virus da archivio autoestraente

[ilvento]

ciao a tutti

da qualche giorno quando lancio IE7 il mio antivirus (NOD 32) trova questo:

IMON (una funzione di NOD 32) fa apparire una finestra con la seguente dicitura:

info virus: ARCHIVIO AUTOESTRAENTE: hxxp://adssite.biz/smb/bundles/8/sb_ads_1008.exe

virus: probabilmente una variante di win32/adware agent applicazione

AMON (una funzione di NOD 32):

file: C:\Documents and setting\Admin\Impostazioni locali\temporary internet\sb_ads_1008 [3].exe

commento: evento occorso su un nuovo file creato da una applicazione: C:\Programmi\Internet Explorer\iexplorer.exe

metto tutto in quarantena e NOD mi dice che posso chiudere la finestra.

Ho già fatto aggiornamenti di windows, scansioni antivirus anche in modalità provvisoria, ripristino configurazione di sistema, ma non ho risolto niente.

Vorrei liberarmi di questo "problemuccio" avete qualche idea/consiglio/suggerimento?

comunque grazie, ric

[Demonios@]

Scarica HiJackThis
http://www.trendsecure.com/portal/en...ols/hijackthis

-Chiudi tutte le applicazioni aperte
-Avvia HiJackThis con doppio click
-Cliccate su DO A SYSTEM SCAN AND SAVE LOGFILE

-Attendi che finisca la scansione e che si apra in automatico un foglio di blocco note
-Copia il contenuto e incollalo.

[ilvento]

caspita questo hijack è super veloce.

ecco qua il report. grazie per l'aiuto, ric

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.53.45, on 04/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 SE.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA AE.EXE
C:\Programmi\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Media Holding Enterprises, LLC - {0D39A900-0F3A-4C29-A254-3E65244FDC34} - C:\Programmi\ContextTool\ContextTool-1.dll (file missing)
O2 - BHO: Adssite Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\adssite_sidebar.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [EPSON Stylus Photo R2400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 SE.EXE /P24 "EPSON Stylus Photo R2400" /O6 "USB001" /M "Stylus Photo R2400"
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA AE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB002" /M "Stylus D68"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Update Machine] 1.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] 1.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft Update Machine] 1.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logo Calibration Loader.lnk = C:\Programmi\GretagMacbeth\i1\Eye-One Match 3\CalibrationLoader\CalibrationLoader.exe
O4 - Global Startup: ProfileReminder.lnk = C:\Programmi\GretagMacbeth\i1\Eye-One Match 3\ProfileReminder.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O16 - DPF: {3E0D93BD-ABC6-4723-A70F-2A57D33C0186} (AlamyUploader Class) - http://www.alamy.com/uploader/alamy_uploader.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://katy89li.spaces.live.com//Pho...d/MsnPUpld.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://submit.shutterstock.com/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{56C9677D-1BBF-44DC-9718-F709983DFEDA}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6352 bytes

[Demonios@]

Scarica ATF Cleaner
http://www.atribune.org/ccount/click.php?id=1
Avvia ATF Cleaner.exe con un doppio click
clicca sul menu main
seleziona la casella Select All
clicca sul pulsante Empty selected
aspetta l'avviso Done Cleaning.

Rivvia il computer in modalità provvisoria
Avvia HijackThis e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

-O2 - BHO: Media Holding Enterprises, LLC - {0D39A900-0F3A-4C29-A254-3E65244FDC34} - C:\Programmi\ContextTool\ContextTool-1.dll (file missing)

- O2 - BHO: Adssite Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\adssite_sidebar.dll

-O4 - HKLM\..\Run: [Microsoft Update Machine] 1.exe

-O4 - HKLM\..\RunServices: [Microsoft Update Machine] 1.exe

-O4 - HKCU\..\Run: [Microsoft Update Machine] 1.exe

con esplora risorse elimina questi files (se sono presenti)

C:\WINDOWS\system32\ adssite_sidebar.dll
C:\WINDOWS\system32\1.exe

infine setta nod32 così
http://www.wilderssecurity.com/showt...587#post264587

[ilvento]

ho esguito alla perfezione, o almeno spero, tutte le indicazioni.

"con esplora risorse elimina questi files (se sono presenti)

C:\WINDOWS\system32\ adssite_sidebar.dll
C:\WINDOWS\system32\1.exe"


non ho trovato questi due files, ho trovato un addsite_sidebar_uninstall che ho lasciato stare.

Morale il PC è schiantato.... no stò scherzando ehehehehehehehehe

Ho provato a lanciare IE e la finestra virus non è apparsa, speriamo di aver risolto la faccenda. Ora mi setto il NOD32 seguendo le tue indicazioni.

In concomitanza dell'apparizione di questo virus il PC non mi andava più in stand by, lo schermo si spegne ma il PC no. Pensavo potesse dipendere da questo, ma ho provato ora ed il problema persiste. Un amico mi ha detto che potrebbe essere qualche applicazione nella task manager che impedisce di andare in stand by.

Non vorrei abusare della tua gentilezza ma...un pò lo faccio! qua sotto l'stantanea della mia attuale task manager.

http://www.grandespirito.it/scansion..._manager_3.jpg

Che dirti Demonios? GRAZIE GRAZIE GRAZIE

ric