2kadiras.exe

[VasquacK]

avevo gia aperto un topic su "aiuto sono infetto" poichè la segnalazione di questo file da parte di avira antivir era diventata assillante nonostante l'avessi impostato come falso positivo, ed inoltre avira mi restituiva reports impazziti con conseguente crash.

Cosi ho deciso di passare a AVS. Anche quest'ultimo me lo segnala come dialer/pornware, però una volta aggiunto tra le false segnalazioni nn assilla più.
Inoltre reinstallando l'antivirus, mi sono documentato sui migliori software antispyware da aggiornare sul mio pc, e dopo aver letto decine di pagine sul forum, ho deciso di accostare a AVS a-squared free 3.0 e spyware terminator. (buona scelta?) (firewall ovviamente comodo)

Ora il fatto è che anche a-squared-free mi segnala 2kadiras.exe come un file ad alto rischio, dicendomi che è un dialer.
Spyware terminator invece nn mi ha detto nulla, però mi ha fatto cancellare la chiave di registro 9xadiras (che è un file strettamente legato a 2kadiras.exe)


Ho cercato di mettermi l'anima in pace con questo 2kadiras.exe (juninho85 ne sa qualcosa ) però anche installando nuovi antispyware continuo ad avere dubbi su questo file...

Consigli al riguardo? Magari c'è qualcuno che analizza files e che sarebbe cosi gentile da controllarlo? (ho gia mandato il file a eraser)


grazie



p.s. nel caso fosse al 100% un falso postivo nel quale inceppano tutti i software di sicurezza, come faccio a escluderlo nello scan di a-squared free 3.0?

[Chill-Out]

We received the following archive files:


File ID Filename Size (Byte) Result
1111719 2kadiras.zip 8.24 KB OK


A listing of files contained inside archives alongside their results can be
found below:


File ID Filename Size (Byte) Result
1102713 2kadiras.EXE 32 KB FALSE POSITIVE


Please find a detailed report concerning each individual sample below:


Filename Result
2kadiras.EXE FALSE POSITIVE


The file '2kadiras.EXE' has been determined to be 'FALSE POSITIVE'. In
particular this means that this file is not malicious but a false alarm.
Detection will be removed from our virus definition file (VDF) with one of
the next updates.

A questo punto mi sembra chiaro è un FP, come detto nella sezione "Aiuto sono infetto" non capisco il perchè il file in questione è nei processi attivi nel Task Manager, per curiosità hai provato a rinominarlo? il colegamento in lan al router funziona lo stesso? Ciao.

[Blue Spirit]

sia 2kadiras che 9xadiras sono file legati al funzionamento di alcuni modem usb (ad esempio lo starmodem che infostrada distribuiva a tutti i nuovi abbonati fino a qualche tempo fa...anch'io avevo avuto qualche problema di falso positivo, me lo rilevava un programma antispyware che nn ricordo però quale fosse (forse spyware doctor...)

[VasquacK]

Quote:

Originariamente inviato da Chill-Out

We received the following archive files:


File ID Filename Size (Byte) Result
1111719 2kadiras.zip 8.24 KB OK


A listing of files contained inside archives alongside their results can be
found below:


File ID Filename Size (Byte) Result
1102713 2kadiras.EXE 32 KB FALSE POSITIVE


Please find a detailed report concerning each individual sample below:


Filename Result
2kadiras.EXE FALSE POSITIVE


The file '2kadiras.EXE' has been determined to be 'FALSE POSITIVE'. In
particular this means that this file is not malicious but a false alarm.
Detection will be removed from our virus definition file (VDF) with one of
the next updates.

A questo punto mi sembra chiaro è un FP, come detto nella sezione "Aiuto sono infetto" non capisco il perchè il file in questione è nei processi attivi nel Task Manager, per curiosità hai provato a rinominarlo? il colegamento in lan al router funziona lo stesso? Ciao.

