Strano file ogmuemd.exe

[marklenders]

Salve di nuovo a tutti,
mi sa che ho beccato qualche nuovo virus/spyware del cavolo (non faccio in tempo a toglierne 1 che ne becco subito un altro...). Controllando i processi attivi a seguito di un riavvio ho notato uno strano "ogmuemd.exe" che non ha descrizione. Ho fatto una ricerca sul registro di windows ed ho trovato una chiave "ogmuemd" che punta a "c:\users\mark\appdata\local\ogmuemd.exe" in HKU_SERS\....\software\microsoft\windows\currentVe rsion\run. Onestamente non ricordo programmi assonanti e non ho trovato traccia nemmeno sulla rete. Qualcuno conosce questo eseguibile e sa se potrebbe essere la causa delle popup aperte a caso dai miei browser?

Grazie ancora una volta

[SkinBonno]

si è lui la causa delle pagine pubblicitarie...
dimmi una cosa e poi ti posto la procedura. hai xp o vista?

[marklenders]

Ho vista a 64Bit... meledetti troian... ma come li prende uno? semplicemente navigando?? Sono quasi certo di non aver aperto/eseguito roba poco sicura (crack ecc...)

Grazie mille aspetta la tua procedura

[SkinBonno]

Scarica Avenger, spunta l'opzione "Disable any rootkits found" e copia all'interno del box bianco:

files to delete:
c:\users\mark\appdata\local\ogmuemd.exe
c:\users\mark\appdata\local\ogmuemd.dat
c:\users\mark\appdata\local\ogmuemd_nav.dat
c:\users\mark\appdata\local\ogmuemd_navps.dat
c:\users\mark\appdata\local\ogmuemd.bat

Premi execute. Il pc si dovrebbe riavviare, nel caso riavvialo tu. Posta sul forum il log ottenuto.

Poi apri il blocco note e all'interno copia:

Windows Registry Editor Version 5.00

[HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run]
"ogmuemd"=-
;

Salva il file con questi dati: Nome: fix.reg Tipo di file: tutti i file.
Chiudi il blocco note, esegui il file col doppio click, accetta le modifiche al registro e riavvia il pc.


Per come lo hai preso, beh questo è un virus molto diffuso, potresti averlo preso installando qualche programma, tipo msn se installi lo sponsor quasi sempre se lo porta dietro.

[marklenders]

ho eseguito tutto ma il processo è ancora su... al primo riavvio è partita una shell che però si è chiusa subito... mi sa che avenger non ha girato come avrebbe dovuto anche perchè non ha prodotto alcun log... che faccio riprovo?

Allora avenger non è compatibile con i sistemi operativi a 64 bit è per quello che non parte.

Comunque ho killato il processo, ho eliminato i 5 file e la chiave di registro a mano e ho riavviato.

Al momento sembra tutto ok, il processo non è ripartito

[SkinBonno]

Ah ok...che non fosse compatibile con i sistemi a 64 bit non lo sapevo. Per finire tutto
Scarica Atf Cleaner, esegui una pulizia completa (spunta select all ((se non vuoi perdere le password di internet e\o mozilla lascia solo quella casella libera)). Eseguilo 2 volte.
Scarica Ccleaner, esegui una pulizia dei file e un controllo dei problemi al registro, e risolvili (2 volte entrambi i passaggi).

Vedi come va il pc..

[marklenders]

Ho fatto girare tutto come suggerito anche se ccleanear mi ha trovato un sacco di dll del framework non indicizzate... io ho dato correggi tutto ma ho fatto backup del registro che non si sa mai

Grazie 100000000 per l'aiuto e buona serata