Crome invaso dalla pubblicità

[Dark_Devil]

Non capisco come è successo ma ultimamente il mio browser Chrome è invaso dalla pubblicità... AdBlock non funziona più e non riesco neanche a reinstallarlo. Tutte le scritte di testo delle pagine internet mi appaiono come collegamenti ad inserzioni pubblicitarie. Prima di poter visionare ogni pagina internet mi appare una pagina di pubblicità e non posso procedere se non clicco su procedi oltre... poi mi appaiono pop-up e inserizioni pubblicitarie di prodotti ovunque.... non so più come fare... tutte queste inserzioni riportano la dicitura " Ad by giftitapp", ma non c'è modo di toglierle... ho guardato sui programmi installati e non risulta niente... su estensioni del browser non c'è niente... ho provato a fare una scansione con gli antispyware più noti e niente. Come diavolo lo tolgo?

[blue_tech]

http://www.bleepingcomputer.com/download/adwcleaner/

esegui come admin e pulisci tutto quel che trova poi dicci come va

[Dark_Devil]

Grazie. Ho fatto la scansione, qualcosa ha trovato ed eliminato, ma purtroppo il problema persiste....

[blue_tech]

mmm falla anche con malwarebyte's antimalware

vorrei prima essere sicuro che non ci siano malware in esecuzione prima di pensare ad altro...

EDIT: va bene la scansione rapida

[Dark_Devil]

Malwarebyte mi ha rilevato diversi malware col nome di giftitapp. Il problema è che nonostante siano stati messi in quarantena il problema persiste...

EDIT: Ho provato anche ad eliminarli del tutto... niente da fare... non cambia nulla.

[blue_tech]

Ok abbiamo capito da dove esce il problema

1) Malwarebyte l'hai eseguito come amministratore? Se no rifai la scansione avviandolo come admin (click destro -> esegui come amministratore)
2) Dopo il punto 1 se hai ancora problemi esegui una scansione con ComboFix (sempre eseguendolo come admin) che è molto più "cattivo"

Dai che ci siamo

EDIT:

si potrebbe anche provare a riutilizzare mbam da mod provvisoria ma prova i primi due punti prima che dovrebbero bastare
in realtà mi aspettavo che visto che lo rileva già, mbam fosse sufficiente ma bisogna vedere come l'hai eseguito

[Dark_Devil]

Ho fatto Malwarebyte come amministratore ma niente da fare. Ho eliminato tutte le voci, infatti adesso non mi rileva più niente, ma nonostante questo ho ancora tutto invaso dagli add di questa maledetta "giftitapp".
Provo con combofix a questo punto.

[Dark_Devil]

Ho provato con combofix. E' stata eliminata diversa roba e infatti al riavvio non c'era più nessun problema. Adesso però è tornato tutto nuovamente come prima... Non so più che fare... mi tocca cambiare browser....

[blue_tech]

Ma scusa eh... c'hai il pc posseduto?

Facciamo un passo indietro che sistema operativo usi? Gli aggiornamenti li hai tutti? Antivirus?

Perchè il fatto che tu abbia pulito con combofix e poi sia tornato tutto come prima è alquanto strano...

[blue_tech]

Vedi se Avast Browser Cleanup ti segnala qualcosa in particolare ma mi sembra strano...

EDIT: posta anche i report delle varie scansioni così vediamo di capire meglio di che malware si tratta

[Lord McAaron]

Io passerei anche Hijack This...

[blue_tech]

Si ci sta, una bella scansione come admin e mettici qui il report

[Dark_Devil]

Ecco il Log di Hijack This:

Spoiler:

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 22:37:29, on 18/01/2015
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v11.0 (11.00.9600.17496)
CHROME: 38.0.2125.111

Boot mode: Normal

Running processes:
C:\Windows\SysWOW64\DllHost.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe
C:\Users\Tommaso\AppData\Local\Google\Chrome\Appli cation\chrome.exe
C:\Users\Tommaso\AppData\Local\Google\Chrome\Appli cation\chrome.exe
C:\Users\Tommaso\AppData\Local\Google\Chrome\Appli cation\chrome.exe
C:\Users\Tommaso\AppData\Local\Google\Chrome\Appli cation\chrome.exe
C:\Users\Tommaso\AppData\Local\Google\Chrome\Appli cation\chrome.exe
C:\Users\Tommaso\AppData\Local\Google\Chrome\Appli cation\chrome.exe
C:\Users\Tommaso\AppData\Local\Google\Chrome\Appli cation\chrome.exe
C:\Users\Tommaso\AppData\Local\Google\Chrome\Appli cation\chrome.exe
C:\Users\Tommaso\AppData\Local\Google\Chrome\Appli cation\chrome.exe
C:\Users\Tommaso\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Avira Systray] C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - Trusted Zone: *.clonewarsadventures.com
O15 - Trusted Zone: *.freerealms.com
O15 - Trusted Zone: http://www.samsungsetup.com
O15 - Trusted Zone: *.soe.com
O15 - Trusted Zone: *.sony.com
O16 - DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} (Creative Software AutoUpdate Support Package 2) - http://ccfiles.creative.com/Web/soft...3/CTPIDPDE.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/soft...1022/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8AE357F-593C-4EC8-AA38-249F4F3C2DC9}: NameServer = 94.198.96.34,46.4.70.20
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpda teService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Service Host (Avira.OE.ServiceHost) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\My Avira\Avira.OE.ServiceHost.exe
O23 - Service: Creative ALchemy AL6 Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Samsung UPD Service2 - Unknown owner - C:\Windows\System32\SUPDSvc2.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: Samsung Drive Manager Service (SZDrvSvc) - Clarus, Inc. - C:\Program Files (x86)\Clarus\Samsung Drive Manager\SZDrvSvc.exe
O23 - Service: TeamViewer 7 (TeamViewer7) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Update service - Company - C:\Program Files (x86)\Popcorn Time\Updater.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 10256 bytes

[blue_tech]

mi sembra discretamente pulito...
sono perplesso...

proviamo così: vai in provvisoria con rete e riesegui la scansione con combofix da lì... forse in questo modo riusciamo ad eradicare tutto

quello che mi perplime è che dopo la prima scansione di combofix sembravi pulito e poi tac è tornato tutto

[Dark_Devil]

Scusatemi mi ero dimenticato di rispondere. Alla fine ho risolto disinstallando chrome, passando combo fix e installando nuovamente chrome. Adesso é tutto ok e funzionano nuovamente anche le estensioni.

[blue_tech]

perfetto

[D3luX]

si, purtroppo non è l'unico ad essere "infettato" da quei dannati ADS
anche ad un cliente ho dovuto disinstallare chrome nonostante le passate di adwcleaner, combofix, ecc.

[blue_tech]

Devo dire che non mi era ancora capitato un caso così "grave" dove è necessario per forza disinstallare chrome prima di passare combofix o simili...

Anche gli ADS si stanno facendo particolarmente "cattivi"