Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Come eliminare AdWare Aliexpress

Come eliminare AdWare Aliexpress Opzioni
Topic Precedente · Topic Sucessivo
ancient79
Inviato: Sunday, January 11, 2015 10:23:07 PM
Rank: Member

Iscritto dal : 1/11/2015
Posts: 10
Ciao a tutti,

da qualche settimana ho un problema con l'AdWare Aliexpress, che non riesco ad eliminare in alcun modo. Ho seguito alla lettera il vostro vade mecum (Modalità provvisoria: prima CCleaner, poi ClamWin, quindi Spybot), ma senza alcun successo.

Quando navigo (per lavoro uso 3 browser contemporaneamente: Chrome, Mozilla e Explorer) all'improvviso si apre una pagina nuova (accade su ogni browser). Solitamente è questa:

http://www.aliexpress.com/?aff_platform=aaf&sk=myUVRJb%3AiIAYNZVZR&cpt=1418724700066&af=1843144165&cn=aliexpress&cv=banner&dp=19TZ1Fsp6WZxXHu&tp2=Gku

Ma non sempre. A volte anche altre: siti porno; pubblicità varie; phishing etc...

E' proprio una bella scocciatura...

Non avendo le competenze tecniche per intervenire sul LOG di Hijack This, chiedo cortesemente un vostro aiuto.
Grazie e complimenti! Siete veramente professionali ed esaustivi.

Segue il LOG, come da voi richiesto:

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 22:00:36, on 11/01/2015
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v11.0 (11.00.9600.17496)

