PDA

Visualizza versione completa : Virus e Spyware OfferBoxHBO sul log HJ: malevolo o no?



Kirk78
26-04-11, 00: 45
Ciao a tutti.

Ho fatto il log con Hijack del portatile che vi dicevo con Uniblue (disinstallato) e ci sono queste voci che mi fanno pensare (Vista SP1):


Only registered members can view code.La seconda ho letto che è del messanger, ma la prima? Ho visto che qualcuno consiglia di fissarla e altri no. Voi che mi dite?

La macchina come vi dicevo è lenta a partire. Con Regseeker 1.55 ha trovato (ancora non eliminate) parecchie centinaia di voci "verdi".

Ciao e Grazie
:bai

FDAC
26-04-11, 11: 46
Ciao. OfferBox è un adware, che si installa quando installi altri SW (ES, Mediaget).
Andrebbe disinstallato subito, a parer mio.
Fixa pure le 2 voci, dopo averlo disinstallato.

Kirk78
26-04-11, 12: 44
dopo averlo disinstallatoGrazie del parere FDAC, ma non ho ancora capito quale software lo ha installato e quindi prima dovrei quanto meno sapere da chi è stato generato. Proverò a vedere se è installato questo "Mediaget".
La seconda voce è relativa sempre a quel software? Leggendo in giro ci sono pareri differenti :boh.

[EDIT] Ho visto che è installato il "Browser OfferBox" / "Navigatore OfferBox": sinceramente non lo conosco. Hanno anche un sito ufficiale che però non vorrei postare, se me lo indicate come sconsigliato :oo2
1230
Mi consigliate di dinistallarlo, con il metodo classico da Pannello di Controllo? Penso sia anche come estensione di Chrome, visto che nella cartella c'è un file OfferBoxChromeExtension.crx

Mi chiedo perché Microsoft Security Essentials

Versione 2.0.657.0
Versione client antimalware: 3.0.8107.0
Versione motore: 1.1.6702.0
definizioni di Aprile 2011 versione 1.101.1559.0

non abbia trovato nulla di errato. Forse lo disinstallo e ci metto Avira che conosco un po' di più, ma in molte classifiche antivirus era in ottima posizione...
:bai

Kirk78
27-04-11, 15: 22
Visto i 2 pareri (speravo un po' di più :tong2) penso di disinstallare con la maniera classica tramite uninstall loro o Pannello di controllo: meglio in modalità provvisoria? E che non conosco questo browser....
:thx :bai

LadyHawke
27-04-11, 15: 29
Via, via quella roba :hap
Hai fatto il Combofix? Perchè generalmente Offerbox si porta dietro almeno anche lo Shopping Report, altro Adware, e spesso altre cose.
La disinstallazione normale apparentemente funziona, perchè tutto sommato non viene installato "a tradimento" come molti adware, è solo che non ci viene fatto caso e lo si ritrova installato, però il fine se lo porta con se con il nome :eye

:bai

Kirk78
27-04-11, 15: 42
Grazie mitica Lady! Combofix è molto "invasivo" (a volte e sopratutto su Vista SP1 sapevo...) quindi preferivo farlo come ultima istanza. Ma provo da provvisoria o da "normale"?
Ho fatto comunque da provvisoria una bella scansione con Malwerbyte rapida (adesso sto facendo quella completa e ti faccio sapere) e comunque avevo anche fatto una scansione da "normale" con SuperAntiSpyware portable, con Malwerbyte completa e con Microsoft Security Essentials (parecchie ore!) e non avevano trovato nulla.
Ho cancellato anche la TEMP di tutti gli utenti con AFT-Cleaner.
Farò anche quando a finito anche con SuperAntiSpyware portable in provvisoria, ma fammi sapere se ritieni utile la disinstallazione da provvisoria. :fleurs
:thx :bai

P.S. dopo penso di installare anche l'SP2 ma dopo che ho ripulito ;)

[EDIT] Malwerbyte in temporanea completa, provo anche con MSE in provvisoria
[EDIT2] Dopo più di 6 ore :shock MSE ha finito la sua scansione in provvisoria: nulla

Kirk78
01-05-11, 02: 09
Anche Superantispyware in provvisoria non ha trovato nulla, quindi forse OfferBOX non dovrebbe esserci più. Oppure devo fare qualche altra cosa, per controllare che questo coso non ci sia più? Se volete posto anche il nuovo log HJ. Poi mi dite anche se posso, e se conviene, installare l'SP2 (http://www.collectiontricks.it/forum/software/Ct3216-windows-vista-service-pack-2-si-o-no.html), anche senza altri controlli di cose malevoli e se il service pack può evitare alcuni problemi di sicurezza tipo questo.
Grazie. :bai

FDAC
01-05-11, 10: 49
Ovvio: il PC deve essere aggiornato alle ultime definizioni, con il SP2.
Il mio consiglio (poi deciti tu, ovviamente) è quello di utilizzare ComboFix:

Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
● posiziona il file scaricato sul Desktop
● disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
● disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix con un doppio click
● segui le istruzioni che verranno rilasciate per eseguire la scansione
● verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● potrebbero comparire alcuni file sul Desktop, e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:
● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore

Kirk78
07-05-11, 20: 15
Ovvio: il PC deve essere aggiornato alle ultime definizioni, con il SP2.
Grazie, ho fatto. Con la precedura di disinstallazione non lo vedo più in giro, quindi forse l'ho debellato. Conosco la procedura, grazie comunque della spiegazione ovviamente, di Combofix, ma un paio di volte ha dato un po' di matto e ho dovuto rimediare alle sue pulizie un po' pesantucce. Come faccio a sapere se realmente non c'è più nulla?

● verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
Perché dici questo? Forse perché è preferibile installarla normalmente non tramite ComboFix? :bai

FDAC
08-05-11, 19: 02
No, perchè in questo frangente è inutile, a meno di non dover ripristinare il mbr e il boot.

Kirk78
08-05-11, 19: 31
Grazie FDAC, e per sapere se è stato tolto tutto hai/avete suggerimenti? :bai
EDIT: questo è il log di HJ
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20.44.02, on 08/05/2011
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.19048)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\conime.exe
D:\TEMP2\HJ\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = srv-is:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\s wg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8 574934B26AC4.dll/cmsidewiki.html
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{07F294DF-A218-49E2-BC39-75084098C762}: NameServer = 193.70.152.15,193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{07F294DF-A218-49E2-BC39-75084098C762}: NameServer = 193.70.152.15,193.70.152.25
O17 - HKLM\System\CS2\Services\Tcpip\..\{07F294DF-A218-49E2-BC39-75084098C762}: NameServer = 193.70.152.15,193.70.152.25
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)

--
End of file - 5570 bytes

L'unica voce che non mi convince è
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
Ciao e grazie. :bai

LadyHawke
08-05-11, 21: 49
Lo puoi fixare, ma è comunque una rimanenza delle pulizie che probabilmente non ha più ne capo ne coda

:bai

Kirk78
09-05-11, 00: 14
Grazie LadyHawke! Quindi dici che ho debellato questo HBO e il resto tutto OK? :bai