Topic: CandyBox

[veladura@me.com]

Buongiorno.
Con un'azione improvvida, senza che me ne accorgessi, devo aver attivato un qualche programma che mi apre automaticamente nuove schede con l'etichetta "suggested by CandyBox". Ne ho bloccato l'apertura usando NoScript, ma sono ugualmente molto fastidiose.
Ho cercato se trovavo CandyBox sui plugin e sulle estesioni senza trovare nulla. Lo stesso ho fatto atrtaverso about:config senza risultato.
Cercando su Google si trrova solo il suggerimento di usare un programma apposito, Cleaner PC YAC, oppure di resettare Firefox, cosa che non desidererei fare.  Potete indagare e vedere come si può risolvere altrimenti la faccenda?
Grazie
Giovanni

[A35G]

Usa JRT e AdwCleaner nell'ordine in cui te li ho scritti...dovresti risolvere il problema.

[veladura@me.com]

A35G: ho fatto come mi hai consigliato, ma il problema è rimasto come prima!
Hanno fatto un sacco di lavoro, però, ecco il risultato del primo:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.2.3 (09.27.2014:1)
OS: Windows 7 Professional x64
Ran by Best srl on 29/09/2014 at 14:12:33,16
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\updateBuzzSearch_RASAPI32
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\updateBuzzSearch_RASMANCS
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\utilBuzzSearch_RASAPI32
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\utilBuzzSearch_RASMANCS
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Tracing\updateBuzzSearch_RASAPI32
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Tracing\updateBuzzSearch_RASMANCS
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Tracing\utilBuzzSearch_RASAPI32
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Tracing\utilBuzzSearch_RASMANCS



~~~ Files

Successfully deleted: [File] C:\Windows\Tasks\amiupdxp.job



