Processo wuamkop - chi lo conosce????

[Pippox]

Allora.. ieri mi è successa una cosa stranissima..
mentre giocavo on line.. mi arriva un avviso del firewall..
niente.. mi è impazzito tutto.. ma evito per ora i dettagli..

Il problema è che mi sono trovato un processo.. che al 90 % non ho mai avuto prima.. wuamkop.exe ...
cercando tra tutti file nel pc.. non ho trovato niente!! ho fatto una scansione con spybot... ma nulla (tra l'altro mi ha trovato solo 3 cokiee traccianti.. niente di rilevante....

scansione antivirus.. niente anche in quella...
il problema è che non mi funzionano + correttamente le regole impostate nel firewall... e non capisco perchè

[3dsst]

Quote:

Originariamente inviato da Pippox

Allora.. ieri mi è successa una cosa stranissima..
mentre giocavo on line.. mi arriva un avviso del firewall..
niente.. mi è impazzito tutto.. ma evito per ora i dettagli..

Il problema è che mi sono trovato un processo.. che al 90 % non ho mai avuto prima.. wuamkop.exe ...
cercando tra tutti file nel pc.. non ho trovato niente!! ho fatto una scansione con spybot... ma nulla (tra l'altro mi ha trovato solo 3 cokiee traccianti.. niente di rilevante....

scansione antivirus.. niente anche in quella...
il problema è che non mi funzionano + correttamente le regole impostate nel firewall... e non capisco perchè

è un backdoor va eliminato immediatamente posta il logo di hijackthis che gli diamo un occhiata sicuramente ti ha lasciato altre stringhe infette

[RikShield]

Dove è installato sto exe?? Forse dalla cartella di installazione si riesce a capiredi più! Trovalo col cerca...

[SkunkWorks 68]

Edit..già detto...scusate(il log)
...Io farei anche uno scan on-line...

[Pippox]

Quote:

Originariamente inviato da 3dsst

è un backdoor va eliminato immediatamente posta il logo di hijackthis che gli diamo un occhiata sicuramente ti ha lasciato altre stringhe infette

Intanto grazie a tutti per le risposte celeri!!

poi.. ho fatto una scansione col programma della microsoft
e il processo è sparito!!!

(certo non canto vittoria.. ora provo a riavviare e vediamo...

ps dove prendo hjiack...ocome si chiama

[Pippox]

Quote:

Originariamente inviato da RikShield

Dove è installato sto exe?? Forse dalla cartella di installazione si riesce a capiredi più! Trovalo col cerca...

già cercato.. non si trova da nessuna parte!! (incredibile.. la prima volta che vedo una cosa del genere!)

[3dsst]

si chiama hijackthis non ricordo la home fai una ricerca con google e di pochi kb poi fai una scansione e posta il log cosi diamo una controllata

[Pippox]

intanto Il processo non c'è +!!
ecco il log

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\cFosSpeed\spd.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Razer\razertra.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Razer\razerofa.exe
C:\Programmi\Razer\razerhid.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\cFosSpeed\cFosSpeed.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\OPScan.exe
C:\Documents and Settings\fissoxnot\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.razerzone.com/diamondbackdriver.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [razertra] C:\Programmi\Razer\razertra.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programmi\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Programmi\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D3B49DB-96CD-44AB-87EB-5C47A4BD9693}: NameServer = 80.21.193.22 151.99.125.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programmi\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

(cosi pero mi son sputtanato!!! eh si.. ho il norton internet security..)

[SkunkWorks 68]

...Cosa è questo:"C:\Programmi\Razer\razerofa.exe"???

[Pippox]

Quote:

Originariamente inviato da SkunkWorks 68

...Cosa è questo:"C:\Programmi\Razer\razerofa.exe"???

credo si riferisca al mouse! razer diamondback magma

[3dsst]

Quote:

Originariamente inviato da Pippox

intanto Il processo non c'è +!!
ecco il log

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\cFosSpeed\spd.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Razer\razertra.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Razer\razerofa.exe
C:\Programmi\Razer\razerhid.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\cFosSpeed\cFosSpeed.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\OPScan.exe
C:\Documents and Settings\fissoxnot\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.razerzone.com/diamondbackdriver.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [razertra] C:\Programmi\Razer\razertra.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programmi\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Programmi\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D3B49DB-96CD-44AB-87EB-5C47A4BD9693}: NameServer = 80.21.193.22 151.99.125.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programmi\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

(cosi pero mi son sputtanato!!! eh si.. ho il norton internet security..)

O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programmi\cFosSpeed\spd.exe" -service (file missing) questa e da fixare
per quanto riguarda il razoe se è il modem bene se no fixa pure quella pe il resto tutto ok

[3dsst]

Quote:

Originariamente inviato da Pippox

(cosi pero mi son sputtanato!!! eh si.. ho il norton internet security..)

[SkunkWorks 68]

Quote:

Originariamente inviato da Pippox

credo si riferisca al mouse! razer diamondback magma

... ...

[Pippox]

O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programmi\cFosSpeed\spd.exe" -service (file missing) questa e da fixare

questo è un programmino per il ping!! (ANCORA DEVO vedere se funziona bene o meno.. ma sembra di si!)

[bluepix]

........azzzzzzzz vi sono sfuggite queste due righe:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

relativo ad Alexa

[Pippox]

Quote:

Originariamente inviato da bluepix

........azzzzzzzz vi sono sfuggite queste due righe:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

relativo ad Alexa

cosa comportano??

[bluepix]

perchè alexa trasmette al sito alexa.com gli indirizzi completi digitati che posso comprendere:

user name
password
indirizzi web non pubblici

non è uno spyware classico, ma tutti i programmi che collezionano queste informazioni violano la privacy dell'utente.

[freeJ]

Ma come si fa a evitare di prendere questo virus? In un vecchio computer con win2000 lo becca sempre e gli antivirus non lo trovano!
Dopo il contagio ho provato a fare dei controlli con alcuni antivirus
1)NOD32
2)AVG
3)Avast!
Il primo ha stoppato il virus all'avvio, ma il file era ancora nella cartella Windows/system32, ma nessuno degli antivirus lo ha identificato come virus e eliminato, solo il primo (NOD32) ha detto, dopo la scansione approfondita che era un file sospetto e di inviarglielo per e-mail

Tra l'altro il pc è stato infettato solo navigando, cosa si può fare per evitare di farsi contagiare da questo trojan che a quanto pare è molto pericoloso?
Ma poi si prende solo con win2000?
Grazie per l'aiuto!

[freeJ]

Qualcuno mi può aiutare per favore? In questo momento ho il pc bloccato e non so che cosa fare...
Grazie

[.Kougaiji.]

Quote:

Originariamente inviato da freeJ

Ma come si fa a evitare di prendere questo virus? In un vecchio computer con win2000 lo becca sempre e gli antivirus non lo trovano!
Dopo il contagio ho provato a fare dei controlli con alcuni antivirus
1)NOD32
2)AVG
3)Avast!
Il primo ha stoppato il virus all'avvio, ma il file era ancora nella cartella Windows/system32, ma nessuno degli antivirus lo ha identificato come virus e eliminato, solo il primo (NOD32) ha detto, dopo la scansione approfondita che era un file sospetto e di inviarglielo per e-mail

Tra l'altro il pc è stato infettato solo navigando, cosa si può fare per evitare di farsi contagiare da questo trojan che a quanto pare è molto pericoloso?
Ma poi si prende solo con win2000?
Grazie per l'aiuto!

Firewall?