HEUR/HTML.Malware

**Serpicothebest** · 28-09-2009, 09:31

Salve a tutti ragazzi, giorni fa installando un programma del cavolo ho beccato un bel virus (come riportato in oggetto), è lo stesso virus che beccai tempo fa e che mi costrinse a formattare tutto il pc, ma la scorsa volta non avevo lo stessso antivirus, attualmente ho Avira Antivir Personal (Free) che devo dire a come è free credo, e non sono l'unico, sia uno dei migliori, infatti facendo un paio di scansioni del mio pc sono riuscito ad eliminare questo virus, o almeno così credevo, di tanto in tano mi continua ad uscire un avviso di Avira (soprattutto appena accendo il pc) che mi dice che questo virus è ancora presente da qualche parte, in particolare il report del messaggio dice questo:

Nel file 'C:\Documents and Settings\User\Impostazioni locali\Temporary Internet Files\Content.IE5\JJPZBCWP\eToro468x60.cmp[1].htm'
è stato rilevato un virus o programma indesiderato 'HEUR/HTML.Malware' [heuristic].
Azione eseguita: Nega accesso

...come posso fare per eliminare del tutto e definitivamente questo virus? e fare in modo che Avira non me lo segnali più?

Ciao e grazie!

**darksoullight88** · 28-09-2009, 10:24

vai nelle impostazioni, in modalità esperto.
in scansione>azione per i rilevamenti>azione primaria: ripara azione secondaria: elimina.
(mettendo naturalmente la spunta in "automatico" oppure potresti fare interattivo ma ogni volta comparirebbe la finestra che ti chiede cosa fare).
poi riesegui la scansione.

**Serpicothebest** · 28-09-2009, 10:38

Ciao "darksoullight88", inanzi tutto grazie per avermi risposto...ho provato ma la voce che dici tu non riesco a trovarla e in ogni caso, scusa la domanda, in questo modo non credo che risolverei, renderei solo l'azione automatica ma il virus resterebbe sempre o sbaglio?

...ah, una cosa che non c'entra nula, ho visto che stai creando un oscommerce, io sono un vero esperto (faccio questo di lavoro), se ti serve una mano fammi sapere!

**darksoullight88** · 28-09-2009, 10:51

Sì renderesti l'azione automatica ma con "rimuovi" il file verrebe cancellato.
comunque il percorso completo è "sistema di scansione">"scansione">"azione per rilevamenti" nella versione 9.0.0.17 ...per quelle più vecchie non ricordo...

**Serpicothebest** · 28-09-2009, 14:23

...scusa se insisto, sono già diverse volte che lo rimuovo (non automaticamente) dalla finestra che mi esce di Avir, ma sembra non eliminarsi o meglio si rigenera, come posso farlo per "estirparlo" alla radice? non ci sono altri metodi più efficaci?

**darksoullight88** · 28-09-2009, 14:37

fai una scansione con hijackthis. posta qui il log.
fai una scansione anche con spybot search & destroy ed elimina eventuali voci rilevate.
pulizia dei file temporanei e delle chiavi di registro con ccleaner.

