problema virus(generico ma non ho ben capito cos'è)

[Alinghi100]

allora...ho questo problema...:quando apro le pagine di mozilla queste non si aprono...e non si connette neanche a msn...(riesco ad accedere a skype sec me perchè non è stata bloccata quella porta...)e ho fatto dei passi avanti scoprendo che...una volta che metto su disabilita la connessione lan immediatamente si aprono le finestre di mozilla prima aperte(come se dei dati in quel momento smettessero di fluire nel mio pc infettandolo...)...ma appena rimetto abilita mi vanno subito in crash...ho gia fatto scansione completa di kaspersky da 2 orette e usato hijackthis ma nulla...che posso fare?

ps= inutile che metto avira...è pressochè lo stesso di kaspersky...(e lo dico perchè dopo diverse esperienze qui consigliate sempre di mettere avira...)

[Kohai]

Quote:

Originariamente inviato da Alinghi100

allora...ho questo problema...:quando apro le pagine di mozilla queste non si aprono...e non si connette neanche a msn...(riesco ad accedere a skype sec me perchè non è stata bloccata quella porta...)e ho fatto dei passi avanti scoprendo che...una volta che metto su disabilita la connessione lan immediatamente si aprono le finestre di mozilla prima aperte(come se dei dati in quel momento smettessero di fluire nel mio pc infettandolo...)...ma appena rimetto abilita mi vanno subito in crash...ho gia fatto scansione completa di kaspersky da 2 orette e usato hijackthis ma nulla...che posso fare?

ps= inutile che metto avira...è pressochè lo stesso di kaspersky...(e lo dico perchè dopo diverse esperienze qui consigliate sempre di mettere avira...)

Non credo tu abbia un virus, comunque ti converrebbe esser piu' chiaro nell'esposizione del problema ed eventualmente postarlo (per il momento visto che non ti funziona firefox) nel thread di mozilla firefox.
Se dopo si appura di essere infetti, prego usa pure questa sezione.
Grazie, ciao.

[Alinghi100]

sec me è qualcosa che intacca la connessione...e penso proprio sia uno spyware o un malware...anche perchè non è solo il malfunzionamento di firefox ma anche di msn allo stesso tempo...!!! funziona solo skype...

[Kohai]

Quote:

Originariamente inviato da Alinghi100

sec me è qualcosa che intacca la connessione...e penso proprio sia uno spyware o un malware...anche perchè non è solo il malfunzionamento di firefox ma anche di msn allo stesso tempo...!!! funziona solo skype...

Ti ho gia' detto che qui non possiamo discuterne, rischiamo un richiamo dei moderatori.
Posta sul thread di firefox (sempre in questo forum) spiegando bene il problema. In quel topic c'e' l'utente skryabin che e' preparatissimo e molto gentile sia in firefox che in problemi di connessione.
Se il problema persiste e siamo certi di una infezione poi puoi tornare qui. Al massimo se vuoi star sicuro fa un log di hijackthis seguendo le regole spiegate in prima pagina per farlo analizzare, poi vedremo.
Ciao.

[Chill-Out]

Sinceramente non ho capito nulla

[Kohai]

Quote:

Originariamente inviato da Chill-Out

Sinceramente non ho capito nulla

Manco io ecco perche' ho detto di spiegare bene il problema

[Andrea9907]

Ieri il firewall mi ha mostrato una finestra per dire che cosa dovevo fare con uno strano nome, e cioè AQAOUSO.exe:
Di che cosa si tratta? Secondo me è un trojan o cose simili perchè prima Superantispyware, nell'analisi, lo ha classificato tale...

[Chill-Out]

Quote:

Originariamente inviato da Andrea9907

Ieri il firewall mi ha mostrato una finestra per dire che cosa dovevo fare con uno strano nome, e cioè AQAOUSO.exe:
Di che cosa si tratta? Secondo me è un trojan o cose simili perchè prima Superantispyware, nell'analisi, lo ha classificato tale...

Ok mi potresti imdicare il percorso di appartenza del suddetto file ovvero AQAOUSO.exe

[Andrea9907]

Quote:

Originariamente inviato da Chill-Out

Ok mi potresti imdicare il percorso di appartenza del suddetto file ovvero AQAOUSO.exe

Certooo!
C:\Documents Setiings\SelectA\Impostazioni\....AQAOUSO.exe

[Chill-Out]

Quote:

Originariamente inviato da Andrea9907

Certooo!
C:\Documents Setiings\SelectA\Impostazioni\....AQAOUSO.exe

Allega un log di HJT come indicato al Punto 7 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

L'elenco dei Server remoti lo trovi nelle regole di sezione in firma

PS: sul tuo PC è installato Prevx 3.0?

