- Home
- Categorie
- Gaming, Hardware e Software
- Sicurezza Informatica & Privacy
- strano uplod dal mio computer
-
Ciao, lovedog, e benvenuto nel Forum GT;)
Intanto, dopo aver disattivato la funzione di ripristino configurazione di sistema, potresti fixare queste voci, con hijack:
O4 - HKLM..\RunServices: [Syntax2 Positive] syntax2.exe
O4 - HKLM..\RunServices: [File Mapping Services] hp-1003.exe
O4 - HKCU..\RunServices: [File Mapping Services] hp-1003.exeQuanto alla voce seguente:
C:\WINDOWS\system[usnsvc](http://www.hijackthis.de/index.php#).exe
il file in questione è un processo di Messenger, ma dovrebbe stare in una delle cartelle di Messenger. Mi sembra dunque sospetto.
Fixa pure quello, se non sai cosa sia...Poi, scarica The Avenger e killa i files di quei processi. Credo siano in questi percorsi:
C:\WINDOWS\System32\syntax2.exe
C:\WINDOWS\System32\hp-1003.exe( C:\WINDOWS\system[usnsvc](http://www.hijackthis.de/index.php#).exe ) in dubbio
Fatto questo, allega un altro LOG di Hijack.
Facci sapere!
-
Ciao lovedog,
dopo aver fixato le voci con hijackthis, apri avenger, spunta la voce:
Input Script Manually e clicca sulla lente d'ingrandimento! All'interno della schermata view/edit script riporta queste righe:Files to delete: C:\WINDOWS\System32\syntax2.exe C:\WINDOWS\System32\hp-1003.exe
Fatto questo, clicca su done ed infine sull'icona del semaforo, premendo due volte Si!!
Al riavvio del pc, rieffettua un nuovo scan con hijack come suggerito da Kru, e allega il suo log!
-
Grazie della vostra collaborazione .
Ho seguito le vostre istruzioni ed ecco in log:Logfile of HijackThis v1.99.1
Scan saved at 6.49.14, on 11/06/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\Sitecom\IVT BlueSoleil\BTNtService.exe
C:\WINDOWS\system\usnsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programmi\DU Meter\DUMeter.exe
C:\Programmi\Lexmark X1100 Series\lxbkbmon.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\System32\clockz.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM..\Run: [Lexmark X1100 Series] "C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM..\Run: [DU Meter] C:\Programmi\DU Meter\DUMeter.exe
O4 - HKLM..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM..\Run: [Iexplore Data1 Center] C:\WINDOWS\System32\clockz.exe
O4 - HKLM..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM..\RunServices: [Iexplore Data1 Center] C:\WINDOWS\System32\clockz.exe
O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascstubie.cab
O16 - DPF: {ADC5034D-4DF4-4952-9F33-0A55BC68BF1E} (IDPersist Class) - http://aiuto.alice.it/ata/static/installers/WebflowActiveXInstaller_4-1-5.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programmi\Ares\chatServer.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\Sitecom\IVT BlueSoleil\BTNtService.exe
O23 - Service: LexBce Server (LexBceS) - Unknown owner - C:\WINDOWS\system32\LEXBCES.EXE (file missing)
O23 - Service: Print Scheduler (prtsch) - Unknown owner - C:\WINDOWS\system\usnsvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hlbms^gh
Script file located at: ??\C:\qigxllkw.txt
Script file opened successfully.Script file read successfully
Backups directory opened successfully at C:\Avenger
Beginning to process script file:
File C:\WINDOWS\System32\syntax2.exe not found!
Deletion of file C:\WINDOWS\System32\syntax2.exe failed!Could not process line:
C:\WINDOWS\System32\syntax2.exe
Status: 0xc0000034File C:\WINDOWS\System32\hp-1003.exe not found!
Deletion of file C:\WINDOWS\System32\hp-1003.exe failed!Could not process line:
C:\WINDOWS\System32\hp-1003.exe
Status: 0xc0000034Completed script processing.
Finished! Terminate.
L'UPLOAD RIMANE!
-
Ok. Il log adesso sembra pulito.
Avenger però non ha eliminato i files sospetti, forse perchè non esistono.Resta sempre il dubbio di quel file di cui hai chiesto all'inizio, che a mio parere è sospetto.
Prova a rimuoverlo manualmente, a fixare la sua riga di comando con Hijack e, dopo aver riavviato, verifica se persiste l'upload.Bada bene, però, che l'upoload può essere generato da svariati programmi non maligni che tu hai installato!
Sarebbe bene cercare di monitorare i processi che si connettono al web senza la tua autorizzazione. Che Firewall usi? Puoi vedere se il tuo FW ti consente di vedere le connessioni In/OUT in tempo reale?
-
purtroppo non ho la possibilità di controllare in tempo reale le connesioni, esite
qualche programma al tal proposito?
Quale è il percorso per cambiare le impostazioni del firewall (no service pack2)?
Il file sospetto usnsvc.exe adesso non compare più nei processi di task manager, ma l'upload continua
-
scusate se riscrivo subito senza aspettare le risposte, ma adesso sul pc è comparsa una richiesta di collegamento :
lesproduhack.cjb.net .... il nome penso già la dice lunga. Come posso disattivare questa richiesta che si ripete ad intervalli di circa 10-20 secondi se non sono connesso?grazie
-
mmm... vediamo un pò...
conosci questo programma? Un file exe non di windows nella cartella System32 è sempre sospetto:
O4 - HKLM..\Run: [Iexplore Data1 Center] C:\WINDOWS\System32\clockz.exe
O4 - HKLM..\RunServices: [Iexplore Data1 Center] C:\WINDOWS\System32\clockz.exeSe non hai idea di cosa sia, in modalità provvisoria, fixa queste 2 voci con Hijackthis, poi rimuovi manualmente il file C:\WINDOWS\System32\clockz.exe.
Prova così.
Poi, riposta un log...
-
credo che il file responsabile sia rasautou.exe che innesca la richiesta di connessione, con hijack non compare nel log, ma se sono sconnesso compare nei processi di task manager .Quando chiedo di terminare il processo, la finestra di connessione scompare insieme al file, per poi subito ripresentarsi.
Un file con lo stesso nome, ma con l'estensione .pf è sotto la cartella di sistema....
-
Guarda, quel file eseguibile, è un componente di windows. Viene utilizzato per molte operazioni essenziali durante la connessione ad internet, compreso Win Update.
può anche essere utilizzato come vettore da virus, però.
Prova una scansione online con kaspersky; visto che i tuoi antivirus non hanno rilevato nulla, magari una scansione online riesce...
-
@lovedog said:
credo che il file responsabile sia rasautou.exe che innesca la richiesta di connessione.
Un file con lo stesso nome, ma con l'estensione .pf è sotto la cartella di sistema....Ciao lovedog,
effettua anche uno scan di questi file, tramite uno di questi due tools: