Ho un problema con msn, causato da un virus!

[ekrix]

da qualche giorno ho dei problemi con msn.
Ogni volta che mi connetto invio automaticamente un file a tutti i miei contatti in linea, le finestre delle conversazioni mi si aprono da sole...
come antivirus ho avast, ho fatto una scansione ma non ci sono virus presenti...
quindi ho scaricato un firewall- anti-spyware "VIRIT-L-T".
alla prima scansione ha rilevato infetto il seguente file:
WINDOWS.003.PERFOMN.EXE possibile variante da trojan.WIN32.SMALL.MI
Ho impostato l'opzione "rinominazine automatica", mi ha i rinominato i file infetti.
Adesso però, il problema persiste e ogni volta che mi collego su msn invio agli altri il file windows.003 che mi era stato detto infetto dall'anti-spyware.
se vado nella cartela file ricevuti per eliminare il file, mi dice che è inesistente!!
cosa devo fare?

ps.se per favore potete usare un linguaggio semplice, dato che sono un frana e di computer non ne capisco molto!
grazie

[Bugs Bunny]

log di hijackthis

[Riverside]

Quote:

Originariamente inviato da ekrix

da qualche giorno ho dei problemi con msn.
Ogni volta che mi connetto invio automaticamente un file a tutti i miei contatti in linea, le finestre delle conversazioni mi si aprono da sole...

GUIDA ALLA RIMOZIONE: questa è la procedura che devi seguire:

PROCEDURA – PRIMA PARTE (DA CONNESSI AD INTERNET):
Scarica, senza installarli, (per comodità salvali sul Desktop), i seguenti Software e Tool:

● CCLEANER: clicca qui per il download

● TOOL MSNFIX: clicca qui per il download

● PANDA ANTIROOTKIT: clicca qui per il download

● ASQUARED FREE: clicca qui per il download

● HIJACKTHIS v.2.0.2: clicca qui per il download

NOTE:
● gli unici, tra questi, che richiedono l’installazione sono, CCLEANER e ASQUARED;
● MSNFIX, una volta decompresso, crea in automatico, una cartella sul Desktop;
● PANDA ANTIROOTKIT, è stand-alone;
● HIJACKTHIS v.2.0.2, è stand-alone.

PROCEDURA – SECONDA PARTE (DISCONNETTERSI DA INTERNET):
Disattiva il Ripristino configurazione di sistema: ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

Provvedi a svuotare del suo contenuto la cartella PREFETCH procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella).

Installa CCLEANER:
clicca sulla icona di Setup, si avvierà il Wizard di installazione; una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

Installa MSNFIX:
● scompatta il file Zip, che hai, precedentemente posizionato sul Desktop (verrà creata una cartella)
● lancia MSNFix File batch
● digita I per impostare la lingua, e, premi invio
● digita R per cercare il malware
● digita N per eliminare ciò che trova
● digita A per creare il log da pubblicare
● digita R per ripulire il registro ed uscire
● digita Q per terminare MSNFix
Il log che verrà creato, ti confermerà, o meno l'avvenuta rimozione.
MSNFix, creerà, inoltre un file Zip (lo trovi, assieme al log, all'interno della cartella posizionata sul Desktop), contenente i file infetti rimossi: cestinalo, e ripulisci il cestino.
● Terminata la scansione con MSNFIX, riavvia il sistema

Una volta completato MSNFIX, pubblica il suo log (lo alleghi alla discussione, utilizzando la funzione Carica un file), sul Forum, per farlo controllare ed attendi la risposta.

PROCEDURA – TERZA PARTE (CONNESSI AD INTERNET):
Installa PANDA ANTIROOTKIT:
● scompatta il file Zip, sul Desktop (verrà creata una icona di Startup)
● lancia il Tool (che aggiornerà, automaticamente, da Server, la sua black list) ed eseguirà una scansione per verificare la presenza, o meno, di Rootkit, sul P.C.

Installa ASQUARED FREE:
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato.

