[HELP]Virus o che altro che vuole connettersi?

Cosmo. · 07-08-2008, 08:48

Salve ho bisogno di un Vs aiuto è 3 giorni che il mio firewall mi segnala che qualcosa tenta di connettersi o agganciarsi ad un link esterno,quel qualcosa che il firewall mi segnala in particolare è questo:
TODO: <File description> (21wwhmunmlcl61.exe) is trying to connect to ads2.stat-run.com (209.61.252.21) using remote port 6921.
Nonostante gli dia il comando per non connettersi si ripresenta due o tre volte al giorno cambiando il numero dell'exe che ho scritto in parentesi,ho fatto vari scan con diversi antivirus e programmi per rilevare spyware ma non ho trovato niente.
Se potete darmi una mano a scoprire cos'è e magari toglierlo (se è dannoso) tante grazie perchè comincia ad essere fastidioso.

wjmat · 07-08-2008, 09:35

Ciao benvenuto nel pronto soccorso di HU.
Segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di Malwarebytes Anti-Malware aggiornato ad oggi
log di A-squared scansione deep aggiornato ad oggi
log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine
log di Dr.Web CureIT scaricato ed aggiornato ad oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
log di PrevxCSI

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già parzialmente ripulito, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa è una brevissima guida alla pubblicazione dei log
Questo è un esempio preciso ed ordinato di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, wikisend.com, mediafire.com
caricamento immagini fileqube

Cosmo. · 07-08-2008, 10:09

Ok appena ho fatto il tutto ve lo invio

xcdegasp · 07-08-2008, 12:28

ottimo

Cosmo. · 07-08-2008, 19:05

Allora ho disattivato la protezione di sistema e pulito con AFT-Cleaner poi ho scansionato con :
Malwarebytes log> http://www.fileqube.com/shared/AyGil76847
A-Squared log>http://www.fileqube.com/shared/oeAQcGRlK76848
F-Secure log>http://www.fileqube.com/shared/UiAiXZKqT76850
Dr.Web log>http://www.fileqube.com/shared/vkaBhZuq76846
ESET Sys log>http://www.fileqube.com/shared/SHePvsz76856
HiJackThis log>http://www.fileqube.com/shared/dkdSBpF76859
Gmer log>http://www.fileqube.com/shared/EAxUo76862
PrevxCSI log>http://www.fileqube.com/shared/shLTFoOY76866

Mi dispiace ma il log di Dr.Web lo dovuto inserire tutto perchè ParserLog l'ho scaricato ma al momento di decomprimerlo mi dava "Archivio danneggiato" è così non l'ho potuto usare per snellire il log,Comunque devo dire che dopo le varie scansioni con i suddetti programmi che hanno trovato virus,malware ed altre cose e li hanno rimossi o messi in quarantena per adesso il problema che avevo eche vi ho descritto nel mio primo post per adesso non si è ripresentato.
Comunque vedete un pò Voi e Grazie per l'aiuto.

wjmat · 07-08-2008, 20:22

ciao
innanzitutto complimenti per la precisione, difficilmente si trovano "pazienti" così ordinati

Fai controllare su www.virustotal.com e su http://virusscan.jotti.org/

Codice:

C:\Programmi\ESET\ESET NOD32 Antivirus\nodlogin.exe

Una volta sui siti clicca su sfoglia -> cerca il file o incolla l'indirizzo che ti ho segnalato -> conferma -> Clicca Invia o Submit e attendi l'esito.
Per l'esito di virustotal a fine scansione copia l'indirizzo della pagina e incollalo nella discussione
Per l'esito di virusscan.jotti copia tutto il testo che c'è tra Scanner result e Powered by → incollalo in un file di testo e allegalo.
Se il file dovesse essere nascosto o di sistema, Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione -> Seleziona "Visualizza cartelle e file nascosti" -> scendi e togli la spunta a "Nascondi i file di sistema (consigliato)
Alla fine della verifica rimetti le impostazioni originali

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc

Codice:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Cosmo. · 07-08-2008, 20:50

Non è magari per caso che i vari programmi rilevano questo:
C:\Programmi\ESET\ESET NOD32 Antivirus\nodlogin.exe
come virus perchè non è (ehm,ehm) tanto originale?
Scusatemi

xcdegasp · 07-08-2008, 21:12

Quote:

Originariamente inviato da Cosmo.

