Buon giorno,
sono mesi che cerco di eliminare questo fastidiosissimo/i Malware ma senza risultati…a volte compare a volte no!!!
Potreste aiutarmi?
ho seguito tutte le vostre istruzioni che ho trovato nel forum ma anche quelle senza successo definitivo…ho installato Malwarebytes ma senza successo anch’esso…
Cosa posso fare per eliminare questa fastidiosa minaccia?
Grazie in anticipo…
Ciao,
potresti darci più informazioni?
Versione di avast? Hai già eseguito scansione all’avvio e il browser cleanup di avast?
Riesci a postare un messaggio di avast quando compare questo malaware?
Succede solo durante la navigazione o anche con browser chiusi?
Certamente:
- Avast Free Antivirus 2015;
- Fatta scansione all’avvio e browser cleanup (quest’ultimo più di una volta);
- Fatta ogni tipo di pulizia possibile ed immaginabile sulla macchina;
- il messaggio compare quasi sempre all’avvio del S.O. ma non è detto…a volte anche così random…(naturalmente non considerando gli altri avvisi di blocco minacce che posso verificarsi durante la navigazione)…;
- In allegato il pop up di AVAST, questo è la stringa più frequente anche se a volte ne compaiono altre diverse…
Grazie ancora per l’attenzione.
Ciao,
prova a scaricare Farbar Recovery Tool Scan e salvalo sul desktop.
http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
Nota: È necessario eseguire la versione compatibile con il sistema. Se non siete sicuri di quale versione si applica al sistema scaricare entrambi e cercare di farli funzionare. Solo uno di loro verrà eseguito sul vostro sistema, che sarà la versione giusta.
Tasto destro del mouse per eseguire come amministratore (gli utenti XP fare clic su Esegui dopo il ricevimento del Windows Security Warning - Apri file). Quando si apre lo strumento fare clic su Sì.
Selezionare addition.txt in fondo
Premere il pulsante Scan.
https://dl.dropboxusercontent.com/u/73555776/frst.JPG
Quindi allega entrambi i log.
eccoli…
grazie di nuovo!!!
Ho chiesto ad un malaware removal specialist di dare un’occhiata ai tuoi log, spero che in giornata ti dia una risposta.
ciao
Grazieeeeeee!!!
Attendo…
il link hxxp://blackled.info/ punta alla pagina sottostante e con avast abilitato ti impedisce di entrare nella pagina e dà il popup uguale al tuo nel post 4.
Se disattivi avast riesci ad entrare nella pagina ma avast online security dà il messaggio come nella fig seguente:
http://s22.postimg.org/dvemg7srx/nginx_fedora.jpg
In questa pagina (sotto il messaggio di avast online security) c’è il logo di fedora e se ci si clicca si viene indirizzati al sito: hxxp://getfedora.org/
@roberto.dellepiagge: Per caso in passato hai avuto a che fare con fedora?
potresti controllare se sul tuo pc hai qualche riferimento che in automatico fa caricare il browser al server di fedora… nelle installazioni applicazioni, in qualche cartella in programmi o in C:\Users{nomeuser}\AppData\Local*
CAUTION : This fix is only valid for this specific machine, using it on another may break your computer
Open notepad and copy/paste the text in the quotebox below into it:
CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION 2015-04-03 15:24 - 2015-04-03 15:24 - 00000000 __SHD () C:\Users\Miky\AppData\Local\EmieUserList 2015-04-03 15:24 - 2015-04-03 15:24 - 00000000 __SHD () C:\Users\Miky\AppData\Local\EmieSiteList 2015-04-03 15:24 - 2015-04-03 15:24 - 00000000 __SHD () C:\Users\Miky\AppData\Local\EmieBrowserModeList 2015-03-19 22:47 - 2015-03-19 22:47 - 00000000 __SHD () C:\Users\Roberto\AppData\Local\EmieUserList 2015-03-19 22:47 - 2015-03-19 22:47 - 00000000 __SHD () C:\Users\Roberto\AppData\Local\EmieSiteList 2015-03-19 22:47 - 2015-03-19 22:47 - 00000000 __SHD () C:\Users\Roberto\AppData\Local\EmieBrowserModeList CustomCLSID: HKU\S-1-5-21-1556733627-1262749987-3999049481-1001_Classes\CLSID\{00b7e0ab-817a-44ad-a04b-d1148d524136}\InprocServer32 -> %SystemDrive%\Users\Roberto\AppData\Roaming\Microsoft\MSXML2\msxml4.dll No File CustomCLSID: HKU\S-1-5-21-1556733627-1262749987-3999049481-1001_Classes\CLSID\{7c6e29bc-8b8b-4c3d-859e-af6cd158be0f}\InprocServer32 -> %SystemDrive%\Users\Roberto\AppData\Roaming\Microsoft\MSXML2\msxml4.dll No File CustomCLSID: HKU\S-1-5-21-1556733627-1262749987-3999049481-1001_Classes\CLSID\{88d969c0-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Roberto\AppData\Roaming\Microsoft\MSXML2\msxml4.dll No File CustomCLSID: HKU\S-1-5-21-1556733627-1262749987-3999049481-1001_Classes\CLSID\{88d969c1-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Roberto\AppData\Roaming\Microsoft\MSXML2\msxml4.dll No File CustomCLSID: HKU\S-1-5-21-1556733627-1262749987-3999049481-1001_Classes\CLSID\{88d969c2-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Roberto\AppData\Roaming\Microsoft\MSXML2\msxml4.dll