**Serpicothebest** · 29-09-2009, 10:16

...ecco il file di log di hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.00.44, on 29/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\msb.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\Nero\Nero 7\InCD\NBHGui.exe
C:\Programmi\Nero\Nero 7\InCD\InCD.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\templ ate\DRIVEN~1\syncer\MCCITR~1.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\DNA\btdna.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\DOCUME~1\User\IMPOST~1\Temp\RtkBtMnt.exe
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\O2Micro Flash Memory Card Driver\o2flash.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\Programmi\WINDEasyConnect\WTGService.exe
C:\Programmi\Sony Ericsson\Sony Ericsson MD400 Wireless Modem\wwanSvc.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE
C:\Programmi\Alice ti aiuta\bin\mad.exe
C:\DOCUME~1\User\IMPOST~1\Temp\b.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: IE2EMBHO Class - {0A0DDBD3-6641-40B9-873F-BBDD26D6C14E} - C:\Programmi\easyMule\modules\IE2EM.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EmailBHO - {647FD14A-C4F1-46F4-8FC3-0B40F54226F7} - C:\Programmi\jZip\WebmailPlugin.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\Audio\InstallShield\AzMixerSe l.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language. exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programmi\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.e xe" -launchedbylogin
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIB EE.EXE /FU "C:\WINDOWS\TEMP\E_S415.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [AliceRE_McciTrayApp] C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\templ ate\DRIVEN~1\syncer\MCCITR~1.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programmi\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\easyMule\emule.exe -AutoStart
O4 - HKCU\..\Run: [PopRock] C:\DOCUME~1\User\IMPOST~1\Temp\b.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O8 - Extra context menu item: Download by easyMule - C:\Programmi\easyMule\IE2EM.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanage...ex-2.2.4.8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Programmi\O2Micro Flash Memory Card Driver\o2flash.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: WTGService - Unknown owner - C:\Programmi\WINDEasyConnect\WTGService.exe
O23 - Service: wwanSvc - Unknown owner - C:\Programmi\Sony Ericsson\Sony Ericsson MD400 Wireless Modem\wwanSvc.exe

--
End of file - 10298 bytes

...ora sto facendo pure una scansione con spybot search & destroy e poi con ccleaner, cmq il messaggio di Avira non mi esce più ma ogni tanto si apre una finsetra pubblicitaria di Explorer (e io come borwser predifinito ho Firefox) quindi credo sia qualcosa che risiende nei files temporanei di Explorer...boh...ora vediamo pure cosa esce fuori da queste altre scansioni e magari saprò dirti meglio...

**darksoullight88** · 29-09-2009, 10:32

mi sembra ci sia solo questo da fixare.

codice:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKCU\..\Run: [PopRock] C:\DOCUME~1\User\IMPOST~1\Temp\b.exe

ps: non serve arrabbiarsi con il log di hijackthis!!!!
trovato altro con spybot?
fai anche una scansione con Malwarebytes' Anti-Malware

**Serpicothebest** · 29-09-2009, 12:23

1) ...ho scaricato e fatto una scansione con spybot search & destroy e mi ha rilevato vari virus, li ha cancellati tutti tranne questi:

Smitfraud-C.

Virtumonde.sci

Win32.BHO.sx

Win32.FraudLoad.edt

...perché secondo il programma erano ancora caricati in memoria quindi occorreva riavviare il pc e rifare una scansione, ho seguito questo consiglio ma non è riuscito a cancellarli ugualmente, allora credo che siano questi i files incriminati, come posso eliminarli se neanche sspybot search & destroy riesce ad eliminarli?

2) ho fatto una bella pulizia con CCleaner ha trovato diverse cosette (anche nei file temporanei) e li ha cancellati sembra senza nessun problema;

3) ho rifatto la scansione con HijackThis e ho fixato solo O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) l'altro che mi avevi scritto probabilmente è stato cancellato con le precedenti procedure...ah, una domanda ma quando di fixa qualcosa vuol dire che la si elimina?

...altra domanda, ma se io da Avira vado nei file messi in quarantena, li seleziono tutti e premo il tasto "Canc" li elimino definitivamente (anche dalla quarantena) vero? oppure li ripristino? scusa la domanda ma mi sta venendo questo dubbio...

**Serpicothebest** · 30-09-2009, 16:54

...con questi procedimenti credo (e spero) di aver eliminato il virus, infatti ora non mi si apre più nessuno finestra pubblicitare e neanche Avira mi da più messaggi, ore però sto avendo un altro problema, non riesco più ad aggiornare Avira Antivir Personal Free, ho disinstallato e reinstallato il programma da capo ma nulla non si aggiorna, avrò bloccato/cancellato qualcosa con questi programmi? oppure dipenderà dal fatto che ho aggiornato Windows XP SP2 e ora il Windows Genuine Advantage (WGA) mi blocca gli aggiornamenti?

Discussione: HEUR/HTML.Malware

Strumenti discussione

Ricerca discussione

Visualizza

HEUR/HTML.Malware

ecco gli ultimi aggiornamenti

Permessi di invio