Non è magari per caso che i vari programmi rilevano questo:
C:\Programmi\ESET\ESET NOD32 Antivirus\nodlogin.exe
come virus perchè non è (ehm,ehm) tanto originale?
Scusatemi

forse è il caso che lo regolarizzi visto che esisono antivirus gratuiti che sono ottimi e uno di questi è pure meglio di nod32

Cosmo. · 07-08-2008, 22:19

Se mi date qualche indicazione per poterne mettere uno anche migliore di NOD ne sarei ben lieto,visto che non sono molto contento del antivirus attuale ed avevo deciso di toglierlo,ma non sapevo verso quale indirizzarmi.
Grazie

**Chill-Out** · 07-08-2008, 23:07

Quote:

Originariamente inviato da Cosmo.

Se mi date qualche indicazione per poterne mettere uno anche migliore di NOD ne sarei ben lieto,visto che non sono molto contento del antivirus attuale ed avevo deciso di toglierlo,ma non sapevo verso quale indirizzarmi.
Grazie

http://www.hwupgrade.it/forum/showthread.php?t=1726383

Cosmo. · 08-08-2008, 08:34

Grazie a tutti del prezioso aiuto,ma avrei un altra domanda(forse vado fuori argomento) come ho già detto nel post precedente non sono contento di NOD e così l'altra settimana ho cercato di disinstallarlo per poterne mettere un'altro e sorpresa non riscivo a disinstallarlo o almeno (da quanto mi ricordo) la disinstallazione avveniva in modo parziale poi apparivano delle finestre con vari errori e nonostante poi il programma non appariva nella cartella "Programmi"(scusate il gioco di parole) rimaneva attivo nella barra a dx del pc.Dopo varie volte sono stato costretto ad un Ripristino della configurazione del sistema.
Potete aiutarmi a disinstallarlo?
Grazie a Voi.

wjmat · 08-08-2008, 11:52

se rilanci l'installazione hai anche le opzioni ripara o rimuovi?

Cosmo. · 08-08-2008, 12:01

Ho guardato adesso se rilancio l'applicazione c'è anche rimuovi.
Ho provato con l'applicazione rimuovi ma mi appare questa finestra di errore cn scritto:
"Another application has exclusive access tothe file C:\Documents and Setting\AllUser\Dati applicazioni\ESET\ESET NOD 32 Antivirus\Logs\Virlog.dat".Please shut down all other applications,then Click Retry.
Adesso che faccio?

xcdegasp · 08-08-2008, 12:32

Quote:

Originariamente inviato da Cosmo.

Ho guardato adesso se rilancio l'applicazione c'è anche rimuovi.
Ho provato con l'applicazione rimuovi ma mi appare questa finestra di errore cn scritto:
"Another application has exclusive access tothe file C:\Documents and Setting\AllUser\Dati applicazioni\ESET\ESET NOD 32 Antivirus\Logs\Virlog.dat".Please shut down all other applications,then Click Retry.
Adesso che faccio?

ti dice di chiudere prima nod32 per poter proseguire

Cosmo. · 08-08-2008, 13:02

E,scusami la domanda,da dove lo chiudo se il programma di disinstallazione mi ha gia tolto l'icona nella barra a dx del pc?

wjmat · 08-08-2008, 13:38

se per seguire la guida hai disattivato il ripristino della configurazione sistema, che punto hai ripristinato?
prova a reinstallarlo e rimuoverlo con quell'opzione che ti ho segnalato

xcdegasp · 08-08-2008, 14:02

Quote:

Originariamente inviato da Cosmo.

E,scusami la domanda,da dove lo chiudo se il programma di disinstallazione mi ha gia tolto l'icona nella barra a dx del pc?

probabilmente è rimasto attivo il servizio,devi quindi fare:
start -> esegui..: -> digita
services.msc
e batti invio

cerchi il servizio relativo a nod32 e lo arresti

Cosmo. · 08-08-2008, 14:11

Tutto ok.
Grazie

wjmat · 08-08-2008, 14:20

come hai fatto?

