Utente indesiderato

oedem · 09-11-2006, 09:12

ciao a tutti,
ultimamente ho notato una cosa molto anomala: se vado in
c:\documents and settings
mi escono tutte le cartelle degli utenti, ma anche una anomala, nominata EviGfqJNOcybZyTpzR

Visto che quest'utente non mi appare né all'avvio, né in "accout utenti", la scorsa volta provai ad eliminarla, riuscendoci senza problemi; ora però è riapparsa.

a cosa può essere dovuto?

tutmosi3 · 09-11-2006, 09:42

Cosa contiene?
Hai fatto una scansione con antivirus aggiornato e antispyware aggiornato?
Ciao

12379 · 09-11-2006, 10:03

E' comparso anche a me ma con un nome diverso:iQek ho provato a rimuoverlo ma non posso inquanto l'ACCESSO è NEGATO
Che fare?

oedem · 09-11-2006, 10:14

Quote:

Originariamente inviato da tutmosi3

Cosa contiene?
Hai fatto una scansione con antivirus aggiornato e antispyware aggiornato?
Ciao

allora la cartella è grande 1,28 MB e contiene le seguenti sottocartelle:
- desktop, preferiti e documenti vuote
- cookies con un file index.dat
- menù avvio con collegamenti a blocco note, assistenza remota etc

ma tra le cartelle nascoste c'è la cartella "Impostazioni Locali" che è grande 0,99MB

la scansione della cartella non mi rileva nessun virus

ora provo uno scan sia con Nod32 che con spybot in mod provvisoria

12379 · 09-11-2006, 10:33

La mia cartella invece è 610 k e contiene
- desktop, preferiti e documenti vuote
- cookies con un file index.dat
- menù avvio con collegamenti a blocco note, assistenza remota etc

oedem · 09-11-2006, 11:10

Quote:

Originariamente inviato da tutmosi3

Cosa contiene?
Hai fatto una scansione con antivirus aggiornato e antispyware aggiornato?
Ciao

ho fatto la scansione con Nod32 e spybot in mod provvisoria; il primo non mi ha rilevato nulla, il secondo solo 2 cookies.

ed ora che devo fare?

tutmosi3 · 09-11-2006, 13:09

Io farei anche un giretto con Ewido ed una scansione online con Kaspersky, tanto è gratuita.
Ma non solo di quella cartella, dell'intero sistema.
Ciao

oedem · 09-11-2006, 13:19

Quote:

Originariamente inviato da tutmosi3

Io farei anche un giretto con Ewido ed una scansione online con Kaspersky, tanto è gratuita.
Ma non solo di quella cartella, dell'intero sistema.
Ciao

le scansioni le ho fatte dell'intero sistema; solo la prima volta ho fatto una scansione veloce della cartella con nod32

tutmosi3 · 09-11-2006, 13:21

Quote:

Originariamente inviato da oedem

le scansioni le ho fatte dell'intero sistema; solo la prima volta ho fatto una scansione veloce della cartella con nod32

Ok.
Procedi con Ewido e la scansione online.
Ciao

oedem · 09-11-2006, 13:30

Quote:

Originariamente inviato da tutmosi3

Ok.
Procedi con Ewido e la scansione online.
Ciao

ewido in mod provvisoria o normale?

tutmosi3 · 09-11-2006, 15:37

La scansione onlie è meglio farla dalla modalità normale.
La scansione con Ewido la puoi fare dalla modalità provvisoria.
Ciao

12379 · 09-11-2006, 16:38

Sto seguendo amche io tutte queste istruzioni visto che ho lo stesso problema.
Ho fatto la scansione con KASPERSKY che mi ha rilevato dei troyan, ora come li rimuovo?

tutmosi3 · 09-11-2006, 16:46

Quote:

Originariamente inviato da 12379

Sto seguendo amche io tutte queste istruzioni visto che ho lo stesso problema.
Ho fatto la scansione con KASPERSKY che mi ha rilevato dei troyan, ora come li rimuovo?

Iniziando con il dirci il nome di cos'hai trovato.
Ciao

12379 · 09-11-2006, 16:51

Ho trovato:
Trojan-Downloader.Win32.Small.cuu
Mail-infected-1
Trojan-Spy.Win32.BZub.fm
Trojan-Spy.Win32.BZub.fm

Guardando nel percorso ho notato che la prima è una email salvata nei documenti.
Gli ultimi due sono uguali e si trovano in C:\windows\not2j22b.exe
Che fare?

tutmosi3 · 09-11-2006, 17:13

Qualcuno di questi fa riferimento alla cartella C:\WINDOWS?

EDIT

Ho letto ora che sono in Windows.

Ciao

12379 · 09-11-2006, 17:21

Quote:

Originariamente inviato da tutmosi3

Qualcuno di questi fa riferimento alla cartella C:\WINDOWS?

EDIT

Ho letto ora che sono in Windows.

