File Sospetto in C: [Screenshot inside]

[narnonet]

Ciao ragazzi, l'altro giorno, attivando l'opzione di vedere file di sistema ho notato questi file in C:\

I File sono i seguenti:



I file che mi danno problemi sono tutti quelli sottolineati di grigio:

Premetto che del file hiberfil.sys ho già risolto il problema, ma degli altri ancora no.
Il sistema operativo è Win XP Professional aggiornato al SP3.
Ho provato anche a fare una scansione con AVG ma non risulta nessun virus
Il pc inoltre è stato appena formattato e contiene oltre ai driver qualche piccolo programma installato da me come Cclenear, defraggler, Skype, Picasa ecc...

I file comunque sono i seguenti:

- AUTOEXEC.BAT
- boot.ini
- bootfont.ini
- Config.sys
- IO.sys
- MSDOS.sys
- NTDETECT.COM
- ntldr

Cosa mi sapete dire?
A me insospettisce molto il file NTDETECT.COM perchè ricordavo essere anche un virus... o sbaglio?

Mi dareste una mano???

Ciao e Grazie

[dave4mame]

se vuoi trovarti un sistema che non fa più il boot, fai pure

sono tutti file di sistema; alcuni indispensabili, altri no (autoexec.bat e config.sys)
ma tutti di sistema.

pagefile è lo swapfile, hyberfil uno snapshot di sospensione (l'unico che in effetti puoi cancellare tranquillamente)

[narnonet]

Quote:

Originariamente inviato da dave4mame

se vuoi trovarti un sistema che non fa più il boot, fai pure

sono tutti file di sistema; alcuni indispensabili, altri no (autoexec.bat e config.sys)
ma tutti di sistema.

pagefile è lo swapfile, hyberfil uno snapshot di sospensione (l'unico che in effetti puoi cancellare tranquillamente)

Intanto grazie della risposta...

per pagefile.sys e hyberfile.sys OK, per hyberfile ho già disattivato la sospensione per pagefile invece me lo tengo.

AUTOEXEC.BAT e CONFIG.SYS possono cancellarli a mano?
E degli altri cosa mi sai dire? soprattutto su NDETECT.COM

Ciao e Grazie

[narnonet]

HO effettuato anche una scansione con HijackThis.
Qui sotto il log di responso:

Quote:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.09.51, on 22/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\AVG\AVG9\avgchsvx.exe
C:\Programmi\AVG\AVG9\avgrsx.exe
C:\Programmi\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\AVG\AVG9\avgwdsvc.exe
C:\Programmi\AVG\AVG9\avgnsx.exe
C:\Programmi\AVG\AVG9\avgemc.exe
C:\Programmi\AVG\AVG9\avgcsrvx.exe
C:\Programmi\AVG\AVG9\avgtray.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG9\avgssie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\ccleaner.exe" /AUTO
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3318B7F7-3B25-4104-870B-FE1F5B865E38}: NameServer = 62.211.69.150 212.48.4.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{3318B7F7-3B25-4104-870B-FE1F5B865E38}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG\AVG9\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Tutto nella norma o c'è qualcosa di strano?

Ciao

[Khronos]

Quote:

Originariamente inviato da narnonet

Intanto grazie della risposta...

per pagefile.sys e hyberfile.sys OK, per hyberfile ho già disattivato la sospensione per pagefile invece me lo tengo.

AUTOEXEC.BAT e CONFIG.SYS possono cancellarli a mano?
E degli altri cosa mi sai dire? soprattutto su NDETECT.COM

Ciao e Grazie

NON devi cancellare nulla.
sono i file che windows usa per gestire l'avvio di applicazioni più vecchie (16bit, modalità dos nativa), e il suo stesso avvio di sistema.

per quale motivo hai disattivato la funzione più comoda e utile dei sistemi operativi moderni (la sospensione, o ibernazione)? invece di spegnere il pc, ibernalo con tutti i tuoi software già aperti e operativi. sotto Xp, ti basta premere su start->spegni computer, e tenendo premuto SHIFT vedrai che il tasto di sinistra "standby" si trasforma in "sospensione".
usando la sospensione, il pc si spegne totalmente, con la differenza che viene anche salvato su disco nel famoso hiberfil.sys lo stato della ram.
riaccendendo il pc, in meno di 15 secondi il sistema viene ricaricato in ram così come si trovava... senza dover aspettare che parta tutto l'ambaradan. riavvia il pc solo dopo aggiornamenti o installazioni, per il resto ibernalo sempre.
ciao

[narnonet]

Ok grazie...

infatti me ne sono accorto che cancellando anche un solo file non si avvia più windows... ho cancelato NDETECT.COM e il pc continuava a bootare solo il bios e si riavviava...
Allora ho ricopiato il file dall'altro WinXp che ho i casa e tutto è tornato OK.

Per quanto riguarda la sospensione, possiedo già un tasto dedicato sulla tastiera, ma siccome il PC lo tengo sotto ciabatta con interruttore che spengo sempre quando non uso il pc, allora non mi è utile la sospensione.

Ultima cosa...

Come mai sull'altro Pc con WinXp Prof SP2 non possiedo il file AUTOEXEC.BAT ce qui invece ho?

Ciao e Grazie.

[tallines]

Quote:

Originariamente inviato da narnonet

Intanto grazie della risposta...