FIREFOX: 34.0.5 (x86 it)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\PIXELA\Transfer Utility\CameraMonitor.exe
C:\Program Files (x86)\AVG\AVG2015\avgui.exe
C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ArcCon.ac
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\ClamWin\bin\ClamTray.exe
C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe
C:\Program Files (x86)\CyberLink\YouCam\YCMMirage.exe
C:\Windows\SysWOW64\ctfmon.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office 15\Root\Office15\EXCEL.EXE
C:\Program Files (x86)\OpenOffice 4\program\scalc.exe
C:\Program Files (x86)\OpenOffice 4\program\soffice.exe
C:\Program Files (x86)\OpenOffice 4\program\soffice.bin
C:\Program Files\Microsoft Office 15\Root\Office15\WINWORD.EXE
C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\ZipGenius 6\zipgenius.exe
C:\Users\Michele\AppData\Local\Temp\ZGTemp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/HPCON/6
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office 15\root\Office15\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
O2 - BHO: HP Network Check Helper - {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} - C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPlugin.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AVG_UI] "C:\Program Files (x86)\AVG\AVG2015\avgui.exe" /TRAYONLY
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files (x86)\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless N DWA-140] C:\Program Files (x86)\D-Link\DWA-140 revB\AirNCFG.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files (x86)\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [SDTray] "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe"
O4 - HKCU\..\Run: [EEDSpeedLauncher] rundll32.exe C:\Windows\system32\eed_ec.dll,SpeedLauncher
O4 - HKCU\..\Run: [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
O4 - HKCU\..\RunOnce: [Adobe Speed Launcher] 1420978975
O4 - HKUS\S-1-5-18\..\Run: [EEDSpeedLauncher] rundll32.exe C:\Windows\system32\eed_ec.dll,SpeedLauncher (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [EEDSpeedLauncher] rundll32.exe C:\Windows\system32\eed_ec.dll,SpeedLauncher (User 'Default user')
O4 - Global Startup: Samsung Network PC Fax.lnk = C:\Windows\System32\spool\drivers\x64\3\NetFaxTray64.exe
O4 - Global Startup: Transfer Utility Camera Monitor.lnk = C:\Program Files (x86)\PIXELA\Transfer Utility\CameraMonitor.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\Program Files\Microsoft Office 15\Root\Office15\EXCEL.EXE/3000
O8 - Extra context menu item: Se&nd to OneNote - res://C:\Program Files\Microsoft Office 15\Root\Office15\ONBttnIE.dll/105
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: @C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPlugin.dll,-103 - {25510184-5A38-4A99-B273-DCA8EEF6CD08} - C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\NCLauncherFromIE.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPlugin.dll,-102 - {25510184-5A38-4A99-B273-DCA8EEF6CD08} - C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\NCLauncherFromIE.exe
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office 15\root\Office15\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Se&nd to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office 15\root\Office15\ONBttnIE.dll
O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office 15\root\Office15\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office 15\root\Office15\ONBttnIELinkedNotes.dll
O9 - Extra button: Skype Click to Call settings - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: @C:\Program Files (x86)\Evernote\Evernote\Resource.dll,-101 - {A95fe080-8f5d-11d2-a20b-00aa003c157a} - res://C:\Program Files (x86)\Evernote\Evernote\EvernoteIE.dll/204 (file missing)
O9 - Extra 'Tools' menuitem: @C:\Program Files (x86)\Evernote\Evernote\Resource.dll,-101 - {A95fe080-8f5d-11d2-a20b-00aa003c157a} - res://C:\Program Files (x86)\Evernote\Evernote\EvernoteIE.dll/204 (file missing)
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files\Microsoft Office 15\root\Office15\MSOSB.DLL
O18 - Protocol: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O20 - Winlogon Notify: SDWinLogon - SDWinLogon.dll (file missing)
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: ANIWConn Service (ANIWConnService) - Unknown owner - C:\Windows\system32\ANIWConnService.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Program Files (x86)\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG2015\avgidsagent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG2015\avgwdsvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: Easybits Services for Windows (ezSharedSvc) - EasyBits Software AS - C:\Windows\System32\ezSharedSvcHost.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: GamesAppService - WildTangent, Inc. - C:\Program Files (x86)\WildTangent Games\App\GamesAppService.exe
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: HP Support Assistant Service - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe
O23 - Service: HP Client Services (HPClientSvc) - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\HP Client Services\HPClientServices.exe
O23 - Service: HP Quick Synchronization Service (HPDrvMntSvc.exe) - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe
O23 - Service: HP Software Framework Service (hpqwmiex) - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: HPWMISVC - Hewlett-Packard Development Company, L.P. - C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: IconMan_R - Realsil Microelectronics Inc. - C:\Program Files (x86)\Realtek\Realtek PCIE Card Reader\RIconMan.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Samsung Network Fax Server - Samsung Electronics Co., Ltd. - C:\Windows\system32\spool\drivers\x64\3\NetFaxServer64.exe
O23 - Service: Spybot-S&D 2 Scanner Service (SDScannerService) - Safer-Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe
O23 - Service: Spybot-S&D 2 Updating Service (SDUpdateService) - Safer-Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe
O23 - Service: Spybot-S&D 2 Security Center Service (SDWSCService) - Safer-Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\stlang64.dll,-10101 (STacSV) - IDT, Inc. - C:\Program Files\IDT\WDM\STacSV64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Intel(R) Management and Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 15723 bytes
Torna in alto
 
Sponsor
Inviato: Sunday, January 11, 2015 10:23:07 PM

 
Torna in alto
 
maopapof
Inviato: Sunday, January 11, 2015 10:43:09 PM

Rank: AiutAmico

Iscritto dal : 10/31/2004
Posts: 7,179
ciao e benvenuto :O)

proviamo , visto che hai seven

punto di ripristino a quando non c'era il problema



ps ... ti consiglio dopo che avrai risolto il problema di farti una immagine del disco ... che ti elimina tutti i problemi
se non sai come si fà, tutti sono pronti a darti una mano :O)
Torna in alto
 
cbbusto
Inviato: Monday, January 12, 2015 11:01:12 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Ciao, sei vittima dei soliti POP adware dirottatori, la causa dipende quasi sempre da navigazione poco attenta e download incontrollati.
Modalità provvisoria: prima CCleaner, poi ClamWin, quindi Spybot con questi sw non elimini niente, in questi casi non servono nemmeno gli antivirus.
Dal log non appare niente.
Prima operazione controlla in programmi installati de trovi qualche voce che fa riferimento ad aliexpress e la elimini.
Poi fai queste scansioni nell'ordine:

Scarica ed installa MalwareBytes: scarica la versione Gratuita non la Premium
clicca qui per il download: http://it.malwarebytes.org/
Alla fine dell'installazione nell’ultima schermata deseleziona la voce Attiva la prova gratuita di Malwarebytes Anti-Malware Pro.
Se il sw è in inglese, vai nella scheda Settings e seleziona la voce Italian dal menu a tendina Language per tradurre il programma in italiano.
Prima di fare la scansione AGGIORNALO. (è molto importante)
Poi clic su SCANSIONE seleziona la voce scansione di minaccia
Elimina gli eventuali file infetti trovati. (li devi selezionare, e poi cliccare su "Rimuovi selezionati")
Posta il log.

