eccxpme.exe : chi è costui ?

[urkazoid]

Ciao a tutti ,
ieri ho fatto la furbata di provare un sw : "web media player" che ho poi subito disinstallato, ma mi ha lasciato un ricordino. Ora ogni volta che uso un applicazione che si deve connettere ad internet , il mio firewall ( comodo ) mi dice che il programma eccxpme.exe ha modificato l' applicazione che intendo lanciare e se non autorizzo non mi connetto , questo con outlook , IE , l' antivirus.... Ho provato con la ricerca del file specifico , ma windows non lo trova ; ho provato con hijackthis e nemmeno lui lo vede , ho provato una ricerca su google ed ha dato zero risultati. Non so che fare , tra l' alto dalla finestra del firewall , vedo che da quando ho riacceso il comp ho un attacco ogni tre secondi , tutti bloccati perfortuna , ma prima di installare quella fetecchia , questo non succedeva.
qualche idea?
ciao e grazie
Gianpaolo

[Deifobe]

Scarica SystemScan

Disconnetti il pc da internet => esegui systemscan => spunta tutte le opzioni => clicca su "Scan Now". Finita la scansione, carica il rapporto che trovi in C:\Suspectfile su Freefilehosting e posta il link ottenuto.

Se hai problemi con l'esecuzione, disattiva l'antivirus ma ricordati di riattivarlo al termine della scansione.

[urkazoid]

Ciao e grazie della dritta , ecco il link per il file generato dalla scansione
http://www.freefilehosting.net/download/3dlbk
altra cosa : ora quando riavvio , ho da taskmanager un nuovo processo rundll.exe che devo chiudere altrimenti ho un errore hw del modem ( che è un modem umts)
ciao e grazie
Gianpaolo

[urkazoid]

ho omesso di dire che nella posizione indicata nel report della scansione , nonostante io abbia abilitata la visione dei files e cartelle nascosti , del file eccxpme.exe non c'è traccia
saluti
Gianpaolo

[Deifobe]

allora.. se l'hai già disinstallato ti sei portato avanti con la procedura... avresti dovuto disinstallarlo comunque.. ti ha portato questa infezione:

File (s) (s) nascosti (hidden) nella cartella C:\...:
C:\documents and settings\pippo\impostazioni locali\dati applicazioni\eccxpme.dat
C:\documents and settings\pippo\impostazioni locali\dati applicazioni\eccxpme.exe
C:\documents and settings\pippo\impostazioni locali\dati applicazioni\eccxpme_nav.dat
C:\documents and settings\pippo\impostazioni locali\dati applicazioni\eccxpme_navps.dat

Processo di nascosto (s) in C:\...:
C:\documents and settings\pippo\impostazioni locali\dati applicazioni\eccxpme.exe

----

Scarica navilog1.exe_il mafioso sul desktop e installalo.

Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"

Riavvia il computer in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).

Lancia Navilog1 e scegli l'opzione 4, inserisci il nome corrispondente alla parte fissa del nome (solo eccxpme, per intenderci) e confermalo ridigitandolo quando richiesto

(ATTENZIONE, entrambe le volte che lo digiti non devi sbagliare a scrivere il nome altrimenti dovrai ripetere tutta la procedura perchè non verrà eliminato alcun file..).

A questo punto, Navilog1 ripulirà il pc dai file infetti.
Quando finisce, riavvia il pc in modalità normale

Svuota C:\WINDOWS\Prefetch
Rpulisci con CCleaner i file temporanei e cookie (eseguilo 2 volte).

Posta un nuovo rapporto di systemscan.

Solo una curiosità.. tu lo avevi bloccato con il firewall? Non avevi problemi di apertura di finestre pubblicitarie??

ciao

[Deifobe]

Originariamente inviato da urkazoid
ho omesso di dire che nella posizione indicata nel report della scansione , nonostante io abbia abilitata la visione dei files e cartelle nascosti , del file eccxpme.exe non c'è traccia
saluti
Gianpaolo

non lo avresti mai trovato, è normale

[urkazoid]

Ciao , per cominciare ho disinstallato avg che evidentemente è una fetida fetecchia,
ho installato kaspersky e non ti dico cosa sta trovando...... finora e sono nemmeno a metà 97 infestanti... vorrei mettere le mani su uno che li fa .
Per la tua domanda , se con comodo bloccavo , non mi connettevo ad internet nè con outlook , nè con ie e nemmeno con l' antivirus, anche ora per connettermi ho dovuto autorizzarlo , prima di usare il prog che suggerisci vorrei finire la scansione e stabilire il nuovo record personale di impestazione . Cmq finestre pibblicitarie non se ne sono aperte.
Appena finisco ti posto il rapporto
complimenti per la tua competenza e grazie ancora per l' aiuto
Gianpaolo

[Deifobe]

prima di usare il prog che suggerisci vorrei finire la scansione e stabilire il nuovo record personale di impestazione

.. ok

[urkazoid]

ciao , ecco il link del report dell' ultima scansione
http://www.freefilehosting.net/download/3e166
oltre che per ringraziarti ancora , colgo l' occasione per sconsigliare
a tutti di scaricare ed installare Web Media Player , se non volete i casini che ho avuto io.
saluti a tutti
Gianpaolo

[Deifobe]

potresti ripetere la scansione, cortesemente? ci sono stati delle scansioni (vedi "NTFS ADS" e "Hidden Objects" ecc ecc) che sono sono state "saltate"... non so..).

e poi:
=========== MASTER BOOT RECORD =============

device: opend sucessfully
user: MBR read sucessfully
kernel: error reading MBR


ed anche:

~~~~~~~~~~~~ RAS active connections ~~~~~~~~~~~

Connesso a
HUAWEI3G.wiind

è normale?


Nella precedente scansione c'erano:

========== MASTER BOOT RECORD ============


device: opend sucessfully
user: MBR read sucessfully
kernel: MBR read sucessfully
user & kernel MBR OK


~~~~~~~~~~ RAS active connections ~~~~~~~~~~~

Nessuna connessione

hai eseguito la scansione da connesso?... stai su una rete aziendale..??
hai cambiato/configurato qualcosa di nuovo?