Virus: compare finestra dos per un istante e poi...

[dj jack]

ragazzi confido nel vostro aiuto.

dunque, l'altro giorno ho aperto un eseguibile pericoloso (non sto a dirvi di che si travùttava). fatto sta che era il setup con nullsoft installer (già noto per questo tipo di problemi) di un virus.
ora ad ogni avvio compare per una frazione di secondo una finestra dos, dopodichè continuo a sentire a ripetizione il rumorino che fa risorse del computer ogni volta che apro una directory (o se preferite quello della navigazione di internet explorer.

controllando tutti i processi con ProcessExplorer di MIcrosoft e con altre utility non ho trovato nulla di strano ma..appena ho avviato AVAST per fare la scansione virus windows mi ha avvertito che cmd.exe aveva eseguito un'operazione non valida...
avete idea di che tipo di virus si possa trattare?

nelle chiavi di avvio del sistema non si trova nulla quindi penso che le elimini lui stesso all'avvio e le ricrei allo spegnimanto per non farsi trovare...

che fare?

[wizard1993]

Quote:

Originariamente inviato da dj jack

ragazzi confido nel vostro aiuto.

dunque, l'altro giorno ho aperto un eseguibile pericoloso (non sto a dirvi di che si travùttava). fatto sta che era il setup con nullsoft installer (già noto per questo tipo di problemi) di un virus.
ora ad ogni avvio compare per una frazione di secondo una finestra dos, dopodichè continuo a sentire a ripetizione il rumorino che fa risorse del computer ogni volta che apro una directory (o se preferite quello della navigazione di internet explorer.

controllando tutti i processi con ProcessExplorer di MIcrosoft e con altre utility non ho trovato nulla di strano ma..appena ho avviato AVAST per fare la scansione virus windows mi ha avvertito che cmd.exe aveva eseguito un'operazione non valida...
avete idea di che tipo di virus si possa trattare?

nelle chiavi di avvio del sistema non si trova nulla quindi penso che le elimini lui stesso all'avvio e le ricrei allo spegnimanto per non farsi trovare...

che fare?

ma una banalissima sputtanata di win non potrebbe essere?

[dj jack]

ne dubito, visto che tutto questo è successo dopo che ho lanciato quell'eseguibile...

[giannola]

Quote:

Originariamente inviato da dj jack

ragazzi confido nel vostro aiuto.

dunque, l'altro giorno ho aperto un eseguibile pericoloso (non sto a dirvi di che si travùttava). fatto sta che era il setup con nullsoft installer (già noto per questo tipo di problemi) di un virus.
ora ad ogni avvio compare per una frazione di secondo una finestra dos, dopodichè continuo a sentire a ripetizione il rumorino che fa risorse del computer ogni volta che apro una directory (o se preferite quello della navigazione di internet explorer.

controllando tutti i processi con ProcessExplorer di MIcrosoft e con altre utility non ho trovato nulla di strano ma..appena ho avviato AVAST per fare la scansione virus windows mi ha avvertito che cmd.exe aveva eseguito un'operazione non valida...
avete idea di che tipo di virus si possa trattare?

nelle chiavi di avvio del sistema non si trova nulla quindi penso che le elimini lui stesso all'avvio e le ricrei allo spegnimanto per non farsi trovare...

che fare?

scansione av online.

[dj jack]

dunque ho risolto tutto: nella cartella system32\spool si erano creati due eseguibili (cmd.exe e hp qualcosa.exe) che si spacciavano come tool della hp. in realtà il secondo partiva all'avvio e caricava il secondo come processo nascosto. ho eliminato hpeccecc.exe, poi (botta di c....) cmd.exe ha esewguito un'operazione non valida, quindi si è chiuso e ho potuto eliminare l'eseguibile dall'hdd...risultato?tutto risolto!!!

[giannola]

Quote:

Originariamente inviato da dj jack

dunque ho risolto tutto: nella cartella system32\spool si erano creati due eseguibili (cmd.exe e hp qualcosa.exe) che si spacciavano come tool della hp. in realtà il secondo partiva all'avvio e caricava il secondo come processo nascosto. ho eliminato hpeccecc.exe, poi (botta di c....) cmd.exe ha esewguito un'operazione non valida, quindi si è chiuso e ho potuto eliminare l'eseguibile dall'gdd...risultato?tutto risolto!!!

come li hai trovati ?

[wizard1993]

Quote:

Originariamente inviato da giannola

come li hai trovati ?

scommetto utilizzando la funzione di ricerca di winzoz; cmd.exe è in system32; poi il rest è andato logica

[dj jack]

No, cmd.exe non era in system32 perchè non era il prompt del dos ma un programma che tentava di spacciarsi copme tale, e per l'appunto era posizionato in system32\spool. Ho visto con un tool per individuare i processi nascosti che era partito da quella cartella, quindi l'ho trovato. L'altro eseguibile ho scoperto che era falso in quanto non presente nella medesima cartella di un altro computer dove avevo installato la stessa stampante,e miracolosamente da quando l'ho tolto il virus non è più ricomparso.

[wizard1993]

Quote:

Originariamente inviato da dj jack

No, cmd.exe non era in system32 perchè non era il prompt del dos ma un programma che tentava di spacciarsi copme tale, e per l'appunto era posizionato in system32\spool. Ho visto con un tool per individuare i processi nascosti che era partito da quella cartella, quindi l'ho trovato. L'altro eseguibile ho scoperto che era falso in quanto non presente nella medesima cartella di un altro computer dove avevo installato la stessa stampante,e miracolosamente da quando l'ho tolto il virus non è più ricomparso.

e che ti avevo detto

[dj jack]

cmd. exe nn era in sys32 e basta. sembrava volessi sminuire quello che ho fatto!

[wizard1993]

Quote:

Originariamente inviato da dj jack

sembrava volessi sminuire quello che ho fatto!

hai compreso male amico mio

[dj jack]

ok scusa!