Allora.. ieri mi è successa una cosa stranissima..
mentre giocavo on line.. mi arriva un avviso del firewall..
niente.. mi è impazzito tutto.. ma evito per ora i dettagli..

Il problema è che mi sono trovato un processo.. che al 90 % non ho mai avuto prima.. wuamkop.exe ...
cercando tra tutti file nel pc.. non ho trovato niente!! ho fatto una scansione con spybot... ma nulla (tra l'altro mi ha trovato solo 3 cokiee traccianti.. niente di rilevante....

scansione antivirus.. niente anche in quella...
il problema è che non mi funzionano + correttamente le regole impostate nel firewall... e non capisco perchè :cry:

Allora.. ieri mi è successa una cosa stranissima..
mentre giocavo on line.. mi arriva un avviso del firewall..
niente.. mi è impazzito tutto.. ma evito per ora i dettagli..

Il problema è che mi sono trovato un processo.. che al 90 % non ho mai avuto prima.. wuamkop.exe ...
cercando tra tutti file nel pc.. non ho trovato niente!! ho fatto una scansione con spybot... ma nulla (tra l'altro mi ha trovato solo 3 cokiee traccianti.. niente di rilevante....

scansione antivirus.. niente anche in quella...
il problema è che non mi funzionano + correttamente le regole impostate nel firewall... e non capisco perchè :cry:
è un backdoor va eliminato immediatamente posta il logo di hijackthis che gli diamo un occhiata sicuramente ti ha lasciato altre stringhe infette ;)

Dove è installato sto exe?? Forse dalla cartella di installazione si riesce a capiredi più! Trovalo col cerca...

Edit..già detto...scusate(il log) :(
...Io farei anche uno scan on-line...

è un backdoor va eliminato immediatamente posta il logo di hijackthis che gli diamo un occhiata sicuramente ti ha lasciato altre stringhe infette ;)

Intanto grazie a tutti per le risposte celeri!!

poi.. :eek: ho fatto una scansione col programma della microsoft :eek:
e il processo è sparito!!!

(certo non canto vittoria.. ora provo a riavviare e vediamo...

ps dove prendo hjiack...ocome si chiama :D

Dove è installato sto exe?? Forse dalla cartella di installazione si riesce a capiredi più! Trovalo col cerca...

già cercato.. non si trova da nessuna parte!! (incredibile.. la prima volta che vedo una cosa del genere!)

si chiama hijackthis non ricordo la home fai una ricerca con google e di pochi kb poi fai una scansione e posta il log cosi diamo una controllata

intanto Il processo non c'è +!!
ecco il log

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\cFosSpeed\spd.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Razer\razertra.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Razer\razerofa.exe
C:\Programmi\Razer\razerhid.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\cFosSpeed\cFosSpeed.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\OPScan.exe
C:\Documents and Settings\fissoxnot\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.razerzone.com/diamondbackdriver.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [razertra] C:\Programmi\Razer\razertra.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programmi\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Programmi\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D3B49DB-96CD-44AB-87EB-5C47A4BD9693}: NameServer = 80.21.193.22 151.99.125.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programmi\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

(cosi pero mi son sputtanato!!! :D eh si.. ho il norton internet security..)

...Cosa è questo:"C:\Programmi\Razer\razerofa.exe"???

...Cosa è questo:"C:\Programmi\Razer\razerofa.exe"???
credo si riferisca al mouse! razer diamondback magma :cool:

;) intanto Il processo non c'è +!!
ecco il log

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\cFosSpeed\spd.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Razer\razertra.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Razer\razerofa.exe
C:\Programmi\Razer\razerhid.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\cFosSpeed\cFosSpeed.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\OPScan.exe
C:\Documents and Settings\fissoxnot\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.razerzone.com/diamondbackdriver.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [razertra] C:\Programmi\Razer\razertra.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programmi\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Programmi\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D3B49DB-96CD-44AB-87EB-5C47A4BD9693}: NameServer = 80.21.193.22 151.99.125.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programmi\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

(cosi pero mi son sputtanato!!! :D eh si.. ho il norton internet security..)
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programmi\cFosSpeed\spd.exe" -service (file missing) questa e da fixare
per quanto riguarda il razoe se è il modem bene se no fixa pure quella pe il resto tutto ok

(cosi pero mi son sputtanato!!! :D eh si.. ho il norton internet security..)
:doh: :doh: :nonsifa: :nonsifa: :asd: :asd:

credo si riferisca al mouse! razer diamondback magma :cool:
... ;) ...

