Utente indesiderato

[oedem]

ciao a tutti,
ultimamente ho notato una cosa molto anomala: se vado in
c:\documents and settings
mi escono tutte le cartelle degli utenti, ma anche una anomala, nominata EviGfqJNOcybZyTpzR

Visto che quest'utente non mi appare né all'avvio, né in "accout utenti", la scorsa volta provai ad eliminarla, riuscendoci senza problemi; ora però è riapparsa.

a cosa può essere dovuto?

[tutmosi3]

Cosa contiene?
Hai fatto una scansione con antivirus aggiornato e antispyware aggiornato?
Ciao

[12379]

E' comparso anche a me ma con un nome diverso:iQek ho provato a rimuoverlo ma non posso inquanto l'ACCESSO è NEGATO
Che fare?

[oedem]

Quote:

Originariamente inviato da tutmosi3

Cosa contiene?
Hai fatto una scansione con antivirus aggiornato e antispyware aggiornato?
Ciao

allora la cartella è grande 1,28 MB e contiene le seguenti sottocartelle:
- desktop, preferiti e documenti vuote
- cookies con un file index.dat
- menù avvio con collegamenti a blocco note, assistenza remota etc

ma tra le cartelle nascoste c'è la cartella "Impostazioni Locali" che è grande 0,99MB

la scansione della cartella non mi rileva nessun virus

ora provo uno scan sia con Nod32 che con spybot in mod provvisoria

[12379]

La mia cartella invece è 610 k e contiene
- desktop, preferiti e documenti vuote
- cookies con un file index.dat
- menù avvio con collegamenti a blocco note, assistenza remota etc

[oedem]

Quote:

Originariamente inviato da tutmosi3

Cosa contiene?
Hai fatto una scansione con antivirus aggiornato e antispyware aggiornato?
Ciao

ho fatto la scansione con Nod32 e spybot in mod provvisoria; il primo non mi ha rilevato nulla, il secondo solo 2 cookies.

ed ora che devo fare?

[tutmosi3]

Io farei anche un giretto con Ewido ed una scansione online con Kaspersky, tanto è gratuita.
Ma non solo di quella cartella, dell'intero sistema.
Ciao

[oedem]

Quote:

Originariamente inviato da tutmosi3

Io farei anche un giretto con Ewido ed una scansione online con Kaspersky, tanto è gratuita.
Ma non solo di quella cartella, dell'intero sistema.
Ciao

le scansioni le ho fatte dell'intero sistema; solo la prima volta ho fatto una scansione veloce della cartella con nod32

[tutmosi3]

Quote:

Originariamente inviato da oedem

le scansioni le ho fatte dell'intero sistema; solo la prima volta ho fatto una scansione veloce della cartella con nod32

Ok.
Procedi con Ewido e la scansione online.
Ciao

[oedem]

Quote:

Originariamente inviato da tutmosi3

Ok.
Procedi con Ewido e la scansione online.
Ciao

ewido in mod provvisoria o normale?

[tutmosi3]

La scansione onlie è meglio farla dalla modalità normale.
La scansione con Ewido la puoi fare dalla modalità provvisoria.
Ciao

[12379]

Sto seguendo amche io tutte queste istruzioni visto che ho lo stesso problema.
Ho fatto la scansione con KASPERSKY che mi ha rilevato dei troyan, ora come li rimuovo?

[tutmosi3]

Quote:

Originariamente inviato da 12379

Sto seguendo amche io tutte queste istruzioni visto che ho lo stesso problema.
Ho fatto la scansione con KASPERSKY che mi ha rilevato dei troyan, ora come li rimuovo?

Iniziando con il dirci il nome di cos'hai trovato.
Ciao

[12379]

Ho trovato:
Trojan-Downloader.Win32.Small.cuu
Mail-infected-1
Trojan-Spy.Win32.BZub.fm
Trojan-Spy.Win32.BZub.fm

Guardando nel percorso ho notato che la prima è una email salvata nei documenti.
Gli ultimi due sono uguali e si trovano in C:\windows\not2j22b.exe
Che fare?

