PDA

View Full Version : rilevato _ex-08.exe e pc molto lento

|Ale|
12-09-2009, 11:47
Ciao a tutti.
Da alcuni giorni mi sono accorto che il pc si è rallentato parecchio nelle sue operazioni ed inoltre all'avvio mi esce il messaggio di allerta di Avira che mi indica il rilevamento di un file "TR/PCK.Krap.W.1098" a cui ovviamente nego l'accesso. Questo file molto probabilmente è collegato ad un Trojan "_ex-08.exe" che mi compare anche nel Task Manager e che non riesco ad eliminare. Ho provato a fare la scansione con Avira e con Ad-Aware ma senza successo. A dire il vero dopo la scansione con Ad-Aware il file era scomparso dal Task Manager, ma al riavvio del pc il problema si è ripresentato. Ho provato a fare anche una scansione con Spiware Doctor e mi ha trovato parecchia roba che però, non avendo registrato il prodotto, non sono riuscito ad eliminare. Inoltre ho letto alcuni articoli che spiegavano come Spiware Doctor spesso trovi molti falsi positivi, per cui non so fino a che punto sia attendibile.
Comunque, in sosanza, devo riuscire a ripulire il pc, per cui mi servirebbe qualcuno disposto a darmi una mano..
Scusate se mi sono dilungato un po tanto ma ho cercato di spiegare al meglio il problema.
Grazie anticipatamente!
Chill-Out
12-09-2009, 12:09
Ciao! Segui esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).
|Ale|
15-09-2009, 13:24
Rieccomi.
Ho seguito la guida alla disinfestazione ed ho eseguito tutte le scansioni.
Ecco i logs:

http://wikisend.com/download/950178/mbam-log-2009-09-14 (19-38-41)_malwarebites.txt

http://wikisend.com/download/451470/a2scan_090914-200414_A-squared free.txt

http://wikisend.com/download/556668/report_fsols_4_0_F-Secure Online.htm

http://wikisend.com/download/935522/cureit filtrato.txt

http://wikisend.com/download/435098/SysInspector-PC-090915-1050.xml

http://wikisend.com/download/597328/hijackthis.log

http://wikisend.com/download/463340/gmer.log

http://wikisend.com/download/461148/Prevx.log
http://wikisend.com/download/498874/finestra Prevx.jpg (questa è la stampa dell'interfaccia di Prevx).

Adesso che mi dici?
|Ale|
18-09-2009, 11:34
Scusate, qualcuno potrebbe darmi una risposta in merito ai logs che ho postato?
Vorrei sapere se c'è ancora qualche cosa da eliminare o se invece il pc risulta pulito. Il file _ex-08.exe che compariva inizialmente non c'è più, ma avendo seguito le istruzioni della "guida alla disinfestazione" e avendo fatto tutte le scansioni necessarie, vorrei avere un parere di qualcuno che ne capisca più di me e dia un'occhiata ai logs...
Grazie
wjmat
18-09-2009, 11:49
Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)


O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [Internet Connection Wizard Setup Tool] C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O16 - DPF: {076169AA-8C3D-4CFC-AC23-3ACA88FC21B5} (F-Secure Online Scanner Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.studiosit.it/mapguideViewer/mgaxctrl.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://jenjiu.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {D147430C-86CD-4E6F-A807-93FBC496D201} (NCSLayeredView Class) - http://www.cartografiarl.regione.liguria.it/ecwplugins/ncs.cab


devi aggiornare
Windows al service pack 3
Explorer alla versione 8



fai controllare su www.virustotal.com e su http://virscan.org/
c:\programmi\super video converter\videoconverter.exe


Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.
|Ale|
18-09-2009, 12:16
Ok, grazie!
|Ale|
18-09-2009, 15:51
Ho eseguito la scansione con HiJackThis ed ho fixato le voci che mi hai indicato. Al riavvio tali voci non compaiono più.
Ho fatto analizzare "videoconverter.exe" su virustotal. Ecco l'indirizzo:

http://www.virustotal.com/reanalisis.html?55adbd0080052ddf40ba82bf8b6c2a74ee4717c3c1b4724af6eba5dc5a8b1883-1253270809

