2fai3j9.exe chi lo conosce ? come si fa a toglierlo ?

[jak]

in questi giorni sto rimettendo in funzione un mio vecchio celeron che usavo pochi anni fa.
purtroppo navigavo in internet senza antivirus e firewall, e ho provato ora ad installarne 2 free (avast4.1 e za 4.5).
ho trovato qualcosa da togliere e l ho tolta , ma c è rimasto una cosa che avast non riesce a trovare (forse perche la cartella e il file in questione non si vedono nemmeno con l opzione "file nascosti")
mentre z a 4.5 lo segnala ogni volta che mi collego ad internet, sempre come primo doppio allarme , cioe un uscita tcp con indirizzo ip(----.----.----.----):http
ho provato allora a installare hjt 1.98.2 che riesce a vederlo ma non so come toglierlo, posto il log

Logfile of HijackThis v1.98.2
Scan saved at 0.41.56, on 23/08/04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\ORL\VNC\WINVNC.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\DOWNLOADED PROGRAM FILES\35OFEAG\2FAI3J9.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\ANVSHELL.EXE
C:\PROGRAMMI\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\WINDOWS\SYSTEM\LINKSTS.EXE
C:\PROGRAMMI\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMMI\LEECHGET 2004\LEECHGET.EXE
C:\PROGRAMMI\NETPERSEC\NETPERSEC.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://punto-informatico.it/index.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [ASUSTweakEnable] C:\Programmi\ASUS\Tweaking Utilities\atstart.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [Linksts] Linksts.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [WinVNC] "C:\PROGRAMMI\ORL\VNC\WINVNC.EXE" -service
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programmi\ASUS\SmartDoctor\VGAProbe.exe FirstTime
O4 - HKCU\..\Run: [LeechGet] "C:\Programmi\LeechGet 2004\LeechGet.exe" -intray
O4 - Startup: NetPerSec.lnk = C:\Programmi\NetPerSec\NetPerSec.exe
O4 - Global Startup: Windows Media PowerPoint Helper.lnk = C:\Programmi\Windows Media Components\Tools\nsppthlp.exe
O8 - Extra context menu item: Scarica con il Wizard di LeechGet - file://C:\Programmi\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Scarica con LeechGet - file://C:\Programmi\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Scarica pagina con LeechGet - file://C:\Programmi\LeechGet 2004\\Parser.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=


eccolo su in alto dentro la sottocartella 35ofeag introvabile nell hard disk

ci sarebbe anche quel rpcss.exe (distribuited COM services ,segnalato da za) che facendo una ricerca ho provato a rinominare(per non farlo eseguire,perche non si sa a cosa serve, è un file per NT ma io ho 98) ma in quel modo mi blocca avast e qualche altra cosa

per ultimo za mi segnala sempre anche un download automatico connection manager che nelle proprieta mi rimanda a cmdl32.exe e che ho bloccato, è da togliere ?

ringrazio chi mi dara qualche consiglio

[olly]

C:\WINDOWS\DOWNLOADED PROGRAM FILES\35OFEAG\2FAI3J9.EXE

Ho fatto una ricerca su google, ma nn mi è uscito nulla sinceramente.

[dftv]

Io lo cancellerei senza troppi problemi, data la posizione in cui si trova? Hai provato a riavviare in modalita' provvisoria o da prompt dei comandi, premendo F8 all'avvio di windows?
Comunque ti consiglio di utilizzare anche Adware6 e spybot. Li trovi in questo forum (il collegamento).
spero di esserti stato d'aiuto. ciao e fammi sapere

[Delmak_O]

come ha già fatto notare dftv, la posizione indicata dice che si tratta di un ActiveX, cancellalo subito senza problemi (anzi, magari così ne risolvi...) - ovviamente essendo in memoria non puoi eliminarlo direttamente, devi prima terminare il processo da ctr-alt-canc o fare tutto dalla modalità provvisoria

[jak]

infatti lo volevo togliere, ma non ci riesco in nessun modo perche la cartella non si vede nemmeno in modalita provvisoria

con adware6 riesco a vedere la sottocartella 35ofeag ma non trova l eseguibile

possibile non esista un modo per toglierlo ?

[Delmak_O]

non conosco Windows 98, ma ci dovrebbe essere la possibilità di riavviare in ms-dos, dallo stato di attesa dei comandi, dal prompt, dovresti percorrere la strada che ti porta al tuo eseguibile, spostandoti di cartella in cartella, fino a cancellarlo con il comando 'del'...forse dall'esterno di Windows, dal Dos, riesci a vedere ed a eliminare quel dialer che dall'interno del sistema non ti viene mostrato...

[dftv]

hai provato con attrib. Questo comando dos serve a dare gli attributi ai file o cartelle...da dos prova a digitare attrib /? per vedere tutti i parametri. Se ad esempio dovesse essere nascosto puoi togliergli questa proprietà attraverso questo comando...

[jak]

grazie ai vostri consigli sono riuscito a fare un passo avanti:

purtroppo dopo aver installato partition magic, ho il problema che non riesco a riavviare in modalita ms-dos

comunque grazie a adaware6 sono riuscito a vedere 3 sottocartelle nascoste in c:\windows\downloaded program files e in ognuna di queste cartelle c era un file introvabile, li elenco:

bm60hk.zip
2fai3j9.exe
aampifwht.dat

dalle date che riportavano questi file e cartelle nascoste credo che dopo aver beccato quel file .zip si sono creati gli altri 2 e grazie al firewall za4.5 ho potuto vedere che il file .exe si collegava all esterno e il file .dat riporta la data dello stesso giorno dell installazione del firewall, come se da quel giorno non fosse stato piu aggiornato

ora provero a cancellare questi file dalla modalita provvisoria, oppure visto che erano sconosciuti anche a google ecc. sarebbe opportuno "consegnarli" a chi si occupa di questi malware in modo da prevenirli per il futuro
tanto ora sono innocui, il firewall li blocca, posso aspettare a cancellarli
cosa ne pensate ?

[jak]

visto che ancora non risponde nessuno ho cancellato i file dall hard disk e l ho copiati in un disketto

e ancora google non riporta niente di questi

[antares11]

Originariamente inviato da jak in questi giorni sto rimettendo in funzione un mio vecchio celeron che usavo pochi anni fa.
purtroppo navigavo in internet senza antivirus e firewall, e ho provato ora ad installarne 2 free (avast4.1 e za 4.5).
..................
ringrazio chi mi dara qualche consiglio

tieni pure il celeron ma aggiorna Zone Alarm free (ultima vers. 5.1)