PDA

Visualizza versione completa : PROCESSI SOSPETTI??


maxence
17-08-2004, 13.31.47
Ho dato un'occhiata a task manager ed ho individuato due processi attivi che non avevo notato fino a qualche tempo fa:

xceoqzti.exe
oaoi.exe

facendo una ricerca file ho accertato che il primo si trova sia nella directory system32 come .exe e nella cartella windows\prefetch con il nome:
xceoqzti.exe-3239B834.pf

Il secondo invece si trova nella sola directory windows\prefetch con il seguente nome completo:
oaoi.exe-149C4DA2.pf

Qualcuno mi pu aiutare a capire se si tratta di processi innocui, che posso lasciare oppure si tratta di qualcosa di maligno?

Grazie per le eventuali risposte.
maxence

crazy.cat
17-08-2004, 14.57.44
Tutti e due sconosciuti (e quindi potenzialmente pericolosi)
Un controllo online dei virus qui
http://www.pandasoftware.com/activescan/com/activescan_principal.htm
e una scansione e pulizia con spybot e adware,e vedi se "sopravvivono".
Se ancora presenti fai la scansione con hijackthis alla fine ti salvi il log della scansione in un file di testo e ne mandi il contenuto qui.

maxence
17-08-2004, 15.31.37
Grazie mille per la risposta. Ti mando il Log richiesto..ti sarei grato se volessi farmi sapere qualcosa.
P.S. Rileverai hotbar...lo so che uno spyware, ma a casa lo vogliono installato...fosse per me lo spazzerei via subito...comunque non mi ha dato sinora problemi..
Grazie ancora per l'attenzione.
Ciao max


Logfile of HijackThis v1.98.2
Scan saved at 15.23.43, on 17/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SOINTGR.EXE
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\CCProxy\CCProxy.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Hotbar\bin\4.4.6.0\Hbinst.exe
C:\Documents and Settings\x\Dati applicazioni\oaoi.exe
C:\WINDOWS\System32\xceoqzti.exe
C:\Programmi\Belkin\F1U201.401\usbshare.exe
C:\Programmi\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programmi\ATnotes\ATnotes.exe
C:\Programmi\Webshots\WebshotsTray.exe
C:\Programmi\Logitech\iTouch\kbdtray.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programmi\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Francesco\Utilita\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.virgilio.it/alice01.minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/home/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.virgilio.it/alice01.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hotbar.com/dyn/hotbar/3.0/sb_searchPageHome.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da VirgilioTin
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {61DE4D09-E036-0AB2-D751-6D557EAA2E3A} - C:\WINDOWS\System32\jbtq.dll
O2 - BHO: Curl - {A78CC2FF-6E4E-4556-B27C-D7C3A70D7A50} - C:\WINDOWS\System32\NDrv.dll (file missing)
O2 - BHO: Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Programmi\Hotbar\bin\4.3.5.0\HbHostIE.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CCProxy] C:\Programmi\CCProxy\CCProxy.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Hotbar] C:\Programmi\Hotbar\bin\4.4.6.0\Hbinst.exe /Upgrade
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Ssou] C:\Documents and Settings\x\Dati applicazioni\oaoi.exe
O4 - HKCU\..\Run: [Wdfuxh] C:\WINDOWS\System32\xceoqzti.exe
O4 - Startup: ATnotes.lnk = C:\Programmi\ATnotes\ATnotes.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\WebshotsTray.exe
O4 - Global Startup: F1U201.401.lnk = ?
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programmi\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: Umail - {B5624940-4952-43C8-BA76-A246839F7D47} - http://gw.virgilio.it/b2c01.umail (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.virgilio.it/alice01.home
O16 - DPF: {034CC2DC-3245-4B26-B5C7-7B8777739CB7} - http://access.gamezdump.com/output/060329/it/fullgames/fullgames.exe
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} - http://accu.acculoader.com/new/cont/sc.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {87067F04-DE4C-4688-BC3C-4FCF39D609E7} - http://download.websearch.com/Dnl/T_50020/QDow_AS2.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/it/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B2E68AE-1CE8-4968-AE5D-31637459E921}: NameServer = 212.216.112.112,212.216.172.62

crazy.cat
17-08-2004, 17.05.13
Questi sono da eliminare,quella dll per sconosciuta.

O2 - BHO: (no name) - {61DE4D09-E036-0AB2-D751-6D557EAA2E3A} - C:\WINDOWS\System32\jbtq.dll
O2 - BHO: Curl - {A78CC2FF-6E4E-4556-B27C-D7C3A70D7A50} - C:\WINDOWS\System32\NDrv.dll (file missing)

Questo strano ti parte un link a qualche cosa all'avvio???
O4 - Global Startup: F1U201.401.lnk = ?

Questa direi che da eliminare,solo per la voce dialer che c' nel link
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} - http://212.145.159.194/251065/diale...Recomendada.cab

Questi?????
O4 - HKCU\..\Run: [Ssou] C:\Documents and Settings\x\Dati applicazioni\oaoi.exe
O4 - HKCU\..\Run: [Wdfuxh] C:\WINDOWS\System32\xceoqzti.exe

Le scansioni hanno detto niente?

maxence
17-08-2004, 19.40.31
niente di niente...n con spybot n con norton (ho fatto una scansione completa in modalit provvisoria e disattivando il ripristino).
Mi sembra impossibile che siano programmi inesistenti...in tutto il web non c' traccia, eppure da qualche parte arriveranno, no?
Mi consigli di eliminarli?? oppure li tengo l buoni buoni..il pc va bene e non mi d problemi.
Comunque grazie dei suggerimenti! Far come dici. Ciao!
maxence

Giorgius
18-08-2004, 07.57.14
Hai fatto una scansione con il nuovo "Ad-Aware SE Personal 1.03"?
http://www.houseofgraham.com/webutils/utils/aawsepersonal.exe

crazy.cat
18-08-2004, 11.58.21
X maxence
I virus spesso e volentieri creano dei file Exe con nomi di fantasia, per quello puoi cercarli finche vuoi in rete ma non li troverai mai.
Norton comunque (a mio parere altrimenti mi linciano) uno dei peggiori antivirus, per questo avere un altra "opinione" dal panda online non era male.
Con Hijack li puoi anche eliminare e casomai, se si rivelassero file importanti, recuperarli dal backup e ripristinarli.