|
| Precedente :: Successivo |
| Autore |
Messaggio |
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 09:17
Messaggi: 23536
Residenza: Pianeta Terra
|
 Inviato: 02 Mar 2016 01:15 Oggetto: Win 10 infettato il I° giorno di vita! |
 |
|
Cucù... sono sempre io.. il combinaguai..
Ho installato per errore una versione malwareggiosa di Fotomorph (ci ero già cascato una volta e abbiamo risolto)
Ma questo è un PC nuovo di un amico.
Ok ho fatto la solita pulizia e questi sono i risultati..
Malwarebytes ha fatto un bel lavoro di scavo.. Mi ha spazzato via tutte le pagine ma non ricordo se rilasciava un log..
Infatti ho sbagliato, credevo fosse automatico..
Ho rifatto la scansione ma ormai era pulito come puoi vedere qui!
Mbam.txt
Poi ho fatto le altre scansioni..
OTL.Txt
Extras.Txt
.txt]AdwCleaner[C1].txt
JRT.txt
Manca qualcosa?
Spero di no!
Grazie! |
|
| Top |
|
 |
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 09:17
Messaggi: 23536
Residenza: Pianeta Terra
|
| Inviato: 02 Mar 2016 02:04 Oggetto: |
|
|
In più mi sono trovato questo all'apertura della pagina di Explorer..
http://www-mysearch.com/?prd=set_epc&s=G31zftptn095001,9161dd95-3312-408c-bb30-bad9d987cc04,
Non credo che faccia parte del pacchetto regolare.. E MalwareBytes mi da un avviso di sito pericoloso bloccato..
Come eliminare questo possibile intruso? |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 09:17
Messaggi: 23536
Residenza: Pianeta Terra
|
| Inviato: 04 Mar 2016 00:16 Oggetto: |
|
|
Bueno! Adesso ho praticamente reinstallato tutto quanto dopo aver formattato il tutto. Ho utilizzato il restore che era nella partizione sua propria e sono ripartito da capo.
Uno dei programmi che servivano e che ho reinstallato era un portatore insano di malware e adware..
Fatta pulizia con i programmi indicati, qui sotto trovate i log.
Qui sono in ordine sparso ma la sequenza di analisi e pulizia l'ho rispettata come da istruzioni.
Grazie!
OTL.Txt
.txt]AdwCleaner[C1].txt
.txt]AdwCleaner[S1].txt
Extras.Txt
JRT.txt
Mi dispiace ma wikisend non mi permette di spedire il file in questione abortendo ogni tentativo. Ho anche provato a salvare il testo in altro formato ma niente da fare.. così mi vedo costretto a incollarlo qui così come è.
| Citazione: | Malwarebytes Anti-Malware
www.malwarebytes.org
Data scansione: 03/03/2016
Ora scansione: 22:46
File di log: log Mbam 03-03-2016.txt
Amministratore: Sì
Versione: 2.2.0.1024
Database malware: v2016.03.03.06
Database rootkit: v2016.02.27.01
Licenza: Periodo di prova
Protezione da malware: Attivata
Protezione da siti web nocivi: Attivata
Auto-protezione: Attivata
SO: Windows 10
CPU: x64
File system: NTFS
Utente: UTENTE
Tipo di scansione: Ricerca elementi nocivi
Risultati: Completata
Elementi analizzati: 332904
Tempo impiegato: 11 min, 46 sec
Memoria: Attivata
Esecuzioni automatiche: Attivata
File system: Attivata
Archivi compressi: Attivata
Rootkit: Attivata
Euristiche: Attivata
PUP: Attivata
PUM: Attivata
Processi: 3
Adware.ConvertAd, C:\Program Files (x86)\8F7576A3-1457041377-F722-7852-74852A1F9C05\vnssC054.tmp, 5244, , [0d559be8c1d887af6db234c92fd237c9]
PUP.Optional.ConvertAd, C:\Program Files (x86)\8F7576A3-1457041377-F722-7852-74852A1F9C05\knsdCF4B.tmpfs, 1748, , [87db364da5f4b086a10816d040c1fd03]
PUP.Optional.ConvertAd.Gen, C:\Program Files (x86)\8F7576A3-1457041377-F722-7852-74852A1F9C05\vnssC054.tmp, 5244, , [63ff384bfe9b5ed8555a304446be768a]
Moduli: 0
(Nessun elemento nocivo rilevato)
Chiavi di registro: 3
PUP.Optional.ConvertAd, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\tifypejozbt, , [87db364da5f4b086a10816d040c1fd03],
