Virus? Chiedo conferma

[trusthw]

Ciao a tutti.

Da un mesetto ho notato che ho in esecuzione un processo che si chiama ogdl1.exe. E' un file che si trova nella cartella "X":\windows\temp. E' un file nascostoc he ho cancellato, ma ad ogni rivvio viene riscreto automaticamente, con 2 variati ogdl2.exe e ogdl3.exe. Tenta di accedere ad internet ma lo blocco sempre con sygate. Ho provato a cercare qualche info su google...ma non si trva nulla a riguardo.

Penso sia un virus perchè innanzitutto si ricrea automaticamente e poi cmq noto che c'è qualcosa che non va...

Aspetto vostre considerazione..

Grazie

[Dieguito85]

Quote:

Originariamente inviato da trusthw

Ciao a tutti.

Da un mesetto ho notato che ho in esecuzione un processo che si chiama ogdl1.exe. E' un file che si trova nella cartella "X":\windows\temp. E' un file nascostoc he ho cancellato, ma ad ogni rivvio viene riscreto automaticamente, con 2 variati ogdl2.exe e ogdl3.exe. Tenta di accedere ad internet ma lo blocco sempre con sygate. Ho provato a cercare qualche info su google...ma non si trva nulla a riguardo.

Penso sia un virus perchè innanzitutto si ricrea automaticamente e poi cmq noto che c'è qualcosa che non va...

Aspetto vostre considerazione..

Grazie

ho fatto una ricerca a quanto pare si tratta di in virus rompiscatole...
ti consiglio vivamente di fare una bella pulizia

[trusthw]

non so tu come abbia fatto a capire che un virus perchè ho cercato dappertutto....

Cmq ho cercato di fare pulizia con spyware doctor, ad-ware, stinger, sysclean, bazooka, xoftspy...ma niente...è sempre li...che faccio?

[halduemilauno]

Quote:

Originariamente inviato da trusthw

non so tu come abbia fatto a capire che un virus perchè ho cercato dappertutto....

Cmq ho cercato di fare pulizia con spyware doctor, ad-ware, stinger, sysclean, bazooka, xoftspy...ma niente...è sempre li...che faccio?

è un virus che centrano questi? spyware doctor, ad-ware, stinger, sysclean, bazooka, xoftspy...
fai una bella scansione col kav o col kis. e come antispyware usa ewido.

[trusthw]

Sysclean è un antivirus... Comunque ora ho preso Kav. Ma dove posso trovar einfo sul virus? Di solito viene specifiato anche l'antivirus da utilizzare per eliminare il virus..

[halduemilauno]

Quote:

Originariamente inviato da trusthw

Sysclean è un antivirus... Comunque ora ho preso Kav. Ma dove posso trovar einfo sul virus? Di solito viene specifiato anche l'antivirus da utilizzare per eliminare il virus..

ora hai kav. perfetto fai subito una scansione completa. per le info o kav stesso o google. poi come gia detto come antispyware metti ewido subito aggiornato e subito scansione. gli altri programmi buttali tutti.

[trusthw]

Ho scansionato il sistema sia con Kav sia con ewido...niente ogdl1.exe è sempre lì.. Sicuro che è un virus? Che faccio?

[bReAkDoWn]

Quote:

Originariamente inviato da trusthw

Ho scansionato il sistema sia con Kav sia con ewido...niente ogdl1.exe è sempre lì.. Sicuro che è un virus? Che faccio?

Che sia un virus è altamente probabile, visto il comportamento e la posizione. Comunque fai così, vai su uno di questi due siti, magari anche su entrambi: http://www.virustotal.com e http://virusscan.jotti.org . Sono degli scanner antivirus online che scansionano soltanto i file che mandi loro. Tu inviagli il file in questione e aspetta i risultati. Le code da attendere a volte sono un pò lunghe, ma tu non demordere.
Facci sapere. Ciao!

[trusthw]

Ok..lo farò. Grazie!

[Dieguito85]

Quote:

Originariamente inviato da bReAkDoWn

Che sia un virus è altamente probabile, visto il comportamento e la posizione. Comunque fai così, vai su uno di questi due siti, magari anche su entrambi: http://www.virustotal.com e http://virusscan.jotti.org . Sono degli scanner antivirus online che scansionano soltanto i file che mandi loro. Tu inviagli il file in questione e aspetta i risultati. Le code da attendere a volte sono un pò lunghe, ma tu non demordere.
Facci sapere. Ciao!

ottimo! cmq secondo me dovrebbe fare un backup del file ed eliminarlo.
cmq la tua opzioni non è male! potrebbe funzionare!

[bReAkDoWn]

Quote:

Originariamente inviato da Dieguito85

ottimo! cmq secondo me dovrebbe fare un backup del file ed eliminarlo.
cmq la tua opzioni non è male! potrebbe funzionare!

Beh sì, il fatto è che non ci riusciva. Io gli ho consigliato questa via perchè aveva cercato molto con google per riuscire a capire cosa fosse; almeno così c'è la possibilità di capire con cosa abbia a che fare. Poi per la eventuale rimozione vediamo dopo. Bisognerà capire da dove venga lanciato quel file, con un paio di log tipo hjthis o gmer.

