Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

files strani nel mio pc Opzioni
onda98
Inviato: Thursday, November 16, 2006 5:22:50 PM
Rank: Member

Iscritto dal : 11/16/2006
Posts: 0
Ciao a tutti, nella cartella C:\Programmi\File comuni\Services ho trovato una trentina di file .exe dai nomi strani: AUBEkD, dmN, iNXi, Muau, nworzn ecc.
Tutti sono di 100-200KB e l'antivirus (Antivir) non riesce ad analizzarli, dice "The file could not be opened!".
Che roba è? Li cancello?

Poi ho anche altri problemini (pc che si riavvia) ma è meglio risolvere una cosa alla volta :)
Sponsor
Inviato: Thursday, November 16, 2006 5:22:50 PM

 
pidue
Inviato: Thursday, November 16, 2006 5:41:21 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Il tuo non è un problema da poco. Si chiama <b>LinlOptimizer.</b> Vai qui.

http://steven.altervista.org/files/rootkit.html




giza
Inviato: Thursday, November 16, 2006 5:41:29 PM

Rank: AiutAmico

Iscritto dal : 10/27/2006
Posts: 9,618
leggie scarica questo poi posta qui il log completo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
onda98
Inviato: Thursday, November 16, 2006 9:13:48 PM
Rank: Member

Iscritto dal : 11/16/2006
Posts: 0
ciao, intanto che leggo le pagine che mi avete consigliato posto il log di hijack

Logfile of HijackThis v1.99.1
Scan saved at 21.06.47, on 16/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOCUME~1\Dario\IMPOST~1\Temp\ARC1\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DFD85E4-541B-42A1-9BC7-8950ADA2B4F0}: NameServer = 85.255.115.36,85.255.112.132
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.36 85.255.112.132
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.36 85.255.112.132
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.36 85.255.112.132
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLITE\viritsvc.exe
onda98
Inviato: Thursday, November 16, 2006 9:14:02 PM
Rank: Member

Iscritto dal : 11/16/2006
Posts: 0
ciao, intanto che leggo le pagine che mi avete consigliato posto il log di hijack

Logfile of HijackThis v1.99.1
Scan saved at 21.06.47, on 16/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOCUME~1\Dario\IMPOST~1\Temp\ARC1\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DFD85E4-541B-42A1-9BC7-8950ADA2B4F0}: NameServer = 85.255.115.36,85.255.112.132
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.36 85.255.112.132
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.36 85.255.112.132
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.36 85.255.112.132
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLITE\viritsvc.exe
pidue
Inviato: Thursday, November 16, 2006 9:59:48 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, il log è pulito, scarica l'ultima versione di <b>VirIt</b>, aggiornalo e fai una scansione in modalità provvisoria.

http://www.tgsoft.it/files/vnlt6130.exe

Edited by - pidue on 11/16/2006 22:00:21



onda98
Inviato: Thursday, November 16, 2006 10:23:21 PM
Rank: Member

Iscritto dal : 11/16/2006
Posts: 0
ciao p2, è da oggi pomeriggio che non riesco ad aprire il sito di tgsoft <img src=icon_smile_sad.gif border=0 align=middle>
e non riesco ad aprire neanche il sito di hwupgrade, mica dipende da questo link optimizer?
Hai un altro link da cui scaricare Virit?
Intanto faccio uno scan con Ewido e Antivir in modalità provvisoria..
pidue
Inviato: Thursday, November 16, 2006 10:42:49 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Lo devi scaricare da un computer pulito, perchè purtroppo il linkOptimizer impedisce di connettersi al sito www.tgsoft.it



onda98
Inviato: Friday, November 17, 2006 10:23:32 AM
Rank: Member

Iscritto dal : 11/16/2006
Posts: 0
ma questi che fanno i virus sono proprio bast***i <img src=icon_smile_angry.gif border=0 align=middle>
grazie x l'aiuto, mi faccio scaricare il file da un amico e cerco di fare un pò di pulizia.
giza
Inviato: Friday, November 17, 2006 1:23:55 PM

Rank: AiutAmico

Iscritto dal : 10/27/2006
Posts: 9,618
guarda che l'80% dei virus sono prodotti da chi fa gli antivirus a pagamento
onda98
Inviato: Friday, November 17, 2006 3:34:35 PM
Rank: Member

Iscritto dal : 11/16/2006
Posts: 0
x giza: lo immaginavo ma non volevo crederci...

un altro aiuto: non riesco ad andare in modalità provvisoria. Si deve premere F8 allo start, vero?
La schermata di avvio è troppo veloce, e poi ho una tastiera che i tasti da F1 a F12 hanno doppia funzione (è una microsoft wireless con un sacco di funzioni che non so usare, però preciso che il pc non è mio) e non riesco a impostare i tasti di modo che premendo F8 il pc esegua F8 e non l'altra funzione assegnata al tasto F8!
C'è un altro modo per farlo andare in modalità provvisoria?

