sara' percaso un virus ???

Alfredo8989 · 04-08-2007, 12:36

ho un file sospetto credo sia un virus, il file si trova in questo percorso
c:\windows\system32\tskmdyzd.exe

la grandezza di questo file è di 22 k circa .
ho provato ad farlo analizzare su virus total ma mi dice questo :

0 bytes size received / Se ha recibido un archivo vacio

Ho fatto un log di hackthis lo fatto analizzare dal sito ed il sito riconosce quel file come applicazione sconosciuta.
grazie mille ad tutti quelli che mi aiutano

ganjolinux · 04-08-2007, 12:47

Ciao

prova a creare un backup del file, mettendolo in un .rar e eliminalo da li...comunque adesso faccio una ricerca e ti dirò

ste_95 · 04-08-2007, 12:47

mah, mai sentito un file legittimo in system32 con quel nome.. quindi probabile... prova a afrlo scansionare qui: www.suspectfile.com e poi posta il risultato... se intanto vuoi anche postare il log di hiajckthis,...?

ganjolinux · 04-08-2007, 12:48

No....non ho trovato niente su google in riguardo al file: c:\windows\system32\tskmdyzd.exe

Alfredo8989 · 04-08-2007, 12:58

ecco il log :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.52.28, on 04/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe
C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
C:\Programmi\Brother\ControlCenter2\brctrcen.exe
C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Winamp3\winampa.exe
C:\windows\system32\services.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programmi\Brother\Brmfcmon\BrMfcmon.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Cosimo Talo'\Documenti\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter2.0] "C:\Programmi\Brother\ControlCenter2\brctrcen.exe" /autorun
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [tskmdyzd] "c:\windows\system32\tskmdyzd.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1185810902312
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCA3DE28-9BD9-4494-BE6A-90DE9A747198}: NameServer = 62.94.0.41 62.94.0.42
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 5752 bytes

il file in questione non posso copiarlo ed nemmeno spostarlo
non posso nemmeno metterlo in un archivio perche' mi dice accesso negato.

help !!!!

oasis90 · 04-08-2007, 13:33

il log è pulito, tranne appunto la stringa relativa al file sospetto..hai provato a fare una scan con Antivir?

Alfredo8989 · 04-08-2007, 13:48

Antivir non rileva niente ed nemmeno lo scan di panda on-line.
ma il processo è in esecuzione nel task manager.

oasis90 · 04-08-2007, 13:56

Quote:

Originariamente inviato da Alfredo8989

Antivir non rileva niente ed nemmeno lo scan di panda on-line.
ma il processo è in esecuzione nel task manager.

hai provato a bloccarlo dal task e poi provare a cancellarlo?

Alfredo8989 · 04-08-2007, 13:59

ma è veramente un virus se lo elimino non rischio danni ?

oasis90 · 04-08-2007, 14:01

Quote:

Originariamente inviato da Alfredo8989

ma è veramente un virus se lo elimino non rischio danni ?

guarda, ho provato a fare una ricerca con google e non si trova niente riguardo a quella voce, e quando è così, nel 99% dei casi, si tratta di qualcosa di maligno. Se non vuoi rischiare magari aspetta qualcuno che conosca quel file, però secondo me si tratta di qualcosa di maligno..

..decidi te!

oasis90 · 04-08-2007, 14:11

hai provato a fare una scansione con a-squared?

wizard1993 · 04-08-2007, 14:20

comprimilo in un file, mettilo su mytempdir e spediscimi il link in privato, e ti dico se è un virus

Alfredo8989 · 04-08-2007, 14:32

adesso installo kaspersky 7 vediamo come si comporta.

lancetta · 04-08-2007, 17:35

hai un residuo della toolbar crawler che non 'è molto igienica (adware)

Quote:

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - (no file)

04-08-2007, 12:36	#1
Alfredo8989 Senior Member Iscritto dal: Mar 2007 Messaggi: 946	sara' percaso un virus ??? ho un file sospetto credo sia un virus, il file si trova in questo percorso c:\windows\system32\tskmdyzd.exe la grandezza di questo file è di 22 k circa . ho provato ad farlo analizzare su virus total ma mi dice questo : 0 bytes size received / Se ha recibido un archivo vacio Ho fatto un log di hackthis lo fatto analizzare dal sito ed il sito riconosce quel file come applicazione sconosciuta. grazie mille ad tutti quelli che mi aiutano

