Ciao a tutti

In Kerio mi son trovato questo file c:\aa.exe con protocollo UDP
Non sapendo cos'era ho cercato su internet e dovrebbe essere una variante di un trojan pero' non riesco a trovare il file che lo attiva, nel task manager non c'e' nulla di anomalo e in hijackthis non sembra esserci nulla di strano ( o cmq non i classici RUN...)

Ma è davvero un trojan? altrimenti cos'e'?

Grassie

Segui questa guida http://www.hwupgrade.it/forum/showthread.php?t=1599737
per fare un analisi preliminare del problema, rimaniamo in attesa dei log secondo le modalità indicate, ciao.

In Kerio mi son trovato questo file c:\aa.exe ....
Ma è davvero un trojan?
Certo che è un trojan.
● disattiva il Ripristino configurazione di sistema
● scarica ed installa FILE ASSASSIN: clicca qui per il download (http://www.malwarebytes.org/fa-setup.exe)
● trascina il file da cancellare in corrispondenza della casella bianca
● verifica che l'opzione Delete file sia spuntata
● premi Execute
● Riavvia e segnala se hai risolto il problema.

Ciao

Prevx CSI trova appunto c:/aa.exe che è un backdoor.1053.A

Fine assassin potrebbe esere una soluzione ma devo capire come si chiama realmente il file perchè aa.exe non si trova da nessuna parte

Hijackthis credo sia pulito

Logfile of HijackThis v1.98.0
Scan saved at 8.39.09, on 22/11/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\giuliano\Desktop\PREVXCSIFREE.EXE
C:\Temp\Tmp___6634\prevxcsi.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\hjthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 64.71.141.137:1813
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O8 - Extra context menu item: Download using Download &Express - file://C:\Programmi\Download Express\Add_Url.htm
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C7A28E3-CC08-494E-BA37-96B31C2A6808}: NameServer = 85.37.17.41 85.38.28.83

grazie

GiulioM sei invitato a leggere le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984) in merito a come allegare/postare i log richiesti.

Modifica quindi il tuo post precedente applicando le regole, altrimenti nessuno potrà darti assistenza. Controlla che il log sia completo, perchè mi sembra che manchino delle voci.

Inoltre vorremmo vedere anche gli altri log (PreVxCSI,A-Squared ecc..)

Oltre a quello che ti ha indicato Gle89 ti invito ad usare la versione più recente di HijackThis
Download: http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

ti invito ad usare la versione più recente di HijackThis
Download: http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Pardon, avevo notato che aveva la versione vecchia ma mi ero dimenticata di sciverlo. Quindi GiulioM rifai anche il log con la nuova versiona indicatoti.

Ciao

Ecco lo scan nuovo di hijackthis, in effetti la versione era vecchia e non vedeva quel file

Logfile of HijackThis v1.99.1
Scan saved at 9.10.31, on 22/11/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AVG Anti-Spyware 7.5\guard.exe
d:\AVG7\avgamsvr.exe
d:\AVG7\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\RUNDLL32.EXE
D:\AVG7\avgcc.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Miranda IM\miranda32.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\hjthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 64.71.141.137:1813
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] d:\AVG7\avgcc.exe /STARTUP
O8 - Extra context menu item: Download using Download &Express - file://C:\Programmi\Download Express\Add_Url.htm
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C7A28E3-CC08-494E-BA37-96B31C2A6808}: NameServer = 85.37.17.41 85.38.28.83
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - d:\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - d:\AVG7\avgupsvc.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: netpker - Unknown owner - c:\aa.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programmi\Sunbelt Software\Personal Firewall\kpf4ss.exe

Questo A2scan

a-squared Free - Version 3.0
Last update: 22/11/2007 9.17.10

Impostazioni scansione:

Oggetti: Memoria, Tracce, Cookies, C:\, D:\, E:\
Archivio scansioni: On
Scientifico: On
ADS Scan: On

Scansione avviata: 22/11/2007 9.17.29

C:\Documents and Settings\giuliano\Cookies\[email protected][2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@atdmt[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@cgi-bin[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\[email protected][1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@doubleclick[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@gamespyid[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@gamespy[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\[email protected][2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\[email protected][2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@mediaonenetwork[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@mediaplex[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@mediaworld[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@tradedoubler[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@tripod[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Desktop\radmin22.zip/RADMIN22.EXE rilevati: Riskware.RemoteAdmin.Win32.RAdmin.22
E:\mIRC\mirc.exe rilevati: Riskware.Client-IRC.Win32.mIRC.61

Scansionati

Files: 98195
Tracce: 211357
Cookies: 313
Processi: 26

Rilevato

Files: 2
Tracce: 0
Cookies: 14
Processi: 0
Chiavi registro: 0

Fine scansione: 22/11/2007 9.37.39
Tempo scansione: 0.20.10


Panda Antivirus (versione trial su internet) trova solo dei cookies

Ciao

Ho risolto, dico come ho fatto che magari puo' essere di aiuto

Con hijackthis ho eliminato la riga dove c'era il file aa.exe
poi ho detto a file assassin dove si trovava il file anche se era invisibile, lui per fortuna all'avvio è riuscito a trovarlo e ad eliminarlo
Questo trojan non è stato cmq rilevato da AVG e Panda, solo Prevx lo ha visto

Già che ic sono, mi potete anche linkare una guida per Kerio?

Grazie!

Sia io che Chill Out ti avevamo segnalato che dovevi modificare il tuo post con i log e allegare i log in maniera da rispettare le regole di sezione e tu non hai fatto ne l'uno ne l'altro.:eek:

Mah... Ad ogni modo MOD METTI IL TAG RISOLTO

assassin crea un backup quando svolge la rimozione di un file?
incaso affermativo mi interesserebbe riceverlo :)

@ GiulioM: la prossima volta attieniti alle regole di sezione per incolare i log

Scusate

Avevo saltato il passaggio con le regole della sezione, è da un po' che non ho problemi col pc (almeno non da chiedere aiuto) e l'ultima volta queste regole non c'erano


xcdegasp

Mah, non so se c'e' il log, provo a controllare...in realtà non è comparsa nemmeno nessuna finestrella per dirmi che l'ha eliminato :confused: Però il file in Kerio non c'e' piu' e prevx non trova piu' nulla

Penso di averlo beccato proprio a causa di Kerio, mi piace come firewall ma spesso quando gioco online devo disattivarlo perchè non mi fa connettere ai server.....sicuramente mi sono fatto anche qualche giro su internet dimenticandomi che era disattivato

Grazie e ciao