“” “” .exe

[picea abies]

Ciao a tutti amici

Sono più di 10 anni che ho internet e devo confessare che in passato ho preso molti virus e trojan vari a causa del mio trascorso di pipp*r*l* DOC!!
In questi giorni però ho beccato una strana bestia che non ho mai visto e mi lascio perplesso:
ogni volta che accendo il computer il mio firewall (ZoneAlarm Pro) mi avvisa che il file “” “” (praticamente sono dei quadrettini tra virgolette) sta tentando di accedere a internet…
La cosa ancora più strana è che appena clicco su properties per individuare la locazione di questo mi dice che è impossibile trovarlo perché la cartella potrebbe essere stata rimossa..(mi dice che è nella famigerata cartella Temp)
Ho provato SpyBoot, scansioni con il mio antivirus (Kaspersky antivirus) e ad aware ma non trovano niente…

Che mi consigliate???
Non rispondetemi di fare un bel format per favore =)

Grazie a tutti per le risposte!

[wizard1993]

Quote:

Originariamente inviato da picea abies

Ciao a tutti amici

Sono più di 10 anni che ho internet e devo confessare che in passato ho preso molti virus e trojan vari a causa del mio trascorso di pipp*r*l* DOC!!
In questi giorni però ho beccato una strana bestia che non ho mai visto e mi lascio perplesso:
ogni volta che accendo il computer il mio firewall (ZoneAlarm Pro) mi avvisa che il file “” “” (praticamente sono dei quadrettini tra virgolette) sta tentando di accedere a internet…
La cosa ancora più strana è che appena clicco su properties per individuare la locazione di questo mi dice che è impossibile trovarlo perché la cartella potrebbe essere stata rimossa..(mi dice che è nella famigerata cartella Temp)
Ho provato SpyBoot, scansioni con il mio antivirus (Kaspersky antivirus) e ad aware ma non trovano niente…

Che mi consigliate???
Non rispondetemi di fare un bel format per favore =)

Grazie a tutti per le risposte!

posta il log di hijackthis e fai una scan con gmer e rootkit unhooker

[picea abies]

Come consigliato posto il log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\docume~1\puc\impost~1\temp\pjahai.egh
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\cmd.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\Webroot\Spy Sweeper\SSU.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\puc\Desktop\HiJackThis_v2.exe
C:\Programmi\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] "dslagent.exe" USB
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] "C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" -onlytray
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Programmi\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSN Webcam Recorder] "C:\Programmi\MSN Webcam Recorder\ml20gui.exe" -silent
O4 - HKCU\..\Run: [Creative Detector] "C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKCU\..\Run: [PcSync] "C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1138640947525
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D5C95D7-D400-4EBE-A950-3A24B486C972}: NameServer = 85.37.17.6 85.38.28.89
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Kaspersky Labs. - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Sistema Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe

Grazie a tutti

[oasis90]

comunque ti consiglio di postare il log nel thread ufficiale di Hijackthis

http://www.hwupgrade.it/forum/showth...37676&page=276

[raffree]

@ picea abies

Nel log c'è un file sospetto però è meglio postare nel 3d dei log, li sono + esperti

[Bugs Bunny]

Scarica ccleaner e cancella i files temporanei.

Questo non l'ho mai visto:

O4 - HKCU\..\Run: [MSN Webcam Recorder] "C:\Programmi\MSN Webcam Recorder\ml20gui.exe" -silent

fai analizzare su virustotal questo file:

C:\Programmi\MSN Webcam Recorder\ml20gui.exe

ed inoltre

noto un comportamento sospetto di cmd.exe in quanto vi sono vari processi...

ribadisco:

Quote:

e fai una scan con gmer e rootkit unhooker

[picea abies]

Ciao Bugs

Intanto grazie per i tuoi utili consigli: ho scaricato i programmi che mi hai detto e stasera li provo (penso ke dovrò farlo in modalità provvisoria ovviamente).
Però avrei bisogno di alcune precisazioni:

C:\Programmi\MSN Webcam Recorder\ml20gui.exe è un famoso programma utilty per la web cam; mi dici di levarlo perchè può essere un veicolo di entrata di file sospetti oppure perchè il file ml20gui.exe non c'entra con il programma ed è lui stesso uno spyware?

Hai notato un comportamento sospetto di cmd.exe e quindi che devo fare?? eliminarlo?? perchè ho letto che è un file essenziale di windows e non vorrei fare danni..

Grazie e scusa per il disturbo!

