.

Ora riavvio, scansiono con hijakcthis e vedo se ci sono altre cose sospette e poi aggiorno il post.

 

[Mursey]

Direi che non sono processi di Windows.
Fai una scansione (in provvisoria) con Malwarebytes.

 

[sshisui]

Grazie per la risposta. Intanto un amico mi ha consigliato di scansionarli tramite virustotal.com e da lì è risultato che teoricamente potrebbero essere tutti innocui (vengono segnalati al massimo da un paio di antivirus e basta). Tutti tranne omesuperv.exe che invece è segnalato diverse volte:

Spoiler

Avast	NSIS:OfferMosquito-A [PUP]	20150423
Bkav	W32.HfsAdware.FC25	20150423
McAfee	Artemis!1A03D37BFD6F	20150423
McAfee-GW-Edition	BehavesLike.Win32.Downloader.dc	20150422
Panda	PUP/LuaRT	20150423
Qihoo-360	HEUR/QVM42.0.Malware.Gen	20150423
Symantec	WS.Reputation.1	20150423
TrendMicro-HouseCall	Suspicious_GEN.F47V0402	20150423

Sulla segnalazione di Panda vedo che c'è scritto LuaRT, cosa che avevo letto anche facendo la scansione dei processi all'avvio di windows.

Visto che non sono processi di windows e visto che in giro si trovano delle segnalazioni sono più che propenso ad eliminarli. Se riesco a trovare il modo provo a segnalarli a quelli di Avira così magari fanno dei controlli per conto loro e li aggiungono alla lista nera.
Prima mi faccio una scansione anche con malwarebytes così vedo cosa dice e se trova qualcos'altro.

Probabilmente togliendoli risolvo anche un problema che avevo da un po' di tempo:
ogni tanto mi si cambia il motore di ricerca di tutti i browser da google a search.fbdownloader, e mentre per Chrome è abbastanza semplice -- ma seccante -- da rimuovere, da Firefox devo andare a cambiare manualmente i valori sul pannello di configurazione (about:config).
Probabilmente residuo di qualche programma che ho testato. Avevo pensato fosse anche colpa di Nexus, una sorta di rocket dock in stile mac molto bella.

Vi farò sapere appena riesco a fare tutto.
Nel frattempo se qualcun'altro volesse dare consigli o riportare esperienze simili è il benvenuto.

Grazie mille intanto

 

[giolupo]

Dopo MalwareBytes usa anche ADW Cleaner, adatto per ripulire i browser dalle schifezze.

 

[sshisui]

Da malwarebytes ho ottenuto e cancellato questi rilevamenti (56 in tutto ma poi ho chiuso e nel file log non erano elencati..):


Dopo di che ho riscansionato il registro e ho trovato questo:


e questo scansionando un po' di file in appdata/roaming:


Di tutto questo cosa tolgo e cosa lascio?

 

[giolupo]

Tutto, non c'è nulla che riguardi file del SO.
Open Candy, Offerbox, SweetIM, rMosquito, Delta, Babylon, IeNewTab, ResultsTB, non sono file o chiavi del sistema.
Sono tutte toolbar o altre schifezze che si installano quando si installa altri sw (che invece servono).
Regola n°1: scaricare i sw desiderati sempre dal sito ufficiale (proprietario), evitare siti alternativi, uno su tutti Softonic.
Regola n°2: quando si installa un sw (anche il più famoso e sicuro) non fare clic ripetutamente su "Avanti" senza prima aver letto bene cosa c'è scritto nella relativa finestra di dialogo.

Come detto usa anche ADWCleaner che ti ripulisce i browser.
Alla fine della pulizia, prima del riavvio, ADW ti manderà un messaggio, leggilo con attenzione. ;)

 

[sshisui]

Con Ccleaner facendo un'altra scan del registro mi trova un problema con il file appdata/roaming/datamgr/DataMgr.exe conviene ripristinarlo?

 

[giolupo]

CCleaner o ADWCleaner?
Sono due sw diversi!!
Io avevo specificato ADW
Se invece hai usato CCleaner non lo ripristinare ma scegli "Ripara"

PS: e poi usa ADWCleaner.

 

[sshisui]

CCleaner che ho già.
Ma tu sai cos'è questo file?

 

[giolupo]

E' una "schifezza" per aggiornare una delle altre "schifezze", quindi eliminalo usando però ADWCleaner.

CCleaner non te lo elimina definitivamente.

 

[sshisui]

Ok credo di aver risolto. Ora è tutto a posto ma speravo di guadagnare una velocità d'avvio migliore.
Grazie per i consigli