Il secondo sito di analisi (virscan) non si apre per cui non sono riuscito ad effettuare la scansione del file.
Non mi era chiaro se avrei dovuto postare l'indirizzo della scansione in questa discussione o se ne esiste una apposita, comuque se ho sbagliato qualcosa fammi sapere..
Attendo dritte.
Grazie!
Chill-Out
18-09-2009, 16:04
Ale controllo il link di VirusTotal eventualmente fai rianalizzare il file.
|Ale|
18-09-2009, 16:28
Ok, nell'attesa, ho riefettuato la scansione(sempre con VirusTotal). Ecco il link:

http://www.virustotal.com/it/analisis/55adbd0080052ddf40ba82bf8b6c2a74ee4717c3c1b4724af6eba5dc5a8b1883-1253283801
Chill-Out
18-09-2009, 16:30
Ok, nell'attesa, ho riefettuato la scansione(sempre con VirusTotal). Ecco il link:

http://www.virustotal.com/it/analisis/55adbd0080052ddf40ba82bf8b6c2a74ee4717c3c1b4724af6eba5dc5a8b1883-1253283801

Disinstalla questo software

c:\programmi\super video converter\videoconverter.exe

poi nuovo log di Prevx
|Ale|
18-09-2009, 17:31
Ho disinstalato.
Ho fatto la scansione con Prevx ma non riesco ad allegarti il log perchè è troppo grande. C'è un sito per comprimerlo tipo ParserLog?
wjmat
18-09-2009, 17:44
wikisend arriva fino a 100MB... penso bastino :D
in alternativa a quel software prova formatfactory
|Ale|
18-09-2009, 17:52
Ah già...wikisend..meno male che l'ho usato 2 giorni fa e me ne ero già scordato..andiamo bene:doh:

Ecco il log:
http://wikisend.com/download/570324/Prevx.txt
wjmat
18-09-2009, 18:03
devi aggiornare il sistema ma poi sembra tutto ok
|Ale|
18-09-2009, 18:15
Ok, grazie!
Pongo ancora 2 domandine..
-Ma è proprio necessario passare al service pack 3 e soprattutto a IE 8 dal momento che io utilizzo esclusivamente Firefox?

-Adesso posso disinstallare i software utilizzati per la disinfestazione? Io pensavo di tenere solo Malwarebites installato per fare una scansione ogni tanto. Gli altri li toglierei. Manterrei Antivir più un buon firewall (che devo scaricare).

-Ultima cosa: contemporaneamente alla disinfestazione di questo pc ho eseguito la procedura anche su un altro pc(portatile) che ha il problema di essere lentissimo. Sto eseguendo l'ultima scansione della procedura ma per ora è sempre lentissimo. Posso postare qui i log delle scansioni o devo aprire un altra discussione?
wjmat
18-09-2009, 18:29
nel trattamento post disinfezione trovi parte delle informazioni che cerchi

