| Autore |
 Discussione  |
|
spybot
Senior Member
Città: palermo
101 Messaggi |
 Inserito il - 06/01/2008 : 11:24:13
|
[quote]Messaggio inserito da Floatman
[quote]
Comunque vai nelle operaziono pianificate ed elimina tutti quei file... ora sono su Debian e il percorso non lo ricordo 
sono andato su operazioni pianificate e ho visto questo:
htt*://[www].freefilehosting.net/show/3a460
devo cancellare tutto quello che c'è sotto la cartella operazioni pianificate?
Una domanda ma tutti questi file si producono da soli o nascono da una cattiva gestione del computer?
|
 |
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 06/01/2008 : 11:32:05
|
Esatto, devi cancellare tutto (a meno che tu non conosca le voci perchè le hai create).
Le operazioni sono create da malware in modo da creare "agganci" per rigenerarsi tramite nomi random; a volte lo fanno anche per creare chiavi di registro senza proprietario (rootkit). |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/01/2008 : 11:46:51
|
uhmm.. ti spiego dove sono andata allora ad interpretare male system scan:
jobs found in C:\WINDOWS:
09/09/2007 09.41.33 230 byte 118 days old -- zxcxpc.job
09/09/2007 09.41.34 230 byte 118 days old -- zujloo.job
il dubbio mi era venuto ma alla fine ho dato effettivamente quella posizione. Stai attento, devi cancellare solo i .job
edit: esattamente, questi, se li vedi, non devi cancellarli:
09/09/2007 11.53.44 6 byte 118 days old -- SA.DAT
09/09/2007 11.53.45 31976 byte 118 days old -- SCHEDLGU.TXT
31/08/2001 17.00.00 65 byte 2318 days old -- desktop.ini
19/08/2004 15.39.36 4 byte 1234 days old -- FOLDER.TSX |
Modificato da - Sibilla in data 06/01/2008 12:03:08 |
|
|
|
spybot
Senior Member
Città: palermo
101 Messaggi |
Inserito il - 06/01/2008 : 13:47:40
|
Citazione:
Messaggio inserito da Sibilla
uhmm.. ti spiego dove sono andata allora ad interpretare male system scan:
jobs found in C:\WINDOWS:
09/09/2007 09.41.33 230 byte 118 days old -- zxcxpc.job
09/09/2007 09.41.34 230 byte 118 days old -- zujloo.job
il dubbio mi era venuto ma alla fine ho dato effettivamente quella posizione. Stai attento, devi cancellare solo i .job
edit: esattamente, questi, se li vedi, non devi cancellarli:
09/09/2007 11.53.44 6 byte 118 days old -- SA.DAT
09/09/2007 11.53.45 31976 byte 118 days old -- SCHEDLGU.TXT
31/08/2001 17.00.00 65 byte 2318 days old -- desktop.ini
19/08/2004 15.39.36 4 byte 1234 days old -- FOLDER.TSX
ciao, mi dici di cancellare solo i job, ma lo devo fare esaminando la cartella oper.pianificate? se si l'ho fatto e non risulta nessuna di quelle voci di cui hai scritto.posso a questo punto eliminare tutto il contenuto di questa cartella, come mi consigliava floatman ono?
poi procedo con cccleaner e hijacthis ? aspetto notizie
ho cliccato con il tasto dx chiedendone la proprieta' su tutti i file presenti nella cartella op. pianificate e tutte mi indicano come percorso c:\windows\system32\netlesgh.exe
io mi ricordo che un po' di tempo fa'ho avuto un problema con un trojan win32.qhost.kk e orange mi guido' alla sua elimininazione
e mi ricordo che mi fece cancellare questo netlesgh. che ci siano rimasugli?