Cosmo. · 08-08-2008, 14:35

Ho disabilitato NOD dai servizi come avete detto voi e poi sono riuscito a disinstallarlo completamente.
Adesso stò installando AVIRA

07-08-2008, 08:48	#1
Cosmo. Member Iscritto dal: Apr 2003 Città: Firenze Messaggi: 287	[HELP]Virus o che altro che vuole connettersi? Salve ho bisogno di un Vs aiuto è 3 giorni che il mio firewall mi segnala che qualcosa tenta di connettersi o agganciarsi ad un link esterno,quel qualcosa che il firewall mi segnala in particolare è questo: TODO: <File description> (21wwhmunmlcl61.exe) is trying to connect to ads2.stat-run.com (209.61.252.21) using remote port 6921. Nonostante gli dia il comando per non connettersi si ripresenta due o tre volte al giorno cambiando il numero dell'exe che ho scritto in parentesi,ho fatto vari scan con diversi antivirus e programmi per rilevare spyware ma non ho trovato niente. Se potete darmi una mano a scoprire cos'è e magari toglierlo (se è dannoso) tante grazie perchè comincia ad essere fastidioso.

07-08-2008, 09:35	#2
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Ciao benvenuto nel pronto soccorso di HU. Segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato. Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli): log di Malwarebytes Anti-Malware aggiornato ad oggi log di A-squared scansione deep aggiornato ad oggi log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine log di Dr.Web CureIT scaricato ed aggiornato ad oggi log di ESET SysInspector log di HiJackThis log di Gmer log di PrevxCSI Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già parzialmente ripulito, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi. Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni. Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo... Questa è una brevissima guida alla pubblicazione dei log Questo è un esempio preciso ed ordinato di come vorremmo tu caricassi i log link utili per il caricamento log ed immagini caricamento log fileqube.com, wikisend.com, mediafire.com caricamento immagini fileqube __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

07-08-2008, 12:28	#4
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	ottimo __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

07-08-2008, 20:22	#6
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	ciao innanzitutto complimenti per la precisione, difficilmente si trovano "pazienti" così ordinati Fai controllare su www.virustotal.com e su http://virusscan.jotti.org/ Codice: C:\Programmi\ESET\ESET NOD32 Antivirus\nodlogin.exe Una volta sui siti clicca su sfoglia -> cerca il file o incolla l'indirizzo che ti ho segnalato -> conferma -> Clicca Invia o Submit e attendi l'esito. Per l'esito di virustotal a fine scansione copia l'indirizzo della pagina e incollalo nella discussione Per l'esito di virusscan.jotti copia tutto il testo che c'è tra Scanner result e Powered by → incollalo in un file di testo e allegalo. Se il file dovesse essere nascosto o di sistema, Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione -> Seleziona "Visualizza cartelle e file nascosti" -> scendi e togli la spunta a "Nascondi i file di sistema (consigliato) Alla fine della verifica rimetti le impostazioni originali Lancia HiJackThis Clicca Do a scan only Metti la spunta a fianco delle righe che ti segnalo qui sotto Clicca su Fix Checked Riavvia il pc Codice: O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

08-08-2008, 11:52	#12
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	se rilanci l'installazione hai anche le opzioni ripara o rimuovi? __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

07-08-2008, 10:09	#3
Cosmo. Member Iscritto dal: Apr 2003 Città: Firenze Messaggi: 287	Ok appena ho fatto il tutto ve lo invio