Ciao

Si gli ultimi due stanno in C:\windows\not2j22b.exe ed andando a vedere nel percorso ho notato che ha un'icona bianca con un pallino rosso

tutmosi3 · 09-11-2006, 17:27

Adesso non ho molto tempo.
Spero di poterti dedicare un po' di tempo domani.
Intanto inizia laggere http://original.avira.com/it/threats...A_details.html
Ciao

oedem · 09-11-2006, 17:39

Quote:

Originariamente inviato da tutmosi3

Adesso non ho molto tempo.
Spero di poterti dedicare un po' di tempo domani.
Intanto inizia laggere http://original.avira.com/it/threats...A_details.html
Ciao

ciao,
ho fatto la scansione con ewido (rilevati 4 trojan eliminati) ed ora sto finendo la scansione online.

anticipandomi ho letto il link che hai dato a 12379, però non ci sono istruzioni su come eliminarlo. sta scritto solo come funziona questo trojan.

e se si eliminasse manualmente il file?

dicci solo questo e poi ti lasciamo in pace

(però fino a domani

)

12379 · 09-11-2006, 18:03

Quote:

Originariamente inviato da tutmosi3

Adesso non ho molto tempo.
Spero di poterti dedicare un po' di tempo domani.
Intanto inizia laggere http://original.avira.com/it/threats...A_details.html
Ciao

Ho letto il link ed ho rimosso il file manualmente ma nel registro invece di essersi aggiunta la voce:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load]

si è aggiunta la voce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load1

e non sapendo se fosse o no uguale non ho toccato nulla.

Ho rifatto la scansione e questa volta mi ha rilevato 3 troyan

C:\System Volume Information\_restore{5BB413BC-2308-44E4-970F-6ABCE65802BC}\RP7\A0002011.dll Infected: Trojan-Spy.Win32.BZub.fm

C:\System Volume Information\_restore{5BB413BC-2308-44E4-970F-6ABCE65802BC}\RP8\A0002022.exe Infected: Trojan-Spy.Win32.BZub.fm

C:\System Volume Information\_restore{5BB413BC-2308-44E4-970F-6ABCE65802BC}\RP8\A0002023.exe Infected: Trojan-Spy.Win32.BZub.fm

Aspetto una tua risposta, grazie e scusa per l'insistenza

oedem · 09-11-2006, 18:22

ho finito la scansione e, oltre ad avermi rilevato un virus in un file compresso che ho eliminato, mi ha rilevato questo:

C:\System Volume Information\_restore{C3EF0698-0F0C-4D5C-AB1B-28AA126611CF}\RP10\A0000737.exe Infected: Packed.Win32.PolyCrypt.a skipped

C:\System Volume Information\_restore{C3EF0698-0F0C-4D5C-AB1B-28AA126611CF}\RP10\change.log Object is locked skipped

C:\WINDOWS\23816361123.exe Infected: Packed.Win32.PolyCrypt.a skipped

ora il file in c:\windows l'ho eliminato manualmente, devo fare altro?

da quel sito che hai postato ho anche trovato queste informazioni:
http://original.avira.com/en/threats...Klone_b_1.html

EDIT: ho provato a cancellare quella cartella relativa all'utente indesiderato, ho riavviato ma è comparsa nuovamente. il problema quindi persiste

EDIT2: ho rifatto una scansione semplicemente alle cartelle windows e System Volume Information per vedere se si fosse ricreato lo stesso trojan e non mi ha rilevato nulla. però l'utente indesiderato persiste

09-11-2006, 09:12	#1
oedem Senior Member Iscritto dal: Jun 2004 Città: Sulle falde di un vulcano Messaggi: 3266	Utente indesiderato ciao a tutti, ultimamente ho notato una cosa molto anomala: se vado in c:\documents and settings mi escono tutte le cartelle degli utenti, ma anche una anomala, nominata EviGfqJNOcybZyTpzR Visto che quest'utente non mi appare né all'avvio, né in "accout utenti", la scorsa volta provai ad eliminarla, riuscendoci senza problemi; ora però è riapparsa. a cosa può essere dovuto? __________________ Membro dell'Hardware Upgrade Aerospace Group forum Tennis

09-11-2006, 09:42	#2
tutmosi3 Senior Member Iscritto dal: Sep 2004 Città: Deir el-Bahari - Luxor Location desiderata: Nantucket (Maine - USA) Nome horo: Ka nekhet kha m uaset Messaggi: 23966	Cosa contiene? Hai fatto una scansione con antivirus aggiornato e antispyware aggiornato? Ciao __________________ Sorridi ... Sempre, anche quando le cose non vanno\|2 aprile 2005, ore 21:37 - Giovanni Paolo II vive NAS\|Quello su Libero e su Splinder, non sono io\|Test RAM

09-11-2006, 13:09	#7
tutmosi3 Senior Member Iscritto dal: Sep 2004 Città: Deir el-Bahari - Luxor Location desiderata: Nantucket (Maine - USA) Nome horo: Ka nekhet kha m uaset Messaggi: 23966	Io farei anche un giretto con Ewido ed una scansione online con Kaspersky, tanto è gratuita. Ma non solo di quella cartella, dell'intero sistema. Ciao __________________ Sorridi ... Sempre, anche quando le cose non vanno\|2 aprile 2005, ore 21:37 - Giovanni Paolo II vive NAS\|Quello su Libero e su Splinder, non sono io\|Test RAM

