una foto invasiva sul desktop del Server....

Rozz Williams · 20-12-2002, 09:32

ciao a tutti,
da qualche tempo sul server dell'uffico dove lavoro succede una cosa strana...

in modo del tutto casuale appare un'immagine sul desktop (che tipo di img potete immaginarlo!), che sembra posizionarsi in un 'layer' sopra tutte le finestre, non è cliccabile...

dopo qualche controllo mi sono accorto che in pratica si attiva la visualizzazione Web del desktop e questa immagine appare nella certella winNT e si piazza come sfondo....

abbiamo provato a fare scansioni con NAV2002, ADaware, ma non viene segnalato nulla, abbiamo eliminato l'immagine e tutti i riferimenti (compresi quelli nel registro) ad essa, ma dopo un po' riappare...

Il server ha Win2KServer, IIS, MS SQL Server 7 installati (siamo una piccola web Agency), abbiamo una rete con 5 IP statici.

ora ho montato anche Zone Allarm.....ma non sembra servire a molto...

vorremmo riuscire a capire a cosa è dovuto questo strano (e poco piacevole) evento.....qualcuno ha delle idee/suggerimenti?

grazie a tutti comunque.

Bilancino · 20-12-2002, 10:59

HKEY_LOCAL_MACHINElSOFTWARElMicrosoft\Windows\CurrentVersion

\RunServices\

Run\

qui di solito ci sono i programmi caricati all'avvio, sarebbe importante stabilire quale processo parte. Non è un virus ma forse qualcosa tipo toolbar per le finestre di exploer (se ho capito bene) oppure un programma che cambia lo sfondo a rotazione ad ogni avvio.......mai vista una cosa simile........

Ciao

Rozz Williams · 20-12-2002, 11:06

Quote:

Originally posted by "Bilancino"

(..............)
.......mai vista una cosa simile........

Ciao

nemmeno io!

cmq grazie, ora dò un'occhiata......

Rozz Williams · 20-12-2002, 11:20

ho controllato ora nel registro, le uniche cose che ho trovato sono:
(Predefinito)
C-Media Mixer REG_SZ Mixer.exe /startup
LoadQM REG_SZ loadqm.exe
Microsoft System Admin REG_SZ C:\WINNT\system32\Mssys32.exe
vptray REG_SZ C:\PROGRA~1\NAV\vptray.exe

che non mi sembrano x nulla anormali....

ora appena riappare posto il nome dell'immagine....

cmq grazie

amvinfe · 20-12-2002, 12:04

Ciao,
oltre ai programmi in esecuzione automatica prova anche a vedere se hai qualche voce strana in
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Marco(amvinfe)

amvinfe · 20-12-2002, 12:26

...in aggiunta
i files che si associano a tale chiave che mi vengono in mente sono
52XYXY.COM, SEXHOUND e MYCPWORLD

Marco(amvinfe)

Rozz Williams · 20-12-2002, 12:43

ho controllato anche li, ma non c'è nulla che rimandi a programmi o voci strane....

questo è il nome del file che appare:

tibbombo 888E79945B544A20C3.bmp

la prima parte (tibbombo) e l'estensione rimanono sempre uguali mentre la seconda (888E79945B544A20C3) cambia di volta in volta, è credo sia generata casualmente.....

Bilancino · 20-12-2002, 13:20

prova a scaricare dal mio sito spybot e vedi se trova qualcosa...........ma quante foto sono?

Ciao

Bilancino · 20-12-2002, 13:21

prova a scaricare dal mio sito spybot e vedi se trova qualcosa...........ma quante foto sono?

Ciao

amvinfe · 20-12-2002, 13:26

Quote:

Originally posted by "Bilancino"

prova a scaricare dal mio sito spybot e vedi se trova qualcosa...........ma quante foto sono?

Ciao

Che fai rispondi con l'eco oggi?

Ciao
Marco(amvinfe)

Bilancino · 20-12-2002, 13:31

Quote:

Originally posted by "amvinfe"

Quote:

Originariamente inviato da Bilancino

prova a scaricare dal mio sito spybot e vedi se trova qualcosa...........ma quante foto sono?

Ciao

Che fai rispondi con l'eco oggi?

Ciao
Marco(amvinfe)

Sono in montagna con il portatile e il gprs.......

Ciao

amvinfe · 20-12-2002, 13:35

Io sono in città, col Pc ed una voglia d'essere in montagna anche senza portatile.....

Buon fine settimana
Marco(amvinfe)

Rozz Williams · 20-12-2002, 14:55

Quote:

Originally posted by "Bilancino"

prova a scaricare dal mio sito spybot e vedi se trova qualcosa...........ma quante foto sono?

Ciao

fatto....ha segnalato solo un paio di coockie.....

la foto è una sola, sempre la stessa.....la elimino e si ripresenta sempre uguale.....

