PDA

Visualizza versione completa : Help Me - Possibile virus


Sbavi
05-07-2006, 09.39.04
Allora, ci combatto ormai da tre giorni. Sono esausto.

Penso si tratti di un virus, non so cosa combini ma č certo che mi impalla il sistema. Ho individuato 4 file .exe che penso siano la matrice di tutto. Risiedono nella cartella C:\Programmi\File comuni\System e sono:
Lpq.exe
PdQ.exe
qHzHb.exe (dopo ennesimo riavvio diventato iohDEu.exe!)
QuT.exe

PestPatrol mi dice che sono file di sistema, in uso, e non riesce ad eliminarli. Idem con Unlocker. Ne tantomeno sono riuscito ad eliminarli in modalitā provvisoria. Altro effetto strano č quello che ad ogni riavvio del sistema,
viene generato (ed eseguito) un file .exe dal nome sempre diverso (Sfv.exe, yrro.exe, ecc) e che risiede ogni volta in un percorso sempre diverso. Da task manager vedo che tale file viene eseguito dall'utente Klesmis (o qualcosa del genere) che cmq non esiste sulla macchina, e rimane in essere per pochi istanti.

Il mio AV č eTrus, che quindi ha fatto cilecca. Ho provato Kaspersky e idem, non rileva nulla.

Non so pių che pesci pigliare. Mi urta formattare perchč trattasi di PC aziendale e c'č tutto un casino di applicativi dietro.

Non trovando risposta qui, penso di smontare l'HD, collegarlo su un'altra macchina in un box usb ed eliminare i file.

Consigli?

PS
Mentre scrivo mi viene in mente di loggarmi come Admintrator in modalitā provvisoria ed eliminare i file. Posto e provo ;)

Sbavi
05-07-2006, 09.53.02
Mentre scrivo mi viene in mente di loggarmi come Admintrator in modalitā provvisoria ed eliminare i file. Posto e provo ;)

Nulla! :(

einemass
05-07-2006, 10.04.56
1°tentativo
vedi nel win.ini la prima riga ;)

2° tentativo
usa spybot e vedi cosa c'č in avvio, togli tutto quello che č nocivo e poi da dos elimini i file a uno a uno, sempre se hai la fat a 32

3° tentativo
padre nostro che sei nei cieli etc.. etc.. :D :D

Sbavi
05-07-2006, 10.07.35
1°tentativo
vedi nel win.ini la prima riga ;)
2° tentativo
usa spybot e vedi cosa c'č in avvio, togli tutto quello che č nocivo e poi da dos elimini i file a uno a uno, sempre se hai la fat a 32
3° tentativo
padre nostro che sei nei cieli etc.. etc.. :D :D

1° - ; for 16-bit app support

2° - In avvio nulla di strano, ne tantomeno come Servizio di sistema (mi ero scordato di citarlo prima)

3° - LOL :D Sarā la punizione divinina, perchč non vado a Messa :devil:

Thor
05-07-2006, 10.12.18
tra i processi in esecuzione automatica, ed i servizi, vedi qualcosa di strano?

cerca anche riferimenti a C:\Programmi\File comuni\System nel registro

einemass
05-07-2006, 10.13.39
1° vedi se c'č qualche voce --- LOAD .. qualcosa e se ci fosse controllala

2° allora č un programma che carica sta cosa, controlla con hijaack this o altro se internet explorer nn ha fatto un guaio

3° idem con patate :D

Sbavi
05-07-2006, 10.28.13
@Thor
Cercato nel registro, trovata roba tutta relativa a ADO, OLE DB, WAB, ecc, quindi nella norma. Per il resto nulla di nulla, solo voci relative ai file "nocivi" in quanto visionati e trattati di recente (es. da Pest Patrol).

In startup e servizi, come giā detto, nulla.



@einemass
Giā provato all'inizio con Hijack ma nulla. Penso che si tratta di qualcosa che si avvia celandosi dietro qualche file "normale"...veramente non saprei...
CMQ si, beccato sicuramente dallo stronzetto figlio del capo, che viene qui nella pausa pranzo e naviga con IE, il bastar...:mad:

Sbavi
05-07-2006, 10.54.59
http://img84.imageshack.us/img84/8288/13sr.th.png (http://img84.imageshack.us/my.php?image=13sr.png)

http://img209.imageshack.us/img209/9370/28vw.th.png (http://img209.imageshack.us/my.php?image=28vw.png)

http://img137.imageshack.us/img137/7628/30io.th.png (http://img137.imageshack.us/my.php?image=30io.png)

Sbavi
05-07-2006, 10.55.54
Come vedete, le uniche stranezze sono i 4 file evidenziati.

crazy.cat
05-07-2006, 11.31.13
Prova a caricare i 4 file sul sito www.virustotal.com e vedi di cosa si tratta.
Se sono dei virus, li te lo dicono.

Sbavi
05-07-2006, 12.27.49
Purtroppo non vengono rilevati come virus.

CMQ grazie, sito utilissimo (Y)

UG0_BOSS
13-07-2006, 02.52.07
io proverei da dos a copiarli su un floppy ed eliminarli dal pc... se riparte e funzica tutto bene ok, se non parte rimetti utto come prima e fail le prove con un file alla volta..

miciomao
13-07-2006, 09.53.47
sbā
hai provato a vedere che cosa avvia il tuo sistema all'inizio ?
start -> esegui -> scrivi msconfig invio
vai alla linguetta avvio e vedi se trovi qualcosa di strano
puoi provare anche a disabilitare tutto e riavviare, vedi poi se ti trovi nei task quegli exe strani.
comunque io la prima cosa che fare e andare nelle propietā di degli exe e controllare se esiste la linguetta "versione", leggere i dati su versione, descrizione e copyright per controllare quanto sono attendibili.