PDA

Visualizza versione completa : [XP] Virus presente mah....


maxking
05-07-2006, 20.03.50
non visto...
ciao ragazzi, ogni tanto un salutino lo faccio volentieri
ho un problemino da qualche giorno nel pc principale...

dopo uno strano comportamento del pc, io quando arrivano worm o trojan lo riconosco dal rumore del HDD, non prendetemi per matto, ma oramai ho talmente udito abituato che se sento a swappare HDD piu del normale o ad aprire una cartella con la clessidra per qualche decimo di seocndo in piu' me ne accorgo al volo...
morale in effetti qualcosa ce... anche se avast non trova nulla, ho dato na passata con hijackthis 1.99 e in effetti aveva trovato un worm che ho prontamente deletato...

ora il problema che hijackthis non riporta piu nulla, pero se appena caricato windows clicco trasto dx nella barra appicazione,task manager,vedo sempre un nome differente tipo end.exe ecc... che ogni volta cambia nei processi attivi e dopo qualche secondo sparisce da lui...
morale ce un virus o worm di questo ne son sicuro pero ' non riesco a stanarlo
ho provato con tutti oltre ai 2 mensionati ho montato pure AVG7.1
SPYBOT SED,e ad-aware.... ho bisogno di un aiuto .. nn ho propio voglia de formattare per un banale worm....
al momento grazie a tutti

Semi.genius
05-07-2006, 22.32.56
Che applciazioni ci sono all'avvio con MSCONFIG?

maxking
06-07-2006, 04.35.26
DKICON che e' exe di Diskeeper e atiptaxx.exe dei driver ATI...

ho notato che su servizi ce una voce chiamata UpdFur che come produttore e' sconosciuta lo disabilitata, ma ad ogni riavvio nel taskmanager riappare sempre per qualche secondo questa serie di exe strana con nome utente xzlxldsdf (lo messo a caso)

andreal
06-07-2006, 09.40.30
e provare con una scansione online con bit defender o kaspersky?

maxking
06-07-2006, 22.03.21
scoperto arcano, ora resto solo eliminare questa voce:

nei servizi (strumenti amministrazione---servizi) ho scoperto la voce che carica questa merdata di trojan.
si chiama UpdFur, aime' ho provato a metterla su disabilitata e mi dice accesso negato... se qualche modo per eliminare una voce di servizio ?

grazie a tutti ancora

andreal
07-07-2006, 08.48.08
in teoria dalla mod provvisoria dovresti riuscirci

maxking
08-07-2006, 06.09.01
no, in modalita' provvisoria nn se ne va...
non ci crederete, formattato il pc, reinstallato il tutto, come accedo a google per fare una ricerca, riavvio il pc, mi ritrovo lo stesso virus sotto altra voce....
sensa parole....
la connessione inizia sempre per : ./qwrrwlojoa sempre roba simile a questo

maxking
08-07-2006, 07.07.30
ecco cosa vede hijac, prima di eliminare vorrei dei consugli...

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {1687C817-942F-BCD7-D874-16BB30CD9416} - C:\WINDOWS\pcrsg1.dll (file missing)
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [pxyx1.exe] C:\WINDOWS\TEMP\pxyx1.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FEA5B90-25F7-40C6-BC2A-2CA3F355A45D}: NameServer = 62.94.0.1,62.94.0.2
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe

crazy.cat
08-07-2006, 08.13.09
Questo è da eliminare
O4 - HKLM\..\Run: [pxyx1.exe] C:\WINDOWS\TEMP\pxyx1.exe
Sicuro di aver pubblicato tutto il log?
E' cortissimo....

maxking
08-07-2006, 08.34.41
yes crazy
tutto il log... ma tu pensa che fenomeno, lo ripreso nel giro di pochi minuti...
vabbe' anche io so un po ''piciuo'' tolgo sempre firewall e ammenicoli....

crazy.cat
08-07-2006, 11.29.19
vabbe' anche io so un po ''piciuo'' tolgo sempre firewall e ammenicoli....

Questo spiega perchè prendi i virus in pochi attimi....dopo poi non devi lamentarti se ritornano.