Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

strani file in c:windows Opzioni
klaus124
Inviato: Wednesday, February 03, 2010 11:12:09 AM

Rank: Member

Iscritto dal : 9/16/2006
Posts: 24
aprendo la cartella citata in oggetto mi sono accorto dell'esistenza di svariati file che pur non essendo un fenomeno mi sembrano strani eccoli: grep.exe - mbr.exe - nircmd.exe - pev.exe - sed.exe - slrundll.exe - swreg.exe - swsc.exe - swxcalcs.exe - taskman.exe - zip.exe, sono pericolosi? come posso farli sparire? vi allego anche un Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.00.51, on 03/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\COMODO\COMODO Internet Security\cfp.exe
C:\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programmi\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\StarModem\StarModem USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programmi\ERUNT\AUTOBACK.EXE
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 4082 bytes
grazie.
Sponsor
Inviato: Wednesday, February 03, 2010 11:12:09 AM

 
antonpaco
Inviato: Wednesday, February 03, 2010 1:43:27 PM
Rank: AiutAmico

Iscritto dal : 11/7/2006
Posts: 1,180
prima di tutto ti suggerirei di postare la scansione in "SICUREZZA" in modo tale che venga controllata dagli amici esperti, non mi sembra ci siano infezioni ma aspetta il loro giudizio. Mi sembra inoltre che tu non abbia installato il service pack 3, come mai? Nell'attesa fai un controllo col malwarebytes che puoi scaricare da aiutamici, fai una scansione completa.
cbbusto
Inviato: Wednesday, February 03, 2010 2:16:40 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
antonpaco ha scritto:
Mi sembra inoltre che tu non abbia installato il service pack 3, come mai? .

Forse ti è sfuggito ma c'è, compreso I.E. 8.
Per klaus, i file che hai elencato, i primi 5, escluso mbr.exe che riguarda il master boot record, non li conosco, tutti gli altri sono programmi regolari.
klaus124
Inviato: Wednesday, February 03, 2010 2:47:28 PM

Rank: Member

Iscritto dal : 9/16/2006
Posts: 24
sicuramente gli è sfuggito l'sp3 purtroppo l'ho installato e mi si è rallentato tutto.... vabbè..... come posso levarli quei file? grazie.
cbbusto
Inviato: Wednesday, February 03, 2010 3:12:50 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Non ho detto di levarli, devi prima postare il log nella sezione sicurezza e virus, l'esperto lo controlla e poi ti suggerisce cosa fare.
simo95
Inviato: Wednesday, February 03, 2010 3:23:37 PM

Rank: AiutAmico

Iscritto dal : 12/4/2008
Posts: 2,008
Credo che tutti quei file si riferiscano a ComboFix (ho collegato NirCmd e mbr, e quindi credo che pure gli altri si referiscano a Combo..)
Ciao
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.