| Precedente :: Successivo |
| Autore |
Messaggio |
Benny
Moderatore Hardware e Networking
Registrato: 28/01/06 15:35
Messaggi: 6382
Residenza: Non troppo vicino, mai troppo lontano
|
 Inviato: 28 Dic 2006 12:05 Oggetto: File sconosciuto: symtea.exe |
 |
|
Qualcuno sa a cosa serve questo file?
Path completa
c:\windows\system32\symtea.exe
Risulta in autorun
| Hijackthis ha scritto: | | O4 - HKCU\..\Run: [Microsoft] symtea.exe |
Il resto del log appare normale (se serve lo posto).
Spyware Terminator lo segnala come sconosciuto e chiede se autorizzare o meno la modifica del registro.
Ho cercato su google ma non trova siti in italiano a riguardo, ma solo siti nipponici e teutonici...
Prima d'oggi non era mai apparso e stranamente oggi ci sono grosse difficoltà di connessione.
Qualcuno lo conosce?
Inoltre qualcuno sa se spyware terminator è affidabile? Non l'ho mai utilizzato, l'ha installato l'amministratore di sistema.
Ho provato a casa, ma mi si pianta regolarmente. |
|
| Top |
|
 |
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 28 Dic 2006 12:35 Oggetto: |
|
|
si tratta di W32.Spybot.AMTE
Prima di tutto fixa pure quella voce.
Controlla che non sia in Run (via regedit) anche in queste chiavi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Hai percaso una cartella che si chiama "trash[numericasuali]" in C:\Windows\System32 con dentro 2 file: sfc.dll e sfc_os.dll?
Se sì copiali (e sovrascrivi quelli presenti) in C:\Windows\System32.
Cancella poi il file c:\windows\system32\symtea.exe |
|
| Top |
|
|
Benny
Moderatore Hardware e Networking
Registrato: 28/01/06 15:35
Messaggi: 6382
Residenza: Non troppo vicino, mai troppo lontano
|
| Inviato: 28 Dic 2006 15:44 Oggetto: |
|
|
Tutto fatto!
Il collegamento internet è tornato a funzionare correttamente, come previsto.
Nemmeno norton rilevava il virus (database aggiornato al 18/12).
Inoltre quando sono andato a fixare hijakthis ha trovanto anche le altre due voci di registro in HKLM, che prima non c'erano.
Per sicurezza ho dato un'occhiata lo stesso.
Nessuna traccia invece della cartella che mi segnalavi.
Sembra tutto a posto, se ho altri problemi li segnalo!
Grazie |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 28 Dic 2006 15:53 Oggetto: |
|
|
| Benny ha scritto: | Tutto fatto!
Il collegamento internet è tornato a funzionare correttamente, come previsto.
Nemmeno norton rilevava il virus (database aggiornato al 18/12).
Inoltre quando sono andato a fixare hijakthis ha trovanto anche le altre due voci di registro in HKLM, che prima non c'erano.
Per sicurezza ho dato un'occhiata lo stesso.
Nessuna traccia invece della cartella che mi segnalavi.
Sembra tutto a posto, se ho altri problemi li segnalo!
Grazie |
Benissimo  |
|
| Top |
|
|
Benny
Moderatore Hardware e Networking
Registrato: 28/01/06 15:35
Messaggi: 6382
Residenza: Non troppo vicino, mai troppo lontano
|
| Inviato: 29 Dic 2006 12:35 Oggetto: |
|
|
Via uno sotto altri due!
| log hijackthis ha scritto: | O4 - HKLM\..\Run: [Casino Royale] C:\WINDOWS\system32\jamesbond.exe
O4 - HKLM\..\Run: [Microsoft] link.exe
O4 - HKLM\..\RunServices: [Casino Royale] C:\WINDOWS\system32\jamesbond.exe
O4 - HKLM\..\RunServices: [Microsoft] link.exe |
Rilevati come sconosciuti dal solito spyware terminator.
Il firewall può fare qualcosa per bloccare queste continue intrusioni?
