virus??

[ferrari.m]

Premetto che uso:
Kerio PF 2.1.5 con regole personalizzate
AVG 7 Free (aggiornatissimo)
Spybot 1.4 (aggiornatissimo)

Ieri dopo aver fatto l'aggiornamento dell'antivirus, mentre scaricavo la posta (i programmi di navigazione internet erano chiusi) mi è uscita una finestra di avviso di Kerio che mi diceva che un file .exe contenuto in una sottocartella di "Downloaded program files" cercava di connettersi ad internet.

Naturalmente ho negato il permesso, però sul momento non ho pensato a trascrivermi il percorso e il nome del file (sembrava un nome casuale).

Successivamente ho fatto una scansione completa del PC con l'antivirus e con spybot e non mi hanno trovato nulla di strano.
Ho provato a cercare anche il file sospetto ma non ho trovato nulla, anzi l'unica cartella del PC denominata "Downloaded program files" non conteneva files sospetti, né sottocartelle....

Qualcuno ha idea di cosa può essere successo??

[ferrari.m]

Il problema si è ripresentato, solo che questa volta prima di "negare" l'accesso ho preso appunti:
il file si chiama 1omur8u.exe
si trova nella cartella c:\windows\downloaded program files\ljhzek\
(cartella inesistente controllando da esplora risorse)
tenta di collegarsi a: server1.servtop.net (72.3.240.24) port:80

cercando il nome file mi sono usciti due files in c:\windows\prefetch\
1OMUR8U.EXE-0306B9C8.pf
1OMUR8UT.EXE-166C7A36.pf

Cercando con google la voce 1omur8u e 1omur8ut non mi è uscito nulla, mi sembra impossibile...

Cosa sono???

[matteo1]

scarica e avvia questo:
mcafee

[ferrari.m]

Lo scanonline di trend micro non mi ha segnalato nulla....

[juninho85]

fai uno scan con microsoft antispyware poi posta un log di hijackthis nel thread ufficiale

[ferrari.m]

Aggiornamento:
Ho riavviato il PC

l'ultima versione di Microsoft Antispyware mi ha segnalato il tentativo di "uscita" ma l'ha qualificato come qualcosa di Microsoft...
Io continuo a negare...

Successivamente il firewall mi ha dato le segnalazioni di tentativo di uscita: il programma ha tentato di uscire dalle porte 1051 e 1075..

Io persevero nel negare

Però prima di cancellare i files .pf vorrei sapere cosa sono.

Allego quello che mi dice che ho bloccato l'antispyware di microsoft

[ferrari.m]

Quote:

Originariamente inviato da juninho85

fai uno scan con microsoft antispyware poi posta un log di hijackthis nel thread ufficiale

L'antispyware di microsoft non mi ha segnalato nulla di strano

[juninho85]

Quote:

Originariamente inviato da ferrari.m

Aggiornamento:
Ho riavviato il PC

l'ultima versione di Microsoft Antispyware mi ha segnalato il tentativo di "uscita" ma l'ha qualificato come qualcosa di Microsoft...
Io continuo a negare...

Successivamente il firewall mi ha dato le segnalazioni di tentativo di uscita: il programma ha tentato di uscire dalle porte 1051 e 1075..

Io persevero nel negare

Però prima di cancellare i files .pf vorrei sapere cosa sono.

Allego quello che mi dice che ho bloccato l'antispyware di microsoft

non mi convince,ti si è disabilitato un servizio....fai uno scan in modalità provvisoria sia con ewido sia con MS,poi postaci il log nel thread ufficiale

[ferrari.m]

Quote:

Originariamente inviato da juninho85

non mi convince,ti si è disabilitato un servizio....fai uno scan in modalità provvisoria sia con ewido sia con MS,poi postaci il log nel thread ufficiale

Il log di hijackthis l'ho già postato.
Il servizio risulta disabilitato perchè io ho bloccato l'uscita di 1omur8u.exe dall'avviso di Microsoft Antispyware...

[ferrari.m]

Ho provato ad aprire i file .pf (dopo averli copiati e rinominati) con il blocco note per vedere cosa c'era dentro e da quello che ho capito (poco) sembra tutta roba di Windows, ad esempio, dopo una lunghissima serie di caratteri a casaccio:
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\NTDLL.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\KERNEL32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\UNICODE.NLS
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\LOCALE.NLS
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\SORTTBLS.NLS
\DEVICE\HARDDISKVOLUME1\WINDOWS\DOWNLO~1\LJHZEK\1OMUR8U.EXE
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\ADVAPI32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\RPCRT4.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\SHELL32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\GDI32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\USER32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\MSVCRT.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\SHLWAPI.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\WS2_32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\WS2HELP.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\RASAPI32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\RASMAN.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\NETAPI32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\TAPI32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\RTUTILS.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\WINMM.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\CTYPE.NLS
\DEVICE\HARDDISKVOLUME1\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.2180_X-WW_A84F1FF9\COMCTL32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\WINDOWSSHELL.MANIFEST
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\COMCTL32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\SORTKEY.NLS
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\CONFIG\SYSTEM
\DEVICE\HARDDISKVOLUME1\WINDOWS\DOWNLO~1\LJHZEK\1OMUR8U.JPG
\DEVICE\HARDDISKVOLUME1\WINDOWS\DOWNLO~1\ELBVDAH\BXLKNU.DAT
======================
Domanda se è qualcosa di windows perché si comporta in questo modo per installarsi????

[ferrari.m]

Aggiornamento sul problema.
Non riesco a eliminare i due files dalla cartella "Prefetch", nemmeno in modalità provvisoria.
Cercando nel registro di sistema pare che tutto parta da:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\peavge
che contiene quello che vedete nell'immagine allegata.

Il mio problema sembra molto simile a quello che viene spiegato in queste discussioni:
http://www.hwupgrade.it/forum/showth...ghlight=peavge
http://www.pcforum.it/forum/showthre...threadid=14304

Qualcuno ha avuto a che fare con qualcosa di simile???