MegaLab.it

Ciao a tutti,
Credevo di aver scaricato un programma freeware di disegno da provare, ma quando ho lanciato il programma mi è stato installato in un lampo e non ho idea dove questo "Site advisor module".
Ho provato a cercare notizie su internet con google, ma ho trovato solo questo:
[url="http://site-advisor-module.software.informer.com/"]http://site-advisor-module.software.informer.com/[/url]
che per me è come non aver trovato niente.

C'è nessuno che ha idea di cos'è?
Come me ne libero di questo intruso?

ciao

faciamo un controllo di routine

scarica hijackthis

mettilo in una cartella appositamente dedicata, tipo C:\ hijackthis, poi avvialo, premi "do a system scan and save a log file", al termine sarà generato un report, copialo e incollalo in un post.

Aggiornamento:
Probabilmente, non è un virus, dato che l'ho trovato nell'elenco dei software installati in installa/disinstalla applicazioni ed ho potuto disinstallarlo, o almeno così sembra.
Però vorrei essere sicuro e, comunque, vorrei sapere cos'è.

Test eseguito.
Questo è il rapporto:

Codice: Seleziona tutto

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.53.27, on 05/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Nero\Nero8\InCD\InCDsrv.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Nero\Nero8\InCD\NBHRegInCDSrv.exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\Programmi\Sicurezza\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\SICURE~1\SPYWAR~1\SpywareTerminatorShield.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Nero\Nero8\InCD\NBHGui.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Sicurezza\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Sicurezza\PeerBlock\peerblock.exe
C:\Programmi\OpenOffice.org 3\program\swriter.exe
C:\Programmi\OpenOffice.org 3\program\soffice.exe
C:\Programmi\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\calc.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Windows NT\Accessori\WORDPAD.EXE
C:\Programmi\Sicurezza\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1750559
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: BS Player Toolbar - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Programmi\BS_Player\tbBS_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Sicurezza\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: BS Player Toolbar - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Programmi\BS_Player\tbBS_1.dll
O3 - Toolbar: BS Player Toolbar - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Programmi\BS_Player\tbBS_1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SICURE~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Sicurezza\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SecurDisc] C:\Programmi\Nero\Nero8\InCD\NBHGui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Sicurezza\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [FlashCAD] "C:\Programmi\CAD\FlashCAD\FlashCAD.exe" -resident
O4 - HKCU\..\Run: [PeerBlock] C:\Programmi\Sicurezza\PeerBlock\peerblock.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: CADE - {605E5D27-BFA0-471F-87ED-98A2623D633C} - C:\Programmi\CADE 2.19.4\Web\new.htm (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Sicurezza\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Sicurezza\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{64D53535-624C-403C-B043-FAD5810F33D7}: NameServer = 85.37.17.58 85.38.28.94
O17 - HKLM\System\CS1\Services\Tcpip\..\{64D53535-624C-403C-B043-FAD5810F33D7}: NameServer = 85.37.17.58 85.38.28.94
O20 - AppInit_DLLs:   
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\Sicurezza\SUPERAntiSpywere\SASWINLO.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InCD Helper (InCDsrvR) - Nero AG - C:\Programmi\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - C:\Programmi\Nero\Nero8\InCD\NBHRegInCDSrv.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programmi\File comuni\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Sicurezza\Spyware Terminator\sp_rsser.exe

--
End of file - 7446 bytes


Per sicurezza, carica il file su VirusTotal

AAAAAHHHHHHHHHRRRGGGGGGGGG!!!!

Sì, Virus Total ha trovato dentro il file (che si chiama csaq221.exe e veniva spacciato per file d'installazione del programma JustCAD) questa robaccia:

Kaspersky 7.0.0.125 2010.05.06 Trojan.Win32.BHO.agck

Ora cosa faccio?

Zievatron ha scritto:AAAAAHHHHHHHHHRRRGGGGGGGGG!!!!

Calma e sangue freddo....

Scarica il Kaspersky Rescue Disk, lo masterizzi, lo fai avviare come disco di boot, lo aggiorni e gli fai fare la scansione di tutti i dischi. A termine della scansione avrai il sistema pulito...
Oppure fai fare un giro di Malwarebytes AntiMalware: lo installi, lo aggiorni e gli fai fare la scansione da modalità provvisoria.

Ma è solo Kaspersky che lo identifica come virus?
Puoi linkare il risultato?

Sì, è solo Kaspersky ad individuarlo, tutti gli altri non se ne accorgono. E' per questo che ho copiato solo il rigo di Kaspersky.
Vuoi lostesso che ti linko il risultato?

Zievatron ha scritto:Sì, è solo Kaspersky ad individuarlo, tutti gli altri non se ne accorgono. E' per questo che ho copiato solo il rigo di Kaspersky.
Vuoi lostesso che ti linko il risultato?

Se è solo Kaspersky che te lo identifica come virus quasi sicuramente è un falso positivo: per sicurezza fai una scansione anche con Hitman (se ti trova qualcosa allora attivi la licenza trial) e Malwarebytes che ci togliamo ogni dubbio.

Malwarebytes lo ho già sul PC, però è un po' che non mi riesce di aggiornarlo, non ho idea del perché.

Comunque, ho provato la scansione on-line di prevex e di hitman e nessuno dei due ha trovato niente.

Posso concludere che si tratta di un falso positivo? :)

Ma che senso ha farmi installare questo "misterioso" Site Advisor Module al posto di JustCAD?

Dico misterioso perché non si riesce a capire che roba è.

Zievatron ha scritto:Malwarebytes lo ho già sul PC, però è un po' che non mi riesce di aggiornarlo, non ho idea del perché.

Ti riporta qualche errore? Hai provato a disinstallarlo con il tool apposito e a reinstallarlo?

Zievatron ha scritto:Posso concludere che si tratta di un falso positivo? :)

Direi di si.

Zievatron ha scritto:Ma che senso ha farmi installare questo "misterioso" Site Advisor Module al posto di JustCAD?

Da dove lo hai scaricato questo programma?

L'ho scaricato da qui:
http://www.it.7searchsoft.com/soft/43087-justcad_90/

Zievatron ha scritto:L'ho scaricato da qui:
http://www.it.7searchsoft.com/soft/43087-justcad_90/

Invece di affidarsi ai più strani siti che ci infilano dentro chissà quali porcherie, basta andare sui siti ufficiali del programma
http://justcad.com/index.html
cercando su google è il primo risultato che viene fuori.

perché bisogna sempre scaricare da siti web strani i programmi? Ti consiglio di scaricarli, se non trovi il sito ufficiale, da questi siti:
http://www.softonic.it/
http://download.cnet.com/windows/
http://download.html.it/

Zievatron ha scritto:L'ho scaricato da qui:
http://www.it.7searchsoft.com/soft/43087-justcad_90/

Ma che sito è?
Ma perché hai installato JustCad visto che non è gratuito?

Max01 ha scritto:Ma perché hai installato JustCad visto che non è gratuito?

Semplice. Per errore, perché non era chiaro.
A volte, dei programmi che in versione attuale non sono più gratuiti si trovano in giro delle versioni precedenti gratuite, anche se il produttore nel suo sito non lo dice.