bla.exe e bal.exe

[andreapalozzo]

ciao,
qualcuno sa cosa siano bla.exe e bla.exe?
ieri mentre navigavo è caduta la linea (cosa che non mi accade quasi mai), io ho una connessione 56k tanto per farvelo sapere (anzi se qualcuno sa come la telecom scelga le sue coperture e cosa possiamo fare noi poveri cittadini mi faccia sapere...), e dopo la disconnessione ho visto in C questo esecutivo bla dopo averlo rinominato e portati fuori da system32 e rinominati altri file i cui nomi mi apparivano nelle finestre di avviso di microsoft, mi è apparso sul desktop bal.exe e bla.exe è sparito da C (perchè nel frattempo l'avevo riportato al nome originale visto che tanto la linea mi cadeva lo stesso)
non so se sono riuscito a farvi capire il problema e la cronologia delle cose...
spero di sì e in un vostro aiuto!!!!
ciao Andrea

[igiolo]

Quote:

Originariamente inviato da andreapalozzo

ciao,
qualcuno sa cosa siano bla.exe e bla.exe?
ieri mentre navigavo è caduta la linea (cosa che non mi accade quasi mai), io ho una connessione 56k tanto per farvelo sapere (anzi se qualcuno sa come la telecom scelga le sue coperture e cosa possiamo fare noi poveri cittadini mi faccia sapere...), e dopo la disconnessione ho visto in C questo esecutivo bla dopo averlo rinominato e portati fuori da system32 e rinominati altri file i cui nomi mi apparivano nelle finestre di avviso di microsoft, mi è apparso sul desktop bal.exe e bla.exe è sparito da C (perchè nel frattempo l'avevo riportato al nome originale visto che tanto la linea mi cadeva lo stesso)
non so se sono riuscito a farvi capire il problema e la cronologia delle cose...
spero di sì e in un vostro aiuto!!!!
ciao Andrea

Fai molta attenzione a che nn siano dialer..cmq cancellali..

[davdo]

fai anche una bella scansione antivirus non si sa mai!

[bluepix]

Scarica MWAV.exe da qui:
http://channels.lockergnome.com/wind...rus_tool.phtml
Lancialo e posta il report.
Scarica Hijackthis.exe da qui:
http://www.spywareinfo.com/~merijn/downloads.html
Lancialo e posta il report.

Purtroppo non so quando potrò vedere i report.
Forse Lunedì prossimo.
Ma ci sono altri che lo possono fare

[juninho85]

Quote:

Originariamente inviato da bluepix

Ma ci sono altri che lo possono fare

esatto

[BravoGT83]

Quote:

Originariamente inviato da bluepix

Scarica MWAV.exe da qui:
http://channels.lockergnome.com/wind...rus_tool.phtml
Lancialo e posta il report.
Scarica Hijackthis.exe da qui:
http://www.spywareinfo.com/~merijn/downloads.html
Lancialo e posta il report.

Purtroppo non so quando potrò vedere i report.
Forse Lunedì prossimo.
Ma ci sono altri che lo possono fare

direi di si

[andreapalozzo]

Quote:

Originariamente inviato da bluepix

Scarica MWAV.exe da qui:
http://channels.lockergnome.com/wind...rus_tool.phtml
Lancialo e posta il report.
Scarica Hijackthis.exe da qui:
http://www.spywareinfo.com/~merijn/downloads.html
Lancialo e posta il report.

Purtroppo non so quando potrò vedere i report.
Forse Lunedì prossimo.
Ma ci sono altri che lo possono fare

ciao,
ecco i report di mwav e hijackthis
dovrei aver beccato un dialer, ma io non ho scaricato nessun esecutivo che mi installase il dialer, non pensavo di poterne beccare uno in questo modo!
nel caso dovesse arrivare una super-bolletta sapete se ci sono possibilità di reclamare?
grazie

[bluepix]

C'è da fixare:

O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\svchost.dll

O4 - HKLM\..\Run: [JVM0.14] C:\WINDOWS\system32\yujkk.exe

io fixerei anche questo se tele2 non è il tuo provider:

O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.it/redirect/dial_up

Disabilita il "System Restore"
Reboot in modalità provvisoria.

file da cancellare se li trovi):

C:\WINDOWS\svchost.dll
C:\WINDOWS\system32\yujkk.exe

reboot in modalità normale e riposta il log di Hijackthis

[andreapalozzo]

io ho una flat con Tiscali, quindi penso che potrei cancellare anche
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.it/redirect/dial_up
dove trovo questo file e gli altri due da cancellare?(sono abbastanza ignorante...)e come posso fixarli?tramite MWAV?

inoltre dove posso disabilitare il "System Restore"
Reboot in modalità provvisoria.

ho trovato il C:\WINDOWS\svchost.dll
adesso devo cancellarlo, non riesco a mandarti il log di MWAV perchè è troppo grande...anche zippato

proprio adesso è riapparso in C il file BLA.exe l'ho rinominato per bloccarlo, vicino ho trovato anche questo file di nome
AVPCallback.log e dentro c'è scritto 22999
ciao e grazie

[andreapalozzo]

scusami, avevo dimenticato che ti ho mandato il log di hijackthis, adesso li fixo
ciao
dimmi come posso mandarti il log di mwav

[bluepix]

Devi lanciare di nuovo Hijackthis e mettere una spunta sulla casella a sinistra delle linee che ti ho segnalato.
Poi clikka sul pulsante Fix che trovi in basso a destra.

