Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

ancora infetta con .jar in pagina web-cosa sbaglio?? Opzioni
xellisss
Inviato: Saturday, April 24, 2010 10:56:55 PM
Rank: Member

Iscritto dal : 3/16/2009
Posts: 14
Mi è successo per la seconda volta questa cosa malgrado faccia attenzione
alla sicurezza in tutti i modi (ho Avira free e Comodo Firewall e faccio
regolarmente scansioni e aggiornamenti anche con altri scanner).
Con Firefox lancio una ricerca su Google, nella lista delle pagine trovate
faccio per cliccare su una ma non riesco ad ccedere e mi esce una scritta di
Firefox che dice: "Firefox sta impedendo l'installazione di
un'applicazione".
Clicco per uscire da Google o tornare indietro e Avira mi segnala il virus,
nella cartella c:/Domuments and settings/utente/temp, un file .jar.
Mi esce la schermata di cosa fare e clicco NEGA ACCESSO.
Ma sbaglio qui????Cosa avrei dovuto dire???
Ad ogni modo precipitosamente riavvio e ripristino un vecchio punto di
ripristino di sistema in cui il pc era tutto ok. Me lo accetta, pare tutto
ok e funzionante, ma ORRORE Avira non ha l'ombrellino aperto sul deske il
GUARD risulta arrestato. Impossibile riavviarlo! Sintomi classici insomma
d'inzio infezione.
Lancio la scansione con Avira e dice: "Nel corso del caricamento del modulo
(aecore.dll) si è verificato il seguente errore: i moduli forniti non
possono essere caricati".
Mi avvilisco: ma cosa ho sbagliato?
Me lo sapreste dire?Come ha fatto l'infezione a "rimanere" se ho
ripristinato il pc a uno stato precedente?Cosa avrei dovuto fare al posto di
quello che ho fatto?
Cosa faccio ora a parte le solite scansioni online che sono negative?
Da file HijackThis mi pare che Avira mi risulti attiva...non voglio
rinunciare ai vecchi punti di ripristino disattivandolo se no che li ho
fatti a fare se non per un momento come questo??Qualcosa mi sfugge?Grazie a
chi mi illuminerà!Brick wall

(Spero di non commettere infrazione allegando qui il log!!)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.24.05, on 24/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Programmi\Motorola\SMSERIAL\sm56hlpr.exe
C:\Programmi\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\DAEMON Tools Lite\DTLite.exe
C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\PeerBlock\peerblock.exe
C:\Programmi\JGsoft\EditPadPro6\EditPadPro.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\DOCUME~1\TTy\IMPOST~1\Temp\fsonlinescanner.exe
c:\programmi\avira\antivir desktop\avcenter.exe
C:\DOCUME~1\TTy\IMPOST~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
C:\DOCUME~1\TTy\IMPOST~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\Documents and Settings\TTy\Desktop\SCORCIA\TERRE_MOTO\cureit.exe
C:\DOCUME~1\TTy\IMPOST~1\Temp\RarSFX0\zwc9dl.exe
C:\DOCUME~1\TTy\IMPOST~1\Temp\RarSFX0\zbhu8XP.exe
C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe
C:\DOCUME~1\TTy\IMPOST~1\Temp\HouseCall\housecall.bin
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.it/ig
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Collegamenti
R3 - URLSearchHook: UrlSearchHook Class -
{00000000-6E41-4FD3-8538-502F5495E5FC} -
C:\Programmi\Ask.com\GenericAskToolbar.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} -
C:\Programmi\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper -
{DBC80044-A445-435b-BC74-9C25C1C588A9} -
C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -
C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class -
{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON
Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} -
C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} -
C:\Programmi\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe"
/min
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six
Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [SMSERIAL] C:\Programmi\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programmi\Adobe\Adobe Version
Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java
Update\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File
comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\COMODO
Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RegClean] C:\Programmi\RegClean\RegClean.exe -boot
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools
Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite
7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PeerBlock] C:\Programmi\PeerBlock\peerblock.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'Default user')
O4 - Startup: EditPad Pro.lnk =
C:\Programmi\JGsoft\EditPadPro6\EditPadPro.exe
O4 - Startup: freepopsd.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network
Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programmi\Adobe\Adobe
Version Cue\service\VersionCue.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH -
C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH -
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO -
C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel
32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun
Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero
BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity
Solution\ServiceLayer.exe

--
End of file - 7789 bytes

Sponsor
Inviato: Saturday, April 24, 2010 10:56:55 PM

 
r16
Inviato: Saturday, April 24, 2010 11:25:54 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Commenta:
Ad ogni modo precipitosamente riavvio

Eccolo il primo errore.
Il riavvio, dà via libera ai driver del virus, per completare l'infezione.
Quando si ha il sospetto di avere preso un'infezione, non bisogna mai riavviare il pc.
Capisco, che è più facile dirlo, che farlo.

