|
|||||||
|
|
|
 |
|
|
Strumenti |
21-11-2007, 22:30
|
#1 |
|
Senior Member
Iscritto dal: May 2001
Città: Prov. di Alessandria
Messaggi: 1842
|
[risolto][win2000 SP4] aa.exe
Ciao a tutti
In Kerio mi son trovato questo file c:\aa.exe con protocollo UDP Non sapendo cos'era ho cercato su internet e dovrebbe essere una variante di un trojan pero' non riesco a trovare il file che lo attiva, nel task manager non c'e' nulla di anomalo e in hijackthis non sembra esserci nulla di strano ( o cmq non i classici RUN...) Ma è davvero un trojan? altrimenti cos'e'? Grassie
__________________
PC1: p4 2400bus 800/ IC7 / 1GB ddr 400 / XFX 7600GT 256mb DDR3 / Maxtor 60gb /ali 400w/ Hitachi 174sxw PC2: p3 700 / BE6 / 512 sdr / POV MX2 400 /Quantum 20gb/Philips 107e/ alice 640 PC3: Acer TM292ELC Celeron M 1,3ghz / 256 ddr / Intel Extreme2 / Hd 40 gb / Combo DvD-CD / lcd 15" |
|
|
|
21-11-2007, 22:43
|
#2 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Segui questa guida http://www.hwupgrade.it/forum/showthread.php?t=1599737
per fare un analisi preliminare del problema, rimaniamo in attesa dei log secondo le modalità indicate, ciao.
__________________
Try again and you will be luckier.
|
|
|
|
|
21-11-2007, 23:36
|
#3 | |
|
Bannato
Iscritto dal: Jul 2007
Città: Riverside House
Messaggi: 3333
|
Quote:
● disattiva il Ripristino configurazione di sistema ● scarica ed installa FILE ASSASSIN: clicca qui per il download ● trascina il file da cancellare in corrispondenza della casella bianca ● verifica che l'opzione Delete file sia spuntata ● premi Execute ● Riavvia e segnala se hai risolto il problema. Ultima modifica di Riverside : 21-11-2007 alle 23:40. |
|
|
|
|
|
22-11-2007, 07:30
|
#4 |
|
Senior Member
Iscritto dal: May 2001
Città: Prov. di Alessandria
Messaggi: 1842
|
Ciao
Prevx CSI trova appunto c:/aa.exe che è un backdoor.1053.A Fine assassin potrebbe esere una soluzione ma devo capire come si chiama realmente il file perchè aa.exe non si trova da nessuna parte Hijackthis credo sia pulito Codice:
Logfile of HijackThis v1.98.0
Scan saved at 8.39.09, on 22/11/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\giuliano\Desktop\PREVXCSIFREE.EXE
C:\Temp\Tmp___6634\prevxcsi.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\hjthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 64.71.141.137:1813
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O8 - Extra context menu item: Download using Download &Express - file://C:\Programmi\Download Express\Add_Url.htm
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/ca..._2.3.6.108.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-48.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C7A28E3-CC08-494E-BA37-96B31C2A6808}: NameServer = 85.37.17.41 85.38.28.83
__________________
PC1: p4 2400bus 800/ IC7 / 1GB ddr 400 / XFX 7600GT 256mb DDR3 / Maxtor 60gb /ali 400w/ Hitachi 174sxw PC2: p3 700 / BE6 / 512 sdr / POV MX2 400 /Quantum 20gb/Philips 107e/ alice 640 PC3: Acer TM292ELC Celeron M 1,3ghz / 256 ddr / Intel Extreme2 / Hd 40 gb / Combo DvD-CD / lcd 15" Ultima modifica di xcdegasp : 22-11-2007 alle 23:13. |
|
|
|
|
22-11-2007, 07:35
|
#5 |
|
Senior Member
Iscritto dal: Aug 2007
Città: Lucca Sesso: FEMMINA
Messaggi: 2495
|
GiulioM sei invitato a leggere le regole di sezione in merito a come allegare/postare i log richiesti.