[wizard1993]

Quote:

Originariamente inviato da picea abies

Ciao Bugs

Intanto grazie per i tuoi utili consigli: ho scaricato i programmi che mi hai detto e stasera li provo (penso ke dovrò farlo in modalità provvisoria ovviamente).
Però avrei bisogno di alcune precisazioni:

C:\Programmi\MSN Webcam Recorder\ml20gui.exe è un famoso programma utilty per la web cam; mi dici di levarlo perchè può essere un veicolo di entrata di file sospetti oppure perchè il file ml20gui.exe non c'entra con il programma ed è lui stesso uno spyware?

Hai notato un comportamento sospetto di cmd.exe e quindi che devo fare?? eliminarlo?? perchè ho letto che è un file essenziale di windows e non vorrei fare danni..

Grazie e scusa per il disturbo!

scan con gmer

[picea abies]

Ragazzi scusate la mia ignoranza

ho fatto andare gmer in modalità provvisoria: pensavo che mi dicesse automaticamente i processi e file sospetti mentre se non ho capito male mi elenca tutti i processi che girano nel mio computer: praticamente mi ha dato una lista enorme di processi ma dato che io nn sono esperto non so che processi siano utili o quali siano dannosi... che faccio??


Stesso vale rootkit unhooker anche se in modlità provvisoria non mi funziona perchè mi dice che gli manca un drive... quindi sono costretto a farlo girare in modalità normale.

grazie e scusate ancora

[Bugs Bunny]

in gmer devi fargli fare la scansione nella scheda rootkit. se trova qualcosa viene scritto in rosso invece che in nero

[picea abies]

ragazzi ieri notte ho scoperto una cosa interessante:

ho notato che quando accendo il mulo le varie utility che mi avete consigliato di installare mi avvisano che "qualcosa" sta tentando di caricare attraverso l'explorer delle web page dai nomi molto sospetti con tentativi (ovviamente bloccati) di modificare la memoria!

grazie ancora per la vostra pazienza

[wizard1993]

gmer trova niente di rosso?

[picea abies]

Ciao wizard1993

allora gmer nonstante ripetute scansioni non ha trovato nulla di rosso.
Una cosa importante è successa invece oggi pomeriggio dopo aver installato trend-micro anti spyware in esecuzione automatica: mi ha bloccato il crack di una versione di nero che avevo trovato sul mulo...
Dopo aver eliminato questo maledetto crack che il trend micro aveva scovato mentre stava tentando di connettersi ad internet è successo che explorer non funzionava più...
Dopo vari tentativi e aggiornamenti con il windows update sembri che explorer funzioni più velocemente di prima e che il computer sia leggermente più veloce ad aprire le cartelle ed i vari programmi (anche grazie al miracoloso ccleaner che ho installato)
Ho provato a usare anche rootkit unhooker ma nemmeno questo nn mi ha dato nessna voce in rosso: altri consigli prima di pensare defintivamente al format??

Grazie a tutti per la vostra gentilezza e interesse

[oasis90]

Quote:

Originariamente inviato da picea abies

Ciao wizard1993

allora gmer nonstante ripetute scansioni non ha trovato nulla di rosso.
Una cosa importante è successa invece oggi pomeriggio dopo aver installato trend-micro anti spyware in esecuzione automatica: mi ha bloccato il crack di una versione di nero che avevo trovato sul mulo...
Dopo aver eliminato questo maledetto crack che il trend micro aveva scovato mentre stava tentando di connettersi ad internet è successo che explorer non funzionava più...
Dopo vari tentativi e aggiornamenti con il windows update sembri che explorer funzioni più velocemente di prima e che il computer sia leggermente più veloce ad aprire le cartelle ed i vari programmi (anche grazie al miracoloso ccleaner che ho installato)
Ho provato a usare anche rootkit unhooker ma nemmeno questo nn mi ha dato nessna voce in rosso: altri consigli prima di pensare defintivamente al format??

Grazie a tutti per la vostra gentilezza e interesse

hai già provato panda anti-rootkit?

[picea abies]

Ciao oasis
no il panda anti-rootkit non l'ho mai provato!
ho scoperto un'altra cosa interessante:

in modalità provvisoria non posso usare il pulsante per fare lo scan con gmer perchè non mi compare...
tale pulsante appare solo in modalità normale che appunto non mi segnala nessuna voce in rosso sospetta....

io intanto incomincio a farmi le copie dei miei dati...

grazie