Olimpo Informatico

[mula alabardata]

aiuto ho aperto il pc e già all'apertura mi ha dato problemi poichè ho dovuto riavviare windows e ripristinarlo a una sessione precedente..
non riuscivo ad avviare l'antivirus perchè mi dava l'errore "blacklist chiavi danneggiata" e ho dovuto aggiornare due volte per farlo tornar normale..
pensavo fosse finito, ma x curiosità ho fatto fare una scansione con kaspersky 2010 (versione trial di prova):
dopo neanche 1% di scansione ha trovato un virus impossibile da rimuovere e eliminare!!! :O

FraudTool.Win32.Agent.adv

cos'è, ma soprattutto che conseguenze mi può dare e come posso toglierlo???

grazie a tutti!!

[mula alabardata]

il log hijack this è questo:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19.22.17, on 08/10/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\WTablet\Pen_TabletUser.exe
C:\hp\support\hpsysdrv.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Windows\System32\mobsync.exe
C:\hp\kbd\kbd.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe
C:\Users\Martina\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=73&bd=Pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Program Files\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [EPSON Stylus DX4000 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\Windows\TEMP\E_S58E8.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [EPSON Stylus DX4000 Series (Copia 1)] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\Windows\TEMP\E_S4A0A.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart17.exe
O8 - Extra context menu item: Aggiungi ad Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: &Tastiera Virtuale - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: C&ontrollo URL - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/VistaMSNPUpldit-it.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{421025A3-1778-44A5-A211-359AD57359EC}: NameServer = 85.37.17.14 85.38.28.78
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe
O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe
O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Windows\System32\nvSCPAPISvr.exe
O23 - Service: stllssvr - Unknown owner - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Windows\system32\Pen_Tablet.exe

--
End of file - 9634 bytes

[mula alabardata]

il rapporto completo ora mi dice:
virus eliminato (alle 19.10.. dopo che io ho provato a rimuoverlo.. si è rimosso da solo? )
virus not-a-virus:FraudTool.Win32.Agent.adv
C:\Documents and settings\Martina\Appdata\Local\Microsoft\Windows\temporary Internet Files\Content.IE5\AIXMV8SK\selfupdate_5_2_0_13[1].exe


quindi sarebbe rimosso?
prima mi dice che non può far niente, l'unica opzione possibile era "ignora" e poi lo cancella? :O
cmq è pericoloso? che danni può portare?
devo fare un'ulteriore pulizia più apporfondita x rimuover tutti gli eventuali residui?

grazie mille della pazienza, ma sono mooolto agitataaa

[mula alabardata]

oggi all'avvio di kaspersky mi è comparsa la scritta:
rilevato: pdm.keylogger
nei dettagli:
oggetto: kernel mode memory patch
applicazione: assente

cos'è? cosa vuol dire? è rimasto ancora qualcosa del virus che dovrei eliminare?

qualcuno riuscirebbe a darmi una mano?? grazie!!

[bdoriano]

Ciao mula alabardata,

Fai queste operazioni preliminari:

• Pulisci i files temporanei con CCleaner
  
• Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
  
• Segui le istruzioni di questo topic per usare MBAM.
  
• scarica e installa la versione Free di SuperAntispyware:
  la configuri come da immagini:
  
  
  
  
  esegui una scansione completa del sistema
  
• Fai questa scansione con SystemScan.
  
• Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  
  • Carica il log di MBAM su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SuperAntiSpyware su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SystemScan su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.

[mula alabardata]

grazie!!
con calma farò tutto!
mentre faccio la scansione con Free di SuperAntispyware devo disabilitare qualcosa?

ma il virus che avevo preso è pericoloso? come posso averlo preso? ho navigato nelle solite pagine e non ho scaricato niente :O mah

appena finisco tutto vi posto i risultati!

[mula alabardata]

gia dubbi al punto due:
io devo rimuovere tutti i "quadratini" che mi appaiono?
il log sarebbe questo: adsspy.txt
visto che vedo nomi di foto, documenti o altro.. non vorrei perdere dati e, ammettendo di non capirci niente, è meglio se chiedo :$

[bdoriano]

Tranquillo, non perdi nulla. Procedi pure senza problemi.

[mula alabardata]

ok ottimo! sono riuscita a cancellare tutti tranne i primi 4 di kasperski...
domani faccio il resto, grazie!!

[bdoriano]

Per i files di Kaspersky è normale, non ti preoccupare.