Adware.ConvertAd, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\ASPackage, , [9ac8daa9e6b380b650cfec11ba47ef11],
PUP.Optional.AnySend, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\ASPackage, , [3b27493a2574ac8a2f212e49f410a858],
Valori di registro: 4
Adware.ConvertAd, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE|Update, C:\Users\UTENTE\AppData\Roaming\ASPackage\ASPackage.exe /runonce, , [f36f196a6c2d8aac938c45b830d1a957]
PUP.Optional.Package, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE|Update, C:\Users\UTENTE\AppData\Roaming\ASPackage\ASPackage.exe /runonce, , [0e54562daaef84b2bdbeb35b8f758f71]
PUP.Optional.AnySend, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\ASPACKAGE|DisplayName, AnySend, , [95cdd7ac1881b482a1efb3b5bd47837d]
PUP.Optional.ConvertAd.Gen, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\tifypejozbt|ImagePath, C:\Program Files (x86)\8F7576A3-1457041377-F722-7852-74852A1F9C05\knsdCF4B.tmpfs, , [f072780baaef2b0bccedd89ca85c1fe1]
Dati di registro: 0
(Nessun elemento nocivo rilevato)
Cartelle: 5
PUP.Optional.ASPackage, C:\Users\UTENTE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage, , [20420b786633999dff4b7c6c50b39f61],
PUP.Optional.ConvertAd.Gen, C:\Program Files (x86)\8F7576A3-1457041377-F722-7852-74852A1F9C05, , [63ff384bfe9b5ed8555a304446be768a],
PUP.Optional.CleanBrowser, C:\Program Files (x86)\CleanBrowser, , [fa68493ae8b1cb6b8b2647beaf545fa1],
PUP.Optional.CleanBrowser, C:\Program Files (x86)\CleanBrowser\Temp, , [fa68493ae8b1cb6b8b2647beaf545fa1],
PUP.Optional.ASPackage, C:\Users\UTENTE\AppData\Roaming\ASPackage, , [d48e5c27fc9d3afca443b94c5ba8cc34],
File: 14
Adware.ConvertAd, C:\Program Files (x86)\8F7576A3-1457041377-F722-7852-74852A1F9C05\vnssC054.tmp, , [0d559be8c1d887af6db234c92fd237c9],
PUP.Optional.ConvertAd, C:\Program Files (x86)\8F7576A3-1457041377-F722-7852-74852A1F9C05\knsdCF4B.tmpfs, , [87db364da5f4b086a10816d040c1fd03],
Adware.ConvertAd, C:\Users\UTENTE\AppData\Roaming\ASPackage\ASPackage.exe, , [f36f196a6c2d8aac938c45b830d1a957],
Adware.ConvertAd, C:\Users\UTENTE\AppData\Roaming\ASPackage\Uninstall.exe, , [9ac8daa9e6b380b650cfec11ba47ef11],
PUP.Optional.ConvertAd, C:\Program Files (x86)\8F7576A3-1457041377-F722-7852-74852A1F9C05\rnsrE42D.exe, , [144edda64158f73f700eb546cf326e92],
Adware.ConvertAd, C:\Program Files (x86)\8F7576A3-1457041377-F722-7852-74852A1F9C05\Uninstall.exe, , [0f53abd89ffa0036df40de1f7091dd23],
PUP.Optional.ASPackage, C:\Users\UTENTE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage\Configure.lnk, , [20420b786633999dff4b7c6c50b39f61],
PUP.Optional.ConvertAd.Gen, C:\Program Files (x86)\8F7576A3-1457041377-F722-7852-74852A1F9C05\vnssC054.tmp, , [63ff384bfe9b5ed8555a304446be768a],
PUP.Optional.ConvertAd.Gen, C:\Program Files (x86)\8F7576A3-1457041377-F722-7852-74852A1F9C05\Uninstall.exe, , [63ff384bfe9b5ed8555a304446be768a],
PUP.Optional.Package, C:\Users\UTENTE\AppData\Roaming\ASPackage\ASPackage.exe, , [0e54562daaef84b2bdbeb35b8f758f71],
PUP.Optional.CleanBrowser, C:\Program Files (x86)\CleanBrowser\uninstall.exe, , [fa68493ae8b1cb6b8b2647beaf545fa1],
PUP.Optional.CleanBrowser, C:\Program Files (x86)\CleanBrowser\version, , [fa68493ae8b1cb6b8b2647beaf545fa1],
PUP.Optional.CleanBrowser, C:\Program Files (x86)\CleanBrowser\Temp\_1.zip, , [fa68493ae8b1cb6b8b2647beaf545fa1],
PUP.Optional.ASPackage, C:\Users\UTENTE\AppData\Roaming\ASPackage\Uninstall.exe, , [d48e5c27fc9d3afca443b94c5ba8cc34],
Settori fisici: 0
(Nessun elemento nocivo rilevato)
(end) |
|
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 21:58
Messaggi: 10123
|
| Inviato: 04 Mar 2016 18:12 Oggetto: |
|
|
Ciao Silent.