Scarica Adwcleaner sul desktop:
http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner
Chiudi tutti i browser (è importante IE,Firefox Chrome ecc...)
Clicca sul pulsante "Scan".
Finita la scansione clicca su "Clean"
Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Postalo qui.

Scarica Junkware Removal Tool sul desktop.
http://www.majorgeeks.com/mg/get/junkware_removal_tool,1.html
Disattiva temporaneamente l'antivirus per evitare potenziali conflitti.
Doppio click su JRT
Lo strumento si aprirà e avvierà la scansione del sistema.
Devi avere pazienza in quanto questo tool può richiedere del tempo per completare la scansione .
Al termine, un log (JRT.txt) viene salvato sul desktop e si aprirà automaticamente.
Postalo qui.

Fai una pulizia con Ccleaner compreso il Registro, per il registro spunta tutte le voci, acconsenti al backup quando richiesto, poi vai in C:\windows, cerca la cartella Prefetch ed elimina il contenuto.
Poi fai il ripristino dei vari browser e controlla che le home page siano quelle tue.
Dovresti controllare anche fra i motori di ricerca se c'è qualche voce sconosciuta ed eventualmente rimuovi il motore. Dimmi se il problema è risolto o persiste. Ciao
Torna in alto
 
miticoalex
Inviato: Monday, January 12, 2015 2:06:11 PM

Rank: AiutAmico

Iscritto dal : 10/19/2010
Posts: 14,635
cbbusto ha scritto:
Scarica ed installa MalwareBytes: scarica la versione Gratuita non la Premium
clicca qui per il download: http://it.malwarebytes.org/
Alla fine dell'installazione nell’ultima schermata deseleziona la voce Attiva la prova gratuita di Malwarebytes Anti-Malware Pro.
Se il sw è in inglese, vai nella scheda Settings e seleziona la voce Italian dal menu a tendina Language per tradurre il programma in italiano.
Prima di fare la scansione AGGIORNALO. (è molto importante)
Poi clic su SCANSIONE seleziona la voce scansione di minaccia


Ciao Cbbusto. Se posso, sarebbe consigliabile attivare la ricerca anche dei rootkit da

opzioni>>> Rilevamento e protezione" e mettere la spunta su Ricerca Rootkit

Cosa ne pensi?
Torna in alto
 
ancient79
Inviato: Monday, January 12, 2015 2:07:33 PM
Rank: Member

Iscritto dal : 1/11/2015
Posts: 10
Ciao,

intanto grazie. Ho eseguito tutto alla lettera.

Tra i programmi installati non ho trovato nulla riguardo Aliexpress, ma ho un dubbio su questo programma: ANIWZCS2 Service, che non ha autore, dimensione, né versione. Mi dice solo che è stato installato a luglio.

MalwareBytes non ha rilevato elementi nocivi.

AdwCleaner:

# AdwCleaner v4.107 - Rapporto creato 12/01/2015 in 13:39:46
# Aggiornato 07/01/2015 di Xplode
# Database : 2015-01-11.2 [Live]
# Sistema operativo : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nome utente : Michele - MICHELE-HP
# In esecuzione da : C:\Users\Michele\Downloads\adwcleaner_4.107(1).exe
# Opzione : Pulisci

***** [ Servizi ] *****


***** [ File / Cartelle ] *****

Cartella Eliminato : C:\Users\Michele\AppData\Roaming\Mozilla\Firefox\Profiles\tfcolcst.default\Extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}
Cartella Eliminato : C:\Users\Michele\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf
Cartella Eliminato : C:\Users\Michele\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia

***** [ Compiti ] *****


***** [ Collegamenti ] *****


***** [ Registro ] *****


***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.17496


-\\ Mozilla Firefox v34.0.5 (x86 it)


