www.MegaLab.it

[francescoagra]

Ciao a tutti
Mio figlio sul portatile ha beccato (dice mentre scaricava da youtube) il virus della finta polizia postale; penso si chiami Ransoware.
Ho avviato il pc in modalità provvisoria, sono andato tramite Star-Tutti i programmi- in esecuzione automatica per eliminare il file WPBTO.DLL che avrebbe dovuto comparire (così dicevano vari utenti in rete) ma c'è invece solo un file chiamato cftmon.
Ho provato anche ad eseguire una scansione con malwarebytes ma dopo un po' si spegne il pc.
Che fare?

[crazy.cat]

ma c'è invece solo un file chiamato cftmon.

E' lui.
Eliminalo dalla provvisoria.
Non dovresti esserti infettato completamente.
Se riesci poi a ripartire, scansione con malwarebytes del disco completo e rimuovi quello che trova.
Pulizia anche dei file inutili con ccleaner.

[francescoagra]

Ok!
E per il fatto che dopo 5 minuti di scansione con Malwarebytes (in modalità provvisoria) si spegne il pc... che sia il virus che lo fa spegnere?
La scansione la faccio con l'internet acceso?

[francescoagra]

Non dovrebbe essere cftmon.exe? Ho letto da qualche parte che c'è anche un file ctfmon che è innuoco.

[crazy.cat]

Ho letto da qualche parte che c'è anche un file ctfmon che è innuoco.

Ctfmon è un componente di office, ma non deve essere in esecuzione automatica.

Internet è meglio lasciarla chiusa almeno sino a quando il pc non sei sicuro che si pulito (o quasi).
Una volta eliminato ctfmon prova a rifare la scansione, oppure utilizzare combofix se malwarebytes si blocca ancora.

[francescoagra]

Fatto, Ho eliminato il file cftmon.
La scansione la faccio in modalità provvisoria o normale?
Prima Malwarebytes mi diceva che l'ultimo aggiornamento era di 52 giorni fa e se lo volevo aggiornare; però se l'aggiorno devo entrare in rete.

[crazy.cat]

La scansione dalla modalità normale, aggiorna malwarebytes e poi ti scolleghi dalla rete.

[francescoagra]

Nello stesso momento dell'inizio dell'aggiornamento, Antivira mi ha detto che trovato il file infetto Ranso... e gli ho detto cancella. Spero d'aver fatto bene.

[crazy.cat]

Nello stesso momento dell'inizio dell'aggiornamento, Antivira mi ha detto che trovato il file infetto Ranso... e gli ho detto cancella. Spero d'aver fatto bene.

Il ctfmon bloccava il desktop e gli antivirus, ma sicuramente era presente un altro exe infetto, fai lo stesso una scansione completa per sicurezza.

[francescoagra]

Allego il log:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Versione database: v2012.08.24.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
claudio :: CLAUDIO-PC [amministratore]

