Ciao,
ho notato che il mio pc, quanto mi connetto, invia kb su kb...
su regedit vi è:
windowsregkey upd4te2d4te (hycyhfcx.exe)

Sarà un virus?

Grazie
Ciao

i dati inviati devono essere sempre meno di quelli in arrivo , se è come dici tu ai sicuramente un virus .

Già...
c'è un rapporto kbyte ricevuti-inviati pari a 1:3 durante una normale navigazione.

Mi aiutare per favore?

Ho individuato il file .pf in windows,prefetch.

Mi è sospetto anche xpndis.exe (win32NDIS driver).

Fai una scansione con un antivirus serio
Poi passi con Adaware 6 o spybot Search e destroy
quindi eventualmente elimini a mano i programmini trovati .
Vai sul registo di windows e trova la voce run e runonce
e elimina manualmente tutti i programmini sospetti .

ho norton...
dove posso scaricae gli altri programmi?

registro di win intendi regedit? se elimino da li il file sospetto si ricrea sempre...anche se lo elimino da win->prefecht

xpndis.exe se non sbaglio è il worm SDBot, cmq per sicurezza mandamelo a fileanalysis@email.it ;)

ehm...cosa ti mando?
non lo trovo nel pc...lo vedo solo da regedit.

Originariamente inviato da Amd2+++
ehm...cosa ti mando?
non lo trovo nel pc...lo vedo solo da regedit.

mi correggo...è in win32 il .exe mentre il .pf è in prefetch.
Non riesco a mandartelo perchè mi va lento il pc...provo ad eliminarli manualmente.

i programmi vanno eliminati dal registro di windows e terminati dal task manager se sono in memoria . altrimenti si ricreano sempre .

Premi i tasti ctrl + alt + canc e apri il task manager
Vai su processi e elimini i programmi sospetti in esecuzione .
quindi elimini i file dal registro tramite regedit .

si, lo tolgo dal task manager, poi elimino il file dalla cartella e poi lo elimino dal registro.

Però, ad ogni riavvio hycyhfcx si ricrea ma non in un file .exe ma in documento di testo.

Ora, non c'è più xpndis.exe ma un altro file (nel registro c'è sempre "nome"NDIS) denominato lsass2.exe.

Ora è tutto ok, ma, ripeto, ad ogni riavvio si ricrea il problema.

Ora, all'improvviso, mi si è creato xwhenssv.exe...........NESSUNO SA' AIUTARMI?
Tutti questi file inviano qualcosa dal mio pc ogni volta che mi connetto.

mi si creano dei file simili a quelli di sistema tipo:
svxhost (SVCHOST)
lsass2 (LSASS)

proprio nessuno sa aiutarmi?:cry:

se non mi mandi sti files come t'aiuto? :D

Originariamente inviato da eraser
se non mi mandi sti files come t'aiuto? :D

Il virus vero e proprio non riesco ad individuarlo...posso mandarti gli .exe che crea...

Per caso in windows (winXP Home) c'è un file da qualche parte denominato UploadM?

ti ho mandato un .pf che mi ha appena creato.

i prefetch non servono :)

cavolo...non me ne crea...appena ne sforna uno te lo mando :D

Cancellino :D, ti ho mandato l'exe e il txt che mi crea ad ogni riavvio.
grazie ;)

up:(

Ciao,

ho letto tutto il thread ma non ho capito se hai messo in pratica tutte le ricette della nonna:

- Attivare la visualizzazione di file e cartelle nascoste
- Svuotare le cartelle temporanee di internet
- Cercare tutte le cartelle temp sul computer (ce ne sono un casino) col comando "start->cerca" e svuotarle senza pietà
- disattivare il ripristino della configurazione di emergenza
- riavviare in modalità provvisoria e da provvisoria fare la scansione con l'antivirus (aggiornato)... va bene anche il norton

Poi:

riavviare normalmente e fare una scansione on line con: http://it.trendmicro-europe.com/consumer/products/housecall_pre.php

Poi:

controllare per troian e spyware vari con la versione trial di spysweeper: http://www.spyware-removal.com/free-spyware-removal.html

Se non si aggiusta così... log di Hijackthis: http://www.majorgeeks.com/download3155.html

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Documents and Settings\Amato Stefano\Impostazioni locali\Temp\Directory temporanea 3 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Start Uppings] mssupdate.exe
O4 - HKLM\..\RunServices: [Windows Nets] WinNET.exe
O4 - HKLM\..\RunServices: [NDIS Adapter] lsass2.exe
O4 - HKLM\..\RunServices: [WindowsRegKey upd4te2d4te] hycyrhfcx.exe
O4 - HKLM\..\RunServices: [Microsoft Office] svxhost.exe
O4 - HKLM\..\RunServices: [winimage] wvsvc.exe
O4 - HKLM\..\RunServices: [Microsoft Windows] svch0st.exe
O4 - HKLM\..\RunServices: [Network Manager] vnuaron.exe
O4 - HKLM\..\RunServices: [sysPersonalFirewall] msnmsgr.exe
O4 - HKLM\..\RunServices: [Zonealarm] iexplore.exe
O4 - HKLM\..\RunServices: [Window Monitor] winmon32.exe
O4 - HKLM\..\RunServices: [AIM95 Startup] aim95.exe
O4 - HKLM\..\RunServices: [blahh service] msengine.exe
O4 - HKLM\..\RunServices: [Windows media service] crsss.exe
O4 - HKLM\..\RunServices: [start uploading] crsss.exe
O4 - HKLM\..\RunServices: [usbdrv] servicetask.exe
O4 - HKLM\..\RunServices: [Windows Media Player] msa.exe
O4 - HKLM\..\RunServices: [NvCplScan] msc32.exe
O4 - HKLM\..\RunOnce: [sysPersonalFirewall] msnmsgr.exe
O4 - HKLM\..\RunOnce: [Zonealarm] iexplore.exe
O4 - HKLM\..\RunOnce: [usbdrv] servicetask.exe
O4 - HKLM\..\RunOnce: [NDIS Adapter] lsass2.exe
O4 - HKLM\..\RunOnce: [NvCplScan] msc32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NDIS Adapter] lsass2.exe
O4 - HKCU\..\Run: [Start Uppings] mssupdate.exe
O4 - HKCU\..\Run: [sysPersonalFirewall] msnmsgr.exe
O4 - HKCU\..\Run: [Zonealarm] iexplore.exe
O4 - HKCU\..\Run: [usbdrv] servicetask.exe
O4 - HKCU\..\Run: [NvCplScan] msc32.exe
O4 - HKCU\..\RunServices: [Start Uppings] mssupdate.exe
O4 - HKCU\..\RunOnce: [sysPersonalFirewall] msnmsgr.exe
O4 - HKCU\..\RunOnce: [NDIS Adapter] lsass2.exe
O4 - HKCU\..\RunOnce: [NvCplScan] msc32.exe
O4 - HKCU\..\RunOnce: [usbdrv] servicetask.exe
O4 - HKCU\..\RunOnce: [Zonealarm] iexplore.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C294707E-3279-470F-9F8E-890B0E61D635}: NameServer = 213.230.128.222 213.230.129.94

Quei RUNONCE e RUNSERVICE sono gli .EXE che si creano.
Cmq ho installato ZoneAlarm e non mi danno problemi durante la navigazione però...meglio se lo tolgo anche perchè il pc è del babbo:D