-\\ Google Chrome v39.0.2171.95


*************************

AdwCleaner[R0].txt - [10195 octets] - [03/11/2014 11:10:46]
AdwCleaner[R1].txt - [11711 octets] - [13/12/2014 10:40:12]
AdwCleaner[R2].txt - [997 octets] - [15/12/2014 18:44:32]
AdwCleaner[R3].txt - [1114 octets] - [11/01/2015 13:18:40]
AdwCleaner[R4].txt - [1637 octets] - [12/01/2015 13:37:50]
AdwCleaner[S0].txt - [11245 octets] - [13/12/2014 10:42:01]
AdwCleaner[S1].txt - [1054 octets] - [15/12/2014 18:46:29]
AdwCleaner[S2].txt - [1296 octets] - [11/01/2015 13:20:31]
AdwCleaner[S3].txt - [1561 octets] - [12/01/2015 13:39:46]

########## EOF - C:\AdwCleaner\AdwCleaner[S3].txt - [1621 octets] ##########

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.4.1 (12.28.2014:1)
OS: Windows 7 Home Premium x64
Ran by Michele on 12/01/2015 at 13:45:41,27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ FireFox

Emptied folder: C:\Users\Michele\AppData\Roaming\mozilla\firefox\profiles\tfcolcst.default\minidumps [1 files]



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 12/01/2015 at 13:50:01,76
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Torna in alto
 
cbbusto
Inviato: Monday, January 12, 2015 11:19:06 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
miticoalex ha scritto:
cbbusto ha scritto:
Scarica ed installa MalwareBytes: scarica la versione Gratuita non la Premium
clicca qui per il download: http://it.malwarebytes.org/
Alla fine dell'installazione nell’ultima schermata deseleziona la voce Attiva la prova gratuita di Malwarebytes Anti-Malware Pro.
Se il sw è in inglese, vai nella scheda Settings e seleziona la voce Italian dal menu a tendina Language per tradurre il programma in italiano.
Prima di fare la scansione AGGIORNALO. (è molto importante)
Poi clic su SCANSIONE seleziona la voce scansione di minaccia


Ciao Cbbusto. Se posso, sarebbe consigliabile attivare la ricerca anche dei rootkit da

opzioni>>> Rilevamento e protezione" e mettere la spunta su Ricerca Rootkit
Cosa ne pensi?


Ciao mitico, sicuramente quello che suggerisci può sempre servire, anche se non credo si tratti di Rootkit, ma è solo un'opinione personale.
Torna in alto
 
ancient79
Inviato: Monday, January 12, 2015 11:42:08 PM
Rank: Member

Iscritto dal : 1/11/2015
Posts: 10
Il problema c'è ancora...devo arrendermi...?
Torna in alto
 
cbbusto
Inviato: Monday, January 12, 2015 11:56:10 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Ancient prova a rifare la scansione con Malwarebytes come suggerito dall'amico miticoalex.

Nel mio post precedente non l'ho scritto ma dopo i risultati delle scansioni ti avrei indicato delle voci in avvio da eliminare, anche se apparentemente non risultano nocive ma sono inutili, quella che hai citato si riferisce al sw DLink WLAN Driver.

Chiudi tutti i programmi e disconnesso da internet,
Lancia HijackThis e clicca sul secondo pulsante Do a system scan only
inserisci il segno di spunta nel quadratino davanti alle righe sotto indicate, una volta seleziona clicca il tasto
Fix checked per procedere all'eliminazione, comparirà una finestra clicca su SI per accettare e l'operazione è conclusa.

Ti preciso che eliminando le voci 04, i programmi non vengono toccati ma viene solo disattivato l'Avvio automatico, inutile......basterebbe solo l'antivirus.
Ricorda che Hijackthis deve essere avviato da una cartella a lui dedicata. Solo così Hijackthis creerà copie di backup prima di apportare modifiche.