[mula alabardata]

MBAM:

ha trovato 2 log infetti, per ujno è stato necessario riavviare il computer x eliminarlo, solo che al riavvio vista ha bloccato l'avvio automatico del programma, io gli ho dato consenti, ho aspettato un pò, ma non è successo niente...
l'ho riaperto e c'erano i due file in quarantena! xò non son riuscita a fare gli ultimi due passaggi:
# Quando la disinfezione sarà completata, verrà aperto Notepad con il risultato dell'operazione
# Riavvia il pc

il log cmq è questo mbam-log-2009-10-19 (11-21-31).txt

io sto pirelli l'avevo già cercato tempo fa e non riuscivo a capire cos'era.. sono pericolosi? se li ho da un pò di tempo possono avermi fatto danni? di che genere?

aspetto una vostra risposta x procedere con superantispyware

[bdoriano]

Qui mi sa che MBAM ha peccato di eccesso di zelo...
Quel file dovrebbe fare parte del pacchetto software del modem ADSL di alice.
Per sicurezza, carica il file C:\Program Files\Pirelli\Access Gateway USB Network\CnxTrApp.dll su VirScan o VirusTotal per un controllo approfondito.

Dopodiché, procedi con SuperAntiSpyware.

[mula alabardata]

ok ho fatto è il risultato è il seguente:
con virscan.org:
File Name : CnxTrApp.dll
File Size : 247296 byte
File Type : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi
MD5 : 68f25623fa376cc2111fe6aee78e50a5
SHA1 : d5ec9d6f1fbe1855fa4b6dda780d30bea3408ca0

Scanner results
Scanner results : Scanners did not find malware!

con virustotal:
File CnxTrApp.dll ricevuto il 2009.09.09 15:38:16 (UTC)
Stato corrente: finito
Risultato: 0/41 (0.00%)

però avevo già fatto a suo tempo, circa 1 anno fa, una scansione con MBAM e non mi sembra l'avesse riconosciuto come pericolo (e io nel frattempo ho sempre alice, e sempre stesso modem). se vuoi controllar eil precedente log era questo: mbam-log-2008-09-03 (17-28-35).txt

cmq ora quel file l'ho ripristinato xciò che non crei problemi, al massimo lo ritolgo in seguito.

l'altro invece? cattivo?
dimmi anche se dopo questa opzione posso passare a superantispyware

[bdoriano]

Anche l'altra voce fa parte del pacchetto adsl telecom.

[mula alabardata]

ottimo allora mi fico e tolgo anche quello dalla quarantena!
e faccio l'altra operazione!

superantispyware: installando mi hanno chiesto se volevo inviare il file con i programmi del mio pc, io all'inizio ho dato ok xkè era operazione consigliata, poi mi sono ricordata che anche msn mi aveva consigliato un'opzione che conteneva un virus! quindi ho bloccato tutto dalla gestione attività di windows e poi ho continuato l'installazione con ripara e in quel passaggio ho dato nega..
io spero che non siano stat einviate le informazioni, o che almeno non sia qualcosa di dannoso.....

[mula alabardata]

SUPERAntiSpyware Scan Log - 10-19-2009 - 14-18-45.log

ecco il log!
ha rilevato una minaccia.. che faccio? la elimino? la metto in quarantena?
grazie!

ps: non capisco xkè non lo linka...
cmq è il seguente:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/19/2009 at 02:18 PM

Application Version : 4.29.1004

Core Rules Database Version : 4173
Trace Rules Database Version: 2093

Scan type : Complete Scan
Total Scan Time : 00:41:38

Memory items scanned : 670
Memory threats detected : 0
Registry items scanned : 9119
Registry threats detected : 0
File items scanned : 31661
File threats detected : 1

Adware.Tracking Cookie
C:\Users\Martina\AppData\Roaming\Microsoft\Windows\Cookies\martina@atdmt[2].txt

[mula alabardata]

oggi all'apertura del pc ho avuto problemi di caricamento (la barra girava girava e windows non si caricava) ho spento brutalmente con il pulsante di accensione/spegnimento per poi farlo ripartire in modalità normale (non cercando il punto di ripristino) e mi ha detto che vista ha bloccato programmi con esecuzione automatica.. guardo: era MBAM...
che sia tornato al punto di ieri in cui l'ho riavviato x eliminare i file? xò ho controllato e non c'era niente in quarantena.. oppure è impastato in modo che si attivi ad ogni avvio del pc?

grazie!

cmq ho scoperto che avevo la pennina infetta! l'ho scoperto inserendo la pennina in un pc che aveva antivir.. il virus è un trojan autorun, non mi ricordo il nome.. e io ho inserito la pennina nel pc proprio la scorsa settimana... che sia il keylogger??
questo vuol dire cmq che il primo virus rilevato (fraudtool) non centri con questo.... in teoria....

[mula alabardata]

e adesso è stato quasi un'ora a scaricar aggiornamenti (Definition update for windows Defender KB915597) e ora mi segna che devo installare service pack 2 di Vista rilasciato in giugno 2009... ma io sicuro l'avrò già fatto xkè son sempre al pc e scarico tutti gli aggiornamenti importanti :O

aiuto non ci capisco più niente :S :S

[Sante62]

Segui le istruzioni di questo topic per eseguire combofix.
Segui le istruzioni di questo topic per postare il log di HiJackThis.

Carica il log con le solite modalità.

[mula alabardata]

ok, grazie!!
prima faccio cmq la scansione con SystemScan?