[juninho85]

Quote:

Originariamente inviato da trusthw

Ciao a tutti.

Da un mesetto ho notato che ho in esecuzione un processo che si chiama ogdl1.exe. E' un file che si trova nella cartella "X":\windows\temp. E' un file nascostoc he ho cancellato, ma ad ogni rivvio viene riscreto automaticamente, con 2 variati ogdl2.exe e ogdl3.exe. Tenta di accedere ad internet ma lo blocco sempre con sygate. Ho provato a cercare qualche info su google...ma non si trva nulla a riguardo.

Penso sia un virus perchè innanzitutto si ricrea automaticamente e poi cmq noto che c'è qualcosa che non va...

Aspetto vostre considerazione..

Grazie

link
posta un log di HJTqui

[trusthw]

Ecco il log di hijack:


Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Sygate\SPF\smc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\ewido anti-spyware 4.0\guard.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Logitech\iTouch\iTouch.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\Babylon\Babylon-Pro\Babylon.exe
D:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
D:\Program Files\TRUST\Software Bluetooth\BTTray.exe
D:\PROGRA~1\TRUST\SOFTWA~1\BTSTAC~1.EXE
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\JetAudio\JetAudio.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\explorer.exe
L:\Program Files\emule0.47c-Xtreme5.3\emule.exe
D:\Program Files\Internet Explorer\iexplore.exe
d:\program files\internet explorer\iexplore.exe
D:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {7A7D9D03-9556-12EA-2EE8-9E417A3B31AC} - D:\WINDOWS\aemai1.dll (file missing)
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - D:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [zBrowser Launcher] "D:\Program Files\Logitech\iTouch\iTouch.exe"
O4 - HKLM\..\Run: [AdslTaskBar] "rundll32.exe" stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [SmcService] "D:\PROGRA~1\Sygate\SPF\smc.exe" -startgui
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Babylon Client] "D:\Program Files\Babylon\Babylon-Pro\Babylon.exe" -AutoStart
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVMixerTray] "D:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [WindowsServicesStartup] D:\DOCUME~1\Lorenzo\LOCALS~1\Temp\svchost.exe 1
O4 - HKLM\..\Run: [ISUSPM Startup] "D:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [STYLEXP] D:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [eMuleAutoStart] L:\Program Files\emule0.47c-Xtreme5.3\emule.exe -AutoStart
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Compila Modulo - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Personalizza - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF Barra strumenti - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Salva Moduli - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - D:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - D:\WINDOWS\system32\mscoree.DLL
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Compila - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Compila Modulo - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Salva - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Salva Moduli - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF Barra strumenti - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: @D:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.edg...ex-2.0.6.0.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1133207625078
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab47946.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C635CC66-307E-4948-8195-3FE9168E6FDA}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~2\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~2\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - D:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Program Files\Sygate\SPF\smc.exe
O23 - Service: StyleXPService - Unknown owner - D:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: FILES\VEXPLITE\viritsvc.exe (viritsvclite) - Unknown owner - D:\PROGRAM (file missing)

Ripeto che i files ogdl.exe me li fa cancellare ma ricompagliono ad ogni riavvio.

Ho scansionato il sistema con ewido (che non è un gran che visto che molta spazzatura me la sono tolta con la scansione di spysweeper), con spy sweeper e con kaspersky, tutti aggiornati...

Ho uplodato il file a quei 2 siti consigliati da bReAkDoWn... il primo mi dava risultati dopo qualche giorno quindi ho chiuso l'altro mi da risultati diversi...parla di Trojan-Spy.Win32.Banker.bxq


Che si fa ora?


Ah..la cosa strana che non ho detto è che questo processo ogdl1.exe una volta compare come processo di systema quindi non è possibile terminarlo, altre volte, più spesso appare come processo dell'utente loggato.

[juninho85]

ti ho detto prima dove devi postarlo

[bReAkDoWn]

Quote:

Originariamente inviato da trusthw

Ecco il log di hijack:


O2 - BHO: Class - {7A7D9D03-9556-12EA-2EE8-9E417A3B31AC} - D:\WINDOWS\aemai1.dll (file missing)
O4 - HKLM\..\Run: [WindowsServicesStartup] D:\DOCUME~1\Lorenzo\LOCALS~1\Temp\svchost.exe 1

Ripeto che i files ogdl.exe me li fa cancellare ma ricompagliono ad ogni riavvio.

Ho uplodato il file a quei 2 siti consigliati da bReAkDoWn... il primo mi dava risultati dopo qualche giorno quindi ho chiuso l'altro mi da risultati diversi...parla di Trojan-Spy.Win32.Banker.bxq


Che si fa ora?

Avvia win in modalità provvisoria e fai un fix con hijackthis delle voci che ho riportato. Però, vista una delle due voci, sarebbe bene che provassi anche a fare una scansione con questo http://info.prevx.com/download.asp?grab=GROMOZONREMTOOL