Intanto grazie per la rassicurazione anche se ho continuato a cercare su internet ed ho appurato che questo file si installa con lo "starmodem usb" di Aethra, ed infatti ho quello.

Ora ho 2 domande per te:
- quale software ti ha risposto in quel modo che hai scritto sopra dicendo che è un falso positivo? Perchè dice che l'avrebbero rimosso con gli aggiornamenti...
-riguardo le domande che mi hai posto tu, in realtà ho dei dubbi anche io. Infatti anche mio fratello ha questo 2kadiras.exe in windows (poiche ha installato il modem) però nn lo ha fra i processi attivi... io invece si. Poi riguardo a rinominarlo, cosa intendi?



p.s. In questo momento sono collegato in internet con il modem, e non appoggiandomi via lan sul pc di mio fratello, e effettivamente nn c'è 2kadiras.exe tra i processi...

[Chill-Out]

Avira la info mi è stata passata, per curiosità fallo analizzare ancora su VirusTotal. Rinomina il file in questione in 2kadiras.exe.old collegati e vedi se il router funziona in lan.
Ciao

[VasquacK]

Quote:

Originariamente inviato da Chill-Out

Avira la info mi è stata passata, per curiosità fallo analizzare ancora su VirusTotal. Rinomina il file in questione in 2kadiras.exe.old collegati e vedi se il router funziona in lan.
Ciao

Allora, ho rinominato 2kadiras.exe con l'ulteriore estensione .old e subito avs ha cominciato a spammarmi che era infetto (avevo messo 2kadiras.exe tra i file sicuri, però di vede che appena lo ho rinominato ha rivisto l'infezione). Insomma ho provato a connettermi a internet ma la prima volta mi si bloccava su "autenticazione nome utente e password".
Ho riavviato il pc e mi son connesso col modem. Poi ho provato a disconnettermi ma si bloccava l'applicazione "starmodem". Ho provato a disattivare la periferica ma nn la disattivava. Ho spento il pc e mi si è bloccato su "chiusura windows in corso".

Ho spento il pc in modo brusco, ho messo il modem sul pc di mio fratello e ora sono connesso via lan senza problemi. (nn so perchè ma internet va 1000 volte piu veloce via lan... ho tanto l'impressione che sto cazzo di software per il modem dia una sacco di problemi; non sono neanche riuscito a far analizzare il file su virustotal quando avevo il modem)



Quindi: la lan funziona col file rinominato; ora però volevo farlo analizzare come hai detto tu su virustotal, ma nn riesco a rinominarlo in .exe
Appena entro nella cartella di windows avs me lo segnala come al solito, faccio skip file, provo a rinominarlo ma mi dice accesso negato, potrebbe essere in uso ecc....

[Chill-Out]

Quindi se ho capito bene navighi tranquillamente connesso sulla lan di tuo fratello anche con il file rinominato? Lo vedi ancora nei processi attivi? Per la risoluzione del problema, disconnetiti - spegni router e modem - disattiva AVS tasto dx del mouse sull'icona verde nella systray clicca su esci - rinomina il file col nome originale.

[VasquacK]

Quote:

Originariamente inviato da Chill-Out

Quindi se ho capito bene navighi tranquillamente connesso sulla lan di tuo fratello anche con il file rinominato? Lo vedi ancora nei processi attivi? Per la risoluzione del problema, disconnetiti - spegni router e modem - disattiva AVS tasto dx del mouse sull'icona verde nella systray clicca su esci - rinomina il file col nome originale.

Si in lan non ho problemi a navigare, mentre quando metto il modem ho sempre qualche problemuccio, ma da sempre (ad esempio vado più lento con internet, ogni tanto va a puttane il pc, con AVS se spengo il pc senza prima disconnetterlo mi si blocca su "salvataggio delle impostazioni in corso", ecc...)

Nei processi attivi nn lo vedo.