Certo che i pc, che passano per le tue mani, per me sono dei misteri. 
Hai fatto una scansione con Mbam quando pensavi di avere il pc infetto, e Mbam non ha trovato nulla.
Hai formattato il pc (per una cazzata) riportandolo alle condizioni di fabbrica, e Mbam trova tutte quelle infezioni??
Ho capito bene, oppure ho frainteso?
Comunque il log di OTL risulta pulito.
Riscontri problemi? |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 09:17
Messaggi: 23536
Residenza: Pianeta Terra
|
| Inviato: 06 Mar 2016 01:11 Oggetto: |
|
|
No tutto ok..
Vedi? il fatto è che io descrivo le cose in modo molto complicato e ci si perde..
In realtà non ho formattato e riportato alle condizioni di fabbrica il PC nuovo per una cazzata.
Era semplicemente impossibile entrare a causa di una richiesta di password che però non riconosceva.
Il fatto è che essendo un PC di esposizione per la vendita (era rimasto solo quello) e il mio amico (fra l'altro uno dei più grandi autori satirici italiani), era rimasto senza pc per un guasto e mi aveva chiesto aiuto per acquistarne uno nuovo adatto alle sue necessità di lavoro.
In negozio avevano inserito un account con password (per evitare che vi entrassero i soliti smanettoni scassatutto) e quando sono tornato per farlo levare, deve essere successo qualcosa.. perché quanto ho tentato di creare un account nuovo, lo ha fatto ma poi non mi ha più voluto riconoscere la password immessa.
Era impossibile entrarvi.
Il malware derivava da un programma free che ho inserito per lui e questo ha portato con sé un sacco di spazzatura che impestava di pagine pubblicitarie.
Dopo aver reinserito il programma in questione ho dovuto ripulirlo dallo SPAM con Mbam eccetera. Ma per sicurezza ho voluto che tu verificassi, sei più esperto di me!
Dalle mie mani passano molti pc. gli amici si rivolgono a me abbastanza spesso.. Io li indirizzo qui su ZN ma loro o sono pigri o troppo inesperti e così do loro una mano!
Grazie Amico, per la paziente sollecitudine!  |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 11:05
Messaggi: 14300
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 06 Mar 2016 10:32 Oggetto: |
|
|
Ciao Silent, 
| Silent ha scritto: | | Il malware derivava da un programma free che ho inserito per lui |
curiosità, di quale programma free si tratta? 
Scusa l'intromissione. |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 09:17
Messaggi: 23536
Residenza: Pianeta Terra
|
| Inviato: 06 Mar 2016 13:24 Oggetto: |
|
|
Ciao Bdoriano, buongiorno, che piacere! 
Ma no scherzi? Quale intromissione?
Ne avevo parlato in altro topic se non erro.. il programma è Fotomorph versione 13.9
Io lo uso frequentemente, è un aggiornamento dalla versione precedente che però non mi aveva dato problemi.
Una volta ripulito il pc con Malwarebytes non ha più creato problemi di alcun genere.
Quando l'ho installato sul pc con win 10 del mio amico ha ripresentato la stessa problematica ma io ho seguito le istruzioni del topic anti-advertising e il problema si è risolto anche su Win 10.
Per sicurezza ho fatto il controllo più volte a distanza di un paio di giorni con varie ri-accensioni e navigazioni e uso dei programmi .. è tutto ok.
Qui ci sarebbe da discutere, oltre che dei programmi, anche dei siti che li forniscono.
Non ho molte informazioni sui siti più rischiosi ma Softronic io lo evito come la peste.
Ciao Bdo, buon fine settimana a te e a quel caro e paziente amico di R16! Un abbraccio virale!  |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 21:58
Messaggi: 10123
|
| Inviato: 06 Mar 2016 14:22 Oggetto: |
|
|
| Citazione: | | Qui ci sarebbe da discutere, oltre che dei programmi, anche dei siti che li forniscono. |
Al giorno d'oggi, non puoi nemmeno fidarti dei siti ufficiali.
Comunque, se il pc fosse mio, per prima cosa riporterei il file hosts alle impostazioni originali di default.
| Citazione: | O1 - Hosts: 127.0.0.1 down.baidu2016.com
O1 - Hosts: 127.0.0.1 123.sogou.com
O1 - Hosts: 127.0.0.1 www.czzsyzgm.com
O1 - Hosts: 127.0.0.1 www.czzsyzxl.com |
Questi indirizzi IP sono spazzatura.
Per secondo, eliminerei l'antivirus McAfee, anche se non è ancora scaduto.