|
Modificato da - spybot in data 06/01/2008 14:10:55 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/01/2008 : 14:11:42
|
files to delete:
C:\WINDOWS\Tasks\zxcxpc.job
C:\WINDOWS\Tasks\zujloo.job
C:\WINDOWS\Tasks\zszpzrn.job
C:\WINDOWS\Tasks\xzrqzqz.job
C:\WINDOWS\Tasks\xrsae.job
C:\WINDOWS\Tasks\yorlm.job
C:\WINDOWS\Tasks\zchlsgdo.job
C:\WINDOWS\Tasks\yvksj.job
C:\WINDOWS\Tasks\uaglox.job
C:\WINDOWS\Tasks\uqlxccjc.job
C:\WINDOWS\Tasks\stmyhjz.job
C:\WINDOWS\Tasks\taevef.job
C:\WINDOWS\Tasks\vacletzv.job
C:\WINDOWS\Tasks\xdohkg.job
C:\WINDOWS\Tasks\xmriuml.job
C:\WINDOWS\Tasks\vcetkcv.job
C:\WINDOWS\Tasks\xaupss.job
C:\WINDOWS\Tasks\qsl.job
C:\WINDOWS\Tasks\rbqcjg.job
C:\WINDOWS\Tasks\panzke.job
C:\WINDOWS\Tasks\ovpn.job
C:\WINDOWS\Tasks\oxcplhan.job
C:\WINDOWS\Tasks\sda.job
C:\WINDOWS\Tasks\spumllnd.job
C:\WINDOWS\Tasks\rnqpgve.job
C:\WINDOWS\Tasks\riztxlhy.job
C:\WINDOWS\Tasks\rlffoi.job
C:\WINDOWS\Tasks\ncw.job
C:\WINDOWS\Tasks\nsil.job
C:\WINDOWS\Tasks\kop.job
C:\WINDOWS\Tasks\ktguuc.job
C:\WINDOWS\Tasks\knulvn.job
C:\WINDOWS\Tasks\jhjkw.job
C:\WINDOWS\Tasks\kkza.job
C:\WINDOWS\Tasks\mmzcdben.job
C:\WINDOWS\Tasks\mtzzzol.job
C:\WINDOWS\Tasks\nacxqvcr.job
C:\WINDOWS\Tasks\mkerzf.job
C:\WINDOWS\Tasks\mgxcew.job
C:\WINDOWS\Tasks\gymg.job
C:\WINDOWS\Tasks\fzcpah.job
C:\WINDOWS\Tasks\frea.job
C:\WINDOWS\Tasks\fdfsfry.job
C:\WINDOWS\Tasks\flapj.job
C:\WINDOWS\Tasks\jfs.job
C:\WINDOWS\Tasks\holfsulx.job
C:\WINDOWS\Tasks\hmajbgm.job
C:\WINDOWS\Tasks\ddkevsx.job
C:\WINDOWS\Tasks\ddwlvhml.job
C:\WINDOWS\Tasks\bbnqbcae.job
C:\WINDOWS\Tasks\bspuonc.job
C:\WINDOWS\Tasks\excnrjm.job
C:\WINDOWS\Tasks\eqjfjewg.job
C:\WINDOWS\Tasks\bbibqaxu.job
C:\WINDOWS\Tasks\amksoey.job
o con avenger o vai in quella cartella e li elimini.
edit: nel report netlesgh.exe non c'è. Se dipendono da quello e non li hai mai cancellati, beh, i .job sono i rimasugli, si..
Cominciali a cancellare. Se sei pulito non compariranno più.. semplice. |
Modificato da - Sibilla in data 06/01/2008 14:15:21 |
|
|
|
spybot
Senior Member
Città: palermo
101 Messaggi |
Inserito il - 06/01/2008 : 19:07:09
|
la cosa va per il verso giusto. ho eliminato con avenger i file incriminati, e questo è il log:
htt*://[www].freefilehosting.net/download/3a4ga
ho avviato ccleaner e ho eliminato quello che c'èra da eliminare per 2 volte e poi ho avviato hijacthis e questo è il log :
htt*://[www].freefilehosting.net/download/3a4gc
attendo istruzioni.ciao |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/01/2008 : 19:31:49
|
| beh, il log continua ad essere pulito ...tocca a te dirci come va.. |
|
|
|
spybot
Senior Member
Città: palermo
101 Messaggi |
Inserito il - 06/01/2008 : 19:58:57
|
ok lo tengo sotto controllo e poi vi faccio sapere.
come sempre tante e tante grazie e soprattutto un caloroso e splendido buon 2008 per tutti voi che siete sempre di una disponibilita' unica.
