www.MegaLab.it

[natraninio]

Ieri il mio PC ha riscontrato questo Malware che in automatico si è impostato come pagina principale di tutti i Browser. Ho provato in tutti i modi a toglierlo ma non ci riesco.
Mi si e' proposto un'aggiornamento di java , non ho fatto attenzione che non proveniva dal sito originale ed ecco il pasticcio.
Ho fatto scansione con Malwarebytes Anti-Malware e mi ha trovato 700 file infetti con lo stesso nome , ho rimosso tutto ma il problema rimane, ho letto in rete che bisogna eliminarlo velocemente in quanto intercettare dati sensibili tipo pasword ed avere sorprese anche sui conti bancari e rallenta la macchina
Ho provato a leggere in rete istruzioni ma non riesco ad eliminare.
Avete qualche consiglio da darmi.
Grazie
Saluti da natraninio

[natraninio]

ho trovato su youtube un video che dice che esiste un removal ma in rete non riesco a trovarlo.
http://www.youtube.com/watch?v=G6R3YK4j168

[The Walking Dead]

Non seguire quel link.
Si tratta di un falso video Youtube che finirà per infettare ancora di più la macchina.
Segui questa procedura.
http://malwaretips.com/blogs/nation-zoom-removal/

[natraninio]

ciao The Walking Dead
Ti ringrazio per la procedura considerata corretta , ho visto tutti i passi compreso adwcleaner ma il problema persiste su tutti e 3 i broswer.

[Pancrazio]

Hai seguito completamente la guida postata dall'utente denominato The Walking Dead?

[stevens]

ciao natraninio fai questa scansione vediamo se riesci a liberarti dell'intruso

scarica OTL
Metti la spunta su SCAN ALL USERS.
Sotto output spunta minimal output
Clicca sulla freccettina di File Age e seleziona 60 Days
Metti la spunta a LOP Check and Purity Check.
A fine scansione OTL produrrà due file di log (OTL.txt ed Extras.txt)

[natraninio]

ok ci provo mi dici per favore cosa devo clikkare per fare scansioneOTL run scan quick scan o run fix?
poi il testo che produrra' devo postarlo?

[natraninio]

Ho cliccato su run scan e mi ha prodotto 2 file che potrai visionare qui:
http://wikisend.com/download/487372/OTL.Txt
http://wikisend.com/download/427632/Extras.Txt

[stevens]

