Olimpo Informatico

[bdoriano]

Fai un log con questo, disattivando temporaneamente il tuo antivirus.
Salva il log generato su link e posta qui il link che ti verrà assegnato.

[Orange]

Bdoriano, scusa se mi intrometto:
possiamo far caricare i logs su http://www.freefilehosting.net/ ?
Easy-share per farti scaricare tranquillamente chiede un tot al mese...
altrimenti ti fà ripetere il codice anche fino a 3-4 volte

Freefilehosting si può usare anche con Firefox (che è un bel vantaggio, secondo me)

[bdoriano]

Sei sempre la benvenuta Orange!
Va benissimo!
Estacado, salva il log sul sito indicato da Orange.

[Estacado]

Grazie per l'aiuto ma la situazione era diventata eccessiva quindi...

.. formattone!..

e vabbè è andata!

Visto che non stato divertente e che magari eviterei in futuro.. mi consigliate un OTTIMO antivirus?

Io ho A-squared e SpyBot.

[bdoriano]

[Estacado]

Grazie mille Bdoriano per l'aiuto e anche a tutti gli altri che sono internvenuti, siete stati gentilissimi davvero.


Per quanto riguarda gli antiv, hai ragione! quei 2 che ho non lo sono! forse si spiega tutto sto casino!!

Grazie per indicazioni mi metto subito alla ricerca di uno di questi elencati!

[Estacado]

Devo essere maledetto!!


Appena installato mi ha trovato un Trojan..

Cftmon.exe che si trova in esecuzione automatica..

che poi è uno di quelli che mi trovava anche prima di formattare.

Come fare?

[kevin]

ciao estacado,
...non è un virus, ctfmon.exe è un file leggittimo

che antivirus hai messo?

[Estacado]

Ho installato Avira Antivir.

Alla prima scansione mi è comparso l'avviso di Virus o Unwanted program trovato.

poi c'è il percorso del file.. \..\EsecuzioneAutomatica\ftfmon.exe

Is the Trojan Horse TR/VB.aqt


Ho visto sull supporto di Microsoft cosa dice su questo cftmon, nella procedura per disattivarlo fà riferimento a programmi Office da selezionare da Installazione Applicazione per proseguire con la modifica.

Ecco il problema è che io di Office al momento non ho proprio niente sul pc, quindi anche volendo non posso seguire la loro procedura.

Suggerimenti?

[Orange]

sicuro che sia ctfmon.exe e non ctfmon.vir?? e qui:

[Estacado]

Scusami è un errore di battitura.

è \..\ctfmon.exe

Provo con A-squared.

Cmq per sicurezza vi posto il log di HJT

[Estacado]

Ecco il log fatto con Hijackthis


Logfile of HijackThis v1.99.1
Scan saved at 11.36.13, on 01/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Logitech\SetPoint\KEM.exe
C:\Documents and Settings\Fabrizio\Menu Avvio\Programmi\Esecuzione automatica\ctfmon.exe
C:\Programmi\Logitech\SetPoint\KHALMNPR.EXE
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\Sony\MD Simple Burner\NetMDSB.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\DOCUME~1\Fabrizio\IMPOST~1\Temp\Directory temporanea 5 per hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: ctfmon.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?f38e1e345716488aaa3a099794f5aa9b
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?f38e1e345716488aaa3a099794f5aa9b
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Programmi\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe

[Orange]

allora: dato che ctfmon.exe è un file di sistema è giusto che parte con l'avvio del PC.
quel che mi pare strano è questa sua posizione: C:\Documents and Settings\Fabrizio\Menu Avvio\Programmi\Esecuzione automatica\ctfmon.exe

fai una cosa: trova questo file in quella precisa posizione e caricalo su VirusTotal.
posta qui il risultato

ma Avira non lo elimina?

[Estacado]

o li mortè!

ho provato con Avira a fare Rename (le avevo provate tutte le opzioni) e ora il file è diventato

CFTMON.VIR

Ho provato a caricalo in quel sito ma dopo aver selezionato il file (e ogni volta che arrivo alla finestra mi compare l'avviso di Avira che mi dice che è un virus) ho premuto Send ma mi compare una pagina bianca conquesta scritta

0 bytes size received / Se ha recibido un archivo vacio

Come proseguo?

Il fatto che ora sia .vir è dovuto a Avira o in effetti è un virus?

[Estacado]

Sono riuscito a cancellare il file con Avira!!

Speriamo che non torni

Domanda per Orange

Quale sarebbe dovuto essere il percorso esatto per il file cftmon.exe?

[Orange]

OK, meglio così!
il percorso "suo" è C:\WINDOWS\system32\ctfmon.exe

[Estacado]

Grazie di nuovo a tutti!!

[Estacado]

Mi sembrava troppo bello :D


Ho lanciato una nuova scansione con Avira Antivir..

ha trovato un Trojan in Recycled.exe (che dovrebbe essere qualcosa di colelgato al cestino)

E di nuovo Cftmon.vir ma stavolta nell'altra partizione dell'hard disk.

E infatti mi è successo che da Risorse Del computer Cliccando du D: per accedervi è comparso l'avviso di Avira che mi segnalava la presenza del Trjan TR/VB.aqt.

L'ho messo messo in quarentana e poi cancellato. ok.

Il problema però è che cliccando ora su D: per accedere all'HDD mi si chiede di scegliere un programma da utilizzare per aprire il file!..

ho notato che vicino all'incona dell'hard disk ci sono 2 lettere invece di una.

Così:

Icona D(D:)

Inoltre cliccando con il destro sull'icona compare il menù a tendina, ma la prima voce del menù è una certa

OPEN (O)

IL normale Apri è spostato in basso.

Cosa è? cos'è successo?

[Estacado]

Nessuna idea?..

[bdoriano]

Ciao Estacado,
ho perso il filo del discorso, potresti rifare un log aggiornato con hjt?
E descrivi esattamente cosa ti dice l'antivirus quando trova l'ospite indesiderato.
Denghiu!