ciao
|
|
|
|
spybot
Senior Member
Città: palermo
101 Messaggi |
Inserito il - 06/01/2008 : 21:11:20
|
| ho provato di nuovo con cureit, disabilitando prima l'antivirus e il risultato e stato lo stesso di prima , il computer s'è spento e si è riavviato da solo a questo punto non so' se è perche' c'è ancora qualcosa o gli da fastidio qualche programma che mi dite? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/01/2008 : 14:00:11
|
X Michal:
==== Checking Suspicious files ====
C:\WINDOWS\system32\pncrt.dll --> is compressed with UPX
Real Networks RealPlayer program. E' normale che sia compresso?
|
|
|
|
spybot
Senior Member
Città: palermo
101 Messaggi |
Inserito il - 07/01/2008 : 19:14:06
|
tornando un po' indietro; puo' essere la causa di tutto una penna usb della sony che ho comprato a mia figlia qualche mese fa'?
dico questo perchè mi sovviene di aver letto in qualche forum che la sony usa inserire non so' cosa all'interno dei propri accessori per poter spiare .la cosa che ho notato è che in un primo momento giu' in basso accanto all'orologio compariva l'icona di un programmino detto virtual expander che serve a comprimere automaticamente i file che si immettettono nella penna.dopo che ieri ho fatto quella pulizia è ritornata l'icona oggi e' sparita nuovamente.secondo tutto cio' centra qualcosa? ciao a presto |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 07/01/2008 : 21:07:43
|
Per Sibilla:
The library file pncrt.dll, contains program code used by RealOne Player, quindi è legittima.
Il programma di compressione UPX è utilizzato da molti software, ma essendo il sistema di compressione preferito dai realizzatori di maleware e sempre bene controllare tutti i file in questo formato.
qui se vuoi approfondire:htt*://web.tiscali.it/winzozzz/upx.htm |
Modificato da - michal in data 07/01/2008 21:12:05 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/01/2008 : 22:18:46
|
letto
grazie michal
systemScan porta i file creati negli ultimi 60 gg; ho cercato quello ma non c'è.. Quel riporto come suspicious è l'unico di riferimento. mah. |
|
|
|
spybot
Senior Member
Città: palermo
101 Messaggi |
Inserito il - 08/01/2008 : 13:47:23
|
buona giornata, stamattina alle 7,30 ho cominciato a far fare la scansione con ad-aware 2007 e il risultato è stato che adesso che sono le 13,40 la scansione è ancora in atto ma sicuramente il programma è bloccato.leggo che sin adesso ha trovato 2 infezioni ma siccome non va oltre l'ho dovuto chiudere con il task manager.
cosa c'è che non va' ? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 08/01/2008 : 14:00:31
|
..a questo punto credo che anche il tuo gmer sia fasullo, ecco perche' l'hai dovuto ripetere piu' volte...
Mi rifai la scansione con systemScan, per piacere?
Non riavviare, eseguilo direttamente ora, a problema avvenuto.
Giusto per sicurezza, controlla si virustotal il file che avevo segnalato...
Ricordati di spuntare tutte le opzioni.
edit: OK.. Analizza c:\windows\system32\AswBoot.exe su Virustotal (potrebbe essere un Trojan/Backdoor W32.Bagz.H[No-Spam]mm - non e' indicata nessuna posizione di riferimento).
04/12/2007 14.04.28 837496 byte 32 days old -- aswBoot.exe
Alcuni file di Avast risultano se non nuovi almeno modificati una 30ina di giorni fa.
04/12/2007 13.54.04 95608 byte 32 days old -- AVASTSS.scr
04/12/2007 14.04.28 837496 byte 32 days old -- aswBoot.exe
04/12/2007 15.49.02 26624 byte 32 days old -- aavmker4.sys
04/12/2007 15.51.52 42912 byte 32 days old -- aswTdi.sys
04/12/2007 15.53.39 23152 byte 32 days old -- aswRdr.sys
04/12/2007 15.55.46 94544 byte 32 days old -- aswmon2.sys
04/12/2007 15.56.02 93264 byte 32 days old -- aswmon.sys
Se pero' cerco qualche dimensione le trovo diverse.
Aavmker4.sys. Size (bytes), 13.248. Version, 4.1.304.0. Company, ALWIL Software. Description. avast! Base Kernel-Mode DeviceDriver for Windows.
 forse sbaglio qualcosa io..
magari era un aggiornamento..
edit: Si, di dicembre |
Modificato da - Sibilla in data 08/01/2008 15:59:45 |
|
|
|
Discussione |
|
scansione con cureit "dott Web"
Forum Bloccato