Modifica quindi il tuo post precedente applicando le regole, altrimenti nessuno potrà darti assistenza. Controlla che il log sia completo, perchè mi sembra che manchino delle voci. Inoltre vorremmo vedere anche gli altri log (PreVxCSI,A-Squared ecc..) |
|
|
|
|
22-11-2007, 08:19
|
#6 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Oltre a quello che ti ha indicato Gle89 ti invito ad usare la versione più recente di HijackThis
Download: http://www.trendsecure.com/portal/en...HiJackThis.exe
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 22-11-2007 alle 08:22. |
|
|
|
|
22-11-2007, 08:20
|
#7 | |
|
Senior Member
Iscritto dal: Aug 2007
Città: Lucca Sesso: FEMMINA
Messaggi: 2495
|
Quote:
|
|
|
|
|
|
22-11-2007, 10:06
|
#8 |
|
Senior Member
Iscritto dal: May 2001
Città: Prov. di Alessandria
Messaggi: 1842
|
Ciao
Ecco lo scan nuovo di hijackthis, in effetti la versione era vecchia e non vedeva quel file Codice:
Logfile of HijackThis v1.99.1
Scan saved at 9.10.31, on 22/11/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AVG Anti-Spyware 7.5\guard.exe
d:\AVG7\avgamsvr.exe
d:\AVG7\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\RUNDLL32.EXE
D:\AVG7\avgcc.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Miranda IM\miranda32.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\hjthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 64.71.141.137:1813
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] d:\AVG7\avgcc.exe /STARTUP
O8 - Extra context menu item: Download using Download &Express - file://C:\Programmi\Download Express\Add_Url.htm
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/ca..._2.3.6.108.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-48.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C7A28E3-CC08-494E-BA37-96B31C2A6808}: NameServer = 85.37.17.41 85.38.28.83
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - d:\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - d:\AVG7\avgupsvc.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: netpker - Unknown owner - c:\aa.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programmi\Sunbelt Software\Personal Firewall\kpf4ss.exe
__________________
PC1: p4 2400bus 800/ IC7 / 1GB ddr 400 / XFX 7600GT 256mb DDR3 / Maxtor 60gb /ali 400w/ Hitachi 174sxw PC2: p3 700 / BE6 / 512 sdr / POV MX2 400 /Quantum 20gb/Philips 107e/ alice 640 PC3: Acer TM292ELC Celeron M 1,3ghz / 256 ddr / Intel Extreme2 / Hd 40 gb / Combo DvD-CD / lcd 15" Ultima modifica di xcdegasp : 22-11-2007 alle 23:14. |
|
|
|
|
22-11-2007, 10:07
|
#9 |
|
Senior Member
Iscritto dal: May 2001
Città: Prov. di Alessandria
Messaggi: 1842
|
Questo A2scan
a-squared Free - Version 3.0 Last update: 22/11/2007 9.17.10 Impostazioni scansione: Oggetti: Memoria, Tracce, Cookies, C:\, D:\, E:\ Archivio scansioni: On Scientifico: On ADS Scan: On Scansione avviata: 22/11/2007 9.17.29 C:\Documents and Settings\giuliano\Cookies\giuliano@adserver.filefront[2].txt rilevati: Trace.TrackingCookie C:\Documents and Settings\giuliano\Cookies\giuliano@atdmt[1].txt rilevati: Trace.TrackingCookie C:\Documents and Settings\giuliano\Cookies\giuliano@cgi-bin[1].txt rilevati: Trace.TrackingCookie C:\Documents and Settings\giuliano\Cookies\giuliano@community.godsandheroes[1].txt rilevati: Trace.TrackingCookie C:\Documents and Settings\giuliano\Cookies\giuliano@doubleclick[1].txt rilevati: Trace.TrackingCookie C:\Documents and Settings\giuliano\Cookies\giuliano@gamespyid[2].txt rilevati: Trace.TrackingCookie C:\Documents and Settings\giuliano\Cookies\giuliano@gamespy[1].txt rilevati: Trace.TrackingCookie C:\Documents and Settings\giuliano\Cookies\giuliano@media.intelia[2].txt rilevati: Trace.TrackingCookie C:\Documents and Settings\giuliano\Cookies\giuliano@media.sensis.com[2].txt rilevati: Trace.TrackingCookie C:\Documents and Settings\giuliano\Cookies\giuliano@mediaonenetwork[1].txt rilevati: Trace.TrackingCookie C:\Documents and