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files (x86)\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless N DWA-140] C:\Program Files (x86)\D-Link\DWA-140 revB\AirNCFG.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files (x86)\ClamWin\bin\ClamTray.exe" --logon
O4 - HKCU\..\Run: [EEDSpeedLauncher] rundll32.exe C:\Windows\system32\eed_ec.dll,SpeedLauncher
O4 - HKCU\..\RunOnce: [Adobe Speed Launcher] 1420978975
O4 - HKUS\S-1-5-18\..\Run: [EEDSpeedLauncher] rundll32.exe C:\Windows\system32\eed_ec.dll,SpeedLauncher (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [EEDSpeedLauncher] rundll32.exe C:\Windows\system32\eed_ec.dll,SpeedLauncher (User 'Default user')
O4 - Global Startup: Samsung Network PC Fax.lnk = C:\Windows\System32\spool\drivers\x64\3\NetFaxTray64.exe

Se non hai installato tu il sw DLink WLAN disabilita anche i servizi collegati:
Vai in Pannello di Controllo/Strumenti di Amministrazione/Servizi
Scorri la lista dei servizi e cerca le voci sotto elencate, su ogni voce fai doppio clic, nella finestra che appare, scheda Generale, in tipo di Avvio scegli Disabilitato, l'operazione va fatta una voce alla volta, clic su Applica, OK esci chiudi e poi Riavvia il pc.

ANIWConnService.exe
ANIWZCSdS.exe

l'AdWare Aliexpress ti appare ancora, fai sapere. Ciao
Torna in alto
 
9plc
Inviato: Wednesday, January 21, 2015 5:29:25 PM
Rank: AiutAmico

Iscritto dal : 11/18/2004
Posts: 206
Salve ancient79,
non so se hai risolto il tuo problema. Mi intrometto perché l'ho avuto anch'io e, pur avendo fatto tutte le "pulizie" suggerite (comunque utili), dopo qualche giorno i siti intrusi ritornavano. Ora credo di aver risolto il problema e, una volta tanto, forse potrò essere io utile a qualcuno.
Questo sistema funziona per IE e Avant Browse (che si serve di IE).

Vai a Internet Explorer > Opzioni > Privacy > Siti

Copia uno alla volta gli URL dei siti che ti disturbano
> Blocca > OK

http://cityadspix.com/click-EBQ3VNOA-MKIGQNPP?bt=25&tl=1
http://www.aliexpress.com/
http://redirector.themobilehub.net/Redirector/Index?campaign=2163
http://mobile.juicyads.com/service_redirect.php?p=64686&s=124309&u=http://www.google.com
http://go-k.mobilix.mobi/?kp=gITAD1501150000100001032050029a8aWF0TPCfdc001240QB00394&b=1787&rc=1&ref=redirector.themobilehub.net

Ciao!
Torna in alto
 
ancient79
Inviato: Thursday, January 22, 2015 11:48:37 AM
Rank: Member

Iscritto dal : 1/11/2015
Posts: 10
Ciao a tutti e grazie dell'interessamento...
No...non ho risolto e ho provato in tutti i modi, con tutti i consigli, di tutti...

Faccio milioni di pulizie, seepure utili, ma nulla.
Posto log ovunque
Resetto il router 2 volte a settimana.

Ora proverò con il consiglio di 9plc, che ringrazio.
Anche se odio Internet Explorer e normalmente uso FireFox, mi rassegnerò...
Torna in alto
 
ancient79
Inviato: Monday, January 26, 2015 12:27:53 AM
Rank: Member

Iscritto dal : 1/11/2015
Posts: 10
Eccomi di nuovo...ho altri elementi. Spero qualcuno possa aiutarmi.

Faccio ancora decine di pulizie e non risolvo nulla. Ho bloccato i soliti siti su IE, Chrome e Firefox (per lavoro uso tutti e tre).
Funziona, ma comunque si aprono pagine all'improvviso. Bianche perché bloccate, ma il dirottatore ed il fastidio ci sono ancora.

L'elemento nuovo è questo:

ogni volta che il dirottatore agisce, lancio una scansione con MalwareBytes ed OGNI volta trova due Trojan, gli stessi.
Li metto in quarantena, riavvio...e quando rinizio a navigare riecco di nuovo agire il dirottatore. A volte lo stesso solito
sito, altre volte diversi. In tutto saranno una decina, tutti porno. Riavvio MalwareBytes e ritrova gli stessi identici Trojan...
come se fossero sfuggiti alla quarantena...

