è un virus o qualcosa del genere??
Praticamente lo trovo in tante cartelle, con l'icona del winrar, e come file nascosto...ogni volta lo elimino, ma si ricrea :confused:

me lo mandi a [email protected] che lo analizzo? ;)

Ok, te lo mando tra un secondo (il tempo di cercarne un altro sull'HD, che gli altri li ho cancellati :D ;) )

tnx :)

mandato, c'è voluto poco a trovarne un altro, è dappertutto, ed ho notato che si crea soprattutto nelle cartelle delle foto , tipo Immagini o altre cartelle

In attesa della tua risposta, faccio una bella scansione con Norton .........

avevo qualche dubbio, ora ne sono sicuro :)

É il gobot :)

É un trojan/backdoor IRC. Si connette automaticamente ad un server IRC in attesa di comandi da un attacker remoto.

Per rimuoverlo fai così (non è facile individuare il processo colpevole perché ha un nome random)

1) guarda attraverso REGEDIT alla locazione HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run se c'è qualche richiamo ad un file con un nome strano sotto Windows

2) se lo trovi prima scrivi qui e poi ti dico se è quello oppure no :D

Come eliminarlo??
Ecco spiegato il perchè della lentezza del PC in alcune occasioni :p

Edit,
ok ora faccio uno screen

we, scusa un attimo, devo fare una cosa, ti posto lo screen tra qualche minuto, tu sei sempre qui, vero??:D

Originariamente inviato da fabiannit
tu sei sempre qui, vero??:D

se Dio vuole...... :D

precisamente controlla se sotto quella chiave del registro c'è la voce "CTRL"="C:\WINDOWS\<nomerandomdelfile>.exe"

Se c'è, cancelllala, poi termina il processo con quel nome dal task manager e cancella il file in oggetto dalla cartella windows :)

Ho inviato lo screen via mail, all'indirizzo di prima...

se mi fai un log con il programma HiJackThis è meglio :)

Eccolo, dovevo fare cosi vero???

LOG:
_______________________
Logfile of HijackThis v1.98.2
Scan saved at 22.27.53, on 13/08/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\eDonkey2000\edonkey2000.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Daniel Podobinski\Documenti\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gfzone.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programmi\NewDotNet\newdotnet6_30.dll
O2 - BHO: C:\WINDOWS\lbbho.dll - {ACECB48B-9653-47EB-8B88-AE760E2AAAA7} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Alice - {F2306D51-C28E-4D26-9026-DC6E19A62910} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'osmim.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB064838-E71F-489B-92C7-81E26F05D76D}: NameServer = 80.21.163.20 151.99.125.1

___________________________

C:\WINDOWS\System32\wuauclt.exe questo?

in genere il gaobot si annida sul system 32..

Ciao,

cerca questa: C:\WINDOWS\lbbho.dll e uccidila, cancellala, falla sparire.

Secondo me dovresti cancellare anche la cartella

C:\Programmi\NewDotNet

e

C:\Programmi\MyWay

poi fissa con hijackthis queste voci:


O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programmi\NewDotNet\newdotnet6

O2 - BHO: C:\WINDOWS\lbbho.dll - {ACECB48B-9653-47EB-8B88-AE760E2AAAA7} - C:\WINDOWS\lbbho.dll

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.b

O10 - Hijacked Internet access by New.Net

O10 - Broken Internet access because of LSP provider 'osmim.dll' missing

Fatto questo, Aggiorna Internet explorer con windows update.

Naturalmente come al solito cancella tutti i temp e i temp di internet e disattiva il system restore.

Eventualmente dopo, posta un nuovo log di Hijackthis... potrebbe essermi sfuggito qualcosa

Originariamente inviato da zerothehero
C:\WINDOWS\System32\wuauclt.exe questo?

in genere il gaobot si annida sul system 32..

Ciao,

wuauclt.exe dovrebbe essere il windows update legittimo...

Se ricordo bene il gaobot generava una voce molto simile...

Trovato con google, il gaobot era "wauclt.exe" come vedi i maledetti le studiano tutte per fregarci! :cry:

Originariamente inviato da wgator
Ciao,

Secondo me dovresti cancellare anche la cartella

C:\Programmi\NewDotNet



Sì sì, NewDotNet è robaccia (l'ho tolto proprio ieri :D)

Originariamente inviato da wgator
Ciao,

cerca questa: C:\WINDOWS\lbbho.dll e uccidila, cancellala, falla sparire.

Secondo me dovresti cancellare anche la cartella

C:\Programmi\NewDotNet

e

C:\Programmi\MyWay

poi fissa con hijackthis queste voci:


O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programmi\NewDotNet\newdotnet6

O2 - BHO: C:\WINDOWS\lbbho.dll - {ACECB48B-9653-47EB-8B88-AE760E2AAAA7} - C:\WINDOWS\lbbho.dll

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.b

O10 - Hijacked Internet access by New.Net

O10 - Broken Internet access because of LSP provider 'osmim.dll' missing

Fatto questo, Aggiorna Internet explorer con windows update.

Naturalmente come al solito cancella tutti i temp e i temp di internet e disattiva il system restore.

Eventualmente dopo, posta un nuovo log di Hijackthis... potrebbe essermi sfuggito qualcosa

Grazie,
Fatto tutto, ora faccio l'update

fabiannit scusa :D

ieri sera sono crollato dal sonno e stamattina sono uscito :D

cmq ci sono wgator e sifr che controllano alla perfezione :D :D :D

Per i files !Readme.exe cancella tutti quelli che trovi, cmq non sei infetto da quello che posso vedere

Ciao

Eraser ;)

Originariamente inviato da eraser

cmq ci sono wgator e sifr che controllano alla perfezione :D :D :D

Eraser ;)


Ma così mi commuovo!!! :cry: :cry: :cry: :cry: :cry: :D

Grazie a tutti :D
Ma sti file che si ricreano ogni volta a cosa possono essere dovuti??
Anche prima che formattavo si creavano....