Com6.exe

[Profeta]

Ciao a tutti vorrei farvi una domanda
Pulendo manualmente la cartella temp in Documents and Settings ho notato che non riesco ad eliminare un file di nome com6.exe (ho notato che anche un mio amico a lo stesso file ma dal nome diverso Lpt3.exe)sapete a cosa si riferisce come antivirus ho installato trend micro ho fatto scansionare da ad-aware e da il tool di trend micro http://www.trendmicro.com/spyware-scan/ ma non mi trova niente ho provato a cancellarlo in modalità provvisoria ma non mi permette di cancellarlo secondo voi come posso fare per eliminarlo

[Simeon]

Dovrebbe essere un malware che parte in esecuzione automatica.

E' possibile procedere all'eliminazione forzata del file con appositi programmi; prima di farlo è però preferibile cercare di reperire informazioni per vedere se il malware in questione è riuscito a modificare chiavi di registro.

Posta un log di HijackThis avendo cura di seguire tutte le istruzioni riportate al punto [4]
http://forum.html.it/forum/showthrea...hreadid=811189

[Profeta]

grazie pomeriggio provo poi ti farò sapere

[Profeta]

Ho scansionato il pc HijackThis e tranne voci di software conosciuti non mi ha trovato niente di sospetto il file di log l'ho fatto analizzare dal sito il file rimane purtroppo com6.exe e non mi permette di cancellarlo di rinominarlo....ma quello di più strano è che se vado nelle proprietà la dimensione e di zero byte non so più cosa fare per eliminarlo......

[Simeon]

Il sito di HijackThis offre un ottimo servizio di analisi ma, tuttavia, per molte voci (soprattutto per gli elementi sconosciuti) occorre ancora un'interpretazione singolare (sennò noi che ci stiamo a fare )

Controlla bene se tra le voci delle categorie 04 e 23 non sia presente il tuo com6.exe.

Per eliminare il file ti basta utilizzare Killbox.

[Profeta]

Ciao sono ancora nei guai ho scaricato Killbox ma non riesco a cancellare il file ti posto il file di log di Hijackthis cosa ne pensi
Logfile of HijackThis v1.99.1
Scan saved at 8.55.06, on 22/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\trcboot.exe
C:\Programmi\lotus\notes\ntmulti.exe
C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programmi\IBM\Personal Communications\PCS_AGNT.EXE
C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programmi\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\UHF6C8.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\YI0136\Desktop\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 6.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) -
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Programmi\lotus\notes\ntmulti.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: TrcBoot - Unknown owner - C:\WINDOWS\system32\drivers\trcboot.exe

secondo te può essere questo:
O23 - Service: TrcBoot - Unknown owner - C:\WINDOWS\system32\drivers\trcboot.exe
Grazie

[Simeon]

Riguardo Killbox:
seleziona il file, seleziona l'opzione "Delete on Reboot", clicca sulla croce cerchiata di rosso in alto a destra.

Il processo O23 - Service: TrcBoot è legittimo.

Il log è pulito; l'unica cosa che non mi convince è il file UHF6C8.EXE in C:\WINDOWS\TEMP\.

Se al prossimo riavvio permane fai come segue:

Avvia hijackthis
Open the misc tools section / Open process manager; individua la seguente voce e premi ''Kill process'': C:\WINDOWS\TEMP\UHF6C8.EXE

Poi vai in C:\WINDOWS\TEMP\ ed elimina il suddetto file; se non ci riesci prova con Killbox.

Riavvia e controlla se è scomparso.

[Profeta]

Ciao ho risolto il mio problema è stato un casino ma ci sono riuscito, ancora adesso non so se è un Rootkit oppure un virus comunque, ho scaricato RootKitRevealer, BlackLight, Gmer in tutti i software non rilevava niente di sospetto allora ho scaricato IceSword http://www.castlecops.com/print-1-161249.html c'e il download e un manuale in inglese, anche con questo programma non mi ha rilevato niente ma mi ha permesso di cancellare il file com6.exe cosa che neanche con KillBox mi permetteva di fare.
Riavviato il pc il file non si crea più, sinceramente non so che file è comunque non esiste più.
Grazie Simeon per l'aiuto

[Simeon]

Lieto che tu abbia risolto.