Posto il log. Datemi una mano ragazzi per favore altrimenti fiondo il PC dal 6° piano!

Malwarebytes Anti-Malware
www.malwarebytes.org

Data scansione: 25/01/2015
Ora scansione: 23:20:26
File di log: malwarebytes 25_1.txt
Amministratore: Si

Versione: 2.00.4.1028
Database malware: v2015.01.25.11
Database rootkit: v2015.01.14.01
Licenza: Free
Protezione da malware: Disattivata
Protezione da siti web nocivi: Disattivata
Autoprotezione: Disattivata

SO: Windows 7 Service Pack 1
CPU: x64
File system: NTFS
Utente: Michele

Tipo di scansione: Scansione elementi nocivi
Risultati: Completata
Elementi analizzati: 395961
Tempo impiegato: 45 min, 55 sec

Memoria: Attivata
Esecuzioni automatiche: Attivata
File system: Attivata
Archivi compressi: Attivata
Rootkit: Attivata
Euristica: Attivata
PUP: Attivata
PUM: Attivata

Processi: 0
(Nessun elemento malevolo rilevato)

Moduli: 0
(Nessun elemento malevolo rilevato)

Chiavi di registro: 0
(Nessun elemento malevolo rilevato)

Valori di registro: 0
(Nessun elemento malevolo rilevato)

Dati di registro: 2
Trojan.DNSChanger, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS|DhcpNameServer, 91.212.124.159 8.8.8.8, Buono: (), Cattivo (91.212.124.159),,[1f328770c8c13ef8cdb8faad3acbbb45]
Trojan.DNSChanger, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS\Interfaces\{2049B6E4-B7DF-48FB-8A12-39E3043E38F9}|DhcpNameServer, 91.212.124.159 8.8.8.8, Buono: (), Cattivo (91.212.124.159),,[ba976d8aa2e7e2545d281691d233d32d]

Cartelle: 0
(Nessun elemento malevolo rilevato)

File: 0
(Nessun elemento malevolo rilevato)

Settori fisici: 0
(Nessun elemento malevolo rilevato)


(end)
Torna in alto
 
cbbusto
Inviato: Monday, January 26, 2015 2:53:51 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Non accanirti troppo con le pulizie perchè alle volte peggiori la situazione, le pulizie servono ma quelle giuste.
Lascia perdere il router che non c'entra nulla.
Quello che ti ha trovato Mbam sono chiavi di registro che riguardano un brutto malware DNSChange, questo solitamente ti cambia i dns, controlla quelli installati ed eventualmente sostituiscili, leggi qui:
http://www.radiofusion.it/notizie/973-dns-changer-e-tornato-il-virusmalware-che-modifica-i-dns-ecco-come-risolvere. Ciao
Torna in alto
 
ancient79
Inviato: Monday, January 26, 2015 3:28:20 PM
Rank: Member

Iscritto dal : 1/11/2015
Posts: 10
Grazie cbbusto per l'interessamento.

Ho letto ed adottato le precauzioni indicate. L'articolo non era molto aggiornato, di conseguenza
nemmeno gli indirizzi IP fraudolenti. Quello rilevato da MalBytes attualmente sul mio PC è infatti
91.212. etc...

Scusa l'ignoranza, come faccio a controllare i DNS installati e sostituirli?
Torna in alto
 
cbbusto
Inviato: Monday, January 26, 2015 4:00:41 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Infatti hai dns modificati.
Per cambiare i DNS in Win 7 fai questo percorso:
Pannello di Controllo>Rete Internet>Modifica Impostazioni Scheda>
clic col tasto destro su Connessione Rete Locale o (LAN)>Proprietà>
Clic su Protocollo internet vs 4 (TCP/IPv4)
Lascia la spunta su Ottieni automaticamente un indirizzo IP
Sotto metti la spunta su: Utilizza i seguenti indirizzi sever DNS
Server DNS preferito scrivi 8.8.8.8
Server DNS alternativo scrivi 8.8.4.4
Questi sono i dns di Google che sono anche veloci.
Dopo la sostituzione dei DNS rifai la scansione con malwarebytes ed elimina quello che trova.
Ora facciamo una scansione profonda del Registro:

