Olimpo Informatico

[ManuelK]

Salve a tutti i componenti di questo competentissimo forum

Espongo il mio problema: in seguito alla disattivazione di firewall e antivirus per un breve periodo mentre ero collegato a internet, dopo la loro riattivazione ho eseguito una scansione con avast per assicurarmi che non fosse successo nulla. Ahimè, questi sono stati i risultati della scansione (posto il link all'immagine qui sotto):

QUI

Il primo file dovrebbe essere stato spostato da avast direttamente nel cestino, mentre per il secondo contenente i due JS sono stato costretto a passare alla rimozione manuale (credo che C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temp\jar_cache37645.tmp\Installer.class e C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temp\jar_cache37645.tmp\GetAccess.class non siano file utilizzati dal sistema operativo ma attendo comunque vostra conferma nel caso abbia tolto un file importante per il sistema).

Vorrei sapere se i virus in questione possono aver riportato qualche danno al sistema operativo (per ora non ho notato nulla ma magari mi sfugge qualcosa) o posto in esso altro genere di pericoli relativi a connessioni o altro. Posto qui sotto il log della scansione effettuata con HiJackThis in modalità provvisoria:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1.27.48, on 16/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q305&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q305&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5c8a7375-170a-464a-b53c-cf005bfb9588} - C:\Programmi\Nintendo\bin\Nintendo.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Nintendo - {71b48f73-3526-4d1c-9d8d-453f2af804c7} - C:\Programmi\Nintendo\bin\Nintendo.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Programmi\Creative\Shared Files\CamTray.exe"
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Programma cambia sfondi.lnk = C:\Programmi\final_fantasy_wpc\wpc.exe
O4 - Global Startup: Avvio rapido di HP Image Zone.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Avvio veloce di Microsoft Office OneNote 2003.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Esegui il programma di registrazione della chiave USB Wi-Fi Nintendo.lnk = C:\Programmi\WiFiConnector\NintendoWFCReg.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Guida alla connessione - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Guida alla connessione - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Guida alla connessione - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (HKCU)
O9 - Extra 'Tools' menuitem: Guida alla connessione - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://kurisphere.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programmi\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/HP_PRO~1/IMPOST~1/Temp/msohtml1/01/clip_image002.jpg
O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/HP_PRO~1/IMPOST~1/Temp/msohtml1/01/clip_image001.gif

--
End of file - 10934 bytes

Attendo vostre ulteriori indicazioni, spero mi possiate aiutare e vi ringrazio in anticipo

[Luko]

Ciao ManuelK
Benvenuto nell' Olimpo Informatico!
Perchè non ti presenti alla comunità? 8)
Dal log non sono riuscito a vedere che firewall usi (sarà perchè sono le 8 del mattino ^^'), potresti dirmelo te?

Ma cominciamo ^^

[ManuelK]

Innanzitutto ciao Luko e grazie, appena possibile mi presenterò alla comunità :P

Il firewall che uso è quello di Windows XP, quello preimpostato insomma. Non faccio uso di altri firewall o ne ho mai installati di nuovi.

Firewall e antivirus non si sono disattivati da soli, li ho disattivati io per un breve periodo di tempo. Ora sono attivati e funzionano correttamente.

Ho eseguito passo passo la procedura da te esposta. Nel passo riguardante SuperAntiSpyware, non sapendo quali file mettere in quarantena li ho lasciati tutti spuntati in modo che ci andassero tutti. Quindi non so se c'è qualche file che non necessita di essere messo in quarantena e può ritornare dov'era, spero mi possiate illuminare su questo punto :P.

Ecco i log dei vari passi eseguiti:

mbam-log-2009-06-16 (15-37-58).txt

SUPERAntiSpyware Scan Log - 06-16-2009 - 17-00-34.log

hijackthis.log

L'ultima voce del log di avast dice: "Impossibilitato al controllo: Il file è una bomba a decompressione". Non credo sia nulla perchè è sempre comparso in tutte le scansioni che ho eseguito e non ha mai dato problemi.

Ti ringrazio di nuovo e aspetto appena possibile una risposta da te o da chi ne ha la possibilità :)

P.S.: non ho idea del perchè si siano incasinati gli url :P ho disabilitato le faccine in questo messaggio, i log sono comunque raggiungibili tramite gli url fra le quadre :)

[Luko]

Mbam ha rimosso un dialer e un adware.
Super ha levato un po' di roba.
HJ non ha rilevato infezioni.

