dominoes
30-09-2011, 12:14
Sono perseguitato da due file che si autoeseguono a ogni avvio. E' in realtà uno stesso file di 106 kB situato in "C:\Programmi\kihbflhq\slymhjsb.exe" e
in "C:\Documents and Settings\pc\Menu Avvio\Programmi\Esecuzione automatica\slymhjsb.exe".
Avviando il pc in modalità provvisoria con l'account da amministratore il secondo si colloca in "C:\Documents and Settings\Administrator\Menu Avvio\Programmi\Esecuzione automatica\slymhjsb.exe".
Nelle proprietà del file leggo che la descrizione è AntiVir Command Line Scanner for Windows e a quanto pare AntiVir® is a registered trademark of Avira GmbH, Germany. Ora, essendo questo un problemino che persiste da qualche mese e che avevo finora trascurato, visto che non ha apparentemente nessun effetto sul sistema, non riesco più a ricordare se ho o meno installato recentemente avira antivir. Non mi pare comunque un comportamento da innocuo antivirus. :muro:
Provando a eliminare manualmente i file ottengo il solito avviso 'file già in uso da un altro utente e programma'. In più per quello in C:\Programmi\kihbflhq mi si dice anche che è un file di sistema. Wholockme mi informa che a utilizzarli è firefox. In effetti è sempre presente nel taskmgr anche a browser chiuso una istanza di firefox.exe, terminandola è possibile eliminare i file in questione ma ricompaiono poco dopo. Una volta disinstallato firefox a occupare i file è iexplore.exe ossia il browser predefinito del momento.
Inoltre in varie directory più o meno sparse per il pc c'erano svariati file .exe con la medesima "icona" http://i56.tinypic.com/2yv8eie.jpg e con la stessa descrizione del suddetto slymhjsb.exe, di nome "nomeapplicazionemgr.exe". Ad esempio in C:\Programmi\Mozilla Firefox c'era firefoxmgr.exe, e nelle relative directories itunesmgr.exe, photoshopmgr.exe eccetera. Questi si sono lasciati eliminare senza problemi e non sono ricomparsi. In C:\WINDOWS abbiamo invece un explorermgr.exe il quale invece si ripresenta a ogni avvio ma anche lui si lascia eliminare senza problemi e pare sia inutilizzato.
Inoltre in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon la chiave Userinit ha valore "C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\Programmi\kihbflhq\slymhjsb.exe". Ogni volta che lo modifico a "C:\WINDOWS\SYSTEM32\Userinit.exe," esso ritorna immediatamente al valore "C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\Programmi\kihbflhq\slymhjsb.exe". Quindi immagino che qualcosa a monte rimodifichi in continuazione questa maledetta chiave di registro. Ho cercato slymhjsb.exe nel registro e ho trovato solo un altro risultato, HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^pc^Menu Avvio^Programmi^Esecuzione automatica^slymhjsb.exe che ho eliminato e che è sparito definitivamente.
Una scansione con PrevX ha individuato i file e le chiavi suddette e pare che questo slymhjsb.exe sia una variante di tale BKAVFIREWALLSERVICEMGR.EXE. Qui (http://info.prevx.com/aboutprogramtext.asp?Opt=C&AGENTPROFILE=CSIPLUS&MID=0da15bc5811daab27a057634693071ca0fcc5131b51515d0e39e66e0e47b7e36&CMD=appinfo&PX5=27D56464000C63E6A81401AAAC61B8008BDEF7C2&LIC=F09762B6-6342-4F2C-949E-26D6B91262B3&SFT=EDGE&HN=c6775196fc834c9&sessionID=4E09AEC3-BD77-45AA-A399-1DAD07E8F238) il link.
Ho provato con il fidato ComboFix circa un migliaio di volte ma il problema non si è risolto.
Allego il log di HiJackThis.
Le seguenti chiavi una volta fixate ritornano immediatamente:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\Programmi\kihbflhq\slymhjsb.exe
O4 - S-1-5-21-1454471165-2147107159-1177238915-1004 Startup: slymhjsb.exe (User '?')