~~~ Folders

Successfully deleted: [Folder] "C:\ProgramData\boost_interprocess"
Successfully deleted: [Folder] "C:\ProgramData\softsafe"
Successfully deleted: [Folder] "C:\Users\Best srl\AppData\Roaming\software informer"
Successfully deleted: [Folder] "C:\Program Files (x86)\pc speed maximizer"
Successfully deleted: [Folder] "C:\Program Files (x86)\Common Files\spigot"



~~~ FireFox

Successfully deleted: [File] C:\Users\Best srl\AppData\Roaming\mozilla\firefox\profiles\yiswa71p.default\user.js
Successfully deleted the following from C:\Users\Best srl\AppData\Roaming\mozilla\firefox\profiles\yiswa71p.default\prefs.js

user_pref("extensions.fvd_single.surfcanyon.ramp.start_time", "1394399286905");
Emptied folder: C:\Users\Best srl\AppData\Roaming\mozilla\firefox\profiles\yiswa71p.default\minidumps [16 files]



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 29/09/2014 at 14:15:01,93
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


E questo è il risultato del secondo:

# AdwCleaner v3.310 - Rapporto creato 29/09/2014 in 14:25:19
# Aggiornato 12/09/2014 di Xplode
# Sistema operativo : Windows 7 Professional Service Pack 1 (64 bits)
# Nome utente : Best srl - BESTSRL
# In esecuzione da : J:\Download\Utility\Junk\AdwCleaner.exe
# Opzione : Pulisci

***** [ Servizi ] *****

Servizio Eliminato : IePluginServices
Servizio Eliminato : nethfdrv
Servizio Eliminato : NethxxpService
Servizio Eliminato : ServiceUpdater
Servizio Eliminato : WindowsMangerProtect

***** [ File / Cartelle ] *****

Cartella Eliminato : C:\ProgramData\IePluginServices
Cartella Eliminato : C:\ProgramData\WindowsMangerProtect
Cartella Eliminato : C:\ProgramData\Brouwse2saave
Cartella Eliminato : C:\Program Files\FreeFixer
Cartella Eliminato : C:\Users\Best srl\AppData\Local\FreeFixer
Cartella Eliminato : C:\Users\BESTSR~1\AppData\Local\Temp\clicup
Cartella Eliminato : C:\Users\Best srl\AppData\Roaming\FreeFixer
Cartella Eliminato : C:\Users\Best srl\AppData\Roaming\NCdownloader
Cartella Eliminato : C:\Users\Best srl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FreeFixer
Cartella Eliminato : C:\Documenti\PC Speed Maximizer
Cartella Eliminato : C:\Users\Best srl\AppData\Roaming\Mozilla\Firefox\Profiles\yiswa71p.default\Extensions\firefoxdav@icloud.com
File Eliminato : C:\Windows\SysWOW64\hfpapi.dll
File Eliminato : C:\Windows\SysWOW64\installd.exe
File Eliminato : C:\Windows\SysWOW64\nethtsrv.exe
File Eliminato : C:\Windows\SysWOW64\netupdsrv.exe
File Eliminato : C:\Windows\System32\drivers\nethfdrv.sys

***** [ Compiti ] *****

Compito Eliminati : FreeFixer background scan

***** [ Collegamenti ] *****


***** [ Registro ] *****

Chiave Eliminati : HKLM\SOFTWARE\Google\Chrome\Extensions\hbcennhacfaagdopikcegfcobcadeocj
Chiave Eliminati : HKLM\SOFTWARE\Google\Chrome\Extensions\icdlfehblmklkikfigmjhbmmpmkmpooj
Chiave Eliminati : HKLM\SOFTWARE\Google\Chrome\Extensions\mhkaekfpcppmmioggniknbnbdbcigpkk
Chiave Eliminati : HKLM\SOFTWARE\Google\Chrome\Extensions\pfndaklgolladniicklehhancnlgocpp
Valore Eliminati : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [clicup-Agent]
Chiave Eliminati : HKLM\SOFTWARE\Microsoft\Tracing\SearchSettings_RASAPI32
Chiave Eliminati : HKLM\SOFTWARE\Microsoft\Tracing\SearchSettings_RASMANCS
Chiave Eliminati : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginServices
Chiave Eliminati : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect
Chiave Eliminati : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Chiave Eliminati : HKLM\SOFTWARE\Classes\CLSID\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
Chiave Eliminati : HKLM\SOFTWARE\Classes\CLSID\{28C02550-6572-401a-A2AE-5BC703C9BBA6}
Chiave Eliminati : HKLM\SOFTWARE\Classes\CLSID\{A1CCCE0D-AE21-42A2-BE58-8E6109410995}
Chiave Eliminati : HKLM\SOFTWARE\Classes\CLSID\{CD4D7B0F-45C6-4bb2-A1E7-54D1754E7FC5}
Chiave Eliminati : HKLM\SOFTWARE\Classes\Interface\{237FDFDB-3722-470E-8BA8-90196DABE967}
Chiave Eliminati : HKLM\SOFTWARE\Classes\TypeLib\{F126C9FC-9299-40F2-BD42-C59023AD1E7F}
Chiave Eliminati : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
Chiave Eliminati : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
Chiave Eliminati : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
Chiave Eliminati : [x64] HKLM\SOFTWARE\Classes\Interface\{237FDFDB-3722-470E-8BA8-90196DABE967}
Chiave Eliminati : HKCU\Software\clicup
Chiave Eliminati : HKCU\Software\InstallCore
Chiave Eliminati : HKCU\Software\Softonic
Chiave Eliminati : HKCU\Software\SupHpUISoft
Chiave Eliminati : HKCU\Software\Vittalia
Chiave Eliminati : HKCU\Software\AppDataLow\SProtector
Chiave Eliminati : HKCU\Software\AppDataLow\Software\Search Settings