Installa HIJACKTHIS v.2.0.2:
● crea una nuova Cartella sul Desktop (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona di Startup)
● lancialo poi clicca su Scan ed una volta che è stata creata la list, clicca su Save Log

A questo punto, pubblica, il log di HijackThis (lo alleghi alla discussione, utilizzando la funzione Carica un file) sul Forum per farlo controllare ed attendi la risposta.

Stabilito che il problema è stato risolto, se vuoi puoi riattivare (con la stesso procedimento indicato prima) il Ripristino configurazione di sistema.

[demi@n]

Bravo riverside! Procedura semplice e chiara, con tanto di link diretti,

Bravissimo!!

Io la metterei pure in rilievo, fossi nell'amministratore.

[ekrix]

allora io ci ho provato...ecco i risultati

[ekrix]

e questo è il log di hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.48.40, on 01/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.003\System32\smss.exe
C:\WINDOWS.003\system32\winlogon.exe
C:\WINDOWS.003\system32\services.exe
C:\WINDOWS.003\system32\lsass.exe
C:\WINDOWS.003\system32\svchost.exe
C:\WINDOWS.003\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS.003\system32\spoolsv.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS.003\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS.003\wanmpsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS.003\system32\WgaTray.exe
C:\WINDOWS.003\Explorer.EXE
C:\Programmi\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS.003\system32\rundll32.exe
C:\WINDOWS.003\SetPoint.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS.003\system32\ctfmon.exe
C:\Programmi\AOL 7.0\aoltray.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS.003\msagent\AgentSvr.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\GIANNI~1\IMPOST~1\Temp\Rar$EX63.428\HijackThis.exe
C:\WINDOWS.003\system32\NOTEPAD.EXE
C:\Programmi\Windows Live Toolbar\msn_sl.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SetPoint.exe] C:\WINDOWS.003\SetPoint.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.003\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.003\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.003\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.003\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.003\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Icône AOL.lnk = C:\Programmi\AOL 7.0\aoltray.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programmi\Bonjour\ExplorerPlugin.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\AIM.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: *.archiviosex.net
O15 - Trusted Zone: http://www.happyfile.net
O15 - Trusted Zone: http://www.otherchance.com
O15 - Trusted Zone: www.otherchance.com
O15 - Trusted Zone: *.otherchance.com
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: *.whatsnew.name
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://cathlythebest.spaces.live.com...d/MsnPUpld.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cathlythebest.spaces.live.com...d/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS.003\wanmpsvc.exe

--
End of file - 7764 bytes

[Riverside]

Quote:

Originariamente inviato da ekrix

e questo è il log di hijackthis :

Msnfix ha rimosso tutto ciò che doveva rimuovere
Questi sono due screensaver: non dovrebbero legittimi; verifica se li hai installati tu, altrimenti, rimuovili:

[C:\WINDOWS.003\system32\Logo.scr] A0B457A21E5726E0F8BCEA887701B213
[C:\WINDOWS.003\system32\anfysave.scr] 414E884ABCB21F6C25BDCAE584D642BC

Rilancia Htis e fixa queste voci:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O15 - Trusted Zone: www.archiviosex.n***t
O15 - Trusted Zone: *.archiviosex.n***t
O15 - Trusted Zone: http://www.otherchance.c***m
O15 - Trusted Zone: www.otherchance.c***om
O15 - Trusted Zone: *.otherchance.c***m
O15 - Trusted Zone: www.redfunny.c***m
O15 - Trusted Zone: *.whatsnew.name

(ho editato i link, per evitare che qualcuno ci finisca dentro).

Fatto questo, il problema è risolto.
Suggerimento: cambia antivirus.

Quote:

Originariamente inviato da demi@n

Bravo riverside! Procedura semplice e chiara, con tanto di link diretti …

Grazie demi@n, la Guida la avevo scritta per un altro Forum che frequento (con questo virus si sono infettate diverse persone); il tool di rimozione è stato sviluppato da un mio amico francese; alla fine, tutto torna utile.

