mail con allegato (che poi non si vede) potrebbe essere un virus ?

[jak]

mi è arrivata una mail con un allegato (mittente sconosciuto).
data la mia piccola esperienza ho subito pensato di cancellarla per evitare guai, ma invece di cliccare col tasto destro del mouse per poi eliminarla direttamente, ho sbagliato a premere il tasto del mouse, infatti premendo il sinistro la email è stata aperta erroneamente ed è comparsa nella parte bassa dello schermo, e poi ho sentito girare l hard disk per alcuni secondi (4 o 5 circa) ma io non avevo fatto niente altro, mi è parso proprio come se fosse stato lanciato un programmino nuovo.
fatto sta che l allegato della email non si vede da nessuna parte anche se si vede la scritta apri allegato.
potrebbe essere un virus che mi ha infettato il portatile ?
ho fatto una scansione completa con avg, gia aggiornato in precedenza, ma non ha trovato niente, ma purtroppo non mi sento sicuro, come posso fare per ricercare ulteriormente se sono rimasto infettato ?
un altro antivirus non posso installarlo , credo sarebbe inutile farlo dopo la probabile infezione e anche perche gia ho avg (poi 2 antivirus credo siano inutili, basta 1).
ma altri programmi aggiornati (tipo stinger che usavo alcuni anni fa) ce ne sono ?

ringrazio tutti quelli che mi daranno qualche consiglio.

[mistermandarino]

ciao,
gli antivirus in certi casi servono e non servono nel senso che il primo antivirus è l'operatore che accede al pc il quale non deve aprire e lanciare allegati provenienti da mittenti sconosciuti PUNTO!
Nel tuo caso non ti resta che aprire il task manager e vedere che processi ci sono in esecuzione, controlla con google quelli sospetti e nel caso tu abbia preso qualche "influenza" provare a rimuoverla a mano ... il medico per eccellenza è comunque GOOGLE SEARCH.
Se c'è una soluzione bene altrimenti l'altra si chiama FORMAT :C
altra grande soluzione in quanto spesso si perde più tempo a risolvere che a reinstallare
forse sono stato troppo drastico e poco diplomatico ma è la realtà ... dato che ho esperienza pluridecennale ciao

[jak]

scusami mistermandarino...
sei stato drastico, poco diplomatico... e non hai letto bene il mio post. (notare che non ho scritto punto in maiuscolo).
io non ho scritto che ho aperto l allegato, ho scritto che :
ho notato una email con allegato di un mittente sconosciuto e volevo subito cancellarla, ma invece di premere il tasto destro e poi eliminarla subito senza fare altro, ho per sbaglio premuto il tasto sinistro del mouse, a quel punto la email si è aperta nel riquadro in basso dello schermo, ma come anteprima, non è che si è aperta del tutto in un altra finestra.
in piu anche se nell icona dell email cè il simbolo della graffetta come se ci fosse un allegato e l email pesa circa 800 kb , l allegato non si trova da nessuna parte e nell email ci sono scritte solo 4 righe di testo e non cè piu niente altro.
quindi ho pensato che qualcosa in allegato c era e forse è stato scaricato nel mio portatile da cui sto scrivendo ora.
cosa posso fare per essere sicuro se sono stato infettato o no ?

[menatwork]

scarica questo programma e mettilo nella directory C dove avrai preparato una cartella con il suo nome.
Lanci l'eseguibile e clicchi su " do a system scan and save a log" alla fine salvi questo file con estensione *.TXT e lo alleghi ad un post sul forum.

[jak]

grazie per il suggerimento posto ora il file


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.25.51, on 15/09/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\PROGRA~1\AVG\AVG10\avgchsvx.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVG\AVG10\avgwdsvc.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
C:\Programmi\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer.exe
C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe
C:\Programmi\AVG\AVG10\avgtray.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe
C:\Programmi\ASUS\ASUS Hotkey\Hotkey.exe
C:\Programmi\RALINK\Common\RaUI.exe
C:\Programmi\AVG\AVG10\avgnsx.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\AVG\AVG10\avgrsx.exe
C:\Programmi\AVG\AVG10\avgcsrvx.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG10\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NokiaMServer] C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer /watchfiles startup
O4 - HKLM\..\Run: [NokiaMusic FastStart] "C:\Programmi\Nokia\Ovi Player\NokiaOviPlayer.exe" /command:faststart
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AVG_TRAY] C:\Programmi\AVG\AVG10\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Hotkey.lnk = C:\Programmi\ASUS\ASUS Hotkey\Hotkey.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programmi\RALINK\Common\RaUI.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4FEE6316-7B6F-4A6C-BD4E-4157C59A9E9D} (Ovi maps browser plugin) - http://static.s2g.gate5.de/ovi_maps/..._4.0.12.11.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG10\avgpp.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG\AVG10\avgwdsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: TwonkyMedia - PacketVideo - C:\Programmi\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe

--
End of file - 6970 bytes

qualcuno sa dirmi se cè qualcosa che non va ? io non ci capisco niente o quasi.
ho notato che ci sono dei righi che sono ripetuti 1 o piu volte , puo essere una cosa giusta ?

PS ho notato ora, dopo aver postato questo file che l icona di AVG era rimasta bloccata da oltre mezz ora col simbolo del triangolo bianco che significa che sta facendo aggiornamento, allora ho provato ad aprire il menu completo e ho visto che non faceva nessun aggiornamento , allora ho provato a farlo manualmente e mi è apparso che voleva fare un aggiornamento di 12 Mb circa (credo l intero antivirus) allora ho annullato tutto.

puo essere un segno brutto o cosa puo essere , visto che questa situazione da quasi 2 anni che uso AVG non mi era mai capitata ?

[menatwork]

il log e' a posto, facciamo un controllo piu' approfondito

scarica combofix sul desktop

alla richiesta se vuoi installare la recovery console clicca su NO

esegui ComboFix.exe

segui le instruzioni

finita la scansione portati in C:\ e allega nella tua prossima risposta, il contenuto del file di testo Combofix.txt

come usare correttamente combofix

[jak]

menatwork ti ringrazio molto per il tuo aiuto.

ho letto prima la guida e ho visto che dovrei postare il log su uno di quei siti dove ci sono persone che sanno cosa fare nel caso ci fosse bisogno, oppure puoi aiutarmi tu e posso postarlo qui su html ?
comunque ci sono troppe cose , che se ne sbaglio anche 1 sola potrei fare danno al pc e magari non è infettato (vedi leggi di Murphy).
non ci sarebbe qualche altro programmino potenzialmente meno pericoloso per fare autogol (per parlare in termini calcistici).

non è che non mi fido è che sono io che potrei fare danno proprio come mi sono sbagliato a cliccare l email col tasto sinistro invece che col destro.

se non ci fossero altri programmi allora provero a usare questo combofix un giorno che avro un po di tempo necessario per fare tutto con calma, purtroppo con la fretta succedono cose...

[menatwork]

se ti ho consigliato combofix sapro' anche leggerlo un po' che dici, se poi non ti fidi del programma ( o di me) allora non eseguirlo

[jak]

non mi fido della mia capacita di fare le cose per bene quando ho fretta, visto che è un programma che potrebbe far danno, lo provero nei prossimi giorni quando avro un po di tempo per fare tutto il necessario con calma.

quindi abbi un po di pazienza, appena posso posto il file.txt