View Full Version : [risolto][win2000 SP4] aa.exe
Ciao a tutti
In Kerio mi son trovato questo file c:\aa.exe con protocollo UDP
Non sapendo cos'era ho cercato su internet e dovrebbe essere una variante di un trojan pero' non riesco a trovare il file che lo attiva, nel task manager non c'e' nulla di anomalo e in hijackthis non sembra esserci nulla di strano ( o cmq non i classici RUN...)
Ma è davvero un trojan? altrimenti cos'e'?
Grassie
Chill-Out
21-11-2007, 22:43
Segui questa guida http://www.hwupgrade.it/forum/showthread.php?t=1599737
per fare un analisi preliminare del problema, rimaniamo in attesa dei log secondo le modalità indicate, ciao.
Riverside
21-11-2007, 23:36
In Kerio mi son trovato questo file c:\aa.exe ....
Ma è davvero un trojan?
Certo che è un trojan.
● disattiva il Ripristino configurazione di sistema
● scarica ed installa FILE ASSASSIN: clicca qui per il download (http://www.malwarebytes.org/fa-setup.exe)
● trascina il file da cancellare in corrispondenza della casella bianca
● verifica che l'opzione Delete file sia spuntata
● premi Execute
● Riavvia e segnala se hai risolto il problema.
Ciao
Prevx CSI trova appunto c:/aa.exe che è un backdoor.1053.A
Fine assassin potrebbe esere una soluzione ma devo capire come si chiama realmente il file perchè aa.exe non si trova da nessuna parte
Hijackthis credo sia pulito
Logfile of HijackThis v1.98.0
Scan saved at 8.39.09, on 22/11/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\giuliano\Desktop\PREVXCSIFREE.EXE
C:\Temp\Tmp___6634\prevxcsi.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\hjthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 64.71.141.137:1813
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O8 - Extra context menu item: Download using Download &Express - file://C:\Programmi\Download Express\Add_Url.htm
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C7A28E3-CC08-494E-BA37-96B31C2A6808}: NameServer = 85.37.17.41 85.38.28.83
grazie
GiulioM sei invitato a leggere le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984) in merito a come allegare/postare i log richiesti.
Modifica quindi il tuo post precedente applicando le regole, altrimenti nessuno potrà darti assistenza. Controlla che il log sia completo, perchè mi sembra che manchino delle voci.
Inoltre vorremmo vedere anche gli altri log (PreVxCSI,A-Squared ecc..)
Chill-Out
22-11-2007, 08:19
Oltre a quello che ti ha indicato Gle89 ti invito ad usare la versione più recente di HijackThis
Download: http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
ti invito ad usare la versione più recente di HijackThis
Download: http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
Pardon, avevo notato che aveva la versione vecchia ma mi ero dimenticata di sciverlo. Quindi GiulioM rifai anche il log con la nuova versiona indicatoti.
Ciao
Ecco lo scan nuovo di hijackthis, in effetti la versione era vecchia e non vedeva quel file
Logfile of HijackThis v1.99.1
Scan saved at 9.10.31, on 22/11/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AVG Anti-Spyware 7.5\guard.exe
d:\AVG7\avgamsvr.exe
d:\AVG7\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\RUNDLL32.EXE
D:\AVG7\avgcc.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Miranda IM\miranda32.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\hjthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 64.71.141.137:1813
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] d:\AVG7\avgcc.exe /STARTUP
O8 - Extra context menu item: Download using Download &Express - file://C:\Programmi\Download Express\Add_Url.htm
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C7A28E3-CC08-494E-BA37-96B31C2A6808}: NameServer = 85.37.17.41 85.38.28.83
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - d:\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - d:\AVG7\avgupsvc.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: netpker - Unknown owner - c:\aa.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programmi\Sunbelt Software\Personal Firewall\kpf4ss.exe
Questo A2scan
a-squared Free - Version 3.0
Last update: 22/11/2007 9.17.10
Impostazioni scansione:
Oggetti: Memoria, Tracce, Cookies, C:\, D:\, E:\
Archivio scansioni: On
Scientifico: On
ADS Scan: On
Scansione avviata: 22/11/2007 9.17.29
C:\Documents and Settings\giuliano\Cookies\giuliano@adserver.filefront[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@atdmt[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@cgi-bin[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@community.godsandheroes[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@doubleclick[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@gamespyid[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@gamespy[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@media.intelia[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@media.sensis.com[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@mediaonenetwork[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@mediaplex[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@mediaworld[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@tradedoubler[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Cookies\giuliano@tripod[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\giuliano\Desktop\radmin22.zip/RADMIN22.EXE rilevati: Riskware.RemoteAdmin.Win32.RAdmin.22
E:\mIRC\mirc.exe rilevati: Riskware.Client-IRC.Win32.mIRC.61
Scansionati
Files: 98195
Tracce: 211357
Cookies: 313
Processi: 26
Rilevato
Files: 2
Tracce: 0
Cookies: 14
Processi: 0
Chiavi registro: 0
Fine scansione: 22/11/2007 9.37.39
Tempo scansione: 0.20.10
Panda Antivirus (versione trial su internet) trova solo dei cookies
Ciao
Ho risolto, dico come ho fatto che magari puo' essere di aiuto
Con hijackthis ho eliminato la riga dove c'era il file aa.exe
poi ho detto a file assassin dove si trovava il file anche se era invisibile, lui per fortuna all'avvio è riuscito a trovarlo e ad eliminarlo
Questo trojan non è stato cmq rilevato da AVG e Panda, solo Prevx lo ha visto
Già che ic sono, mi potete anche linkare una guida per Kerio?
Grazie!
Sia io che Chill Out ti avevamo segnalato che dovevi modificare il tuo post con i log e allegare i log in maniera da rispettare le regole di sezione e tu non hai fatto ne l'uno ne l'altro.:eek:
Mah... Ad ogni modo MOD METTI IL TAG RISOLTO
xcdegasp
22-11-2007, 14:22
assassin crea un backup quando svolge la rimozione di un file?
incaso affermativo mi interesserebbe riceverlo :)
xcdegasp
22-11-2007, 23:16
@ GiulioM: la prossima volta attieniti alle regole di sezione per incolare i log
Scusate
Avevo saltato il passaggio con le regole della sezione, è da un po' che non ho problemi col pc (almeno non da chiedere aiuto) e l'ultima volta queste regole non c'erano
xcdegasp
Mah, non so se c'e' il log, provo a controllare...in realtà non è comparsa nemmeno nessuna finestrella per dirmi che l'ha eliminato :confused: Però il file in Kerio non c'e' piu' e prevx non trova piu' nulla
Penso di averlo beccato proprio a causa di Kerio, mi piace come firewall ma spesso quando gioco online devo disattivarlo perchè non mi fa connettere ai server.....sicuramente mi sono fatto anche qualche giro su internet dimenticandomi che era disattivato
Grazie e ciao
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.