|
|
|
|
Strumenti |
24-04-2007, 14:51 | #1 |
Member
Iscritto dal: Dec 2005
Città: Prov di Rovigo
Messaggi: 189
|
“” “” .exe
Ciao a tutti amici
Sono più di 10 anni che ho internet e devo confessare che in passato ho preso molti virus e trojan vari a causa del mio trascorso di pipp*r*l* DOC!! In questi giorni però ho beccato una strana bestia che non ho mai visto e mi lascio perplesso: ogni volta che accendo il computer il mio firewall (ZoneAlarm Pro) mi avvisa che il file “” “” (praticamente sono dei quadrettini tra virgolette) sta tentando di accedere a internet… La cosa ancora più strana è che appena clicco su properties per individuare la locazione di questo mi dice che è impossibile trovarlo perché la cartella potrebbe essere stata rimossa..(mi dice che è nella famigerata cartella Temp) Ho provato SpyBoot, scansioni con il mio antivirus (Kaspersky antivirus) e ad aware ma non trovano niente… Che mi consigliate??? Non rispondetemi di fare un bel format per favore =) Grazie a tutti per le risposte! |
24-04-2007, 15:24 | #2 | |
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22459
|
Quote:
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
25-04-2007, 09:43 | #3 |
Member
Iscritto dal: Dec 2005
Città: Prov di Rovigo
Messaggi: 189
|
Come consigliato posto il log:
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe c:\docume~1\puc\impost~1\temp\pjahai.egh C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programmi\ewido anti-malware\ewidoctrl.exe C:\WINDOWS\system32\cmd.exe C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\GSICON.EXE C:\WINDOWS\system32\dslagent.exe C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\Programmi\MessengerPlus! 3\MsgPlus.exe C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE C:\Programmi\Webroot\Spy Sweeper\SpySweeperUI.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe C:\Programmi\Webroot\Spy Sweeper\SSU.EXE C:\Programmi\Internet Explorer\iexplore.exe C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Documents and Settings\puc\Desktop\HiJackThis_v2.exe C:\Programmi\Internet Explorer\iexplore.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE O4 - HKLM\..\Run: [DSLAGENTEXE] "dslagent.exe" USB O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVPCC] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [PCSuiteTrayApplication] "C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" -onlytray O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [SpySweeper] "C:\Programmi\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSN Webcam Recorder] "C:\Programmi\MSN Webcam Recorder\ml20gui.exe" -silent O4 - HKCU\..\Run: [Creative Detector] "C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe" /R O4 - HKCU\..\Run: [PcSync] "C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1138640947525 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8D5C95D7-D400-4EBE-A950-3A24B486C972}: NameServer = 85.37.17.6 85.38.28.89 O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVP Control Centre Service (AVPCC) - Kaspersky Labs. - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe O23 - Service: KAV Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Sistema Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe Grazie a tutti |
25-04-2007, 12:06 | #4 |
Senior Member
Iscritto dal: Aug 2006
Città: Treviso
Messaggi: 13340
|
comunque ti consiglio di postare il log nel thread ufficiale di Hijackthis
http://www.hwupgrade.it/forum/showth...37676&page=276
__________________
NZXT H710 | RM650x | ASUS PRIME X670E-PRO WiFi | Ryzen 7 7800X3D | Corsair Vengeance CL36 DDR5 2x16 Gb 6000Mhz | RTX 4080 Super Gaming X Trio | SSD Crucial 128GB | SSD Crucial 240GB | Sabrent NVME 500Gb | Logitech G502 | Logitech G410 | Samsung Odissey G7 PS5 | STEAM | Vodafone FTTH 1000/200 |
25-04-2007, 13:10 | #5 |
Senior Member
Iscritto dal: Oct 2006
Città: Napoli
Messaggi: 2235
|
@ picea abies
Nel log c'è un file sospetto però è meglio postare nel 3d dei log, li sono + esperti |
26-04-2007, 12:52 | #6 | |
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3391
|
Scarica ccleaner e cancella i files temporanei.