Settings\giuliano\Cookies\giuliano@mediaplex[1].txt rilevati: Trace.TrackingCookie C:\Documents and Settings\giuliano\Cookies\giuliano@mediaworld[1].txt rilevati: Trace.TrackingCookie C:\Documents and Settings\giuliano\Cookies\giuliano@tradedoubler[2].txt rilevati: Trace.TrackingCookie C:\Documents and Settings\giuliano\Cookies\giuliano@tripod[1].txt rilevati: Trace.TrackingCookie C:\Documents and Settings\giuliano\Desktop\radmin22.zip/RADMIN22.EXE rilevati: Riskware.RemoteAdmin.Win32.RAdmin.22 E:\mIRC\mirc.exe rilevati: Riskware.Client-IRC.Win32.mIRC.61 Scansionati Files: 98195 Tracce: 211357 Cookies: 313 Processi: 26 Rilevato Files: 2 Tracce: 0 Cookies: 14 Processi: 0 Chiavi registro: 0 Fine scansione: 22/11/2007 9.37.39 Tempo scansione: 0.20.10 Panda Antivirus (versione trial su internet) trova solo dei cookies
__________________
PC1: p4 2400bus 800/ IC7 / 1GB ddr 400 / XFX 7600GT 256mb DDR3 / Maxtor 60gb /ali 400w/ Hitachi 174sxw PC2: p3 700 / BE6 / 512 sdr / POV MX2 400 /Quantum 20gb/Philips 107e/ alice 640 PC3: Acer TM292ELC Celeron M 1,3ghz / 256 ddr / Intel Extreme2 / Hd 40 gb / Combo DvD-CD / lcd 15" |
|
|
|
|
22-11-2007, 10:53
|
#10 |
|
Senior Member
Iscritto dal: May 2001
Città: Prov. di Alessandria
Messaggi: 1842
|
Ciao
Ho risolto, dico come ho fatto che magari puo' essere di aiuto Con hijackthis ho eliminato la riga dove c'era il file aa.exe poi ho detto a file assassin dove si trovava il file anche se era invisibile, lui per fortuna all'avvio è riuscito a trovarlo e ad eliminarlo Questo trojan non è stato cmq rilevato da AVG e Panda, solo Prevx lo ha visto Già che ic sono, mi potete anche linkare una guida per Kerio? Grazie!
__________________
PC1: p4 2400bus 800/ IC7 / 1GB ddr 400 / XFX 7600GT 256mb DDR3 / Maxtor 60gb /ali 400w/ Hitachi 174sxw PC2: p3 700 / BE6 / 512 sdr / POV MX2 400 /Quantum 20gb/Philips 107e/ alice 640 PC3: Acer TM292ELC Celeron M 1,3ghz / 256 ddr / Intel Extreme2 / Hd 40 gb / Combo DvD-CD / lcd 15" |
|
|
|
|
22-11-2007, 13:28
|
#11 |
|
Senior Member
Iscritto dal: Aug 2007
Città: Lucca Sesso: FEMMINA
Messaggi: 2495
|
Sia io che Chill Out ti avevamo segnalato che dovevi modificare il tuo post con i log e allegare i log in maniera da rispettare le regole di sezione e tu non hai fatto ne l'uno ne l'altro.
 Mah... Ad ogni modo MOD METTI IL TAG RISOLTO |
|
|
|
|
22-11-2007, 14:22
|
#12 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27479
|
assassin crea un backup quando svolge la rimozione di un file?
incaso affermativo mi interesserebbe riceverlo 
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
|
|
|
22-11-2007, 23:16
|
#13 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27479
|
@ GiulioM: la prossima volta attieniti alle regole di sezione per incolare i log
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
|
|
|
23-11-2007, 11:26
|
#14 |
|
Senior Member
Iscritto dal: May 2001
Città: Prov. di Alessandria
Messaggi: 1842
|
Scusate
Avevo saltato il passaggio con le regole della sezione, è da un po' che non ho problemi col pc (almeno non da chiedere aiuto) e l'ultima volta queste regole non c'erano xcdegasp Mah, non so se c'e' il log, provo a controllare...in realtà non è comparsa nemmeno nessuna finestrella per dirmi che l'ha eliminato  Però il file in Kerio non c'e' piu' e prevx non trova piu' nullaPenso di averlo beccato proprio a causa di Kerio, mi piace come firewall ma spesso quando gioco online devo disattivarlo perchè non mi fa connettere ai server.....sicuramente mi sono fatto anche qualche giro su internet dimenticandomi che era disattivato Grazie e ciao
__________________
PC1: p4 2400bus 800/ IC7 / 1GB ddr 400 / XFX 7600GT 256mb DDR3 / Maxtor 60gb /ali 400w/ Hitachi 174sxw PC2: p3 700 / BE6 / 512 sdr / POV MX2 400 /Quantum 20gb/Philips 107e/ alice 640 PC3: Acer TM292ELC Celeron M 1,3ghz / 256 ddr / Intel Extreme2 / Hd 40 gb / Combo DvD-CD / lcd 15" |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 10:50.