09-11-2006, 15:37	#11
tutmosi3 Senior Member Iscritto dal: Sep 2004 Città: Deir el-Bahari - Luxor Location desiderata: Nantucket (Maine - USA) Nome horo: Ka nekhet kha m uaset Messaggi: 23966	La scansione onlie è meglio farla dalla modalità normale. La scansione con Ewido la puoi fare dalla modalità provvisoria. Ciao __________________ Sorridi ... Sempre, anche quando le cose non vanno\|2 aprile 2005, ore 21:37 - Giovanni Paolo II vive NAS\|Quello su Libero e su Splinder, non sono io\|Test RAM

09-11-2006, 16:51	#14
12379 Senior Member Iscritto dal: Nov 2004 Città: Napoli Messaggi: 771	Ho trovato: Trojan-Downloader.Win32.Small.cuu Mail-infected-1 Trojan-Spy.Win32.BZub.fm Trojan-Spy.Win32.BZub.fm Guardando nel percorso ho notato che la prima è una email salvata nei documenti. Gli ultimi due sono uguali e si trovano in C:\windows\not2j22b.exe Che fare? Ultima modifica di 12379 : 09-11-2006 alle 17:00.

09-11-2006, 10:03	#3
12379 Senior Member Iscritto dal: Nov 2004 Città: Napoli Messaggi: 771	E' comparso anche a me ma con un nome diverso:iQek ho provato a rimuoverlo ma non posso inquanto l'ACCESSO è NEGATO Che fare?

09-11-2006, 10:33	#5
12379 Senior Member Iscritto dal: Nov 2004 Città: Napoli Messaggi: 771	La mia cartella invece è 610 k e contiene - desktop, preferiti e documenti vuote - cookies con un file index.dat - menù avvio con collegamenti a blocco note, assistenza remota etc

09-11-2006, 16:38	#12
12379 Senior Member Iscritto dal: Nov 2004 Città: Napoli Messaggi: 771	Sto seguendo amche io tutte queste istruzioni visto che ho lo stesso problema. Ho fatto la scansione con KASPERSKY che mi ha rilevato dei troyan, ora come li rimuovo?

09-11-2006, 17:13	#15
tutmosi3 Senior Member Iscritto dal: Sep 2004 Città: Deir el-Bahari - Luxor Location desiderata: Nantucket (Maine - USA) Nome horo: Ka nekhet kha m uaset Messaggi: 23966	Qualcuno di questi fa riferimento alla cartella C:\WINDOWS? EDIT Ho letto ora che sono in Windows. Ciao __________________ Sorridi ... Sempre, anche quando le cose non vanno\|2 aprile 2005, ore 21:37 - Giovanni Paolo II vive NAS\|Quello su Libero e su Splinder, non sono io\|Test RAM

09-11-2006, 17:27	#17
tutmosi3 Senior Member Iscritto dal: Sep 2004 Città: Deir el-Bahari - Luxor Location desiderata: Nantucket (Maine - USA) Nome horo: Ka nekhet kha m uaset Messaggi: 23966	Adesso non ho molto tempo. Spero di poterti dedicare un po' di tempo domani. Intanto inizia laggere http://original.avira.com/it/threats...A_details.html Ciao __________________ Sorridi ... Sempre, anche quando le cose non vanno\|2 aprile 2005, ore 21:37 - Giovanni Paolo II vive NAS\|Quello su Libero e su Splinder, non sono io\|Test RAM

09-11-2006, 18:22	#20
oedem Senior Member Iscritto dal: Jun 2004 Città: Sulle falde di un vulcano Messaggi: 3266	ho finito la scansione e, oltre ad avermi rilevato un virus in un file compresso che ho eliminato, mi ha rilevato questo: C:\System Volume Information\_restore{C3EF0698-0F0C-4D5C-AB1B-28AA126611CF}\RP10\A0000737.exe Infected: Packed.Win32.PolyCrypt.a skipped C:\System Volume Information\_restore{C3EF0698-0F0C-4D5C-AB1B-28AA126611CF}\RP10\change.log Object is locked skipped C:\WINDOWS\23816361123.exe Infected: Packed.Win32.PolyCrypt.a skipped ora il file in c:\windows l'ho eliminato manualmente, devo fare altro? da quel sito che hai postato ho anche trovato queste informazioni: http://original.avira.com/en/threats...Klone_b_1.html EDIT: ho provato a cancellare quella cartella relativa all'utente indesiderato, ho riavviato ma è comparsa nuovamente. il problema quindi persiste EDIT2: ho rifatto una scansione semplicemente alle cartelle windows e System Volume Information per vedere se si fosse ricreato lo stesso trojan e non mi ha rilevato nulla. però l'utente indesiderato persiste __________________ Membro dell'Hardware Upgrade Aerospace Group forum Tennis Ultima modifica di oedem : 09-11-2006 alle 18:59.

Strumenti
Mostra una versione stampabile Invia questa pagina per email