fqqe.exe ???? che robba è ?

[andipag]

Sono un po' preoccupato !
Da un paio di giorni il fido Sygate PF continua a bloccare questo file che tenta di connetersi al network.
Il file è nella cartella WINNT/system32. ed è pure sempre in esecuzione !

NAV2004 aggiornato non trova niente nemmeno facendogli scansire solo quel file e nemmeno con uno scan online...

Su internet non ho trovato purtroppo niente

Qualcuno ha idea di cosa potrebbe essere ???

[MrOZ]

Niente di buono --> http://www.computing.net/windows2000...rum/53404.html


Prova a fare 1 scansione con Hijackthis, controlla quella discussione in ingl. e se trovi gli stessi file e valori incriminati segui quella procedura di pulizia.

[MrOZ]

x ora su internet nn si hanno molte notizie riguardo quel file... potrebbe essere qualcosa di nuovo oppure no.

Se hai già provato diversi AV scanner online allora ti conviene zipparne 1 copia e spedirla al servizio di analisi della symantec oppure a qualke altro sito specializzato x 1 controllo + approfondito.

[andipag]

grazie MrOz.

facendo una scan con Hijack http://www.spywareinfo.com/~merijn/index.html
mi trova un paio di voci chiamate POFATCH associate ai files fqqe.exe e nstrue.exe
Su un sito dicono di cancellare le chiavi nel registro e dovrebbe bastare, speriamo

[MrOZ]

Se hai prob prova a postare qui il log.

Ho provato anke a raccogliere notizie su 1 forum americano.

Cmq da Google si vede ke le voci POFATCH ed il file nstrue.exe sono legati al worm randex.Z ed alla backdoor BKDR_SDBOT.SRV ke si propagano tramite IRC.

http://securityresponse.symantec.com...2.randexz.html

http://www.vsantivirus.com/randex-z.htm

http://de.trendmicro-europe.com/cons...BKDR_SDBOT.SRV

[andipag]

il bello é che manco utilizzo IRC !
mah !

comunque adeso vedo se ho risolto senno posto il log di Hijack !

[freccia]

anche io mi trovo quste stesse voci all'avvio di win 2000...
Mi potresti dire la procedura da seguire per eliminare il virus?

[andipag]

ciao freccia,

la procedura abbastanza semplice é descritta nel link postato da MrOZ in alto !

[MrOZ]

Questa è la procedura descritta nel thread di cui sopra:


Open the task manager and end process on the following:
C:\WINNT\SYSTEM32\fqqe.exe
C:\WINNT\system32\nstrue.exe

Run HT again and check the following items. Next, close all browser Windows, and have HT 'fix checked'.

You Must restart your computer in safe mode when you're done.

O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\Updater\wupdater.exe
O4 - HKLM\..\Run: [Norton AntiVirus] C:\WINNT\SYSTEM32\fqqe.exe
O4 - HKLM\..\Run: [Pofatch] nstrue.exe
O4 - HKLM\..\Run: [Sysscan] C:\winnt\system32\drivers\etc\dll.bat
O4 - HKLM\..\RunServices: [Pofatch] nstrue.exe
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL

Once in safe mode delete the following:
C:\WINNT\SYSTEM32\fqqe.exe
C:\WINNT\system32\nstrue.exe
C:\winnt\system32\drivers\etc\dll.bat

Reboot to Windows and run an online virus scan, delete any files listed as infected.

Controlla poi se hai anke questi file nella cartella system32:

fqeb.exe
autohack.bat
mIRCservices
script3.dll
results.txt (with an IP addy and the name GUS)

IPCPASS & IPCSCAN

[andipag]

tolto il file fqqe.exe dalla cartella WINNT/System32 e spostato sul desktop, improvvisamente NAV2004 si accorge del file e lo elimina perché riconosce che é un trojan.

meglio tardi che mai...