|
Rank: AiutAmico
Iscritto dal : 8/26/2009 Posts: 1,897
|
Buongiorno,Ho bisogno di aiuto per sbarazzarmi del Trojan.Bitcoin.Miner che continua a tornare dopo la pulizia con Malwarebytes. edit-Sistema in uso w8 64 bit.
|
|
|
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005 Posts: 7,332
|
Rifai la scansione in modalità provvisoria. Se non dovesse funzionare lo rimuovi manualmente con Unlocker.
|
|
Rank: AiutAmico
Iscritto dal : 8/26/2009 Posts: 1,897
|
Ciao p2,ho fatto la scansione con mb e trovato questi: File rilevati: 3 C:\Users\xxxxxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\96DZ0YBN\SearchIndexer[1].exe (Trojan.BitCoinMiner) -> Spostato in quarantena ed eliminato con successo.C:\Users\xxxxxx\AppData\Local\Temp\nsmEF8E.tmp\OCSetupHlp.dll (PUP.Optional.OpenCandy) -> Spostato in quarantena ed eliminato con successo.C:\Users\xxxxxx\AppData\Roaming\Mozilla\Firefox\Profiles\rvw8zstp.default\indexedDB \https+++mega.co.nz\idb\37195885721938706776306\1 ( Trojan.Agent.rfk) -> Spostato in quarantena ed eliminato con successo.mentre stavo finendo di scrivere questo post mb mi ha bloccato e spostato in quarantena il Trojan.BitCoinMiner,nonostate lo avessi eliminato ed riavviato il pc.
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005 Posts: 7,332
|
Mai hai fatto la scansione in mod provvisoria? Oppure prova con Unlocker. Leggi le istruzioni di Alfnso, non dovresti fallire. Al limite potresti provare anche un ripristino di Windows a una data antecedente.
|
|
Rank: AiutAmico
Iscritto dal : 8/26/2009 Posts: 1,897
|
pidue ha scritto:Mai hai fatto la scansione in mod provvisoria? Oppure prova con Unlocker. Leggi le istruzioni di Alfnso, non dovresti fallire.
Al limite potresti provare anche un ripristino di Windows a una data antecedente. Fatta scasione in modalità provvisoria e normale eliminato tutto anche manualmente,ma il fetecchione si ripresenta sempre. Ecco la cartella dove si annida:
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005 Posts: 7,332
|
miklaus ha scritto: ... eliminato tutto anche manualmente,ma il fetecchione si ripresenta sempre.... Probabilmente c'è qualche processo che lo rigenera. Posta un log di HJT. Rispondimi: 1. Hai usato Unlocker come suggeritoti già due volte? 2. Provato il ripristino?
|
|
Rank: AiutAmico
Iscritto dal : 8/26/2009 Posts: 1,897
|
pidue ha scritto:miklaus ha scritto: ... eliminato tutto anche manualmente,ma il fetecchione si ripresenta sempre.... Probabilmente c'è qualche processo che lo rigenera. Posta un log di HJT. Rispondimi: 1. Hai usato Unlocker come suggeritoti già due volte? 2. Provato il ripristino? fatto tutte le operazioni.Rifatta l'ultima scansione con mb non ha rilevato nulla. Ecco il log: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 16.40.00, on 19/08/2013 Platform: Unknown Windows (WinNT 6.02.1008) MSIE: Internet Explorer v10.0 (10.00.9200.16660) Boot mode: Normal
Running processes: C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe C:\Users\xxxxxxx\Downloads\HiJackThis.exe C:\Windows\SysWOW64\DllHost.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe, O2 - BHO: WsSVRIEHelper - {65DEE40A-3E93-4cae-9F98-B8E06DCEE2BF} - C:\Program Files (x86)\Wondershare\Video Converter Ultimate\SVRIEPlugin.dll O2 - BHO: Adobe Acrobat Create PDF Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll O3 - Toolbar: Adobe Acrobat Create PDF Toolbar - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [LifeCam] "C:\Program Files (x86)\Microsoft LifeCam\LifeExp.exe" O4 - HKLM\..\Run: [TrueImageMonitor.exe] "C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe" O4 - HKLM\..\Run: [AcronisTibMounterMonitor] C:\Program Files (x86)\Common Files\Acronis\TibMounter\TibMounterMonitor.exe O4 - HKCU\..\Run: [RocketDock] "D:\PORTABILI\PortableApps\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [SkyDrive] "C:\Users\camilla\AppData\Local\Microsoft\SkyDrive\SkyDrive.exe" /background O4 - HKCU\..\Run: [DeskDriveStartup] C:\Program Files (x86)\Blue Onion Software\DeskDrive\DeskDrive.exe O4 - HKCU\..\RunOnce: [Uninstall C:\Users\camilla\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64] C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\camilla\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64" O4 - HKCU\..\RunOnce: [Uninstall C:\Users\camilla\AppData\Local\Microsoft\SkyDrive\17.0.2011.0627_2\amd64] C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\camilla\AppData\Local\Microsoft\SkyDrive\17.0.2011.0627_2\amd64" O4 - Startup: YoWindow.lnk = C:\Program Files (x86)\YoWindow\yowindow.exe O4 - Global Startup: CodecPackUpdateChecker.lnk = C:\Windows\SysWOW64\C2MP\UpdateChecker.exe O8 - Extra context menu item: Aggiungi a PDF esistente - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Aggiungi destinazione link a PDF esistente - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll/AcroIECapture.html O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~4\Office12\REFIEBAR.DLL O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe O23 - Service: Acronis Nonstop Backup Service (afcdpsrv) - Acronis - C:\Program Files (x86)\Common Files\Acronis\CDP\afcdpsrv.exe O23 - Service: Ashampoo HDD Control 2 Service (AHDDC2) - Unknown owner - C:\Program Files (x86)\Ashampoo\Ashampoo HDD Control 2\AHDDC2_Service.exe O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing) O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - C:\Program Files (x86)\Ashampoo\Ashampoo HDD Control 2\DfSdkS64.exe O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe O23 - Service: Acronis Sync Agent Service (syncagentsrv) - Acronis - C:\Program Files (x86)\Common Files\Acronis\SyncAgent\syncagentsrv.exe O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
-- End of file - 9150 bytes
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005 Posts: 7,332
|
Infatti dal log non emerge nulla di pericoloso. Se anche MBAM non ha rilevato niente puoi andare tranquillo. Il malware lo hai rimosso con una delle ultime operazioni.
|
|
Rank: AiutAmico
Iscritto dal : 8/26/2009 Posts: 1,897
|
pidue ha scritto:Infatti dal log non emerge nulla di pericoloso. Se anche MBAM non ha rilevato niente puoi andare tranquillo. Il malware lo hai rimosso con una delle ultime operazioni.
Grazie p2 gentilissimo.
|
|
Rank: AiutAmico
Iscritto dal : 9/12/2009 Posts: 6,632
|
Io una ripassata gliela darei http://www.surfright.nl/it/products/In caso di rilevazioni,bisogna attivarlo (vale per 30 giorni,ma per quello che devi fare va benissimo) PS. Occhio al 32/64 Bit
|
|
Guest |