questo sconosciuto...

[Deddu]

Buongiorno a tutti sono nuovo del forum anche se lo consulto per tenermi aggiornatpoichè mi serve per lavoro

Il mio problema è il seguente...

Pc con win2000 sp4, patch Microsoft aggiornate a settembre 2006.
Ho trovato un file sotto la directory C:\ che nn ha nome è solo .$$$, se cerco di cancellarlo questo si ripresenta dopo 2 minuti di orologio.
Il problema principale è che il sistema operativo si blocca, allora utilizando il task Manager noto che non ci sono processi anomali...termino explorer.exe... lo rilancio e la macchina rimane bloccata... se cancello il file incriminato noto che dopo 2 minuti si avvia una sessione di Iexplorer.exe...di circa 6 mega di utilizzo memoria.. questa si attiva e si richiude dopo 4/5 secondi..e il file ricompare.
Sotto documents and setting noto che il mio profilo è stato duplicato..ma con una lettera aggiunta alla fine...il $...tipo... pippofranco$...
Andando in gestione utenti trovo un account di 5 lettere senza senso ..NCDMD... con autorizzazioni di Administrator..e se sfoglio Visualizzazione Eventi..sotto Sistema trovo questo errore:

Tipo evento: Errore
Origine evento: Service Control Manager
Categoria evento: Nessuno
ID evento: 7041
Data: 13/09/2006
Ora: 10.26.26
Utente: N/D
Computer: U4816
Descrizione:
Il servizio NetLpy non è stato in grado di accedere come .\NCDMD con la password al momento configurata, a causa del seguente errore:
Accesso non riuscito: l'utente non ha ottenuto il tipo di accesso richiesto a questo computer.

Servizio: NetLpy
Dominio e account: .\NCDMD

L'account di servizio non dispone del diritto utente "Accedi come servizio."

Azione utente

Assegna "Accedi come servizio" all'account del servizio su questo computer. È possibile ettuare questa operazione utilizzando Impostazioni di protezione locale (e (Secpol.msc). Se questo computer è un nodo di un cluster, verificare che questo diritto utente sia stato assegnato su tutti i nodi del cluster all'account del servizio Cluster.

Se questi diritti utente sono già stati assegnati all'account del servizio Cluster, e sembrano essere stati rimossi, ciò potrebbe essere causato da un oggetto Criteri di gruppo. Consultare l'amministratore del dominio per scoprire se si sta verificando il problema descritto.

Nessun antivirus e nessun antispyware ha trovato nulla... la macchina risulta pulita...
Vi è capitato una cosa simile?

Grazie

[amvinfe]

http://forum.html.it/forum/showthrea...readid=1008361

segui la guida.
Per prima cosa esegui il tool della Prevx (ricordati di disabilitare l'antivirus).

Finita la procedura esegui questi passaggi

scarica sul desktop GMER
scopatta, sempre sul desktop il file gmer.zip.
Esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)

Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)

Copia in questa discussione entrambi i log

[Deddu]

ciao, grazie per le dritte..

il file incriminato è

service32.exe si trova sotto la root di windows, per eliminarlo basta entrare in modalità provvisoria e cancellarlo..al riavvio il pc è completamente funzionante...

l'unico programma che mi ha aiutato è stato il rootkit revealer...