Partizione polacca "P:\" che diamine è?

[skryabin]

Allora oggi mi sono scaricato Jv16 per ripulire il registro e scopro con mio grande rammarico che alcune voci sospette che cancello al riavvio me le ritrovo ancora lì...
Sembrano delle voci in una qualche lingua estera slava (ma a me sembrano più lettere casuali) e la cosa più strana è che in alcuni valori compare anche una fantomatica partizione P:\ che ovviamente da me non esiste.
Ecco lo screen:

Pur cancellando queste voci ripeto, al successivo riavvio ricompaiono!!
Ho controllato per vedere se vi fossero account "strani" sul mio pc col comando "control userpasswords2" e ci sono solo il mio, l'administrator e il guest (ho approfittato della situazione anche per disattivare quest'ultimo)
Il pc non sembra vere comportamenti "strani" però avendo avuto recentemente a che fare con una carta di credito clonata (per fortuna ho recuperato tutto) non mi piace avere il pc troppo "fuori controllo".
Ho anche fatto una scansione con Hijackthis e questo è il risultato:

Quote:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19.24.00, on 26/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\FreePOPs\freepopsservice.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\KSE\nHancer 32bit\nHancerService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
C:\Programmi\UPHClean\uphclean.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Java\jre1.6.0\bin\jusched.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\Razer\Copperhead\razerhid.exe
C:\Programmi\ImageShack\QuickShot\QuickShot.exe
C:\Programmi\Razer\Copperhead\razertra.exe
C:\Programmi\Razer\Copperhead\razerofa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Logitech\Profiler\lwemon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\KSE\nHancer 32bit\nHancer.exe
C:\Programmi\Styler\Styler.exe
C:\Programmi\jv16 PowerTools 2006\jv16PT.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Michele\IMPOST~1\Temp\Rar$EX52.781\gmer.exe
C:\Programmi\HijackThis\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programmi\Free Download Manager\iefdmcks.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programmi\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [Copperhead] C:\Programmi\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ImageShackUtil] C:\Programmi\ImageShack\QuickShot\QuickShot.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programmi\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [nHancer] "C:\Programmi\KSE\nHancer 32bit\nHancer.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Styler.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Add to Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: prxernsp.dll
O10 - Unknown file in Winsock LSP: prxerdrv.dll
O10 - Unknown file in Winsock LSP: prxerdrv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{674D0BE8-4C81-481B-8F89-8E158B1D9AE4}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{674D0BE8-4C81-481B-8F89-8E158B1D9AE4}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{674D0BE8-4C81-481B-8F89-8E158B1D9AE4}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: FreePOPs - Unknown owner - C:\Programmi\FreePOPs\freepopsservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - C:\Programmi\KSE\nHancer 32bit\nHancerService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

Tutto quanto è come me l'aspettavo, non ci sono voci che non mi spiego nel log (quei file unknown sono di proxifier)
Kaspersky antivirus non mi rileva nulla, sarò paranoico ma a me quelle voci là suonano molto ma molto strane. Qualcuno nè sa qualcosa?

[Leon87]

incolla il log qui http://hijackthis.de/it

[skryabin]

Quote:

Originariamente inviato da Leon87

incolla il log qui http://hijackthis.de/it

Già fatto, è tutto a posto. Potrebbe essere qualcosa di sconosciuto (o poco popolare) e inindividuabile da hijackthis..

EDIT: fatto alcune ricerche su google, forse ha a che fare con una cerca codifica ROT13, ma la domanda non cambia, che diamine è sta roba? losca o non losca?

[wizard1993]

fai una passata con gmer

[lancetta]

Quote:

Originariamente inviato da skryabin

Tutto quanto è come me l'aspettavo, non ci sono voci che non mi spiego nel log (quei file unknown sono di proxifier)
Kaspersky antivirus non mi rileva nulla, sarò paranoico ma a me quelle voci là suonano molto ma molto strane. Qualcuno nè sa qualcosa?

e questa? O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

[Bugs Bunny]

è di windows live messenger

[skryabin]

Quote:

Originariamente inviato da wizard1993

fai una passata con gmer

Non ho ben capito come funziona gmer, io l'ho fatto scannerizzare a gmer ma mi da un listato molto lungo. Che ne devo fare? e cmq non mi evidenzia nulla di sospetto (dovrebbe farlo o è come hijackthis che fa solo il log e poi devo esaminarlo io?)
Per curiosità, fate regedit e cercate "cebtenzzv" nel vostro registro ^^ (decriptato col ROT13 è analogo a "Programmi")
"P:\Cebtenzzv" coincide con "C:\Programmi"
Solo che io non mi spiego "chi" e soprattutto perchè nel registro di windows ci sono voci criptate con un sistema così banale...

