una foto invasiva sul desktop del Server....

[Rozz Williams]

ciao a tutti,
da qualche tempo sul server dell'uffico dove lavoro succede una cosa strana...

in modo del tutto casuale appare un'immagine sul desktop (che tipo di img potete immaginarlo!), che sembra posizionarsi in un 'layer' sopra tutte le finestre, non è cliccabile...

dopo qualche controllo mi sono accorto che in pratica si attiva la visualizzazione Web del desktop e questa immagine appare nella certella winNT e si piazza come sfondo....

abbiamo provato a fare scansioni con NAV2002, ADaware, ma non viene segnalato nulla, abbiamo eliminato l'immagine e tutti i riferimenti (compresi quelli nel registro) ad essa, ma dopo un po' riappare...

Il server ha Win2KServer, IIS, MS SQL Server 7 installati (siamo una piccola web Agency), abbiamo una rete con 5 IP statici.

ora ho montato anche Zone Allarm.....ma non sembra servire a molto...

vorremmo riuscire a capire a cosa è dovuto questo strano (e poco piacevole) evento.....qualcuno ha delle idee/suggerimenti?

grazie a tutti comunque.

[Bilancino]

HKEY_LOCAL_MACHINElSOFTWARElMicrosoft\Windows\CurrentVersion

\RunServices\

Run\

qui di solito ci sono i programmi caricati all'avvio, sarebbe importante stabilire quale processo parte. Non è un virus ma forse qualcosa tipo toolbar per le finestre di exploer (se ho capito bene) oppure un programma che cambia lo sfondo a rotazione ad ogni avvio.......mai vista una cosa simile........

Ciao

[Rozz Williams]

Quote:

Originally posted by "Bilancino"

(..............)
.......mai vista una cosa simile........
Ciao

nemmeno io!

cmq grazie, ora dò un'occhiata......

[Rozz Williams]

ho controllato ora nel registro, le uniche cose che ho trovato sono:
(Predefinito)
C-Media Mixer REG_SZ Mixer.exe /startup
LoadQM REG_SZ loadqm.exe
Microsoft System Admin REG_SZ C:\WINNT\system32\Mssys32.exe
vptray REG_SZ C:\PROGRA~1\NAV\vptray.exe

che non mi sembrano x nulla anormali....

ora appena riappare posto il nome dell'immagine....

cmq grazie

[amvinfe]

Ciao,
oltre ai programmi in esecuzione automatica prova anche a vedere se hai qualche voce strana in
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Marco(amvinfe)

[amvinfe]

...in aggiunta
i files che si associano a tale chiave che mi vengono in mente sono
52XYXY.COM, SEXHOUND e MYCPWORLD

Marco(amvinfe)

[Rozz Williams]

ho controllato anche li, ma non c'è nulla che rimandi a programmi o voci strane....

questo è il nome del file che appare:

tibbombo 888E79945B544A20C3.bmp

la prima parte (tibbombo) e l'estensione rimanono sempre uguali mentre la seconda (888E79945B544A20C3) cambia di volta in volta, è credo sia generata casualmente.....

[Bilancino]

prova a scaricare dal mio sito spybot e vedi se trova qualcosa...........ma quante foto sono?

Ciao

[Bilancino]

prova a scaricare dal mio sito spybot e vedi se trova qualcosa...........ma quante foto sono?

Ciao

[amvinfe]

Quote:

Originally posted by "Bilancino"

prova a scaricare dal mio sito spybot e vedi se trova qualcosa...........ma quante foto sono?

Ciao

Che fai rispondi con l'eco oggi?
Ciao
Marco(amvinfe)

[Bilancino]

Quote:

Originally posted by "amvinfe"

Quote:

Che fai rispondi con l'eco oggi?
Ciao
Marco(amvinfe)

Sono in montagna con il portatile e il gprs.......

Ciao

[amvinfe]

Io sono in città, col Pc ed una voglia d'essere in montagna anche senza portatile.....
Buon fine settimana
Marco(amvinfe)

[Rozz Williams]

Quote:

Originally posted by "Bilancino"

prova a scaricare dal mio sito spybot e vedi se trova qualcosa...........ma quante foto sono?

Ciao

fatto....ha segnalato solo un paio di coockie.....

la foto è una sola, sempre la stessa.....la elimino e si ripresenta sempre uguale.....