Chiave Eliminati : HKLM\SOFTWARE\SP Global
Chiave Eliminati : HKLM\SOFTWARE\SProtector
Chiave Eliminati : HKLM\SOFTWARE\SupTab
Chiave Eliminati : HKLM\SOFTWARE\supWindowsMangerProtect
Chiave Eliminati : HKLM\SOFTWARE\supWPM
Chiave Eliminati : HKLM\SOFTWARE\sweet-pageSoftware
Chiave Eliminati : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\clicup
Chiave Eliminati : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96}
Chiave Eliminati : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\inethnfd
Chiave Eliminati : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WindowsMangerProtect

***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.17280

Impostazioni Ripristinato : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
Impostazioni Ripristinato : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]
Impostazioni Ripristinato : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
Impostazioni Ripristinato : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]

-\\ Mozilla Firefox v32.0.3 (x86 it)

[ File : C:\Users\Best srl\AppData\Roaming\Mozilla\Firefox\Profiles\yiswa71p.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [5948 octets] - [29/09/2014 14:24:06]
AdwCleaner[S0].txt - [5285 octets] - [29/09/2014 14:25:19]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [5345 octets] ##########

Usa JRT e AdwCleaner nell'ordine in cui te li ho scritti...dovresti risolvere il problema.

[veladura@me.com]

Ho provato a disinstallare e reinstallare Firefox. Risultato: candybox ricompare come prima!
Giovanni

[veladura@me.com]

Ho resettato andando su Aiuto, poi Risoluzione dei problemi, poi resettando. Niente, le finestre aggiuntive, soprattutto di Groupon,  suggerite da CandyBox hanno continuato ad aprirsi.
Allora ho disinstalalto usando Advanced System Care, che mi pare in genere  funzioni molto bene, cercando di eliminare le tracce di Firefox anche dal registro e poi reinstallando. Tutto come prima.
Andando su about:config non ho trovato nessuna riga che abbia un'attinenza né con CandyBox né con Groupon.
Ho finito le opzioni che mi vengono in mente.
Se qualcuno ha altre ideee si faccia avanti, non credo di essere l'unico con questo grosso fastidio.
(PS su un altro PC dove non sono stato così disattento la cosa non si ripete pur avendo entrambi sincronizzato con xmarks)
Saluti
Giovanni

[veladura@me.com]

Ecco un'altra delel finestre che si aprono: http://advframe.cleverapps.io/?url=aHR0cDovL2FkZi5seS9uMm90bw==

edit Underpass: rimosso link

[Underpass]

Ciao, ti pregherei di non inserire link potenzialmente pericolosi.
Come già ti è stato detto, con AdwCleaner dovresti risolvere.

[veladura@me.com]

Underpass, mi scuso per il link: avevo inserito la citazione perché servisse per un'eventuale diagnosi senza rendermi conto del pericolo.
Comunque ora ho riprovato a usare sia JRT che ADWCleaner, facendo molta attenzione. Sono certo di non aver commesso errori, hanno coretto molto meno cose di prima, ma il problema è rimasto come prima. Usando NoScript blocco il riempimento delle schede, ma non la loro apertura, per cui il fastidio resta.
Le schede riportano tutte lo stesso indirizzo (non lo scrivo per non ricreare il problema di prima, ma se mi dite come comunicarvelo lo faò volentieri)  poi c'è la barra rovescia e poi il riferimento a una diversa url per ciascuna scheda. L'indirizzo come tale non è reperibile nella configurazione di firefox.
A risentirvi
Giovanni

[Underpass]

Ciao, purtroppo questo non è un problema relativo a Firefox; ti suggerisco di rivolgerti a qualche forum di informatica come html.it o hwupgrade.it

[veladura@me.com]

Ciao a tutti.
Allora ho risolto (credo) il problema. Non riguarda Firefox, ma siccome si manifesta durante il suo utilizzo penso che possa interessare spiegare la cosa in questo forum.
Si tratta di un programma che si installa (non so come ho fatto a lasciarlo entrare) nell directory Programmi\CandyBox del disco C e non compare nell'elenco dei programmi del Pannello di Controllo.
Guardando il suo contenuto si trova un programma uninstall che lo rimuove, dopo aver tentato ancora di fregarti chiedendoti se non preferisci continuare ad ottenere suggerimenti commerciali. Se non stai attento a leggere bene la domanda e rispondi si, credendo che ti chieda se lo vuoi proprio disinstallare, non si disinstalla.
Lascia dietro di sé la directory e il suo contenuto, penso come file nascosti. Io li ho rimossi facilmente perché uso IObit Unistaller, ma la directory che lui ha trovato non si mostrava più in finesrta.
Spero che tutto questo serva ad altri malcapitati.
Saluti
Giovanni

[miki64]

Ok, grazie per avere condiviso la soluzione.

Chiudo però il topic, ciao.