posta pure qui i log dell'altro pc
|Ale|
18-09-2009, 22:16
Rieccomi.
Scrivo per quanto riguarda la scansione dell'altro pc (il portatile). Ho detto che avrei postato qui i logs ma c'è un imprevisto nel senso che ho provato 3 volte a fare la scansione con Gmer ma senza successo(il programma è lentissimo e si inchioda) e l'ultima volta che ho provato a scansionare mi ha mandato in crash il sistema..non risultava più nessun programma installato, non si aprivano più le risorse del computer, non si apriva nemmeno il Task Manager e mi usciva continuamente il messaggio di errore"Impossibile salvare tutti i dati del file...\...\...I dati sono andati persi. La causa dell'errore potrebbe essere un errore hardware o della connessione di rete.Prova a salvare il file altrove". (Al posto dei puntini c'era la destinazione del file o cartella, che ad ogni avviso era diversa).
Ho provato a riavviare il pc e tutto è tornato "normale" o meglio come prima, fermo restando che continua ad essere terribilmente lento. Adesso però non mi sembra il caso di tentare un'altra scansione con Gmer.
Tutto questo a cosa può essere dovuto? Cosa posso fare?
Grazie
wjmat
19-09-2009, 08:29
Rieccomi.
Scrivo per quanto riguarda la scansione dell'altro pc (il portatile). Ho detto che avrei postato qui i logs ma c'è un imprevisto nel senso che ho provato 3 volte a fare la scansione con Gmer ma senza successo(il programma è lentissimo e si inchioda) e l'ultima volta che ho provato a scansionare mi ha mandato in crash il sistema..non risultava più nessun programma installato, non si aprivano più le risorse del computer, non si apriva nemmeno il Task Manager e mi usciva continuamente il messaggio di errore"Impossibile salvare tutti i dati del file...\...\...I dati sono andati persi. La causa dell'errore potrebbe essere un errore hardware o della connessione di rete.Prova a salvare il file altrove". (Al posto dei puntini c'era la destinazione del file o cartella, che ad ogni avviso era diversa).
Ho provato a riavviare il pc e tutto è tornato "normale" o meglio come prima, fermo restando che continua ad essere terribilmente lento. Adesso però non mi sembra il caso di tentare un'altra scansione con Gmer.
Tutto questo a cosa può essere dovuto? Cosa posso fare?
Grazie
ciao

probabilmente una incompatibilità, salta gmer e porta al termine la guida
|Ale|
19-09-2009, 12:47
Ok, fatto.
Ho saltato Gmer. Ecco i logs delle altre scansioni:

http://wikisend.com/download/435532/mbam-log-2009-09-15 (12-03-49)_malwarebites.txt
http://wikisend.com/download/228200/a2scan_090915-133417_A Squared Free.txt
http://wikisend.com/download/617684/Online Scanner - Scanning Report - Tuesday, September 15, 2009 175338_F Secure.txt
http://wikisend.com/download/552912/cureit filtrato.txt
http://wikisend.com/download/441418/SysInspector-PRIVATO-2D9DA38-090916-1142.xml
http://wikisend.com/download/525130/hijackthis.txt
http://wikisend.com/download/887454/Prevx.txt
http://wikisend.com/download/600568/Monitor Prevx.jpg (immagine dell'interfaccia di Prevx)
wjmat
19-09-2009, 13:26
manca il firewall ma è tutto ok
|Ale|
19-09-2009, 15:24
beh già questa è una buona notizia, però il pc continua ad essere lentissimo sia a livello di programmi, sia in internet (ad esempio:sto scaricando il firewall, di circa 38 mb, da 15 minuti e non è neanche al 50%). La connessione è a 2 mb ma normalmente un file di queste dimensioni ci mette 2 minuti a scaricarlo..
Dato per certo quindi che non si tratta di un virus, cosa potrebbe essere? Di spazio libero ce n'è (circa 14 Gb) per fare lavorare i programmi. Ho fatto anche una deframmentazione ma il problema rimane,non saprei cos'altro fare..
|Ale|
19-09-2009, 17:59
Aggiungo una cosa: ho provato ad utilizzare il pc in modalità provvisoria per vedere se fosse stato comunque lento. E' un po' più veloce nella modalità provvisoria rispetto alla modalità normale, soprattutto per quanto riguarda l'utilizzo dei programmi.
Sapete darmi qualche aiuto?
Ps: se devo aprire un altro post, visto che l'argomento del titolo è cambiato, ditemelo!
Grazie
wjmat
20-09-2009, 02:33
fai eventualmente un controllo del disco ( ScanDisk / chkdsk ) (http://www.hwupgrade.it/forum/showpost.php?p=24113158&postcount=22)
e prova a rimuovere altri autostart
|Ale|
21-09-2009, 12:00
Ok, proverò a fare uno scan..