O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programmi\cFosSpeed\spd.exe" -service (file missing) questa e da fixare

questo è un programmino per il ping!! (ANCORA DEVO vedere se funziona bene o meno.. ma sembra di si!)

........azzzzzzzz vi sono sfuggite queste due righe:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

relativo ad Alexa

........azzzzzzzz vi sono sfuggite queste due righe:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

relativo ad Alexa

cosa comportano??

perchè alexa trasmette al sito alexa.com gli indirizzi completi digitati che posso comprendere:

user name
password
indirizzi web non pubblici

non è uno spyware classico, ma tutti i programmi che collezionano queste informazioni violano la privacy dell'utente.

Ma come si fa a evitare di prendere questo virus? In un vecchio computer con win2000 lo becca sempre e gli antivirus non lo trovano!
Dopo il contagio ho provato a fare dei controlli con alcuni antivirus
1)NOD32
2)AVG
3)Avast!
Il primo ha stoppato il virus all'avvio, ma il file era ancora nella cartella Windows/system32, ma nessuno degli antivirus lo ha identificato come virus e eliminato, solo il primo (NOD32) ha detto, dopo la scansione approfondita che era un file sospetto e di inviarglielo per e-mail

Tra l'altro il pc è stato infettato solo navigando, cosa si può fare per evitare di farsi contagiare da questo trojan che a quanto pare è molto pericoloso?
Ma poi si prende solo con win2000?
Grazie per l'aiuto!

Qualcuno mi può aiutare per favore? In questo momento ho il pc bloccato e non so che cosa fare...
Grazie

Ma come si fa a evitare di prendere questo virus? In un vecchio computer con win2000 lo becca sempre e gli antivirus non lo trovano!
Dopo il contagio ho provato a fare dei controlli con alcuni antivirus
1)NOD32
2)AVG
3)Avast!
Il primo ha stoppato il virus all'avvio, ma il file era ancora nella cartella Windows/system32, ma nessuno degli antivirus lo ha identificato come virus e eliminato, solo il primo (NOD32) ha detto, dopo la scansione approfondita che era un file sospetto e di inviarglielo per e-mail

Tra l'altro il pc è stato infettato solo navigando, cosa si può fare per evitare di farsi contagiare da questo trojan che a quanto pare è molto pericoloso?
Ma poi si prende solo con win2000?
Grazie per l'aiuto!



Firewall?

A quanto pare wuamkop è segno di una variante di Agobot/Sdbot (sfrutta falle di windows su sistemi non patchati) e che è una bella bestia da rimuovere.
Allora.... facciamo uno stop su quanto abbiamo fatto finora.
Riprendiamo da capo in maniera più sistematica.
Riapri un 3ad nuovo postando il problema e il log di hijackthis(completo questa volta).
Nel frattempo scarica wwdc.exe da qui http://www.firewallleaktester.com/wwdc.htm
e lancialo. Blocca tutte le porte che ti indica e poi fai un reboot.

Il firewall in realtà non c'è
Il fatto è che ho paura di configurarlo male e di peggiorare le cose, ora però sto vedendo.
Ma col firewall sono sicuro di non prendere questi trojan?
Intendo dire non può passare attrverso una delle porte che ho dovuto aprire per consentire l'uso con altri programmi?