[demi@n]

Quote:

Originariamente inviato da Riverside

Grazie demi@n, la Guida la avevo scritta per un altro Forum che frequento (con questo virus si sono infettate diverse persone); il tool di rimozione è stato sviluppato da un mio amico francese; alla fine, tutto torna utile.

Complimenti a tutti e due allora!

[ekrix]

Temo ci sia un problema...
ho eliminato i file che mi avete detto e ho riavviato il computer.
Quando l'ho acceso "virit lite monitor" mi ha segnalato che :

"Il registro dei programmi in esecuzione automatica è stato modificato.
Il seguente programma è in esecuzione automatica :
C:\WINDOWS.003\PERFMON.EXE"

E' normale?

[Riverside]

Quote:

Originariamente inviato da ekrix

Il seguente programma è in esecuzione automatica :
C:\WINDOWS.003\PERFMON.EXE" ...... E' normale?

Il processo è leggitimo, ma non ho idea del perchè si trovi in esecuzione automatica.
Al limite, se ti da fastidio, toglilo dalla esecuzione automatica.
In ogni caso, direi di cambiare antivirus (ovvero disinstalla sia Avast che Virit e passa a qualcosa di più serio, per esempio Antivir).

[ekrix]

ok..ci provo a toglierlo dall'esecuzione automatica.
comunque anche con MSNfix se elimino i virus, appena spengo il computer e lo riaccendo mi compaiono di nuovo.
E succede così anche con avast...ogni volta che accendo il pc mi segnala il virus "win32 dialer-970 (trj)" lo elimino...però poi se spengo il computer mi riappare!!!

[Riverside]

Quote:

Originariamente inviato da ekrix

ok..ci provo a toglierlo dall'esecuzione automatica.
comunque anche con MSNfix se elimino i virus, appena spengo il computer e lo riaccendo mi compaiono di nuovo.
E succede così anche con avast...ogni volta che accendo il pc mi segnala il virus "win32 dialer-970 (trj)" lo elimino...però poi se spengo il computer mi riappare!!!

Complicazione dovuta da Avast: lo rileva ma non lo rimuove e non lo mette, neppure in quarantena.
Quindi, cambia antivirus (passa ad Antivir), fai una scansione completa del sistema, poi ripeti, con le medesime modalità che ho indicato nella guida, MSNFIX e ripubblica il log che ottieni.

[71104]

Quote:

Originariamente inviato da ekrix

Temo ci sia un problema...
ho eliminato i file che mi avete detto e ho riavviato il computer.
Quando l'ho acceso "virit lite monitor" mi ha segnalato che :

"Il registro dei programmi in esecuzione automatica è stato modificato.
Il seguente programma è in esecuzione automatica :
C:\WINDOWS.003\PERFMON.EXE"

E' normale?

direi proprio di no: se c'è una cartella Windows.003 in C: direi proprio che puoi cancellarla (ma probabilmente non ci riuscirai). tanto per cominciare termina quel processo. e occhio a non eliminare C:\Windows

[demi@n]

Quote:

Originariamente inviato da 71104

direi proprio di no: se c'è una cartella Windows.003 in C: direi proprio che puoi cancellarla (ma probabilmente non ci riuscirai). tanto per cominciare termina quel processo. e occhio a non eliminare C:\Windows

Sinceramente, quando ho visto quel Windows.003 mi sono corsi dei brividi lungo la schiena (si fa per dire), ma avendo letto il post di Riverside, il quale è rimasto quasi impassibile di fronte alla cosa dichiarando che C:\WINDOWS.003\PERFMON.EXE è un processo legittimo e che la cosa strana sia (solamente) quella che si avvia in automatico, mi sono detta: "vabbè... probabilmente sono io che ho troppe paranoie ".

Evidentemente a River è sfuggito quello 003 di troppo.

Capita anche agli espertoni... la cosa, vi dirò, mi consola!

[Riverside]

Quote:

Originariamente inviato da demi@n

Evidentemente a River è sfuggito quello 003 di troppo.
Capita anche agli espertoni... la cosa, vi dirò, mi consola!