Questo non l'ho mai visto: O4 - HKCU\..\Run: [MSN Webcam Recorder] "C:\Programmi\MSN Webcam Recorder\ml20gui.exe" -silent fai analizzare su virustotal questo file: C:\Programmi\MSN Webcam Recorder\ml20gui.exe ed inoltre noto un comportamento sospetto di cmd.exe in quanto vi sono vari processi... ribadisco: Quote:
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software Ultima modifica di Bugs Bunny : 26-04-2007 alle 12:57. |
|
26-04-2007, 14:49 | #7 |
Member
Iscritto dal: Dec 2005
Città: Prov di Rovigo
Messaggi: 189
|
Ciao Bugs
Intanto grazie per i tuoi utili consigli: ho scaricato i programmi che mi hai detto e stasera li provo (penso ke dovrò farlo in modalità provvisoria ovviamente). Però avrei bisogno di alcune precisazioni: C:\Programmi\MSN Webcam Recorder\ml20gui.exe è un famoso programma utilty per la web cam; mi dici di levarlo perchè può essere un veicolo di entrata di file sospetti oppure perchè il file ml20gui.exe non c'entra con il programma ed è lui stesso uno spyware? Hai notato un comportamento sospetto di cmd.exe e quindi che devo fare?? eliminarlo?? perchè ho letto che è un file essenziale di windows e non vorrei fare danni.. Grazie e scusa per il disturbo! |
26-04-2007, 15:07 | #8 | |
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22459
|
Quote:
scan con gmer
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
26-04-2007, 20:21 | #9 |
Member
Iscritto dal: Dec 2005
Città: Prov di Rovigo
Messaggi: 189
|
Ragazzi scusate la mia ignoranza
ho fatto andare gmer in modalità provvisoria: pensavo che mi dicesse automaticamente i processi e file sospetti mentre se non ho capito male mi elenca tutti i processi che girano nel mio computer: praticamente mi ha dato una lista enorme di processi ma dato che io nn sono esperto non so che processi siano utili o quali siano dannosi... che faccio?? Stesso vale rootkit unhooker anche se in modlità provvisoria non mi funziona perchè mi dice che gli manca un drive... quindi sono costretto a farlo girare in modalità normale. grazie e scusate ancora |
26-04-2007, 21:44 | #10 |
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3391
|
in gmer devi fargli fare la scansione nella scheda rootkit. se trova qualcosa viene scritto in rosso invece che in nero
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
27-04-2007, 08:24 | #11 |
Member
Iscritto dal: Dec 2005
Città: Prov di Rovigo
Messaggi: 189
|
ragazzi ieri notte ho scoperto una cosa interessante:
ho notato che quando accendo il mulo le varie utility che mi avete consigliato di installare mi avvisano che "qualcosa" sta tentando di caricare attraverso l'explorer delle web page dai nomi molto sospetti con tentativi (ovviamente bloccati) di modificare la memoria! grazie ancora per la vostra pazienza |
27-04-2007, 20:00 | #12 |
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22459
|
gmer trova niente di rosso?
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
27-04-2007, 21:35 | #13 |
Member
Iscritto dal: Dec 2005
Città: Prov di Rovigo
Messaggi: 189
|
Ciao wizard1993
allora gmer nonstante ripetute scansioni non ha trovato nulla di rosso. Una cosa importante è successa invece oggi pomeriggio dopo aver installato trend-micro anti spyware in esecuzione automatica: mi ha bloccato il crack di una versione di nero che avevo trovato sul mulo... Dopo aver eliminato questo maledetto crack che il trend micro aveva scovato mentre stava tentando di connettersi ad internet è successo che explorer non funzionava più... Dopo vari tentativi e aggiornamenti con il windows update sembri che explorer funzioni più velocemente di prima e che il computer sia leggermente più veloce ad aprire le cartelle ed i vari programmi (anche grazie al miracoloso ccleaner che ho installato) Ho provato a usare anche rootkit unhooker ma nemmeno questo nn mi ha dato nessna voce in rosso: altri consigli prima di pensare defintivamente al format?? Grazie a tutti per la vostra gentilezza e interesse |
28-04-2007, 18:28 | #14 | |
Senior Member
Iscritto dal: Aug 2006
Città: Treviso
Messaggi: 13340
|
Quote:
__________________
NZXT H710 | RM650x | ASUS PRIME X670E-PRO WiFi | Ryzen 7 7800X3D | Corsair Vengeance CL36 DDR5 2x16 Gb 6000Mhz | RTX 4080 Super Gaming X Trio | SSD Crucial 128GB | SSD Crucial 240GB | Sabrent NVME 500Gb | Logitech G502 | Logitech G410 | Samsung Odissey G7 PS5 | STEAM | Vodafone FTTH 1000/200 |
|
29-04-2007, 11:07 | #15 |
Member
Iscritto dal: Dec 2005
Città: Prov di Rovigo
Messaggi: 189
|
Ciao oasis
no il panda anti-rootkit non l'ho mai provato! ho scoperto un'altra cosa interessante: in modalità provvisoria non posso usare il pulsante per fare lo scan con gmer perchè non mi compare... tale pulsante appare solo in modalità normale che appunto non mi segnala nessuna voce in rosso sospetta.... io intanto incomincio a farmi le copie dei miei dati... grazie |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 08:48.