I files da cancellare sono nella posizione che ti ho indicato e cioè:

svchost.dll in C:\WINDOWS
yujkk.exe in C:\WINDOWS\system32

che sono due cartelle di sistema.

Prima però devi visualizzare tutti i file con:

risorse del computer-strumenti-opzioni cartella-visualizzazione e metti il segno di spunta su: visualizza cartelle e files nascosti.

[bluepix]

Per il log di mwav prova a copiarlo direttamente nel post senza allegarlo.
ciao

Ps Scusa forse sono stato troppo precipitoso, ma serve solo il log della finestra, delle due, più in basso.
Scusami ancora.

[andreapalozzo]

scusami bluepix,
ma non ho capito il PS
intendi dire che non serve il log di mwav?

[bluepix]

Si che serve.
Quello che volevo dire è che mwav quando è running lavora ha una finestra divisa in due parti.
La parte superiore lelenca tutti i files che vengono analizzati, mentre quella inferiole elenca tutti i file che possono essere infettati da virus.
L'elenco di tutti i tuoi file non interessa.
Interessano quelli infetti.
Quindi, e mi sa che dovrai rilanciare il programma, una volta che ha finito, seleziona direttamente nella parte inferiore della finestra tutte le linee che sono state scritte, poi fai ctrl-c.
Poi apri una risposta nel forum e in quella fai ctrl-v.
Vedrai che tutto il selezionato verrà ricopiato.

Spero di essere stato sufficientemente dettagliato.

Se no, dimmi cosa non è chiaro.

[andreapalozzo]

in C:\WINDOWS ho anche questi esecutivi:
svchos1at
svchos1at
svchos2sat
svchos11at
che ne pensi?
a proposito ho fatto male a rinominare il file BLA.exe ?per il momento sta ancora all'apertura di C, spero non "scappi" come l'altra volta

ho cancellato
svchost.dll in C:\WINDOWS
yujkk.exe in C:\WINDOWS\system32

sto aspettando il report di mwav...
ciao

[andreapalozzo]

File C:\WINDOWS\svchos2sat.exe infected by "Trojan.Win32.Dialer.in" Virus. Action Taken: No Action Taken.
File C:\DOCUME~1\PALOZZ~1\IMPOST~1\Temp\svchost.exe infected by "Trojan.Win32.Agent.cl" Virus. Action Taken: No Action Taken.

P.S. comunque tu sei chiarissimo, sono io che sono un pò rin.....
prima all'ennesima disconnessione ho alzato la cornetta e ho sentito "telecom Italia l'utente non è abilitato al tipo di chiamata selezionata"
ho avuto un gran senso di sollievo...speriamo bene

[bluepix]

Quote:

Originariamente inviato da andreapalozzo

File C:\WINDOWS\svchos2sat.exe infected by "Trojan.Win32.Dialer.in" Virus. Action Taken: No Action Taken.
File C:\DOCUME~1\PALOZZ~1\IMPOST~1\Temp\svchost.exe infected by "Trojan.Win32.Agent.cl" Virus. Action Taken: No Action Taken.

P.S. comunque tu sei chiarissimo, sono io che sono un pò rin.....
prima all'ennesima disconnessione ho alzato la cornetta e ho sentito "telecom Italia l'utente non è abilitato al tipo di chiamata selezionata"
ho avuto un gran senso di sollievo...speriamo bene

comunque Andrea il disco sembra in buon condizioni.
Rimane solo una cosa da fare; svuotare il file TEMP.
Per fare questo scarica Ccleaner da:
http://www.ccleaner.com/ccdownload.asp

e poi lancialo in modalità provvisoria e con il "ripristino di sistema" disabilitato.

Cancella anche i files:
svchos1at
svchos1at
svchos2sat
svchos11at

dopo questo controlla che il files:
C:\DOCUME~1\PALOZZ~1\IMPOST~1\Temp\svchost.exe sia sparito (attenzione che esiste anche un file con lo stesso nome in c:\windows\system32 e che è assolutamente regolare)

riparti in modalità normale e metti di nuovo il report di Hijackthis.

ciao

[andreapalozzo]

non riesco a trovare la cartella impostazioni dopo C docum...palozz...

C:\DOCUME~1\PALOZZ~1\IMPOST~1\Temp\svchost.exe

per verificare se il file ci sia ancora

comunque per il momento non ho disconnessioni...quindi penso che hai fatto un ottimo lavoro!
ho cancellato quei 4 file
ecco il log
ciao

[bluepix]

La direttrice corretta è:

c:\documents and settings\paolozzo\Impostazioni Locali\TEMP

Il log sembra pulito se hai:

-un Toshiba
-una macchina\cinepresa Nikon
-Autodesk

ciao

[andreapalozzo]

ciao
dopo documents and settings\ palozzoandrea non ho impostazioni locali...i file temporanei di internet li ho sotto
C:\WINDOWS\TEMP

comunque dovrebbe essere tutto risolto visto che non mi si disconnette più...
sei un grande!io di solito lavoro anche sfruttando internet quindi per me non è un optional poter navigare...

a proposito, ho un Toshiba esatto
ciao e grazie
Andrea