O4 - Startup: slymhjsb.exe
in "C:\Documents and Settings\pc\Menu Avvio\Programmi\Esecuzione automatica\slymhjsb.exe".
Avviando il pc in modalità provvisoria con l'account da amministratore il secondo si colloca in "C:\Documents and Settings\Administrator\Menu Avvio\Programmi\Esecuzione automatica\slymhjsb.exe".
Nelle proprietà del file leggo che la descrizione è AntiVir Command Line Scanner for Windows e a quanto pare AntiVir® is a registered trademark of Avira GmbH, Germany. Ora, essendo questo un problemino che persiste da qualche mese e che avevo finora trascurato, visto che non ha apparentemente nessun effetto sul sistema, non riesco più a ricordare se ho o meno installato recentemente avira antivir. Non mi pare comunque un comportamento da innocuo antivirus. :muro:
Provando a eliminare manualmente i file ottengo il solito avviso 'file già in uso da un altro utente e programma'. In più per quello in C:\Programmi\kihbflhq mi si dice anche che è un file di sistema. Wholockme mi informa che a utilizzarli è firefox. In effetti è sempre presente nel taskmgr anche a browser chiuso una istanza di firefox.exe, terminandola è possibile eliminare i file in questione ma ricompaiono poco dopo. Una volta disinstallato firefox a occupare i file è iexplore.exe ossia il browser predefinito del momento.
Inoltre in varie directory più o meno sparse per il pc c'erano svariati file .exe con la medesima "icona" http://i56.tinypic.com/2yv8eie.jpg e con la stessa descrizione del suddetto slymhjsb.exe, di nome "nomeapplicazionemgr.exe". Ad esempio in C:\Programmi\Mozilla Firefox c'era firefoxmgr.exe, e nelle relative directories itunesmgr.exe, photoshopmgr.exe eccetera. Questi si sono lasciati eliminare senza problemi e non sono ricomparsi. In C:\WINDOWS abbiamo invece un explorermgr.exe il quale invece si ripresenta a ogni avvio ma anche lui si lascia eliminare senza problemi e pare sia inutilizzato.
Inoltre in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon la chiave Userinit ha valore "C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\Programmi\kihbflhq\slymhjsb.exe". Ogni volta che lo modifico a "C:\WINDOWS\SYSTEM32\Userinit.exe," esso ritorna immediatamente al valore "C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\Programmi\kihbflhq\slymhjsb.exe". Quindi immagino che qualcosa a monte rimodifichi in continuazione questa maledetta chiave di registro. Ho cercato slymhjsb.exe nel registro e ho trovato solo un altro risultato, HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^pc^Menu Avvio^Programmi^Esecuzione automatica^slymhjsb.exe che ho eliminato e che è sparito definitivamente.
Una scansione con PrevX ha individuato i file e le chiavi suddette e pare che questo slymhjsb.exe sia una variante di tale BKAVFIREWALLSERVICEMGR.EXE. Qui (http://info.prevx.com/aboutprogramtext.asp?Opt=C&AGENTPROFILE=CSIPLUS&MID=0da15bc5811daab27a057634693071ca0fcc5131b51515d0e39e66e0e47b7e36&CMD=appinfo&PX5=27D56464000C63E6A81401AAAC61B8008BDEF7C2&LIC=F09762B6-6342-4F2C-949E-26D6B91262B3&SFT=EDGE&HN=c6775196fc834c9&sessionID=4E09AEC3-BD77-45AA-A399-1DAD07E8F238) il link.
Ho provato con il fidato ComboFix circa un migliaio di volte ma il problema non si è risolto.
Allego il log di HiJackThis.
Le seguenti chiavi una volta fixate ritornano immediatamente:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\Programmi\kihbflhq\slymhjsb.exe
O4 - S-1-5-21-1454471165-2147107159-1177238915-1004 Startup: slymhjsb.exe (User '?')
O4 - Startup: slymhjsb.exe