20-12-2002, 09:32	#1
Rozz Williams Senior Member Iscritto dal: Mar 2001 Messaggi: 273	una foto invasiva sul desktop del Server.... ciao a tutti, da qualche tempo sul server dell'uffico dove lavoro succede una cosa strana... in modo del tutto casuale appare un'immagine sul desktop (che tipo di img potete immaginarlo!), che sembra posizionarsi in un 'layer' sopra tutte le finestre, non è cliccabile... dopo qualche controllo mi sono accorto che in pratica si attiva la visualizzazione Web del desktop e questa immagine appare nella certella winNT e si piazza come sfondo.... abbiamo provato a fare scansioni con NAV2002, ADaware, ma non viene segnalato nulla, abbiamo eliminato l'immagine e tutti i riferimenti (compresi quelli nel registro) ad essa, ma dopo un po' riappare... Il server ha Win2KServer, IIS, MS SQL Server 7 installati (siamo una piccola web Agency), abbiamo una rete con 5 IP statici. ora ho montato anche Zone Allarm.....ma non sembra servire a molto... vorremmo riuscire a capire a cosa è dovuto questo strano (e poco piacevole) evento.....qualcuno ha delle idee/suggerimenti? grazie a tutti comunque. __________________ DeskTop: A7V AMD tb 900 512Ram IBM 30gb (ATA100) + IBM 60gb - Hercules 3D Prophet 4500 - Win XP pro (Lite) NoteBook: Dell Vostro 1500 CoreDuo2 2,4Ghz HD 500 Gb (SATA 7200rpm) RAM 4Gb Nvidia GeForce 8600M GT 256Mb 15,4' Wide - Windows 7 Ultimate 64bit Programmatore ASP/Ms SQL Server - PHP/MySQL - Serve un sito internet? sono qui ..

20-12-2002, 10:59	#2
Bilancino Senior Member Iscritto dal: Jun 2001 Città: Lazio Messaggi: 5935	HKEY_LOCAL_MACHINElSOFTWARElMicrosoft\Windows\CurrentVersion \RunServices\ Run\ qui di solito ci sono i programmi caricati all'avvio, sarebbe importante stabilire quale processo parte. Non è un virus ma forse qualcosa tipo toolbar per le finestre di exploer (se ho capito bene) oppure un programma che cambia lo sfondo a rotazione ad ogni avvio.......mai vista una cosa simile........ Ciao __________________ HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i

20-12-2002, 11:20	#4
Rozz Williams Senior Member Iscritto dal: Mar 2001 Messaggi: 273	ho controllato ora nel registro, le uniche cose che ho trovato sono: (Predefinito) C-Media Mixer REG_SZ Mixer.exe /startup LoadQM REG_SZ loadqm.exe Microsoft System Admin REG_SZ C:\WINNT\system32\Mssys32.exe vptray REG_SZ C:\PROGRA~1\NAV\vptray.exe che non mi sembrano x nulla anormali.... ora appena riappare posto il nome dell'immagine.... cmq grazie __________________ DeskTop: A7V AMD tb 900 512Ram IBM 30gb (ATA100) + IBM 60gb - Hercules 3D Prophet 4500 - Win XP pro (Lite) NoteBook: Dell Vostro 1500 CoreDuo2 2,4Ghz HD 500 Gb (SATA 7200rpm) RAM 4Gb Nvidia GeForce 8600M GT 256Mb 15,4' Wide - Windows 7 Ultimate 64bit Programmatore ASP/Ms SQL Server - PHP/MySQL - Serve un sito internet? sono qui ..

20-12-2002, 12:04	#5
amvinfe Senior Member Iscritto dal: Aug 2002 Messaggi: 359	Ciao, oltre ai programmi in esecuzione automatica prova anche a vedere se hai qualche voce strana in HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Marco(amvinfe) __________________ Pensi d'avere un file infetto? Invialo a SuspectFile

20-12-2002, 12:26	#6
amvinfe Senior Member Iscritto dal: Aug 2002 Messaggi: 359	...in aggiunta i files che si associano a tale chiave che mi vengono in mente sono 52XYXY.COM, SEXHOUND e MYCPWORLD Marco(amvinfe) __________________ Pensi d'avere un file infetto? Invialo a SuspectFile

20-12-2002, 12:43	#7
Rozz Williams Senior Member Iscritto dal: Mar 2001 Messaggi: 273	ho controllato anche li, ma non c'è nulla che rimandi a programmi o voci strane.... questo è il nome del file che appare: tibbombo 888E79945B544A20C3.bmp la prima parte (tibbombo) e l'estensione rimanono sempre uguali mentre la seconda (888E79945B544A20C3) cambia di volta in volta, è credo sia generata casualmente..... __________________ DeskTop: A7V AMD tb 900 512Ram IBM 30gb (ATA100) + IBM 60gb - Hercules 3D Prophet 4500 - Win XP pro (Lite) NoteBook: Dell Vostro 1500 CoreDuo2 2,4Ghz HD 500 Gb (SATA 7200rpm) RAM 4Gb Nvidia GeForce 8600M GT 256Mb 15,4' Wide - Windows 7 Ultimate 64bit Programmatore ASP/Ms SQL Server - PHP/MySQL - Serve un sito internet? sono qui ..

20-12-2002, 13:20	#8
Bilancino Senior Member Iscritto dal: Jun 2001 Città: Lazio Messaggi: 5935	prova a scaricare dal mio sito spybot e vedi se trova qualcosa...........ma quante foto sono? Ciao __________________ HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i

20-12-2002, 13:21	#9
Bilancino Senior Member Iscritto dal: Jun 2001 Città: Lazio Messaggi: 5935	prova a scaricare dal mio sito spybot e vedi se trova qualcosa...........ma quante foto sono? Ciao __________________ HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i

20-12-2002, 13:35	#12
amvinfe Senior Member Iscritto dal: Aug 2002 Messaggi: 359	Io sono in città, col Pc ed una voglia d'essere in montagna anche senza portatile..... Buon fine settimana Marco(amvinfe) __________________ Pensi d'avere un file infetto? Invialo a SuspectFile

Strumenti
Mostra una versione stampabile Invia questa pagina per email