[Andrea9907]

Fatto. (nel mio PC non è installato PREVX EDGE 3.0: l'avrebbe rilevato? Antivir non se n'è accorto...)

Quote:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.12.53, on 05/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\McAfee\SiteAdvisor\McSACore.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\File comuni\NMSAccessU.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\PCOptimizer\PCoptimizerService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\siteadvisor\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\siteadvisor\mcieplg.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Programmi\Agnitum\Outpost Firewall\feedback.exe" /dump:os_startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.clicktel.it
O15 - Trusted Zone: content.licenseacquisition.org
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} (Microsoft PID Sniffer) - https://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1120603516469
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1207782410890
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramewor...o.cab34246.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CE5BB0B-0426-47C4-BD12-135328F98DD4}: NameServer = 193.12.150.2 212.247.152.2
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\siteadvisor\mcieplg.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll c:\windows\system32\guard32.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: AJMEZD - Agnitum Ltd. - (no file)
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programmi\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: NMSAccessU (nmsaccessu) - Unknown owner - C:\Programmi\File comuni\NMSAccessU.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCO scheduler service - Unknown owner - C:\Programmi\PCOptimizer\PCoptimizerService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 6840 bytes

[Chill-Out]

In teoria credevo di vederlo nel log di HJT, in pratica no, quindi abilita la visualizzazione del file nascosti

Quote:

Clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Togli la spunta da nascondi files protetti di sistema - Applica - OK

controlla il suddetto file su http://virscan.org/ e http://www.virustotal.com/it/ per i risultati è sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

Ricordi di aver installato questo PCOptimizer non mi convince affatto.

[Andrea9907]

Quote:

Originariamente inviato da Chill-Out

In teoria credevo di vederlo nel log di HJT, in pratica no, quindi abilita la visualizzazione del file nascosti

Scusami ma non l'ho detta tutta: una volta terminata l'analisi con Superantispyware, dimenticavo di dirti che l'ho messo in quarantena.

Quote:

Ricordi di aver installato questo PCOptimizer non mi convince affatto.

Si, l'ho installato pochi giorni fa (è un deframmentatore). Era pubblicizzato su filehippo.com. Dici che è lui il male della questione?

[Chill-Out]

Quote:

Originariamente inviato da Andrea9907

Scusami ma non l'ho detta tutta: una volta terminata l'analisi con Superantispyware, dimenticavo di dirti che l'ho messo in quarantena.

Si, l'ho installato pochi giorni fa (è un deframmentatore). Era pubblicizzato su filehippo.com. Dici che è lui il male della questione?

Ecco perchè non lo vedo, in teoria SAS dovrebbe aver messo in quarantena anche la relativa chiave di registro ovvero

O4 - HKCU\..\Run: [AQAOUSO] "c:\documents and settings\SelectA\impostazioni locali\dati applicazioni\AQAOUSO.exe" AQAOUSO

se alleghi il log di SAS ci leviamo il dubbio ed il pensiero

Per quanto concerne PCOptimizer non l'ho conosco, provvederei a disinstalarlo.

[Andrea9907]

Ed eccoti qua anche il log di SAS:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 06/04/2009 at 10:49 PM

Application Version : 4.26.1004

Core Rules Database Version : 3922
Trace Rules Database Version: 1866

Scan type : Complete Scan
Total Scan Time : 01:01:24

Memory items scanned : 424
Memory threats detected : 1
Registry items scanned : 5311
Registry threats detected : 2
File items scanned : 22230
File threats detected : 2

Trojan.Dropper/Gen
C:\DOCUMENTS AND SETTINGS\SELECTA\IMPOSTAZIONI LOCALI\DATI APPLICAZIONI\AQAOUSO.EXE
C:\DOCUMENTS AND SETTINGS\SELECTA\IMPOSTAZIONI LOCALI\DATI APPLICAZIONI\AQAOUSO.EXE
[aqaouso] C:\DOCUMENTS AND SETTINGS\SELECTA\IMPOSTAZIONI LOCALI\DATI APPLICAZIONI\AQAOUSO.EXE
C:\WINDOWS\Prefetch\AQAOUSO.EXE-242E6F4E.pf

Trojan.DNSChanger-Codec
HKU\S-1-5-21-746137067-682003330-725345543-1004\Software\fcn


Adesso però vado a nanna. A domani...

[Chill-Out]

Esattamente come pensavo, trattasi di Trojan ed in questo caso Prevx 3.0 avrebbe rilevato l'infezione.
Disinstalla quel PCOptimizer che non serve a nulla ed allega nuovo log di HJT

NB: i log vanno allegati sui Server remoti indicati nelle Regole di sezione