Se sei ancora in possesso del pc, puoi resettare il file Hosts con OTL così:
Avvia OTL.
Sotto "Custom Scans\Fixes" copia-incolla questo codice:
| Codice: | :OTL
:commands
[RESETHOSTS]
[emptytemp] |
Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Il pc si riavvierà o ti chiede di riavviarlo tu.
Posta il log che rilascia. |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 09:17
Messaggi: 23536
Residenza: Pianeta Terra
|
| Inviato: 06 Mar 2016 16:44 Oggetto: |
|
|
Ok grazie R16!
Appena possibile vado dal mio amico e faccio questa operazione.. non credo che lui se la senta di farlo da solo.
Se resta senza pc per qualche manovra sbagliata poi mi tocca correre da lui altrimenti non lavora più...
E se piove, visto che devo usare lo scooter perché questo insigne personaggio pubblico (nonché mio carissimo collega & amico da decenni) vive nel centro storico, per me è un po' un rompimento..
Con la pioggia mi ritiro come un maglione infeltrito e poi non tocco più terra con i piedi..
Da 1.82 mt passo a 40 cm..
Poco più di Dondolo il dodicesimo dei sette nani.  |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 09:17
Messaggi: 23536
Residenza: Pianeta Terra
|
| Inviato: 06 Mar 2016 16:45 Oggetto: |
|
|
Ok per eliminare McAffee .. ma con cosa lo sostituisco?
Guarda che devo farlo anche sul mio nuovo Win 10 |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 11:05
Messaggi: 14300
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 06 Mar 2016 17:12 Oggetto: |
|
|
| Citazione: | O1 - Hosts: 127.0.0.1 down.baidu2016.com
O1 - Hosts: 127.0.0.1 123.sogou.com
O1 - Hosts: 127.0.0.1 www.czzsyzgm.com
O1 - Hosts: 127.0.0.1 www.czzsyzxl.com |
La presenza di queste istruzioni nel file host serve a indicare al pc di non navigare su questi siti pericolosi.
Praticamente, anziché tentare di risolvere l'indirizzo IP del sito pericoloso, il browser viene reindirizzato su se stesso (127.0.0.1) e, quindi, non raggiunge il sito indicato. |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 09:17
Messaggi: 23536
Residenza: Pianeta Terra
|
| Inviato: 06 Mar 2016 17:32 Oggetto: |
|
|
| ottimo grazie! |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 21:58
Messaggi: 10123
|
| Inviato: 06 Mar 2016 21:00 Oggetto: |
|
|
| bdoriano ha scritto: |
La presenza di queste istruzioni nel file host serve a indicare al pc di non navigare su questi siti pericolosi.
Praticamente, anziché tentare di risolvere l'indirizzo IP del sito pericoloso, il browser viene reindirizzato su se stesso (127.0.0.1) e, quindi, non raggiunge il sito indicato. |
Vero.
Però sarei curioso di sapere chi ha messo quelle istruzioni nel file host. 
Un pò come fa SpyBot, che inserisce migliaia di indirizzi nel file host, per impedirne l'accesso, e che con il vecchio ma sempre valido XP, alle volte, lo rallentava di brutto.
Adesso i pc sono più potenti, ma resto all'antica: mi piace di più un file host bello pulito.
@Silent Runner:
| Citazione: | | Ok per eliminare McAffee .. ma con cosa lo sostituisco? |
Avira non è male.
link |
|
| Top |
|
|
Danielix
Amministratore
Registrato: 31/10/07 15:30
Messaggi: 8498
Residenza: All'inferno.
|
| Inviato: 08 Mar 2016 01:58 Oggetto: |
|
|
| Silent Runner ha scritto: | | il mio amico (fra l'altro uno dei più grandi autori satirici italiani) |
Ah, quindi Trilussa?
Che culo... M'inviti ad una tua seduta medianica? |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 09:17
Messaggi: 23536
Residenza: Pianeta Terra
|
| Inviato: 08 Mar 2016 15:49 Oggetto: |
|
|
No, purtroppo non è Trilussa e nemmeno Marcello Marchesi o Ennio Flaiano o molti altri.. e non ti piacerebbe sapere chi è..
Ma io guardo oltre le ideologie, io guardo le persone umane.
E lui è molto bravo in tutti i sensi.. |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 09:17
Messaggi: 23536
Residenza: Pianeta Terra
|
| Inviato: 08 Mar 2016 15:51 Oggetto: |
 |
|
Andiamo off topic poi chiudiamo qui!
Le persone famose sono solo persone e basta.
Almeno per me. Se le devo dichiarare tali è per ironizzare non su di loro ma sull'abitudine che abbiamo nel catalogare persone e cose. |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