Poi prima che legessi il tuo post ho voluto provare a disinstallare il modem usb, però 2kadiras è rimasto perchè sicuramente aveva l'estensione .old. Ora l'ho rinominato nel file originale e l'ho piazzato nel cestino.


Ecco ora un log di hijack

Logfile of HijackThis v1.99.1
Scan saved at 23.08.03, on 25/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\Razer\Habu\razerhid.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Comodo\Firewall\CPF.exe
C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
C:\Programmi\Audio Deck\EnMixCPL.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\FRAPS\FRAPS.EXE
C:\Programmi\Trillian\trillian.exe
C:\WINDOWS\system\CmSNXeye.exe
C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Skype\Plugin Manager\SkypePM.exe
C:\Programmi\Razer\Habu\razertra.exe
C:\Programmi\Razer\Habu\razerofa.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programmi\Crawler\Toolbar\ctbr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programmi\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Habu] C:\Programmi\Razer\Habu\razerhid.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EnvyHFCPL] C:\Programmi\Audio Deck\EnMixCPL.exe 1
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programmi\AOL\Active Virus Shield\avp.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE
O4 - Startup: Trillian.lnk = C:\Programmi\Trillian\trillian.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programmi\Crawler\Toolbar\ctbr.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Programmi\AOL\Active Virus Shield\avp.exe" -r (file missing)
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

(è pulito?)

[VasquacK]

Inoltre, siccome per necessità ogni tanto posso collegarmi ad internet solo tramite modem perchè mio fratello spegne il pc, devo cmq avere i driver del modem. Quindi:
2kadiras.exe nn dovrebbe piu essere un problema perchè ho visto che avira ha preso rimedi a riguardo
il problema rimane però questa specie di "instabilità che crea il modem. è strano spiegarlo...

su internet ho cercato magari dei drivers aggiornati e ho trovato questi per lo starmodem aethra http://www.hwsetup.it/periferiche/co...php?hws_id=178
(magari hanno tolto il 2kadiras.exe )

Si può magari porre rimedio anche aggiornando i driver della mobo?




Attendo trepidamente risposte riguardo i 2 post. Grazie

[Chill-Out]

Il log è pulito, dovresti aggiornare IE alla versione 7 ed aggiornare Java da qui:
http://java.com/ è importante. Per quanto riguarda il modem potresti eventulamente aggiornare i driver, il mio consiglio è quello di sostituirlo con un router ethernet con firewall annesso che filtra già di suo un sacco di spazzatura.
Ciao.

P.S.: sito Aethra http://www.aethra.com/italia/home.asp dovresti trovare i driver

[VasquacK]

Ho aggiornato java, ma IE lascio perdere visto che nn lo ho mai aperto e nn lo aprirò mai.

Cmq su sito ufficiale di aethra avevo gia visto, ma nn ci sono driver da scaricare.

E cmq ripeto: per cercare di porre rimedio a questi "problemi" fastidiosi che mi crea il modem, può servire ad aggiornare la mobo?


Grazie


p.s. ho in mente di comprare un modem router ethernet, almeno ogni volta che mi devo connettere nn sono obbligato a connettere anche il pc di mio fratello

[Chill-Out]

Quote:

Originariamente inviato da VasquacK

Ho aggiornato java, ma IE lascio perdere visto che nn lo ho mai aperto e nn lo aprirò mai.

Cmq su sito ufficiale di aethra avevo gia visto, ma nn ci sono driver da scaricare.

E cmq ripeto: per cercare di porre rimedio a questi "problemi" fastidiosi che mi crea il modem, può servire ad aggiornare la mobo?


Grazie


p.s. ho in mente di comprare un modem router ethernet, almeno ogni volta che mi devo connettere nn sono obbligato a connettere anche il pc di mio fratello

Secondo me aggiornare la MoBo non serve, comprare un router è una saggia decisione, primo per i motivi di cui sopra, secondo sei svincolato dalla lan.
Ciao