Il fatto è che la cosa non mi era affatto sfuggita (voglio, anche, precisare che non sono un espertone e che come tutti, ne ho di cose da imparare).
Se guardi il log di HThis, in quella localizzazione cè un pacco di roba che dovrebbe trovarsi in C:\WINDOWS\sistem32\:

Quote:

Originariamente inviato da ekrix

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.48.40, on 01/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.003\System32\smss.exe
C:\WINDOWS.003\system32\winlogon.exe
C:\WINDOWS.003\system32\services.exe
C:\WINDOWS.003\system32\lsass.exe
C:\WINDOWS.003\system32\svchost.exe
C:\WINDOWS.003\System32\svchost.exe
C:\WINDOWS.003\system32\spoolsv.exe
C:\WINDOWS.003\system32\svchost.exe
C:\WINDOWS.003\system32\WgaTray.exe
C:\WINDOWS.003\Explorer.EXE
C:\WINDOWS.003\system32\rundll32.exe
C:\WINDOWS.003\SetPoint.exe
C:\WINDOWS.003\system32\ctfmon.exe
C:\WINDOWS.003\msagent\AgentSvr.exe
C:\WINDOWS.003\system32\NOTEPAD.EXE

Io ho concentrato la mia attenzione rispetto al problema che era stato posto.
Per quanto riguarda PERFMON.EXE (come tutti quelli che sono localizzati - vedi log) in C:\WINDOWS.003\System32\), è un processo legittimo.
Il perché, poi, tutti quei processi, siano localizzati una posizione diversa (!) è un mistero che merita un approfondimento.

Altri due aspetti curiosi:
1) anche il WAN Miniport Service è localizzato li:
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS.003\wanmpsvc.exe
2) di PERFMON.EXE, nel log pubblicato, non c'era traccia.

[demi@n]

Davvero... non ha nemmeno una cosa in C:\Windows\System32....

Dì un po' ekrix, ma, per caso, hai rinominato la cartella Windows in Windows.003??

[Riverside]

Quote:

Originariamente inviato da demi@n

Davvero... non ha nemmeno una cosa in C:\Windows\System32.... Dì un po' ekrix, ma, per caso, hai rinominato la cartella Windows in Windows.003??

Era un dubbio che era sorto anche a me; tutto quello che ho trovato in proposito fa riferimento ad un fantomatico FILEMONKEY che, da quello che ho capito, è un programmino che serve per modificare, aggiungendo una numerazione, l'estensione di files e cartelle.

[71104]

Quote:

Originariamente inviato da Riverside

Il fatto è che la cosa non mi era affatto sfuggita (voglio, anche, precisare che non sono un espertone e che come tutti, ne ho di cose da imparare).
Se guardi il log di HThis, in quella localizzazione cè un pacco di roba che dovrebbe trovarsi in C:\WINDOWS\sistem32\:

e tu credi che siano tutti autentici?

Quote:

Per quanto riguarda PERFMON.EXE (come tutti quelli che sono localizzati - vedi log) in C:\WINDOWS.003\System32\), è un processo legittimo.

si, però dovrebbe trovarsi in System32, non in C:\Windows.

Quote:

Il perché, poi, tutti quei processi, siano localizzati una posizione diversa (!) è un mistero che merita un approfondimento.

dicesi infezione

[Riverside]

Quote:

Originariamente inviato da 71104

si, però dovrebbe trovarsi in System32, non in C:\Windows.

Scusa:

Quote:

Originariamente inviato da Riverside

Per quanto riguarda PERFMON.EXE (come tutti quelli che sono localizzati - vedi log) in C:\WINDOWS.003\System32\), è un processo legittimo.
Il perché, poi, tutti quei processi, siano localizzati una posizione diversa (!) è un mistero che merita un approfondimento.

Quote:

Originariamente inviato da 71104

dicesi infezione

Potrebbe essere un trojan downloader oppure no. E, se leggi bene, non ho escluso che possa trattarsi di una infezione.

[ste_95]

secondo me qui ci vuole un abella scansione online con kapsersky....