da dove hai scaricato tutte quelle porcherie hai un casino in quel pc

apri otl e copia questo nello spazio bianco del programma poi premi run fix

Codice: Seleziona tutto

:OTL
PRC - C:\Users\Tony\AppData\Roaming\Yontoo\YontooDesktop.exe (Yontoo LLC)
PRC - C:\Users\Public\Documents\AppData\PoApp\PService.exe (PService)
MOD - C:\Users\Tony\AppData\Roaming\Yontoo\dat\Desktop.OS.Plugin.dll ()
SRV - (LiveUpSC) -- C:\Users\Tony\AppData\Local\SoftwareUpdater\SoftwareUpdService.exe (SoftwareUpdService)
SRV - (PowerOffer Service) -- C:\Users\Tony\AppData\Local\PosService\Pos.exe (PowerOfferService)
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nationzoom.com/?type=hp&ts=1388095705&from=tugs&uid=3219913727_132693_46C9C568
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nationzoom.com/web/?type=ds&ts=1388095705&from=tugs&uid=3219913727_132693_46C9C568&q={searchTerms}
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.nationzoom.com/web/?type=ds&ts=1388095705&from=tugs&uid=3219913727_132693_46C9C568&q={searchTerms}
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.nationzoom.com/?type=hp&ts=1388095705&from=tugs&uid=3219913727_132693_46C9C568
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.searchya.com/?q={searchTerms}&f=4&a=grupo1y&cd=2XzuyEtN2Y1L1QzuyC0C0FtDyEzy0ByB0EzztAtD0CyDyCzztN0D0Tzu0CyEtCtDtN1L2XzutBtFtBtFtCtFyDtDtAtN1L1Czu1N1C2Y1E1FtC2U&cr=2094253689&ir=
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://www.nationzoom.com/web/?type=ds&ts=1388095705&from=tugs&uid=3219913727_132693_46C9C568&q={searchTerms}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.chatzum.com/?orig=DS&affid=62&cztbid=168538272&q={searchTerms}
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.eazel.com?id=63209562FBD5437C8501289F278FC772
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.eazel.com?id=63209562FBD5437C8501289F278FC772
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
IE - HKU\S-1-5-21-2754192007-123151740-2038314122-1002\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://www.bigseekpro.com/search/browser/splitcam/{3233E9D2-C576-4C83-BB1F-B52BDD8DE26D}?q={searchTerms}
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\emoticoons-toolbar@emoticoons.com: C:\Users\Public\Documents\Emoticoons\emoticoons-toolbar@emoticoons.com [2012/06/24 02:36:45 | 000,000,000 | ---D | M]
[2013/12/26 23:30:03 | 000,000,000 | ---D | M] (MyStart Toolbar) -- C:\Users\Tony\AppData\Roaming\mozilla\Firefox\Profiles\x2bziw2p.default\extensions\{607b689f-7600-45e4-b8e5-887f72dab15c}
[2013/03/08 01:49:18 | 000,000,000 | ---D | M] (ChatZum Toolbar) -- C:\Users\Tony\AppData\Roaming\mozilla\Firefox\Profiles\x2bziw2p.default\extensions\{ADFA33FD-16F5-4355-8504-DF4D664CFE83}
O3 - HKU\S-1-5-21-2754192007-123151740-2038314122-1002\..\Toolbar\WebBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found.
O9:[b]64bit:[/b] - Extra Button: Free YouTube Download - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Program Files (x86)\Common Files\DVDVideoSoft\bin\IEDownloadMenuAndBtns64.dll (DVDVideoSoft Ltd.)
O9:[b]64bit:[/b] - Extra 'Tools' menuitem : Free YouTube Download - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Program Files (x86)\Common Files\DVDVideoSoft\bin\IEDownloadMenuAndBtns64.dll (DVDVideoSoft Ltd.)
O9 - Extra Button: Free YouTube Download - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Program Files (x86)\Common Files\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll (DVDVideoSoft Ltd.)
O9 - Extra 'Tools' menuitem : Free YouTube Download - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Program Files (x86)\Common Files\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll (DVDVideoSoft Ltd.)
[2013/02/14 04:04:56 | 000,000,000 | ---D | M] -- C:\Users\Tony\AppData\Roaming\Searchya
[2013/12/28 14:10:59 | 000,000,000 | ---D | M] -- C:\Users\Tony\AppData\Roaming\Yontoo
@Alternate Data Stream - 900 bytes -> F:\Documents\Fw_ Chiarimenti sulla fattura Europcar-Autostrade.eml:OECustomProperty
@Alternate Data Stream - 186 bytes -> C:\ProgramData\Temp:FB1B13D8
@Alternate Data Stream - 126 bytes -> C:\ProgramData\Temp:373E1720

:Files
ipconfig /flushdns /c

:commands
[purity]
[emptytemp]
[RESETHOSTS]
[start explorer]
[CLEARALLRESTOREPOINTS]
[Reboot]


posta il log che otterrai a fine operazione lo trovi nella cartella C:\_OTL\MovedFiles

[natraninio]

ecco il log
12292013_002607.log

[stevens]

naviga un po' e vedi se il problema e' risolto

[natraninio]

il problema persiste.
Tu dai file che ho postato cosa riscontri?

[stevens]

sono state rimosse le infezioni che avevi, erano dirottatori e qualche adware

con quale browser hai questo problema?

[natraninio]

Ho disinstallato chrome e firefox in quanto il problema come ti avevo scritto era rimasto poi ho reistallato firefox e chrome e ora apre regolarmente.
Il problema e' rimasto su IE , evidentemente i broswer erano infetti e l'unico modo e' reinstallarli , tu prima di consigliarmi di reinstallare IE hai qualche altro consiglio?
Ma le schifezze che scrivevi che avevo ci sono ancora?

[stevens]

Ho disinstallato chrome e firefox

prima o dopo aver eseguito otl

Il problema e' rimasto su IE

prova a rimuoverlo e reinstallarlo, ricorda di salvare i preferiti

[GERONIMO*]

Ho disinstallato chrome e firefox in quanto il problema come ti avevo scritto era rimasto poi ho reistallato firefox e chrome e ora apre regolarmente.
Il problema e' rimasto su IE , evidentemente i broswer erano infetti e l'unico modo e' reinstallarli , tu prima di consigliarmi di reinstallare IE hai qualche altro consiglio?
Ma le schifezze che scrivevi che avevo ci sono ancora?

prova come spiegato qui
http://www.windoctor.it/sicurezza/rimuo ... ationzoom/