Ciao a tutti, nella cartella C:\Programmi\File comuni\Services ho trovato una trentina di file .exe dai nomi strani: AUBEkD, dmN, iNXi, Muau, nworzn ecc.
Tutti sono di 100-200KB e l'antivirus (Antivir) non riesce ad analizzarli, dice "The file could not be opened!".
Che roba è? Li cancello?

Poi ho anche altri problemini (pc che si riavvia) ma è meglio risolvere una cosa alla volta :)

Il tuo non è un problema da poco. Si chiama <b>LinlOptimizer.</b> Vai qui.

http://steven.altervista.org/files/rootkit.html

---

ciao, intanto che leggo le pagine che mi avete consigliato posto il log di hijack

Logfile of HijackThis v1.99.1
Scan saved at 21.06.47, on 16/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOCUME~1\Dario\IMPOST~1\Temp\ARC1\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DFD85E4-541B-42A1-9BC7-8950ADA2B4F0}: NameServer = 85.255.115.36,85.255.112.132
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.36 85.255.112.132
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.36 85.255.112.132
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.36 85.255.112.132
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLITE\viritsvc.exe

Ciao, il log è pulito, scarica l'ultima versione di <b>VirIt</b>, aggiornalo e fai una scansione in modalità provvisoria.

http://www.tgsoft.it/files/vnlt6130.exe

Edited by - pidue on 11/16/2006 22:00:21

---

Lo devi scaricare da un computer pulito, perchè purtroppo il linkOptimizer impedisce di connettersi al sito www.tgsoft.it

---

guarda che l'80% dei virus sono prodotti da chi fa gli antivirus a pagamento

all'accensione clicca ripetutamente f8 finchè si blocca la schermata nera con scritte bianche. poi sali con le frecce su mod. provv. e invia .
altrimenti fai così:
Chiudere tutti i programmi.
Sulla barra delle applicazioni di Windows, fare clic su Start > Esegui.
Nella casella Apri, digitare:
msconfig
Fare clic su OK.
Nel programma di utilità di configurazione di sistema, sulla scheda BOOT.INI, selezionare /SAFEBOOT.
Fare clic su OK.
Alla richiesta di riavviare il computer, fare clic su Riavvia.
Il computer viene riavviato in Modalità provvisoria. Questa operazione può richiedere qualche minuto.

Ciao, sei messo maluccio se non ti parte VirIt. Vedi se riesci a scaricare questi due tool.

Per il primo fai così:
avvia con un doppio click <b>FixGrom.exe</b>
Clicca su scan
Rispondi <b>YES</b> alla richiesta di riavvio;
al riavvio il tool terminerà la procedura e rilascerà un log in C:\gromozon_removal.txt

Per eseguire il secondo tool dovresti riavviare in Modalità Provvisoria;

avvia il file <b>FixLinkopt.exe</b>, accetta il contratto di licenza poi clicca su Start per avviare l'analisi
posta il log prodotto alla fine dellascansione.

<b>Primo tool</b>:
http://www.prevx.com/gromozon.asp

<b>Scondo tool</b>:
http://securityresponse.symantec.com/avcenter/FixLinkopt.exe



Edited by - pidue on 11/17/2006 23:04:59

---

sono riuscito a far partire Virit dal file bat GOTGSOFT, e mi ha rimosso il bastardone.
Poi ho fatto un pò di pulizia come indicato qui
http://steven.altervista.org/files/rootkit.html
però pare che bisogna stare sempre all'erta perchè è molto viscido.
Virit va tenuto sempre acceso?

x pidue: Virit al riavvio ha trovato un altro file sospetto, denominato dmjes.exe (credo sia un nome random). Cerco di far girare i tool che mi hai indicato.
Intanto grazie 1000 <img src=icon_smile.gif border=0 align=middle>