Sinceramente non ne capisco la fonte. |
|
| Top |
|
|
Benny
Moderatore Hardware e Networking
Registrato: 28/01/06 15:35
Messaggi: 6382
Residenza: Non troppo vicino, mai troppo lontano
|
| Inviato: 29 Dic 2006 12:41 Oggetto: |
|
|
Il resto del log:
| Citazione: | Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Symantec AntiVirus\SavRoam.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\Programmi\UltraVNC\winvnc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\WINDOWS\system32\USBPlug.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\jamesbond.exe
C:\Programmi\WinClamAVShield\sp_clam.exe
C:\Programmi\SonicWALL\SonicWALL Global VPN Client\SWGVpnClient.exe
C:\Programmi\SonicWALL\SonicWALL Global VPN Client\RampartSvc.exe
C:\WINDOWS\system32\link.exe
C:\Programmi\Spyware Terminator\SpywareTerminator.exe
C:\Documents and Settings\marghera2.PC_MARGHERA3\Documenti\My Received Files\HijackThis.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Internet Explorer\iexplore.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\UltraVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [dscService] C:\WINDOWS\system32\USBPlug.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [Casino Royale] C:\WINDOWS\system32\jamesbond.exe
O4 - HKLM\..\Run: [Microsoft] link.exe
O4 - HKLM\..\RunServices: [Casino Royale] C:\WINDOWS\system32\jamesbond.exe
O4 - HKLM\..\RunServices: [Microsoft] link.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.fujitsu-siemens.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1A50DAE-2633-4C14-A9D2-0C9BB51367D8}: NameServer = 212.216.112.222,212.216.172.162
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAD805F1-4CF8-43A1-964E-36444EE89DD9}: NameServer = 212.48.4.15 62.211.69.150
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: SonicWall VPN Client Service (RampartSvc) - SonicWALL, Inc. - C:\Programmi\SonicWALL\SonicWALL Global VPN Client\RampartSvc.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programmi\UltraVNC\winvnc.exe" -service (file missing) |
|
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 29 Dic 2006 12:43 Oggetto: |
|
|
Fai che postare il log intero di HijackThis.
Edit: ah vedo che ci hai già pensato.. ora gli do un'occhiata. |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 29 Dic 2006 12:51 Oggetto: |
|
|
Niente.. l'unica è quella di fixare quelle voci e cancellare i rispettivi file da Modalità Provvisoria (link.exe sta in C:\Windows\System32).
Dopodichè fatti una scansione online con Panda, posta poi il risultato. |
|
| Top |
|
|
Benny
Moderatore Hardware e Networking
Registrato: 28/01/06 15:35
Messaggi: 6382
Residenza: Non troppo vicino, mai troppo lontano
|
| Inviato: 29 Dic 2006 15:33 Oggetto: |
|
|
Ok, grazie!
Provvederò senz'altro martedì prossimo!
Oggi mezza giornata in ufficio...
Tanto i virus non scappano, purtroppo!
Appena fatto posto il risultato.
A presto. |
|
| Top |
|
|
Benny
Moderatore Hardware e Networking
Registrato: 28/01/06 15:35
Messaggi: 6382
Residenza: Non troppo vicino, mai troppo lontano
|
| Inviato: 02 Gen 2007 21:52 Oggetto: |
|
|
Ho fixato tutto e sembra non essere riapparso nulla per il momento.
La scansione con panda ho cercato di farla, ma prima ha impiegato 5 minuti a scaricare gli activex (isdn 64kb) poi dopo 5 minuti che scaricava gli aggiornamenti qualcuno ha pensato bene di chiudere la finestra! 
Al secondo tentativo ho fatto la scansione, ha trovato 2 spyware e 1 file sospetto, ma dovrò rifare, visto che qualcun altro ha richiuso la finestra con il risultato della scansione. 
Domani ci riprovo...
Intanto ho installato il siteadvisor della mcafee, a prova di utonto. In teoria ora dovrebbero evitare i siti contenenti malware o sospetti... almeno lo spero. |
|
| Top |
|
|
Benny
Moderatore Hardware e Networking
Registrato: 28/01/06 15:35
Messaggi: 6382
Residenza: Non troppo vicino, mai troppo lontano
|
| Inviato: 05 Gen 2007 12:29 Oggetto: |
|
|
Eccomi!
Questo è il log della scansione con panda:
| Citazione: | Adware:adware/sgrunt
Non Disinfettato
Registro di sistema di Windows
Possibile Virus.
Non Disinfettato
C:\Documents and Settings\All Users\Documenti\setup.exe
Spyware:Cookie/Doubleclick
Non Disinfettato
C:\Documents and Settings\LocalService\Cookies\marghera2@doubleclick[1].txt |
Ho eliminato gli ultimi due.
Setup.exe è un file che ogni tanto riappare.
La voce del registro non saprei come eliminarla, visto che non mi danno maggiori indicazioni su dove trovarla.
Con il regedit non risolvo nulla... |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 05 Gen 2007 12:57 Oggetto: |
|
|
Prova ad usare KillSgrunt
Se riappare Setup.exe caricalo qua www.virustotal.com (premi Sfoglia, selezioni il file e poi premi Send, aspetti che tutti gli antivirus analizzino il file e poi posti il risultato). |
|
| Top |
|
|
Benny
Moderatore Hardware e Networking
Registrato: 28/01/06 15:35
Messaggi: 6382
Residenza: Non troppo vicino, mai troppo lontano
|
| Inviato: 05 Gen 2007 19:53 Oggetto: |
 |
|
Ho provato KillSgrunt, ma la ricerca non ha dato frutti.
Mi pare che non controlli il file di registro, ma solo i file presenti sul disco. Sbaglio? |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