Commenta:
e ripristino un vecchio punto di
ripristino di sistema in cui il pc era tutto ok.

Secondo errore.
Il virus, potrebbe avere già infettato la cartella dei ripristini.
Era lì, in attesa che tu lo "resuscitassi".

Commenta:
Me lo accetta, pare tutto
ok e funzionante, ma ORRORE Avira non ha l'ombrellino


Il virus, ha raggiunto il suo traguardo primario:
Non vuole che qualcuno gli rompa le palle, mentre stà facendo,i comodi suoi.

Proviamo a rimediare:

Scarica ed installa MalwareBytes: (nel tuo caso, avendolo già installato, limitati ad AGGIORNARLO, e fare la scansione)
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
Elimina tutto quello che trova.
Posta il log.
xellisss
Inviato: Sunday, April 25, 2010 12:16:08 AM
Rank: Member

Iscritto dal : 3/16/2009
Posts: 14
Ciao e grazie della risposta!
Sto facendo la scansione completa (non in modalità provvisoria, vero?)con MalwareBytes, nel frattempo volevo chiederti, visto che giustamente critichi i miei pacchiani errori: ma allora cosa avrei dovuto fare?
1)Ok per il riavvio che è stato stupido (ma speravo fosse un "casino" momentaneo, volevo verificarlo, per questo speravo che al riavvio fosse tutto ok) ma per il ripristino configurazione di sistema???
Se non lo posso usare in questi casi, ma allora a che mi serve?
So che i virus si vanno a nascondere lì che sono aree non scansionabili e quindi "sicure" e riproducibili, ma qualcosa non capisco...i vecchi punti di ripristino stanno tutti insieme nella cartella System Volume ecc. e quindi se l'ultimo contiene il virus infetta anche tutti i precedenti rendendoli inutilizzabili, o non sono invece uno a no nella loro cartellina datata e si può prendere quello di quando il pc era perfetto?
Altrimenti a che servirebbe questa precauzione, se l'ultimo virus preso invaliderebbe TUTTi i vecchi punti?
Te lo chiedo umilmente, non so....
2Secondo dubbio...ma quando arrivano queste paginette innocue (pensa era un sito di sindacato con un modulo per le affittanze stagionali!!)con un eseguibile che tenta di aprirsi e di installarsi, perchè ANCHE SE SIA FIREFOX CHE AVIRA MI AVVISANO e io nego l'accesso, mi infetto lo stesso?
Non capisco...
Intanto grazie mille dell'aiuto, per la scansione mi sa che ci vorrà un po', la posto appena fatta.
elisa
r16
Inviato: Sunday, April 25, 2010 12:28:49 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
1) Ti dico la verità: non posso spiegarti il "meccanismo" del virus, in quanto, oltre a impiegarci mezza giornata, sarei costretto a usare termini tecnici, che alla fine, saresti più confuso di adesso.
Sappi, che i punti di ripristino, servono solo in determinati casi:
Ad esempio, se qualche file di Windows viene danneggiato,(non da un virus) oppure qualche chiave del registro, viene eliminata per sbaglio.
In presenza di un'infezione, fare un ripristino, è estremamente pericoloso.
Perchè appunto, ripristina anche i virus, che si sono insediati nei vari ripristini.

Quando finisce la scansione di Malwarebytes, (elimina quello che trova) fai una scansione con Combofix:

Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop.

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (comparirà una videata.)

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.
xellisss
Inviato: Sunday, April 25, 2010 3:45:50 AM
Rank: Member

Iscritto dal : 3/16/2009
Posts: 14
Scansione di quasi 3 ore...ma mi pare che quello che "trova" sia un anti-malware.
Ho reinstallato Avira e funziona...Solo non sono tranquillo riguardo all'accaduto..non ho capito in effetti COSA avrei dovuto fare al rilevamento del file autoinstallante .jar in quella pagina web...

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Versione database: 4032

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25/04/2010 3.42.39
mbam-log-2010-04-25 (03-42-39).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|)
Elementi esaminati: 286434
Tempo trascorso: 2 ore, 55 minuti, 36 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 1

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
C:\System Volume Information\_restore{6F7533ED-791E-4514-BE78-07C4AA4A8567}\RP42\A0002494.exe (Adware.Agent) -> Quarantined and deleted successfully.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.