Edited by - onda98 on 11/17/2006 15:37:40
giza
Inviato: Friday, November 17, 2006 4:54:57 PM

Rank: AiutAmico

Iscritto dal : 10/27/2006
Posts: 9,618
all'accensione clicca ripetutamente f8 finchè si blocca la schermata nera con scritte bianche. poi sali con le frecce su mod. provv. e invia .
altrimenti fai così:
Chiudere tutti i programmi.
Sulla barra delle applicazioni di Windows, fare clic su Start > Esegui.
Nella casella Apri, digitare:
msconfig
Fare clic su OK.
Nel programma di utilità di configurazione di sistema, sulla scheda BOOT.INI, selezionare /SAFEBOOT.
Fare clic su OK.
Alla richiesta di riavviare il computer, fare clic su Riavvia.
Il computer viene riavviato in Modalità provvisoria. Questa operazione può richiedere qualche minuto.
onda98
Inviato: Friday, November 17, 2006 9:48:25 PM
Rank: Member

Iscritto dal : 11/16/2006
Posts: 0
x giza: grazie, ci sono entrato col msconfig.
In modalità provvisoria ho eseguito Ewido e mi ha trovato "Downloader.Agent.uj" ma non è riuscito a cancellarlo nè a metterlo in quarantena:
[968] VM_00A30000 -> Downloader.Agent.uj : Error during cleaning.

Poi ho fatto uno scan con antivir e non è uscito niente, poi ho provato a far partire Virit ma non parte. Ho scompattato il file di Virit e mi ha creato il link sul desktop ma di lì non parte. Ho tentato anche di farlo partire anche dalla sua cartella (C:VEXPLITE) cliccando su viritexp ma non va <img src=icon_smile_sad.gif border=0 align=middle>
pidue
Inviato: Friday, November 17, 2006 11:02:05 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, sei messo maluccio se non ti parte VirIt. Vedi se riesci a scaricare questi due tool.

Per il primo fai così:
avvia con un doppio click <b>FixGrom.exe</b>
Clicca su scan
Rispondi <b>YES</b> alla richiesta di riavvio;
al riavvio il tool terminerà la procedura e rilascerà un log in C:\gromozon_removal.txt

Per eseguire il secondo tool dovresti riavviare in Modalità Provvisoria;

avvia il file <b>FixLinkopt.exe</b>, accetta il contratto di licenza poi clicca su Start per avviare l'analisi
posta il log prodotto alla fine dellascansione.

<b>Primo tool</b>:
http://www.prevx.com/gromozon.asp

<b>Scondo tool</b>:
http://securityresponse.symantec.com/avcenter/FixLinkopt.exe



Edited by - pidue on 11/17/2006 23:04:59



onda98
Inviato: Saturday, November 18, 2006 10:48:38 AM
Rank: Member

Iscritto dal : 11/16/2006
Posts: 0
x pidue: non riesco a scaricare nemmeno i due file che mi hai indicato, nè ad aprire i siti www.prevx.com e http://securityresponse.symantec.com/
li scaricherò da un altro pc.
E' incredibile quello che è capace di inventarsi questa gente <img src=icon_smile_shock.gif border=0 align=middle> (gli spezzerei le braccine...)
onda98
Inviato: Saturday, November 18, 2006 2:29:36 PM
Rank: Member

Iscritto dal : 11/16/2006
Posts: 0
sono riuscito a far partire Virit dal file bat GOTGSOFT, e mi ha rimosso il bastardone.
Poi ho fatto un pò di pulizia come indicato qui
http://steven.altervista.org/files/rootkit.html
però pare che bisogna stare sempre all'erta perchè è molto viscido.
Virit va tenuto sempre acceso?
pidue
Inviato: Saturday, November 18, 2006 3:50:52 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Se Virit funziona, potrebbero funzionare anche i tool che sopra ti ho indicato. Se riesci a scaricarli, fai subito la scansione. Questo virus è un gran figlio di puttana e può ricomparire anche quando sei certo di esseri liberato di lui.
Virit lo puoi tenere, perchè non protegge in tempo reale e quindi non va in conflitto col tuo antivirus residente. CiaO, fammi sapere. <img src=icon_smile_wink.gif border=0 align=middle>



onda98
Inviato: Sunday, November 19, 2006 7:44:39 PM
Rank: Member

Iscritto dal : 11/16/2006
Posts: 0
x pidue: Virit al riavvio ha trovato un altro file sospetto, denominato dmjes.exe (credo sia un nome random). Cerco di far girare i tool che mi hai indicato.
Intanto grazie 1000 <img src=icon_smile.gif border=0 align=middle>
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.