24/08/2012 12:18:24
mbam-log-2012-08-24 (14-59-41).txt

Tipo di scansione: Scansione completa (C:\|)
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 329582
Tempo impiegato: 2 ore, 22 minuti, 3 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 35
HKCR\CLSID\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLabs) -> Nessuna azione intrapresa.
HKCR\TypeLib\{44444444-4444-4444-4444-440044224458} (Adware.GamePlayLabs) -> Nessuna azione intrapresa.
HKCR\Interface\{55555555-5555-5555-5555-550055225558} (Adware.GamePlayLabs) -> Nessuna azione intrapresa.
HKCR\CrossriderApp0002258.BHO.1 (Adware.GamePlayLabs) -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLabs) -> Nessuna azione intrapresa.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLabs) -> Nessuna azione intrapresa.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLabs) -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLabs) -> Nessuna azione intrapresa.
HKCR\CLSID\{22222222-2222-2222-2222-220022222258} (Adware.GamePlayLab) -> Nessuna azione intrapresa.
HKCR\CrossriderApp0002258.Sandbox.1 (Adware.GamePlayLab) -> Nessuna azione intrapresa.
HKCR\CrossriderApp0002258.Sandbox (Adware.GamePlayLab) -> Nessuna azione intrapresa.
HKCR\CLSID\{33333333-3333-3333-3333-330033223358} (Adware.GamePlayLab) -> Nessuna azione intrapresa.
HKCR\CrossriderApp0002258.FBApi.1 (Adware.GamePlayLab) -> Nessuna azione intrapresa.
HKCR\CrossriderApp0002258.FBApi (Adware.GamePlayLab) -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{65bcd620-07dd-012f-819f-073cf1b8f7c6} (Adware.GamePlayLab) -> Nessuna azione intrapresa.
HKCR\CrossriderApp0002258.BHO (Adware.GamePlayLab) -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\I Want This (Adware.GamePlayLabs) -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VLC classic (Trojan.FakeVLC) -> Nessuna azione intrapresa.
HKCR\CrossriderApp0002258.BHO (PUP.CrossFire.Gen) -> Nessuna azione intrapresa.
HKCR\CrossriderApp0002258.BHO.1 (PUP.CrossFire.Gen) -> Nessuna azione intrapresa.
HKCR\CrossriderApp0002258.FBApi (PUP.CrossFire.Gen) -> Nessuna azione intrapresa.
HKCR\CrossriderApp0002258.FBApi.1 (PUP.CrossFire.Gen) -> Nessuna azione intrapresa.
HKCR\CrossriderApp0002258.Sandbox (PUP.CrossFire.Gen) -> Nessuna azione intrapresa.
HKCR\CrossriderApp0002258.Sandbox.1 (PUP.CrossFire.Gen) -> Nessuna azione intrapresa.
HKCU\Software\Cr_Installer\2258 (Adware.GamePlayLab) -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Google\Chrome\Extensions\mpfapcdfbbledbojijcbcclmlieaoogk (PUP.GamesPlayLab) -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Google\chrome\Extensions\fdloijijlkoblmigdofommgnheckmaki (PUP.Funmoods) -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mpfapcdfbbledbojijcbcclmlieaoogk (PUP.GamesPlayLab) -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> Nessuna azione intrapresa.
HKCR\CLSID\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> Nessuna azione intrapresa.
HKCR\TypeLib\{44444444-4444-4444-4444-440044224458} (PUP.GamePlayLab) -> Nessuna azione intrapresa.
HKCR\Interface\{55555555-5555-5555-5555-550055225558} (PUP.GamePlayLab) -> Nessuna azione intrapresa.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> Nessuna azione intrapresa.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> Nessuna azione intrapresa.

Valori di registro rilevati: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\I Want This|Publisher (Adware.GamePlayLab) -> Dati: 215 Apps -> Nessuna azione intrapresa.

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 3
C:\Program Files (x86)\I Want This (Adware.GamePlayLab) -> Nessuna azione intrapresa.
C:\Users\claudio\AppData\Local\I Want This (Adware.GamePlayLab) -> Nessuna azione intrapresa.
C:\Users\claudio\AppData\Local\I Want This\Chrome (Adware.GamePlayLab) -> Nessuna azione intrapresa.

File rilevati: 15
C:\Program Files (x86)\I Want This\I Want This.dll (Adware.GamePlayLabs) -> Nessuna azione intrapresa.
C:\Program Files (x86)\I Want This\I Want This.exe (Adware.GamePlayLabs) -> Nessuna azione intrapresa.
C:\Program Files (x86)\I Want This\I Want ThisGui.exe (Adware.GamePlayLabs) -> Nessuna azione intrapresa.
C:\Program Files (x86)\I Want This\Uninstall.exe (Adware.GamePlayLabs) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Vlcclassic\Uninstall.exe (Trojan.FakeVLC) -> Nessuna azione intrapresa.
C:\Users\claudio\Documents\Programmi\k-lite-codec-pack.exe (PUP.OfferBundler.ST) -> Nessuna azione intrapresa.
C:\Program Files (x86)\I Want This\I Want This.ini (Adware.GamePlayLab) -> Nessuna azione intrapresa.
C:\Program Files (x86)\I Want This\appAPIinternalWrapper.js (Adware.GamePlayLab) -> Nessuna azione intrapresa.
C:\Program Files (x86)\I Want This\fb.js (Adware.GamePlayLab) -> Nessuna azione intrapresa.
C:\Program Files (x86)\I Want This\I Want This.ico (Adware.GamePlayLab) -> Nessuna azione intrapresa.
C:\Program Files (x86)\I Want This\I Want ThisInstaller.log (Adware.GamePlayLab) -> Nessuna azione intrapresa.
C:\Program Files (x86)\I Want This\jquery.js (Adware.GamePlayLab) -> Nessuna azione intrapresa.
C:\Program Files (x86)\I Want This\json.js (Adware.GamePlayLab) -> Nessuna azione intrapresa.
C:\Users\claudio\AppData\Local\I Want This\Chrome\I Want This.crx (Adware.GamePlayLab) -> Nessuna azione intrapresa.
C:\Program Files (x86)\I Want This\I Want This.dll (PUP.GamePlayLab) -> Nessuna azione intrapresa.

(fine)

[crazy.cat]

ùdirei che puoi togliere tutto, il virus era già stato eliminato, ha trovato svariati adware e schifezzuole.

[francescoagra]

Ok grazie!!