Ho provato tutto per liberamene, ho usato le scansioni complete di Avast, Spybot - Search & Destroy 2, Malwarebytes’ Anti-Malware, Malwarebytes’ Anti-Rootkit, ComboFix e gmer (anche da modalità provvisoria) ma niente di niente. Ho provato anche a usare il ripristino di Window 7 tornando fino al 29 ottobre (quando ancora non avevo il malware) ma nessun risultato lo stesso.
Questi sono i due indirizzi a cui Avast blocca l’accesso all’avvio di Windows e ne fa ricadere la responsabilità su wscript.exe
Avrei voluto provare a mettere questo file nel cestino ed avviare per vedere se non trovandolo questo malware come si comporta, purtroppo il file wscript.exe non si può ne spostare ne cancellare ne rinominare nemmeno facendolo da amministratore, perchè l’unico che ha l’autorizzazione completa a farlo è tale TrustedInstaller che non so cosa sia.
Ciao e benvenuto,
1.hai già provato a programmare una scansione all’avvio con avast?
2.hai già provato ad eseguire il browser cleanup di avast (avast->strumenti->browser cleanup)?
i log postati sembrano ok, ti suggerisco di rimuovere sby bot per ora.
se il problema persiste prova a rimuovere manualmente le estensioni dei browser (firefox, chrome)…
inoltre per favore esegui una pulitura del disco con ccleaner http://www.piriform.com/ccleaner/download/standard
se hai ancora pop-up, salva questo programma (con tasto dx sul link e salva destinazione, mettilo sul desktop) ed eseguilo http://www.silentrunners.org/Silent%20Runners.vbs
quando lo apri ti uscira il seguente messaggio
Do you want to skip supplementary searches?
clicca su NO
se ricevi un errore clicca clicca su OK e fallo ripartire.
Quando esce ALL DONE! Posta il file di testo generato sul desktop.
Avrei voluto provare a mettere questo file nel cestino ed avviare per vedere se non trovandolo questo malware come si comporta, purtroppo il file wscript.exe non si può ne spostare ne cancellare ne rinominare nemmeno facendolo da amministratore, perchè l'unico che ha l'autorizzazione completa a farlo è tale TrustedInstaller che non so cosa sia.
non devi eliminarlo , il problema risiede altrove.
Questo file l’ho eleminato e ora la scansione la fa pulita, ho fatto qualche danno eliminandolo?
La scansione all’avvio fatta senza risultati, fatto anche browser cleanup (mi dice che non ci sono addon con cattiva reputazione e comunque su firefox di addon ho solo lo stesso Avast e Ad-Block Plus) e ccleaner la faccio tutti i giorni in pratica.
Ecco il log comunque, quando ha detto “Do you want to skip supplementary searches?” ho detto no, e dopo ha detto anche “Are you sure you want to run the supplementary search?” e detto yes, ho fatto bene?
Stamattina Avast ha accusato Avast stesso di essere un malware :o
E’ normale che Gmer veda i files di Avast come rootkit pericolosi?
si può essere
Questo file l'ho eleminato e ora la scansione la fa pulita, ho fatto qualche danno eliminandolo?
io non ce l'ho quindi non è un file di sistema, credo che hai fatto bene
Il log tuttavia non evidenzia nulla, prova con questo
scarica OTL sul tuo desktop http://oldtimer.geekstogo.com/OTL.exe
apri il programma ma assicurati di avere chiuso tutte le finestre e lascialo lavorare senza interruzioni, poi seleziona
Quindi clicca Run scan, e non cambiare altre impostazioni.
Quando finirà la scansione aprirà in automatico 2 file OTL.Txt e Extras.Txt si trovano dove si trova il programma OTL, quindi posta i 2 log
edit2
Ho appena chiesto una consulenza ad un malaware remover specialist, appena ho notizie ti faccio sapere come procedere oppure si unisce al topic, ciao
Ecco i due log. Comunque è strano questo malware perchè forse i vari programmi non lo trovano perchè Avast ad ogni avvio riesce a bloccarlo, in pratica ci deve essere da qualche parte un programma che appena arriva la connessione tenta di connettersi a due link ma viene bloccato da Avast. La cosa strana è che nemmeno i programmi anti-rootkit lo rilevano. Il PC comunque funziona perfettamente, non ho alcun problema ho solo questo doppio pop-up che mi da Avast a ogni avvio, quel procedimento con OTL sembra risolvere il problema, solo che ad un successivo riavvio si ripresenta. Quindi deduco che OTL lo rimuove ma al riavvio successivo viene ricreato in qualche modo. Ho provato anche a creare un punto di ripristino dopo il primo riavvio che ti fa fare OTL ed infatti selezionando quel punto di ripristino non ti da il pop-up, tuttavia se provi a riavviare il PC di nuovo appena torna online si ripresenta il pop-up. Da notare che il pop-up si presenta solo se c’è la connessione, in modalità provvisoria ad esempio non si presenta
Please RIGHT-CLICK HERE and Save As (in IE it’s “Save Target As”, in FF it’s “Save Link As”) to download Silent Runners.
[*]Save it to the desktop.
[*]Run Silent Runner’s by doubleclicking the “Silent Runners” icon on your desktop.
[*]You will receive a prompt: Do you want to skip supplementary searches?
click NO
[*]If you receive an error just click OK and double-click it to run it again - sometimes it won’t run as it’s supposed to the first time but will in subsequent runs.
[*]You will see a text file appear on the desktop - it’s not done, let it run (it won’t appear to be doing anything!)
[*]Once you receive the prompt All Done!, open the text file on the desktop, copy that entire log, and paste it here. NOTE If you receive any warning message about scripts, please choose to allow the script to run.
@Roby78, non ho capito come mai nel primo log non compare tale voce…comunque io la eliminerei sia dai task che il file (da quello che ho capito è legata a un updater di un gioco)
Avevo scaricato un’aggiornamento non ufficiale di FIFA 14 per avere le magliette delle squadre non licenziate, probabilmente il malware era in quel rar, Origin infatti è il programma dei giochi EA, provo ad eliminare quella cartella.
Edit:
Ha funzionato, era veramente quel file il responsabile (ho provato a riavviare 3 volte e non ha dato il pop-up), i due link del pop-up infatti finivano proprio con update.vbe, la cosa strana è che l’avevo cercato nella ricerca questo update.vbe ma non me l’aveva trovata forse era nascosto da qualche rootkit. Questo file updade.vbe l’ho rimosso con tutta la sua cartella tanto ora non ne ho bisogno, c’è qualche altro file che dovrei rimuovere, ad esempio una voce del registro?
Se lascio in esecuzione all’avvio sia Avast che Malwarebytes’ Anti-Malware ho qualche conflitto? Spy-bot 2 perchè era consigliato rimuoverlo?
Questo file updade.vbe l'ho rimosso con tutta la sua cartella tanto ora non ne ho bisogno, c'è qualche altro file che dovrei rimuovere, ad esempio una voce del registro?
Dovresti avere nelle operazioni pianificate l'attività che lanciava tale file...
Non ci sono particolari controindicazioni tra avast e mbam, ma se usi quella in realtime di mbam metterei le esclusioni come spiegato qui http://forum.avast.com/index.php?topic=95073.msg758195#msg758195
Mbam è meglio di spy-bot,dal mio punto di vista (e da quello che leggo in giro), poi vedi tu.