[Bugs Bunny]

guarda se in gmer ci sono voci in rosso

[skryabin]

Quote:

Originariamente inviato da Bugs Bunny

guarda se in gmer ci sono voci in rosso

Nessuna voce in rosso

[c.m.g]

usi avg come antivirus/antispyware?

[skryabin]

Quote:

Originariamente inviato da c.m.g

usi avg come antivirus/antispyware?

Uso kaspersky, dici che è lui?

[c.m.g]

Quote:

Originariamente inviato da skryabin

Uso kaspersky, dici che è lui?

se nn vado errato fa capo ad avg ma non lo prendere come un qualcosa di spiegato scientificamente.

[Gandhi82]

Fatta la scansione su -Trova file duplicati- mi ha trovato un sacco di file duplicati esempio
C1windows\system 32\conf\system profile\menu avvio\programmi\accessori\svago\windows media player INK
C\documents\and setting\menù avvio\programmi\assistenza remota

Sai x caso se questi file duplicati si possono eliminare?

[Mazda RX8]

Quote:

Originariamente inviato da skryabin

Allora oggi mi sono scaricato Jv16 per ripulire il registro e scopro con mio grande rammarico che alcune voci sospette che cancello al riavvio me le ritrovo ancora lì...
Sembrano delle voci in una qualche lingua estera slava (ma a me sembrano più lettere casuali) e la cosa più strana è che in alcuni valori compare anche una fantomatica partizione P:\ che ovviamente da me non esiste.
Ecco lo screen:

Pur cancellando queste voci ripeto, al successivo riavvio ricompaiono!!
Ho controllato per vedere se vi fossero account "strani" sul mio pc col comando "control userpasswords2" e ci sono solo il mio, l'administrator e il guest (ho approfittato della situazione anche per disattivare quest'ultimo)
Il pc non sembra vere comportamenti "strani" però avendo avuto recentemente a che fare con una carta di credito clonata (per fortuna ho recuperato tutto) non mi piace avere il pc troppo "fuori controllo".
Ho anche fatto una scansione con Hijackthis e questo è il risultato:



Tutto quanto è come me l'aspettavo, non ci sono voci che non mi spiego nel log (quei file unknown sono di proxifier)
Kaspersky antivirus non mi rileva nulla, sarò paranoico ma a me quelle voci là suonano molto ma molto strane. Qualcuno nè sa qualcosa?

Ma percaso fai la pulizia approfondita?

[skryabin]

Quote:

Originariamente inviato da Mazda RX8

Ma percaso fai la pulizia approfondita?

Si, spuntano solo facendo la pulizia apporofondita...dovrebbero essere delle voci normali, criptate per una maggiore sicurezza da quanto ho capito.
Tutti gli antivirus/antispyware/antitrojan/antitutto non rilevano nulla.
Sicuramente facendo la ricerca approfondita JV16 si comporta in maniera troppo aggressiva includendo "falsi positivi".

[Mazda RX8]

Esatto è come dici tu, se ci fai caso prendi la prima parte della frase P:\ ecc...
e vedrai che ti corrisponderà a le tue cartelle che hai cancellato:

un esempio nell'allegato

Ps: dove c'è lo spazio devi inserire il nome della tua cartella

[skryabin]

Quote:

Originariamente inviato da Mazda RX8

Esatto è come dici tu, se ci fai caso prendi la prima parte della frase P:\ ecc...
e vedrai che ti corrisponderà a le tue cartelle che hai cancellato:

un esempio nell'allegato

Ps: dove c'è lo spazio devi inserire il nome della tua cartella

l'avevo notato che P:\cebtenzzv si traduce in C:\programmi
figo, m'ero preso uno spavento perchè sti hacker dell'est so sempre più bravi e leggendo quelle chiavi sembrava fossero scritte proprio in un qualche incomprensibile lingua di quelle parti...

[Mazda RX8]

E lo so oggi c'è da preoccuparsi, cmq il tuo fortunatamente è un falso allarme...