Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

file exe random su c:\windows\temp Opzioni
snap
Inviato: Sunday, September 10, 2006 8:58:06 PM
Rank: Member

Iscritto dal : 9/10/2006
Posts: 0
Ciao a tutti,
vi scrivo per un problema che ho improvvisamente scoperto sul mio notebook.
Nella lista dei processi attivi ho trovato un file exe mai visto prima. Ho efettuato una ricerca di quel file e l'ho trovato della directory temp. Una volta terminato il processo ho potuto eliminare il file la cui icona stranamente rafigura un cagnolino.
Al successivo riavio sono andato a controllare la directory temp e ho visto che ... il cagnolino ha cambiato nome :-(
Ho effettuato scansioni con l'antivirus aggiornato, ho utilizzato Ad-aware e Spybot, scansioni on-line con symantec e bitdefender ma in nessun modo sono riuscito ad eliminare il file.
Potete aiutarmi ??
Grazie e ciao.
Sponsor
Inviato: Sunday, September 10, 2006 8:58:06 PM

 
alfonso
Inviato: Sunday, September 10, 2006 8:59:31 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Scarica questo programma e leggi le istruzioni per inserire il tuo log
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175


Edited by - alfonso on 09/10/2006 21:00:14

Collaboratore Aiutamici
pidue
Inviato: Sunday, September 10, 2006 9:43:21 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
ho trovato un file exe...della directory temp...ha cambiato nome :-(
Ho effettuato scansioni con l'antivirus aggiornato, ho utilizzato Ad-aware e Spybot, scansioni on-line con symantec e bitdefender ma in nessun modo sono riuscito ad eliminare il file.
Potete aiutarmi ??
Grazie e ciao.
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>

Anche tu probabilmente ti sei beccato il <b>LinkOptimizer</b>. Dal log sarà fugato ogni dubbio.

Edited by - pidue on 09/10/2006 21:44:13



snap
Inviato: Sunday, September 10, 2006 10:15:57 PM
Rank: Member

Iscritto dal : 9/10/2006
Posts: 0
ecco il log:

Logfile of HijackThis v1.99.1
Scan saved at 22.16.03, on 10/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Trend Micro\Client Server Security Agent\ntrtscan.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\TOSHIBA\TME3\Tmesrv31.exe
C:\Programmi\Trend Micro\Client Server Security Agent\tmlisten.exe
C:\Programmi\TOSHIBA\TME3\TMEEJME.EXE
C:\Programmi\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
C:\Programmi\TOSHIBA\Accessibility\FnKeyHook.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programmi\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programmi\TOSHIBA\TME3\TMERzCtl.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programmi\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\WINDOWS\TEMP\CK9575.EXE
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\LUIGI~1.DIL\IMPOST~1\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search and Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programmi\TOSHIBA\Accessibility\FnKeyHook.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programmi\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programmi\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programmi\TOSHIBA\TME3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programmi\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O5 "LPT1:" /M "Stylus CX6600"
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: Eandsporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - :windir:\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = DILUIGI.local
O17 - HKLM\Software\..\Telephony: DomainName = DILUIGI.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{8BA0EB03-286F-4A2E-9754-18539159C0BB}: NameServer = 193.70.192.25,193.70.152.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDB501CE-5B17-490D-8D81-BAF35B09C937}: NameServer = 192.168.200.90
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = DILUIGI.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = DILUIGI.local
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing)
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Scansione in tempo reale di Trend Micro Client-Server Security Agent (ntrtscan) - Trend Micro Inc. - C:\Programmi\Trend Micro\Client Server Security Agent\ntrtscan.exe
O23 - Service: Personal Firewall di Trend Micro Client-Server Security Agent (OfcPfwSvc) - Trend Micro Inc. - C:\Programmi\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programmi\TOSHIBA\TME3\Tmesrv31.exe
O23 - Service: Trend Micro Client-Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Programmi\Trend Micro\Client Server Security Agent\tmlisten.exe

snap
Inviato: Sunday, September 10, 2006 10:16:41 PM
Rank: Member

Iscritto dal : 9/10/2006
Posts: 0
e



Edited by - snap on 09/10/2006 22:40:16
snap
Inviato: Sunday, September 10, 2006 10:17:46 PM
Rank: Member

