Olimpo Informatico

MK66

Ciao

In realtà non riscontro problemi, nel senso che non ho rallentamenti, apertura di pagine strane, file che improvvisamente diventano inutilizzabili o simili.
Il problema (o meglio la cosa strana) è che da qualche giorno mi trovo cartelle misteriose in C e utenti misteriosi in Users: anche se li cancello ricompaiono al riavvio successivo. Hanno tutti dentro file praticamente illeggibili (ne ho aperto uno usando Sandboxie) e la cosa mi preoccupa abbastanza.

Prima di prendere misure drastiche, chiedo a voi esperti di Windows

Sistema operativo Windows 10 Home edition 64 bit aggiornato costantemente (mi da versione 1607)

Allego i log secondo le indicazioni della guida:
MBAM.txt
.txt]AdwCleaner[C2].txt
JRT.txt
FRST.txt
Addition.txt
Negli ultimi ho notato qualcosa di strano nella sezione di Internet Explorer, che peraltro nemmeno utilizzo (anzi avrei anche disattivato), ma non credo di riuscire a fare qualcosa senza indicazioni da parte di chi è più competente.

Non so se serve, ma ho fatto anche questo
hijackthis.log

Grazie Smile

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Ciao MK66
Dammi il tempo per controllare i log.
Conosci questo eseguibile che parte in automatico?
flux.exe

MK66 · Inviato: 11 Feb 2017 16:56 Oggetto:

Ciao R16

Fai pure con calma: non ho fretta Smile

Se non ne è spuntata una copia "infetta" il programma F.lux è un programma che mi regola la luminosità dello schermo in funzione dell'orario, attenuando effetti dannosi per i miei occhi

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

ok.
Le cartelle random ti sembrano queste?
C:\Users\Ajnk9z3\consequently import.xlsx
C:\Users\RQq7O\countries-bring-incorporate.xlsx
C:\Users\Ajnk9z3\searegistrationtroubles.mdb
C:\Users\RQq7O\games convenient.mdb
C:\Users\RQq7O\waited conform composer suggest.xls
C:\Users\Ajnk9z3\lodge-towards.xls
C:\Users\RQq7O\464zo.pem
C:\Users\Ajnk9z3\XlgX.pem
C:\Users\Ajnk9z3\green-gun.txt
C:\Users\Ajnk9z3\log-contest-posts.sql
C:\Users\RQq7O\4l7Uapd7UYM2.txt
C:\Users\RQq7O\round.warned.turns.sql
C:\Users\RQq7O
C:\Users\Ajnk9z3
C:\Yresources210
C:\Abworking242
NON GUARDARE LE ESTENSIONI, ma i nomi random dopo USERS.

MK66 · Inviato: 11 Feb 2017 17:07 Oggetto:

Si: ogni giorno ne spunta una nuova con strani gruppi di lettere, e al momento ci sono quelle elencate

Ho anche
C:\Users\Akejs
C:\Users\Q9UEm
C:\Acdocuments75
C:\Xtools130
(con data di ieri)

Ah: quelle in Users risultano tutte "nascoste" (le vedo solo perchè ho la visualizzazione file nascosti attiva)

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Aspetta che ti faccio uno script.

MK66 · Inviato: 11 Feb 2017 17:14 Oggetto:

Scusami: ho aggiunto un paio di indicazioni nel messaggio precedente

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

scarica questo file sul desktop: (dove si trova FRST)

link
Avvia FRST e clicca su FIX una sola volta.

Attendi la fine della scansione.
Se il pc non si riavvia da solo, lo devi riavviare tu.
Posta il file fixlog.txt.
Fammi sapere se qualcuna mi è scappata.

MK66 · Inviato: 11 Feb 2017 17:42 Oggetto:

Ecco il log:
Fixlog.txt

Aprendo file explorer vedo:
C:\Users\Ak4mut
C:\Users\Default
C:\Users\defaultuser0
C:\Users\Maurizio
C:\Users\Pubblica
C:\Users\QtKsh
(il primo e l'ultimo non so cosa sono, ma si sono creati subito dopo il riavvio)
Inoltre, in C vedo anche:
C:\Acprogram116
C:\Xvalues120
(come sopra: non so cosa siano queste 2 cartelle e si sono create dopo il riavvio)

Rifaccio le scansioni?

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Sì rifammi la scansione con FRST.
Devo scoprire qual'è il processo connesso a quelle cartelle.

MK66 · Inviato: 11 Feb 2017 17:51 Oggetto:

Ecco:
FRST.txt
Addition.txt

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

I log non mi sono stati utili.

Cerchiamo meglio:
Scarica SystemLook:
link (per S.O a 32 bit)
link(per S.O a 64 bit)
Doppio clic su SystemLook.exe per avviarlo
Copia il seguente codice nella schermata principale

:filefind
*Acprogram116*
*Ak4mut*
*Xvalues120*
:folderfind
*Acprogram116*
*Ak4mut*
*Xvalues120*
:regfind
Acprogram116
Ak4mut
Xvalues120

Clicca Look e aspetta il log che si aprirà sul desktop.
Postalo qui.

MK66 · Inviato: 11 Feb 2017 18:07 Oggetto:

SystemLook.txt

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Non ha trovato niente. (intendo nel Registro di Windows)
Domanda: per caso hai installato un software anti-Ransom?
Sai quei software che impediscono ai Ransom di criptare i dati?

MK66 · Inviato: 11 Feb 2017 18:20 Oggetto:

Si: Cybereason RansomFree

Ehm... adesso che ci penso, più o meno le cose coincidono, nel senso che ho cominciato a notare queste misteriose apparizioni di utenti qualche giorno dopo aver installato quel programma... Think

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Per esserne sicuro lo puoi disinstallere, fare una pulizia con CCleaner, poi eliminare le cartelle , riavviare il pc e controllare.

MK66 · Inviato: 11 Feb 2017 18:25 Oggetto:

Ok, procedo con questa prova

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Il 99% è quel software che crea le cartelle.
Specialmente se ha gli Update.

MK66 · Inviato: 11 Feb 2017 18:48 Oggetto:

Eccomi: era proprio quello!
Già con la pulizia di ccleaner erano sparite tutte, ora dopo il riavvio non c'è più nulla Smile

Però non avevo letto da nessuna parte di un simile comportamento nelle istruzioni del programma, altrimenti non ti avrei certo fatto perdere tempo inutilmente

Adesso approfitto ancora del tuo aiuto: secondo te può essere utile reinstallarlo? O faccio danni?

Ammetto che ho un po' il terrore dei ransomware, anche se ci sto attento il pericolo è comunque sempre in agguato, specie lavorando via email con i clienti e quindi dovendo gestire sempre allegati: non sempre basta usare una sandboxie... Think

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123