A quanto pare wuamkop è segno di una variante di Agobot/Sdbot (sfrutta falle di windows su sistemi non patchati) e che è una bella bestia da rimuovere.
Allora.... facciamo uno stop su quanto abbiamo fatto finora.
Riprendiamo da capo in maniera più sistematica.
Riapri un 3ad nuovo postando il problema e il log di hijackthis(completo questa volta).
Nel frattempo scarica wwdc.exe da qui http://www.firewallleaktester.com/wwdc.htm
e lancialo. Blocca tutte le porte che ti indica e poi fai un reboot.
perchè aprire una nuova discussione?

perchè aprire una nuova discussione?

perchè non si capisce che cosa è stato fatto e che cosa non è stato fatto. :(

Non avrei problemi a formattare se è per questo, se con un firewall sono sicuro di non prendere nulla ok, ma quale è la patch di microsoft che dovrebbe sistemare la falla? Mi sembrava di aver fatto tutti gli aggiornamenti!

Ma come si fa a evitare di prendere questo virus? In un vecchio computer con win2000 lo becca sempre e gli antivirus non lo trovano!
Dopo il contagio ho provato a fare dei controlli con alcuni antivirus
1)NOD32
2)AVG
3)Avast!
Il primo ha stoppato il virus all'avvio, ma il file era ancora nella cartella Windows/system32, ma nessuno degli antivirus lo ha identificato come virus e eliminato, solo il primo (NOD32) ha detto, dopo la scansione approfondita che era un file sospetto e di inviarglielo per e-mail

Tra l'altro il pc è stato infettato solo navigando, cosa si può fare per evitare di farsi contagiare da questo trojan che a quanto pare è molto pericoloso?
Ma poi si prende solo con win2000?
Grazie per l'aiuto!

Ma che OS hai? Non certamente Windows2000. :confused:
Dal log di Hijackthis dovresti avere installato XP (o 98 o ME)

Non avrei problemi a formattare se è per questo, se con un firewall sono sicuro di non prendere nulla ok, ma quale è la patch di microsoft che dovrebbe sistemare la falla? Mi sembrava di aver fatto tutti gli aggiornamenti!
che SO hai?

Cmq ho trovato qualcosa con google e:
da mod prov:
cancella C:\WINDOWS\System32\wuamkop.exe
poi terminalo dal task (se c'è in mod prov se no da mod normale)
vedi se ci sono voci relative a questo sul log e fixale
Poi leggi qui (http://www.liutilities.com/products/wintaskspro/processlibrary/wuamkop/)

Nel pc infettato c'è win2000 perchè?
Quel log non è il mio, io col "cerca" ho trovato questa discussione e ho postato qui visto che il problema era lo stesso

Nel pc infettato c'è win2000 perchè?
perchè solo su xp sono presenti le patches per evitare il problema
Quel log non è il mio, io col "cerca" ho trovato questa discussione e ho postato qui visto che il problema era lo stesso
ops :ops:

Allora mi basta un firewall per stare sicuro?
I trojan non possono passare attraverso una delle porte che ho dovuto aprire per consentire l'uso con altri programmi?

Allora mi basta un firewall per stare sicuro?
I trojan non possono passare attraverso una delle porte che ho dovuto aprire per consentire l'uso con altri programmi?
dipende dai trojan ma penso che tutte le porte possano essere usate per entrare nel pc ma cmq il firewall dovrebbere rilvare il trafficosu tutte le porte e quindi la possibilità di impedirlo

Forza che ci siamo quasi.

Ragazzi ho anche io lo stesso problema. Lo ha rilevato qualche giorno fa AVG e da allora lo ribecco sempre. Ho provato a cancellare la chiave dal registro inutilmente. L'ho pure tolto da esecuzione automatica.

Collo scan di HijackThis ho trovato la chiave di wuamkop e le due chiavi segnalate nella pagina precedente di Alexa...

Le ho fixate tutte e 3. Adesso sono a posto?

Il file in questione è tornato. Però HijackThis non trova più chiavi sospette... Il file è introvabile nel disco fisso. Cosa fare?