Mi sono dimenticato di farti fare una cosa, vai nella cartella Prefecth e cancellane il contenuto (non la cartella, solo il contenuto)
Vorrei farti passare un' ultimo antivirus, Bitdefender Online (devi accederci con IE).
Se trova qualcosa posta il log come hai fatto per gli altri.

Se non trova nulla (e non noti nessun problema) segui le istruzioni che seguono:

Entra in modalità provvisoria e da HJ fixa le seguenti voci:

[ManuelK]

Ho eseguito una prima scansione con BitDefender, il quale ha lavorato per un po' di tempo trovando qualche virus e si è poi bloccato (passandoci sopra con il mouse compariva sempre l'icona della clessidra). Ho così fatto partire una seconda scansione con la quale dopo un po' di tempo ho ottenuto lo stesso risultato, come testimoniato dall'immagine qui sotto (nella quale è possibile notare il "Non risponde"):

Immagine

C'è qualcosa che posso fare per far lavorare correttamente il programma o un metodo alternativo a questo? Non so davvero perchè si sia manifestato questo problema

[Luko]

Strano...
Prova ad utilizzare questo: http://www.kaspersky.com/kos/eng/partner/default/pages/default/check.html?n=1245220672820
E dicci com'è andata

Che connessione utilizzi? (velocità, ad esempio un 7.2 mega alice).
È strano che abbia analizzato solo 25000 file in 2 ore
P.S: Utilizzi per caso delle estensioni per IE?
Se si disattivale e riprova.

[ManuelK]

Premetto che nel periodo in cui BitDefender ha lavorato deve aver già beccato e cancellato qualche file infetto, prima di bloccarsi (lo deduco dalle voci riportati durante la scansione prima che quest'ultima si bloccasse).

Non utilizzo estensioni per IE, tuttavia la mia connessione è analogica (56k) e credo che la lentezza sia dovuta a ciò

Ecco il log di Kaspersky:

kaspersky.html

Non ho ancora eseguito le operazioni di fixaggio con HJ indicate nel post precedente e ho compiuto prima questo passo. Mi affido a voi sul da farsi e ti ringrazio ancora

[Luko]

Eccomi qui
La scansione ha rilevato 3 maleware, un adware e Mirc.
Mirc non è un virus ma fai attenzione quando lo utilizzi (occhio agli script che carichi, ai file che ricevi...).

Dobbiamo rimuovere l' adware
Prima di farti utilizzare un tool di rimozione vorrei provare a fartelo eliminare manualmente.
Il percorso del file da cancellare è:

[ManuelK]

Ho rimosso manualmente l'adware senza problemi.

Ho eseguito la seconda procedura di fixaggio con hj che mi hai postato, la quale tuttavia mi sembra identica alla prima. C'è altro che devo fixare o ho fixato qualcosa di troppo seguendola comunque?

Log aggiornato di hj:

hijackthis2.txt

Avere una connessione 56k è una mia scelta ma credo che a breve passerò a quella adsl. Per controllare la bolletta l'assistente del 187 mi ha detto di chiamare il numero 4717: è corretto o c'è altro modo?

Ti ringrazio ancora (e non mi stancherò di farlo ) e attendo il controllo del log, sperando che tu possa rispondere anche alle 2 domande che ti ho posto visto che non vorrei aver sbagliato procedimento

[Luko]

[ManuelK]

Ah capisco, ora rimuovo avast faccio tutto il resto, aggiornamenti compresi (non l'ho fatto prima perchè non avevo capito che le voci si sarebbero potute ricreare, eventualmente rifaccio uno scan dopo le installazioni e se ricompaiono le rifixo, no? )

Posso quindi stare certo che non siano presenti dialer all'interno del pc? Avira mi basterà in futuro per stare alla larga dai dialer?

Ho notato l'aumento della velocità all'avvio, grazie per avermi aiutato anche da questo punto di vista gentilissimo (e ringrazio anche bdoriano visto che me lo riferisci )

Aspetto se possibile un'ultima risposta a queste domande e vi ringrazio per tutto, sperando di non dover più postare qui

[Luko]

[ManuelK]

Ahah, gentilissimo e simpaticissimo grazie mille! Per il pm sui programmi per i dialer fallo solo se hai voglia, hai già fatto anche troppo per quanto mi riguarda

E comunque uso emule pur avendo il 56k lo so, sono pazzo

Grazie ancora per tutto e saluti