Usa Eusing Free Registry Cleaner sw da usare saltuariamente, lo scarichi da qui: http://www.eusing.com/free_registry_cleaner/registry_cleaner.htm
clic su Download Site1, una volta lanciato appare una finestra che chiede il codice, clic su ignora e procedi, poi in alto a sinistra clic su Analizza Registro, lascia fare fino alla fine non ti preoccupare se trova molte voci, poi clicca su Ripara Registro, il sw è sicuro comunque crea un punto di ripristino e fa anche il backup dei file eliminati, infatti in alto sotto ripara registro si trova la voce Ripristina Registro, io in anni che lo uso non mi è mai capitato di ripristinare.

Per fare questa pulizia meglio chiudere tutti i programmi e disconnesso.
Il programma è compatibile con tutti i S.O. windows compreso 8.1.
Vediamo se il malefico è stato debellato. Ciao
Torna in alto
 
ancient79
Inviato: Monday, January 26, 2015 5:05:46 PM
Rank: Member

Iscritto dal : 1/11/2015
Posts: 10
Intanto grazie cbbusto, sei veramente un grande!

Ho fatto quanto mi hai consigliato ed avviato nuovamente MalwareBytes, che ha trovato due residui.
Di seguito il log. Pulizia registro ok. Ti tengo aggiornato se dovessi aver risolto.
Tu per favore fammi sapere se devo fare qualche altra cosa...

Malwarebytes Anti-Malware
www.malwarebytes.org

Data scansione: 26/01/2015
Ora scansione: 15:50:29
File di log: MalwareByte26_01_2015.txt
Amministratore: Si

Versione: 2.00.4.1028
Database malware: v2015.01.26.06
Database rootkit: v2015.01.14.01
Licenza: Free
Protezione da malware: Disattivata
Protezione da siti web nocivi: Disattivata
Autoprotezione: Disattivata

SO: Windows 7 Service Pack 1
CPU: x64
File system: NTFS
Utente: Michele

Tipo di scansione: Scansione elementi nocivi
Risultati: Completata
Elementi analizzati: 395991
Tempo impiegato: 42 min, 43 sec

Memoria: Attivata
Esecuzioni automatiche: Attivata
File system: Attivata
Archivi compressi: Attivata
Rootkit: Attivata
Euristica: Attivata
PUP: Attivata
PUM: Attivata

Processi: 0
(Nessun elemento malevolo rilevato)

Moduli: 0
(Nessun elemento malevolo rilevato)

Chiavi di registro: 0
(Nessun elemento malevolo rilevato)

Valori di registro: 0
(Nessun elemento malevolo rilevato)

Dati di registro: 2
Trojan.DNSChanger, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS|DhcpNameServer, 91.212.124.159 8.8.8.8, Buono: (), Cattivo (91.212.124.159),,[d37efafdbccdc67092b9802835d056aa]
Trojan.DNSChanger, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS\Interfaces\{2049B6E4-B7DF-48FB-8A12-39E3043E38F9}|DhcpNameServer, 91.212.124.159 8.8.8.8, Buono: (), Cattivo (91.212.124.159),,[9bb6a552cebb0d29d576a7015ea7b749]

Cartelle: 0
(Nessun elemento malevolo rilevato)

File: 0
(Nessun elemento malevolo rilevato)

Settori fisici: 0
(Nessun elemento malevolo rilevato)


(end)
Torna in alto
 
cbbusto
Inviato: Monday, January 26, 2015 5:11:36 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
La pulizia del Registro ha trovato parecchie voci ? Mi riferisco al sw E.F.R.C.

Se per caso il malware dovesse ricomparire, spero proprio di no, potremmo fare altri tentativi, magari usando le maniere forti. Al limite mettiamo una bombetta nel case e lo distruggiamo. Dancing
Ciao
Torna in alto
 
ancient79
Inviato: Monday, January 26, 2015 5:13:08 PM
Rank: Member

Iscritto dal : 1/11/2015
Posts: 10
No, nessuna voce, ma ne avevo fatte un centinaio nei giorni scorsi con CCleaner...
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Come eliminare AdWare Aliexpress


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.