Altra cosa che forse può essere utile: ieri ho fixato le 3 chiavi. Successivamente sentivo poco dopo l'avvio della macchina un suono di errore senza che però comparisse alcuna finestra. Stamani è ritornato il messaggio di AVG che chiedeva cosa fare. Come si fa adesso? Mi aiutate?

Vi posto l'ultimo log di HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 13.36.08, on 27/06/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
D:\Download\ZIP-EXEorig\EXEorig\Insetticidi\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.china.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programmi\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] ntfs.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

La riga da fixare è questa:

O4 - HKLM\..\RunServices: [Sygate Personal Firewall] ntfs.exe

e siccome è un servizio va stoppato il servizio e dichiarato disabilitato.

cancella il file ntfs.exe

Applica SP2 e tutte le patch Microsoft su XP e Explorer.

Explorer non lo adopero da un pezzo...
Ma il SP2 è proprio indispensabile???
Grazie.

Non trovo nè il file nè il relativo servizio.

A proposito: com'è il WinTasks 5 Professional? L'ho trovato girando su Google...

Explorer non lo adopero da un pezzo...
Ma il SP2 è proprio indispensabile???
Grazie.

IMHO è indispensabile come indispensabile è anche il firewall.

Fixa intanto la linea(se non l'hai già fatto).
Una ricerca nel registro di sistema per ntfs.exe sarebbe anche utile farla.

Trovato sotto Search Assistant\ACMru in una sottochiave strana: conteneva anche il wuamkop oltre a due strani elementi: cratelli e fogna.

Cratelli dovrebbe essere un allegato che mandato ad un amico; il nome completo è cratellienotiziestravaganti.txt, un allegato con cartelli (c'è un errore di battitura) e insegne ridicole (tipo: in questo negozio chiavi in 5 minuti e simili).

L'altro me ne vado per un'idea e potrebbe essere un Mp3 demenziale che ho scaricato dal sito di un cabarettista napoletano (spot dell'impresa di pulizie dei fratelli fogna).

Deve essere la cache della risorsa "Trova"; ho infatti adoperato la funzione per trovare questi file. Non sono riuscito a trovare altro. Posso continuare ma il file di registro lo conosco pochissimo...

Ho trovato una chiave ntfs.exe e l'ho rimossa. Ora mi fermo temo di poter fare danni...

Ho trovato una chiave ntfs.exe e l'ho rimossa. Ora mi fermo temo di poter fare danni...

Ok..vediamo se da altri problemi.
Ricordati di installare un firewall al più presto.

ciao

Explorer non lo adopero da un pezzo...
Ma il SP2 è proprio indispensabile???
Grazie.
certo che no;9
sai com'è alla microsoft non avevano nulla da fare per un annetto circa e per passarci il tempo hanno creato questa ciofeca che non fa altro che dare un punteggio più alto :muro: :muro: :muro: :muro:

Il SP1 mi creava parecchi problemi. Me ne risolveva alcuni indubbiamente ma alla fine ho preferito evitare di reinstallarlo. Ora il SP2 proviene dalla stessa fucina di software da sballo... non so se mi spiego.

Finquando si può evitare di installare roba io preferisco evitare di farlo. Per quanto mi riguarda più roba metti più aumenta il rischio di rogne. E alla Macrozozz farebbero meglio a impiegarlo in maniera più produttiva il loro tempo visto lo scarso livello dei loro prodotti (che, tralaltro, sono a pagamento).

Il SP1 mi creava parecchi problemi. Me ne risolveva alcuni indubbiamente ma alla fine ho preferito evitare di reinstallarlo. Ora il SP2 proviene dalla stessa fucina di software da sballo... non so se mi spiego.

Finquando si può evitare di installare roba io preferisco evitare di farlo. Per quanto mi riguarda più roba metti più aumenta il rischio di rogne. E alla Macrozozz farebbero meglio a impiegarlo in maniera più produttiva il loro tempo visto lo scarso livello dei loro prodotti (che, tralaltro, sono a pagamento).
oramai è indispensabile