[tutmosi3]

Qualcuno di questi fa riferimento alla cartella C:\WINDOWS?

EDIT

Ho letto ora che sono in Windows.

Ciao

[12379]

Quote:

Originariamente inviato da tutmosi3

Qualcuno di questi fa riferimento alla cartella C:\WINDOWS?

EDIT

Ho letto ora che sono in Windows.

Ciao

Si gli ultimi due stanno in C:\windows\not2j22b.exe ed andando a vedere nel percorso ho notato che ha un'icona bianca con un pallino rosso

[tutmosi3]

Adesso non ho molto tempo.
Spero di poterti dedicare un po' di tempo domani.
Intanto inizia laggere http://original.avira.com/it/threats...A_details.html
Ciao

[oedem]

Quote:

Originariamente inviato da tutmosi3

Adesso non ho molto tempo.
Spero di poterti dedicare un po' di tempo domani.
Intanto inizia laggere http://original.avira.com/it/threats...A_details.html
Ciao

ciao,
ho fatto la scansione con ewido (rilevati 4 trojan eliminati) ed ora sto finendo la scansione online.

anticipandomi ho letto il link che hai dato a 12379, però non ci sono istruzioni su come eliminarlo. sta scritto solo come funziona questo trojan.

e se si eliminasse manualmente il file?

dicci solo questo e poi ti lasciamo in pace (però fino a domani )

[12379]

Quote:

Originariamente inviato da tutmosi3

Adesso non ho molto tempo.
Spero di poterti dedicare un po' di tempo domani.
Intanto inizia laggere http://original.avira.com/it/threats...A_details.html
Ciao

Ho letto il link ed ho rimosso il file manualmente ma nel registro invece di essersi aggiunta la voce:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load]

si è aggiunta la voce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load1

e non sapendo se fosse o no uguale non ho toccato nulla.

Ho rifatto la scansione e questa volta mi ha rilevato 3 troyan

C:\System Volume Information\_restore{5BB413BC-2308-44E4-970F-6ABCE65802BC}\RP7\A0002011.dll Infected: Trojan-Spy.Win32.BZub.fm

C:\System Volume Information\_restore{5BB413BC-2308-44E4-970F-6ABCE65802BC}\RP8\A0002022.exe Infected: Trojan-Spy.Win32.BZub.fm

C:\System Volume Information\_restore{5BB413BC-2308-44E4-970F-6ABCE65802BC}\RP8\A0002023.exe Infected: Trojan-Spy.Win32.BZub.fm

Aspetto una tua risposta, grazie e scusa per l'insistenza

[oedem]

ho finito la scansione e, oltre ad avermi rilevato un virus in un file compresso che ho eliminato, mi ha rilevato questo:

C:\System Volume Information\_restore{C3EF0698-0F0C-4D5C-AB1B-28AA126611CF}\RP10\A0000737.exe Infected: Packed.Win32.PolyCrypt.a skipped

C:\System Volume Information\_restore{C3EF0698-0F0C-4D5C-AB1B-28AA126611CF}\RP10\change.log Object is locked skipped

C:\WINDOWS\23816361123.exe Infected: Packed.Win32.PolyCrypt.a skipped

ora il file in c:\windows l'ho eliminato manualmente, devo fare altro?

da quel sito che hai postato ho anche trovato queste informazioni:
http://original.avira.com/en/threats...Klone_b_1.html


EDIT: ho provato a cancellare quella cartella relativa all'utente indesiderato, ho riavviato ma è comparsa nuovamente. il problema quindi persiste

EDIT2: ho rifatto una scansione semplicemente alle cartelle windows e System Volume Information per vedere se si fosse ricreato lo stesso trojan e non mi ha rilevato nulla. però l'utente indesiderato persiste