Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Trojan.Bitcoin.Miner Opzioni
miklaus
Inviato: Monday, August 19, 2013 7:16:34 AM

Rank: AiutAmico

Iscritto dal : 8/26/2009
Posts: 1,897
Buongiorno,Ho bisogno di aiuto per sbarazzarmi del Trojan.Bitcoin.Miner che continua a tornare dopo la pulizia con Malwarebytes.




edit-Sistema in uso w8 64 bit.

Sponsor
Inviato: Monday, August 19, 2013 7:16:34 AM

 
pidue
Inviato: Monday, August 19, 2013 8:59:55 AM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Rifai la scansione in modalità provvisoria.
Se non dovesse funzionare lo rimuovi manualmente con Unlocker.



miklaus
Inviato: Monday, August 19, 2013 9:10:21 AM

Rank: AiutAmico

Iscritto dal : 8/26/2009
Posts: 1,897
Ciao p2,ho fatto la scansione con mb e trovato questi:

File rilevati: 3
C:\Users\xxxxxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\96DZ0YBN\SearchIndexer[1].exe (Trojan.BitCoinMiner) ->
Spostato in quarantena ed eliminato con successo.
C:\Users\xxxxxx\AppData\Local\Temp\nsmEF8E.tmp\OCSetupHlp.dll (PUP.Optional.OpenCandy) ->
Spostato in quarantena ed eliminato con successo.
C:\Users\xxxxxx\AppData\Roaming\Mozilla\Firefox\Profiles\rvw8zstp.default\indexedDB
\https+++mega.co.nz\idb\37195885721938706776306\1 (Trojan.Agent.rfk) -> Spostato in quarantena ed eliminato con successo.

mentre stavo finendo di scrivere questo post mb mi ha bloccato e spostato in quarantena il Trojan.BitCoinMiner,nonostate lo avessi eliminato ed riavviato il pc.

pidue
Inviato: Monday, August 19, 2013 9:35:31 AM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Mai hai fatto la scansione in mod provvisoria?
Oppure prova con Unlocker. Leggi le istruzioni di Alfnso, non dovresti fallire.

Al limite potresti provare anche un ripristino di Windows a una data antecedente.



miklaus
Inviato: Monday, August 19, 2013 12:24:12 PM

Rank: AiutAmico

Iscritto dal : 8/26/2009
Posts: 1,897
pidue ha scritto:
Mai hai fatto la scansione in mod provvisoria?
Oppure prova con Unlocker. Leggi le istruzioni di Alfnso, non dovresti fallire.

Al limite potresti provare anche un ripristino di Windows a una data antecedente.


Fatta scasione in modalità provvisoria e normale eliminato tutto anche manualmente,ma il fetecchione si ripresenta sempre.
Ecco la cartella dove si annida:



pidue
Inviato: Monday, August 19, 2013 1:46:34 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
miklaus ha scritto:

... eliminato tutto anche manualmente,ma il fetecchione si ripresenta sempre....

Probabilmente c'è qualche processo che lo rigenera.
Posta un log di HJT.
Rispondimi:

1. Hai usato Unlocker come suggeritoti già due volte?
2. Provato il ripristino?



miklaus
Inviato: Monday, August 19, 2013 4:44:57 PM

Rank: AiutAmico

Iscritto dal : 8/26/2009
Posts: 1,897
pidue ha scritto:
miklaus ha scritto:

... eliminato tutto anche manualmente,ma il fetecchione si ripresenta sempre....

Probabilmente c'è qualche processo che lo rigenera.
Posta un log di HJT.
Rispondimi:

1. Hai usato Unlocker come suggeritoti già due volte?
2. Provato il ripristino?



fatto tutte le operazioni.Rifatta l'ultima scansione con mb non ha rilevato nulla.

Ecco il log:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16.40.00, on 19/08/2013
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v10.0 (10.00.9200.16660)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Users\xxxxxxx\Downloads\HiJackThis.exe
C:\Windows\SysWOW64\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: WsSVRIEHelper - {65DEE40A-3E93-4cae-9F98-B8E06DCEE2BF} - C:\Program Files (x86)\Wondershare\Video Converter Ultimate\SVRIEPlugin.dll
O2 - BHO: Adobe Acrobat Create PDF Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe Acrobat Create PDF Toolbar - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files (x86)\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] "C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [AcronisTibMounterMonitor] C:\Program Files (x86)\Common Files\Acronis\TibMounter\TibMounterMonitor.exe
O4 - HKCU\..\Run: [RocketDock] "D:\PORTABILI\PortableApps\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [SkyDrive] "C:\Users\camilla\AppData\Local\Microsoft\SkyDrive\SkyDrive.exe" /background
O4 - HKCU\..\Run: [DeskDriveStartup] C:\Program Files (x86)\Blue Onion Software\DeskDrive\DeskDrive.exe
O4 - HKCU\..\RunOnce: [Uninstall C:\Users\camilla\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64] C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\camilla\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64"
O4 - HKCU\..\RunOnce: [Uninstall C:\Users\camilla\AppData\Local\Microsoft\SkyDrive\17.0.2011.0627_2\amd64] C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\camilla\AppData\Local\Microsoft\SkyDrive\17.0.2011.0627_2\amd64"
O4 - Startup: YoWindow.lnk = C:\Program Files (x86)\YoWindow\yowindow.exe
O4 - Global Startup: CodecPackUpdateChecker.lnk = C:\Windows\SysWOW64\C2MP\UpdateChecker.exe
O8 - Extra context menu item: Aggiungi a PDF esistente - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Aggiungi destinazione link a PDF esistente - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll/AcroIECapture.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~4\Office12\REFIEBAR.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Acronis Nonstop Backup Service (afcdpsrv) - Acronis - C:\Program Files (x86)\Common Files\Acronis\CDP\afcdpsrv.exe
O23 - Service: Ashampoo HDD Control 2 Service (AHDDC2) - Unknown owner - C:\Program Files (x86)\Ashampoo\Ashampoo HDD Control 2\AHDDC2_Service.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - C:\Program Files (x86)\Ashampoo\Ashampoo HDD Control 2\DfSdkS64.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: Acronis Sync Agent Service (syncagentsrv) - Acronis - C:\Program Files (x86)\Common Files\Acronis\SyncAgent\syncagentsrv.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9150 bytes



pidue
Inviato: Monday, August 19, 2013 4:53:27 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Infatti dal log non emerge nulla di pericoloso.
Se anche MBAM non ha rilevato niente puoi andare tranquillo.
Il malware lo hai rimosso con una delle ultime operazioni.





miklaus
Inviato: Monday, August 19, 2013 5:01:46 PM

Rank: AiutAmico

Iscritto dal : 8/26/2009
Posts: 1,897
pidue ha scritto:
Infatti dal log non emerge nulla di pericoloso.
Se anche MBAM non ha rilevato niente puoi andare tranquillo.
Il malware lo hai rimosso con una delle ultime operazioni.




Grazie p2 gentilissimo.

sabbb
Inviato: Monday, August 19, 2013 5:23:54 PM
Rank: AiutAmico

Iscritto dal : 9/12/2009
Posts: 6,632
Io una ripassata gliela darei http://www.surfright.nl/it/products/

In caso di rilevazioni,bisogna attivarlo (vale per 30 giorni,ma per quello che devi fare va benissimo) Speak to the hand

PS. Occhio al 32/64 Bit
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.