Iscritto dal : 9/10/2006
Posts: 0

<font size=1></font id=size1><font size=3></font id=size3><font size=1></font id=size1>

Edited by - snap on 09/10/2006 22:38:42
snap
Inviato: Sunday, September 10, 2006 10:18:39 PM
Rank: Member

Iscritto dal : 9/10/2006
Posts: 0
vorrei mandarvi il log ma come invio la risposta mi arriva una segnalazione di overflow
pidue
Inviato: Sunday, September 10, 2006 10:49:03 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Prima di tutto, rendi visibili le cartelle nascoste.
Da Risorse del computer vai su <i>Strumenti >> Opzioni cartella >> Visualizzazione.</i> Metti il segno di spunta su <i>Visualizza cartelle e file nascosti</i>.
Dalla modalità provvisoria vedi se ti riesce di eliminare il file <font color=red>C:\WINDOWS\TEMP\CK9575.EXE
</font id=red>
Poi da Start >> Esegui, copia e incolla questa stringa: <b>control userpasswords2</b> ; nella finestra che si apre controlla che non ci siano utenze strane;

sempre da Start >> Esegui >> incolla questa stringa: <b>services.msc</b> . Nella finestra che si apre controlla che non ci sia un servizio con un nome a caso ma la cui descrizione è uguale a quella di un altro servizio.
Ciao, fai sapere.




Edited by - pidue on 09/10/2006 22:51:41



snap
Inviato: Sunday, September 10, 2006 11:03:55 PM
Rank: Member

Iscritto dal : 9/10/2006
Posts: 0
ho controllato gli utenti e l'unica cosa strana che vedo e un utente chiamato ASPNET nel gruppo Users

per i processi attivi non ci sono nomi strani con funzioni similari.

pidue
Inviato: Sunday, September 10, 2006 11:13:46 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
L'utente aspnet è legittimo. Sei riuscito a rimuovere l'exe nella cartella temp? Perchè il nocciolo della questione è quello.



snap
Inviato: Sunday, September 10, 2006 11:17:05 PM
Rank: Member

Iscritto dal : 9/10/2006
Posts: 0
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
L'utente aspnet è legittimo. Sei riuscito a rimuovere l'exe nella cartella temp? Perchè il nocciolo della questione è quello.
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
posso rimuoverlo ma se poi riavvio torna il file con un altro nome
ad es. adesso si chiama ZH19AB.EXE

snap
Inviato: Sunday, September 10, 2006 11:29:00 PM
Rank: Member

Iscritto dal : 9/10/2006
Posts: 0
se avvio in modalita' provvisoria il file exe non lo trovo nella cartella temp
pidue
Inviato: Sunday, September 10, 2006 11:33:51 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ahi!!! Mi sa proprio che l'hai preso anche tu.
Purtroppo il <b>LinkOptimizer</b> non può essere debellato con HijackThis. Vai qui, ci sono le indicazioni su come liberarsi dal virus.

http://www.aiutamici.com/aiutaforum/topic.asp?TOPIC_ID=33511&FORUM_ID=32&CAT_ID=3&Topic_Title=controllo+log&Forum_Title=Sicurezza+Virus+e+privacy



alfonso
Inviato: Monday, September 11, 2006 9:18:11 AM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Dal controllo del log non risulta nulla di anormale. Non devi basarti sui nomi dei file a occhio, fai una scansione antivirus on line da questo indirizzo
http://it.trendmicro-europe.com/consumer/housecall/housecall_launch.php

Nel sistema non é presente un Firewall, installa questo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=56


Collaboratore Aiutamici
pidue
Inviato: Monday, September 11, 2006 11:05:05 AM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Dal controllo del log non risulta nulla di anormale.
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>

Ciao, alfonso, scusa, e quell' exe nella cartella temp che cambia nome ogni volta?



Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.