04-08-2007, 13:33	#6
oasis90 Senior Member Iscritto dal: Aug 2006 Città: Treviso Messaggi: 13366	il log è pulito, tranne appunto la stringa relativa al file sospetto..hai provato a fare una scan con Antivir? __________________ MSI MAG PANO 100R PZ \| RM1000e \| ASUS PRIME X670E-PRO WiFi \| Ryzen 7 7800X3D \| ARCTIC Liquid Freezer III Pro 360 \| Corsair Vengeance CL36 DDR5 2x16 Gb 6000Mhz \| RTX 5080 Gaming OC \| Logitech G502 \| Logitech G410 \| ASUS ROG Swift OLED PG32UCDP \| MacBook Pro M4 \| Meta Quest 3 PS5 \| Nintendo Switch 2 \| STEAM \| Vodafone FTTH 1000/200

04-08-2007, 14:11	#11
oasis90 Senior Member Iscritto dal: Aug 2006 Città: Treviso Messaggi: 13366	hai provato a fare una scansione con a-squared? __________________ MSI MAG PANO 100R PZ \| RM1000e \| ASUS PRIME X670E-PRO WiFi \| Ryzen 7 7800X3D \| ARCTIC Liquid Freezer III Pro 360 \| Corsair Vengeance CL36 DDR5 2x16 Gb 6000Mhz \| RTX 5080 Gaming OC \| Logitech G502 \| Logitech G410 \| ASUS ROG Swift OLED PG32UCDP \| MacBook Pro M4 \| Meta Quest 3 PS5 \| Nintendo Switch 2 \| STEAM \| Vodafone FTTH 1000/200

04-08-2007, 14:20	#12
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	comprimilo in un file, mettilo su mytempdir e spediscimi il link in privato, e ti dico se è un virus __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

04-08-2007, 12:47	#2
ganjolinux Junior Member Iscritto dal: Aug 2007 Città: a casa mia Messaggi: 6	Ciao prova a creare un backup del file, mettendolo in un .rar e eliminalo da li...comunque adesso faccio una ricerca e ti dirò

04-08-2007, 12:47	#3
ste_95 Member Iscritto dal: Jun 2007 Messaggi: 191	mah, mai sentito un file legittimo in system32 con quel nome.. quindi probabile... prova a afrlo scansionare qui: www.suspectfile.com e poi posta il risultato... se intanto vuoi anche postare il log di hiajckthis,...?

04-08-2007, 12:48	#4
ganjolinux Junior Member Iscritto dal: Aug 2007 Città: a casa mia Messaggi: 6	No....non ho trovato niente su google in riguardo al file: c:\windows\system32\tskmdyzd.exe

04-08-2007, 12:58	#5
Alfredo8989 Senior Member Iscritto dal: Mar 2007 Messaggi: 946	ecco il log : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12.52.28, on 04/08/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\S3trayp.exe C:\WINDOWS\RTHDCPL.EXE C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe C:\Programmi\Brother\ControlCenter2\brctrcen.exe C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe C:\Programmi\File comuni\Real\Update_OB\realsched.exe C:\Programmi\Winamp3\winampa.exe C:\windows\system32\services.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe C:\Programmi\Brother\Brmfcmon\BrMfcmon.exe C:\Programmi\AntiVir PersonalEdition Classic\sched.exe C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe C:\Programmi\eMule\emule.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Documents and Settings\Cosimo Talo'\Documenti\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe" O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [ControlCenter2.0] "C:\Programmi\Brother\ControlCenter2\brctrcen.exe" /autorun O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi\Winamp3\winampa.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [tskmdyzd] "c:\windows\system32\tskmdyzd.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://www.kaspersky.com/kos/eng/par...an_unicode.cab O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1185810902312 O17 - HKLM\System\CCS\Services\Tcpip\..\{DCA3DE28-9BD9-4494-BE6A-90DE9A747198}: NameServer = 62.94.0.41 62.94.0.42 O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - (no file) O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 5752 bytes il file in questione non posso copiarlo ed nemmeno spostarlo non posso nemmeno metterlo in un archivio perche' mi dice accesso negato. help !!!!

04-08-2007, 13:48	#7
Alfredo8989 Senior Member Iscritto dal: Mar 2007 Messaggi: 946	Antivir non rileva niente ed nemmeno lo scan di panda on-line. ma il processo è in esecuzione nel task manager.

04-08-2007, 13:59	#9
Alfredo8989 Senior Member Iscritto dal: Mar 2007 Messaggi: 946	ma è veramente un virus se lo elimino non rischio danni ?

04-08-2007, 14:32	#13
Alfredo8989 Senior Member Iscritto dal: Mar 2007 Messaggi: 946	adesso installo kaspersky 7 vediamo come si comporta.

Strumenti
Mostra una versione stampabile Invia questa pagina per email