No File CustomCLSID: HKU\S-1-5-21-1556733627-1262749987-3999049481-1001_Classes\CLSID\{88d969c3-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Roberto\AppData\Roaming\Microsoft\MSXML2\msxml4.dll No File CustomCLSID: HKU\S-1-5-21-1556733627-1262749987-3999049481-1001_Classes\CLSID\{88d969c4-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Roberto\AppData\Roaming\Microsoft\MSXML2\msxml4.dll No File CustomCLSID: HKU\S-1-5-21-1556733627-1262749987-3999049481-1001_Classes\CLSID\{88d969c5-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Roberto\AppData\Roaming\Microsoft\MSXML2\msxml4.dll No File CustomCLSID: HKU\S-1-5-21-1556733627-1262749987-3999049481-1001_Classes\CLSID\{88d969c6-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Roberto\AppData\Roaming\Microsoft\MSXML2\msxml4.dll No File CustomCLSID: HKU\S-1-5-21-1556733627-1262749987-3999049481-1001_Classes\CLSID\{88d969c8-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Roberto\AppData\Roaming\Microsoft\MSXML2\msxml4.dll No File CustomCLSID: HKU\S-1-5-21-1556733627-1262749987-3999049481-1001_Classes\CLSID\{88d969c9-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Roberto\AppData\Roaming\Microsoft\MSXML2\msxml4.dll No File CustomCLSID: HKU\S-1-5-21-1556733627-1262749987-3999049481-1001_Classes\CLSID\{88d969ca-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Roberto\AppData\Roaming\Microsoft\MSXML2\msxml4.dll No File CustomCLSID: HKU\S-1-5-21-1556733627-1262749987-3999049481-1001_Classes\CLSID\{88d969d6-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Roberto\AppData\Roaming\Microsoft\MSXML2\msxml4.dll No File Task: {1B206946-4E6B-4BF9-B61F-F88B025814EF} - System32\Tasks\{2AA3B921-88AA-4C0B-A569-52A9D14193B3} => pcalua.exe -a C:\Users\Roberto\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=face <==== ATTENTION C:\Users\Roberto\AppData\Roaming\omiga-plus Task: {51CA2AC7-55A1-4C8A-A38D-3C2B87321B35} - \upfs7235 No Task File <==== ATTENTION Reg: reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f Reg: reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f RemoveProxy: EmptyTemp: CMD: bitsadmin /reset /allusers
Save this as fixlist.txt, in the same location as FRST.exe
https://dl.dropboxusercontent.com/u/73555776/FRSTfix.JPG
Run FRST and press Fix
On completion a log will be generated please post that
THEN
Please download AdwCleaner by Xplode onto your desktop.
[*]Close all open programs and internet browsers.
[*]Double click on AdwCleaner.exe to run the tool.
[*]Click on Scan.
[*]After the scan is complete click on “Clean”
[*]Confirm each time with Ok.
[*]Your computer will be rebooted automatically. A text file will open after the restart.
[*]Please post the content of that logfile with your next answer.
[*]You can find the logfile at C:\AdwCleaner[S0].txt as well.
tutto svolto!!!
attendo nuove!!!
Ok, hai ancora alert da parte di avast?
Have you again alerts from avast?
CAUTION : This fix is only valid for this specific machine, using it on another may break your computer
Open notepad and copy/paste the text in the quotebox below into it:
CMD: bitsadmin /reset /allusers
Save this as fixlist.txt, in the same location as FRST.exe
https://dl.dropboxusercontent.com/u/73555776/FRSTfix.JPG
Run FRST and press Fix
On completion a log will be generated please post that
Fatto!!!
Se possibile, e non vi porta via del tempo prezioso, mi piacerebbe conoscere cosa fanno questi programmi e l’origine di quel fastidioso Malware…che tra l’altro sembra non apparire più…magari se fosse anche possibile avere dei consigli su come proteggermi nel miglior modo possibile…se avast da solo è sufficiente a far tutto o ha bisogno di un altro programma…
Grazie sempre della splendida collaborazione…
Ciao,
bene che non appaiono più alert da parte di avast.
I programmi che ti ha indicato essexboy servono per scannerizare il sistema e rilevare voci nocive.
In particolare il malaware che hai preso si collegava ad un sito non sicuro ed avast lo rileva.
Come hai fatto a prenderlo? Può darsi semplicemente che hai scaricato un programma che ritenevi sicuro ma che invece conteneva anche “altro” (di solito sono programmi di terze parti o delle fastidiose estensioni per browser).
Quindi il miei consigli sono:
- affiancare ad avast anche MBAM free e con esso eseguire delle scansioni settimanali/mensili
- pulire di frequente il disco e il registro con CCleaner.
- installare dei DNS sicuri ad esempio http://www.italiasw.com/lista-dei-server-dns-per-navigare-sicuri-nel-web/
- scaricare programmi dai siti ufficiali e non usare ad esempio siti come softonic
- in fase di installazione stare attenti a che cosa viene chiesto!
Questi alcuni consigli di essexboy