vjGhlOO.exe e LpZ.exe

[uziel]

Sotto la cartella Programmi del disco sistema mi sono apparsi questi due files, , non c'è verso di cancellarli, mi da accesso negato anche in modalità provvisoria. qualcuno ne sa qualcosa ?
Grazie

[*Nexus*]

Usa unlocker

[manganese]

Quote:

Originariamente inviato da uziel

Sotto la cartella Programmi del disco sistema mi sono apparsi questi due files, , non c'è verso di cancellarli, mi da accesso negato anche in modalità provvisoria. qualcuno ne sa qualcosa ?
Grazie

Sono quasi sicuramente file con nomi random generati da qualche virus che ti sei preso, ho paura che anche cancellandoli non otterresti nulla.
Senza togliere il "vero responsabile" dei processi ti si rigenererebbero gli stessi file...magari con il nome leggermente diverso.
Ewido + log con HiJackThis (vedi 3d in evidenza)

[maforast]

Quote:

Originariamente inviato da manganese

Sono quasi sicuramente file con nomi random generati da qualche virus che ti sei preso, ho paura che anche cancellandoli non otterresti nulla.
Senza togliere il "vero responsabile" dei processi ti si rigenererebbero gli stessi file...magari con il nome leggermente diverso.
Ewido + log con HiJackThis (vedi 3d in evidenza)

anche io ho lo stesso problema ho provato con il programma ke mi hai dato nell'altro 3d ma niente inoltre non mi viene visto come virus...

[lucadue]

postate il log di hijackthis che becchiamo il colpevole

[maforast]

Quote:

Originariamente inviato da lucadue

postate il log di hijackthis che becchiamo il colpevole

il mio log è questo :
Logfile of HijackThis v1.99.1
Scan saved at 15.57.58, on 17/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Aston\aston.exe
D:\Aston\XP\internat.exe
C:\WINDOWS\System32\sstray.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\usbtapnp.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WHEELM~1\wh_exec.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programmi\Babylon\Babylon.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\Temp\poru1.exe
C:\Programmi\Altdesk\AltDesk.exe
C:\Documents and Settings\MaNoLo\Menu Avvio\Programmi\Esecuzione automatica\html2pop3.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\Outlook Express\msimn.exe
D:\temp\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=D:\Aston\aston.exe ,svchost.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [USBTA] C:\WINDOWS\System32\usbtapnp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [WheelMouse] C:\WHEELM~1\wh_exec.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\Programmi\Rational\Rational Test\nutcroot\bin\ncoeenv.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [poru1.exe] C:\WINDOWS\Temp\poru1.exe
O4 - HKLM\..\Run: [poru2.exe] C:\WINDOWS\Temp\poru2.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [AltDesk] C:\Programmi\Altdesk\AltDesk.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: html2pop3.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.it
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/Ms...cab?10,0,910,0
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1126341909500
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFC7C86E-4D5D-4849-82C3-8A1485C0DD28}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[matteo1]

devi installare il SP2,devi fixare queste voci strane:
C:\WINDOWS\Temp\poru1.exe
O4 - HKLM\..\Run: [poru1.exe] C:\WINDOWS\Temp\poru1.exe
O4 - HKLM\..\Run: [poru2.exe] C:\WINDOWS\Temp\poru12exe

[eraser]

prima di cancellare quei files per favore mandameli via e-mail

[maforast]

Quote:

Originariamente inviato da matteo1

devi installare il SP2,devi fixare queste voci strane:
C:\WINDOWS\Temp\poru1.exe
O4 - HKLM\..\Run: [poru1.exe] C:\WINDOWS\Temp\poru1.exe
O4 - HKLM\..\Run: [poru2.exe] C:\WINDOWS\Temp\poru12exe

Quelle due voci le ho fixate già ma so ricomparse bhaa ci riprovo creavano una connessione in accesso remoto e mi disconnettevano da internet

[maforast]

Quote:

Originariamente inviato da eraser

prima di cancellare quei files per favore mandameli via e-mail

troppo tardi se si riformano te li mando

[uziel]

Ho ripristinato la partizione infettata con una immagine pulita usando True Image. (molto utile).

Grazie per i consigli comunque.

[manganese]

Quote:

Originariamente inviato da uziel

Ho ripristinato la partizione infettata con una immagine pulita usando True Image. (molto utile).

Grazie per i consigli comunque.

Se hai risolto così, i nostri consigli non sono stati efficaci...sorry

[manganese]

Quote:

Originariamente inviato da maforast

il mio log è questo :
cut

Come diceva matteo, senza fare il windows update, non otterresti molti risultati...un pò come tentare di riempire di acqua un secchio bucato...

Cmq tornado al log
fissa sicuramente anche questo
C:\WINDOWS\Temp\poru1.exe
che, con un pò di fortuna, è papà di quelli che hai fissato prima.
Se non riesci a fissarlo prova in modalità provvisoria o con killbox
http://www.wintricks.it/news2/article.php?ID=12000

Cmq in parole povere il processo padre tenta di nascondersi agli antivirus e pure a HJT.
Per fare questo usa molte tecniche: la prima è insediarsi nella cartella temporanea (come in questo caso) per cui la cartella và SVUOTATA completamente prima del riavvio.
Oppure si nasconde nei temp di IE...pure questa da svuotare!
per aiutarti in questo cè il programma
www.ccleaner.com

Un altro "posto per nascondersi" è il punto di ripristino...da tenere disattivato finchè non hai risolto tutto.

Invero esistono tecniche molto più sofisticate di queste (vedi rootkit), ma lascio la parola a chi è più esperto.

Un ultima cosa: può essere d'aiuto per individuare (ma raramente toglie) il virus anche una scansione on-line tipo questa
http://www.pandasoftware.com/products/activescan.htm

[maforast]

Quote:

Originariamente inviato da manganese

Come diceva matteo, senza fare il windows update, non otterresti molti risultati...un pò come tentare di riempire di acqua un secchio bucato...

Cmq tornado al log
fissa sicuramente anche questo
C:\WINDOWS\Temp\poru1.exe
che, con un pò di fortuna, è papà di quelli che hai fissato prima.
Se non riesci a fissarlo prova in modalità provvisoria o con killbox
http://www.wintricks.it/news2/article.php?ID=12000

Cmq in parole povere il processo padre tenta di nascondersi agli antivirus e pure a HJT.
Per fare questo usa molte tecniche: la prima è insediarsi nella cartella temporanea (come in questo caso) per cui la cartella và SVUOTATA completamente prima del riavvio.
Oppure si nasconde nei temp di IE...pure questa da svuotare!
per aiutarti in questo cè il programma
www.ccleaner.com

Un altro "posto per nascondersi" è il punto di ripristino...da tenere disattivato finchè non hai risolto tutto.

Invero esistono tecniche molto più sofisticate di queste (vedi rootkit), ma lascio la parola a chi è più esperto.

Un ultima cosa: può essere d'aiuto per individuare (ma raramente toglie) il virus anche una scansione on-line tipo questa
http://www.pandasoftware.com/products/activescan.htm

Grazie ora provo con ccleaner perkè il file .exe ke mi compariva in C:\programmi c'è ancora il bello ke ad ogni riavvio cambia nome...