AUTOEXEC.BAT e CONFIG.SYS possono cancellarli a mano?
E degli altri cosa mi sai dire? soprattutto su NDETECT.COM

Ciao e Grazie

Sono dei files di sistema come evidenziato e scritto anche dalla immagine che hai postato e sono nascosti tanto e vero che li hai dovuti rendere visibili altrimenti di default non si vedono.

Non ho capito perchè devi o vuoi cancellarli....comunque il pc è tuo


NTLDR (Hidden)
NDETECT.COM (Hidden)
BOOT.INI

Questi sono i file per il boot ossia per il caricamento del SO.

Al limite se trovi un virus lo trovi con estensione .exe tipo NDETECD.EXE


AUTOEXEC.BAT serve sopratutto per i comandi in Dos, se vuoi fare uno scandisk, o una formattazione dal bios....., se vuoi dare dei comandi da Start, Esegui...

Per ulteriori ragguagli :

http://it.wikipedia.org/wiki/File_batch


Per il file config.sys serve come da nome per l'avvio e la configurazione del sistema.
Infatti se il sistema non parte parte si devono analizzare i file di avvio ossia CONFIG.SYS, MS-DOS.SYS e AUTOEXEC.BAT.

[narnonet]

Ringrazio per l'approfondimento della risposta.

Si infatti... il virus che ricordavo era un NDETECT.EXE... non .COM

Per il resto allora lascio tutto come è senza toccare (di nuovo) nulla.

Sai anche aiutarmi come mai sull'altro Pc con WinXp Professional SP2 non possiedo il file AUTOEXEC.BAT ce qui invece ce l'ho?

Ciao e Grazie

[tallines]

Quote:

Originariamente inviato da narnonet

Ringrazio per l'approfondimento della risposta.

Si infatti... il virus che ricordavo era un NDETECT.EXE... non .COM

Per il resto allora lascio tutto come è senza toccare (di nuovo) nulla.

Sai anche aiutarmi come mai sull'altro Pc con WinXp Professional SP2 non possiedo il file AUTOEXEC.BAT ce qui invece ce l'ho?

Ciao e Grazie

Perchè tu non ce l'abbia.....forse fa parte dei misteri di windows?
Magari l'hai cancellato inavvertitamente chissà quando...e come...
Se vuoi ti dico come rimetterlo.-
O dalla rete o dal cd di windows.
Ciao e.....lascia stare i file di sistema, ovviamente se vuoi
Ciao.

[Khronos]

Quote:

Originariamente inviato da narnonet

Ok grazie...

infatti me ne sono accorto che cancellando anche un solo file non si avvia più windows... ho cancelato NDETECT.COM e il pc continuava a bootare solo il bios e si riavviava...
Allora ho ricopiato il file dall'altro WinXp che ho i casa e tutto è tornato OK.

Per quanto riguarda la sospensione, possiedo già un tasto dedicato sulla tastiera, ma siccome il PC lo tengo sotto ciabatta con interruttore che spengo sempre quando non uso il pc, allora non mi è utile la sospensione.

non hai capito il concetto di sospensione.
confondi 3 termini:
standby
sospensione
ibernazione.
lo standby è quello che stai intendendo tu, ossia col tastino (che manda in standby, in questo momento) il pc va in risparmio energetico, ma comunque è attivo, e premendo la tastiera si risveglia al volo. staccando la corrente in questo caso perdi tutto.

la sospensione (che ha cambiato nome correttamente in ibernazione, nei successivi windows) consiste nello spegnimento totale del pc, il quale però viene poi riacceso in pochi secondi da zero, ricaricando tutto ciò di attivo precedentemente. puoi sospendere, staccar la corrente, riattaccarla e riaccenderlo. riprenderà dallo stato precedente.

Quote:

Ultima cosa...

Come mai sull'altro Pc con WinXp Prof SP2 non possiedo il file AUTOEXEC.BAT ce qui invece ho?

Ciao e Grazie.

autoexec.bat e config.sys (e anche altri 2 o 3 file li in giro) sono residuati di seconda guerra mondiale, erano i file di configurazione del vecchio dos nativo. Xp non li crea di default, ma vengono creati e scritti NEL CASO debbano essere eseguiti dal sistema software datati. nel tuo pc ne hai eseguito qualcuno (anche senza accorgertene) nell'altro, no.
ciao

[tallines]

Quote:

Originariamente inviato da tallines

Perchè tu non ce l'abbia.....forse fa parte dei misteri di windows?
Magari l'hai cancellato inavvertitamente chissà quando...e come...
Se vuoi ti dico come rimetterlo.-
O dalla rete o dal cd di windows.
Ciao e.....lascia stare i file di sistema, ovviamente se vuoi
Ciao.

Rettifica:
Con windows NT e successivi (2000, XP, Server 2003) autoexec.bat e config.sys sono stati mantenuti solo per ragioni di compatibilità con alcuni applicativi DOS che ne richiedono la presenza per poter funzionare.
Xp non riconosce autoexec.bat e config.sys ma bensi i due file con estensione nt ossia autoexec.nt e config.nt che si trovano in C:\windows\system32
Il file con estensione bat non c'è nel cd d'origine, bensi quello con estensione nt.
Si può editare o tirare giù da windows all'occorrenza
Se ce l'hai in un pc si e nell'altro no, significa che hai usato qualcosa (penso tipo Java) che l'ha creato.
Comunque tranquillo che non è un virus . Tanto meno boot.ini....