07-08-2008, 19:05	#5
Cosmo. Member Iscritto dal: Apr 2003 Città: Firenze Messaggi: 287	Allora ho disattivato la protezione di sistema e pulito con AFT-Cleaner poi ho scansionato con : Malwarebytes log> http://www.fileqube.com/shared/AyGil76847 A-Squared log>http://www.fileqube.com/shared/oeAQcGRlK76848 F-Secure log>http://www.fileqube.com/shared/UiAiXZKqT76850 Dr.Web log>http://www.fileqube.com/shared/vkaBhZuq76846 ESET Sys log>http://www.fileqube.com/shared/SHePvsz76856 HiJackThis log>http://www.fileqube.com/shared/dkdSBpF76859 Gmer log>http://www.fileqube.com/shared/EAxUo76862 PrevxCSI log>http://www.fileqube.com/shared/shLTFoOY76866 Mi dispiace ma il log di Dr.Web lo dovuto inserire tutto perchè ParserLog l'ho scaricato ma al momento di decomprimerlo mi dava "Archivio danneggiato" è così non l'ho potuto usare per snellire il log,Comunque devo dire che dopo le varie scansioni con i suddetti programmi che hanno trovato virus,malware ed altre cose e li hanno rimossi o messi in quarantena per adesso il problema che avevo eche vi ho descritto nel mio primo post per adesso non si è ripresentato. Comunque vedete un pò Voi e Grazie per l'aiuto.

07-08-2008, 20:50	#7
Cosmo. Member Iscritto dal: Apr 2003 Città: Firenze Messaggi: 287	Non è magari per caso che i vari programmi rilevano questo: C:\Programmi\ESET\ESET NOD32 Antivirus\nodlogin.exe come virus perchè non è (ehm,ehm) tanto originale? Scusatemi

07-08-2008, 22:19	#9
Cosmo. Member Iscritto dal: Apr 2003 Città: Firenze Messaggi: 287	Se mi date qualche indicazione per poterne mettere uno anche migliore di NOD ne sarei ben lieto,visto che non sono molto contento del antivirus attuale ed avevo deciso di toglierlo,ma non sapevo verso quale indirizzarmi. Grazie

08-08-2008, 08:34	#11
Cosmo. Member Iscritto dal: Apr 2003 Città: Firenze Messaggi: 287	Grazie a tutti del prezioso aiuto,ma avrei un altra domanda(forse vado fuori argomento) come ho già detto nel post precedente non sono contento di NOD e così l'altra settimana ho cercato di disinstallarlo per poterne mettere un'altro e sorpresa non riscivo a disinstallarlo o almeno (da quanto mi ricordo) la disinstallazione avveniva in modo parziale poi apparivano delle finestre con vari errori e nonostante poi il programma non appariva nella cartella "Programmi"(scusate il gioco di parole) rimaneva attivo nella barra a dx del pc.Dopo varie volte sono stato costretto ad un Ripristino della configurazione del sistema. Potete aiutarmi a disinstallarlo? Grazie a Voi.

08-08-2008, 12:01	#13
Cosmo. Member Iscritto dal: Apr 2003 Città: Firenze Messaggi: 287	Ho guardato adesso se rilancio l'applicazione c'è anche rimuovi. Ho provato con l'applicazione rimuovi ma mi appare questa finestra di errore cn scritto: "Another application has exclusive access tothe file C:\Documents and Setting\AllUser\Dati applicazioni\ESET\ESET NOD 32 Antivirus\Logs\Virlog.dat".Please shut down all other applications,then Click Retry. Adesso che faccio? Ultima modifica di Cosmo. : 08-08-2008 alle 12:23.

08-08-2008, 13:02	#15
Cosmo. Member Iscritto dal: Apr 2003 Città: Firenze Messaggi: 287	E,scusami la domanda,da dove lo chiudo se il programma di disinstallazione mi ha gia tolto l'icona nella barra a dx del pc?

08-08-2008, 13:38	#16
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	se per seguire la guida hai disattivato il ripristino della configurazione sistema, che punto hai ripristinato? prova a reinstallarlo e rimuoverlo con quell'opzione che ti ho segnalato __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

08-08-2008, 14:11	#18
Cosmo. Member Iscritto dal: Apr 2003 Città: Firenze Messaggi: 287	Tutto ok. Grazie

08-08-2008, 14:20	#19
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	come hai fatto? __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

08-08-2008, 14:35	#20
Cosmo. Member Iscritto dal: Apr 2003 Città: Firenze Messaggi: 287	Ho disabilitato NOD dai servizi come avete detto voi e poi sono riuscito a disinstallarlo completamente. Adesso stò installando AVIRA

Strumenti
Mostra una versione stampabile Invia questa pagina per email