Servizio di windows sospetto

[Zero-2]

Salve a tutti,
ho notato che tra i servizi di windows ce n'è uno un pò sospetto. Il servizio è il seguente

SecGcy
Avvio Automatico
Connessione .\TIjJHEbNCo
non ha alcuna dipendenza ed il programma a cui punta è il seguente
c:\programmi\File comuni\System\ujULa.exe
C'è scritto che serve per la gestione della stampa e dell'acquisizione...ma è la prima volta che lo vedo su un pc .

Ho provato a cambiare l'avvio in disabilitato, ma mi dice che non ho i permessi, nemmeno se entro come amministratore e l stesso se provo ad eliminare il file...
Come posso eliminarlo?? Lo devo cancellare da linux il file?
Su google non si hanno nortizie di questo servizio

[bootzenn]

file sospetto??

fai una scansione on-line del file sospetto con:
Kaspersky http://www.kaspersky.com/virusscanner
virustotal http://www.virustotal.com/en/indexf.html

e guarda i risultati

[darkkik]

Io intanto sposto...

[Zero-2]

Grazie
Scusa, pensavo che, dal momento che riguardava i servizi di Windows, andasse bene per la seizone

[LUCASS]

scarica questo removal tool sul desktop
http://info.prevx.com/download.asp?grab=GROMOZONREMTOOL
Disattiva eventuali programmi antivirus/antispyware in real time
Avvia il tool,nota che il tool per funzionare ha bisogno di un riavvio
(il programma ti avviserà),tu rispondi Si
Al riavvio partirà la scansione
Finita la scansione,il tool rilascia un rapporto in C:\gromozon_removal.log
Per piacere posta il contenuto del file gromozon_removal.log

[Zero-2]

Originariamente inviato da LUCASS
scarica questo removal tool sul desktop
http://info.prevx.com/download.asp?grab=GROMOZONREMTOOL
Disattiva eventuali programmi antivirus/antispyware in real time
Avvia il tool,nota che il tool per funzionare ha bisogno di un riavvio
(il programma ti avviserà),tu rispondi Si
Al riavvio partirà la scansione
Finita la scansione,il tool rilascia un rapporto in C:\gromozon_removal.log
Per piacere posta il contenuto del file gromozon_removal.log

Bellissimo questo programma
Come sospettavo, il file ra sospetto era un trojan bastardo che è stato eliminato

codice:

Removal tool loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINDOWS\system32\com5.alz
\\?\C:\WINDOWS\system32\com5.alz
Resetting file permissions...
Clearing attributes...
Accesso negato - C:\_cleaned.tmp
Removing file...
C:\_cleaned.tmp
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\acbef1.dll
Removed!
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\system32\ldaa.dll
Removed!
Scanning: C:\Programmi\File comuni
Removing protected file: C:\Programmi\File comuni\System\AKC.exe
Removing directory: C:\Documents and Settings\\TIjJHEbNCo
Removing protected file: C:\Programmi\File comuni\System\EPn.exe
Removing directory: C:\Documents and Settings\\TIjJHEbNCo
Removing protected file: C:\Programmi\File comuni\System\epQ.exe
Removing directory: C:\Documents and Settings\\TIjJHEbNCo
Removing protected file: C:\Programmi\File comuni\System\HPF.exe
Removing directory: C:\Documents and Settings\\TIjJHEbNCo
Removing protected file: C:\Programmi\File comuni\System\ISkp.exe
Removing directory: C:\Documents and Settings\\TIjJHEbNCo
Removing protected file: C:\Programmi\File comuni\System\JWv.exe
Removing directory: C:\Documents and Settings\\TIjJHEbNCo
Removing protected file: C:\Programmi\File comuni\System\MsU.exe
Removing directory: C:\Documents and Settings\\TIjJHEbNCo
Removing protected file: C:\Programmi\File comuni\System\NZV.exe
Removing directory: C:\Documents and Settings\\TIjJHEbNCo
Removing protected file: C:\Programmi\File comuni\System\odOha.exe
Removing directory: C:\Documents and Settings\\TIjJHEbNCo
Removing protected file: C:\Programmi\File comuni\System\PZTmo.exe
Removing directory: C:\Documents and Settings\\TIjJHEbNCo
Removing protected file: C:\Programmi\File comuni\System\QfF.exe
Removing directory: C:\Documents and Settings\\TIjJHEbNCo
Removing protected file: C:\Programmi\File comuni\System\QnHOLH.exe
Removing directory: C:\Documents and Settings\\TIjJHEbNCo
Removing protected file: C:\Programmi\File comuni\System\shx.exe
Removing directory: C:\Documents and Settings\\TIjJHEbNCo
Removing protected file: C:\Programmi\File comuni\System\ujULa.exe
Removing directory: C:\Documents and Settings\\TIjJHEbNCo
Removing protected file: C:\Programmi\File comuni\System\wmDu.exe
Removing directory: C:\Documents and Settings\\TIjJHEbNCo


Trojan.Gromozon Removed!

Cmq è strano che su google non si trovavano informazioni a partire dai nomi dei file
P.S un consiglio...non lasciare usare alle mamme il pc

[LUCASS]

I files EFS sono con nomi random(vario )ecco perchè non trovi niente di niente,se vuoi,puoi fare altri controlli.
Scarica questo file
http://www.gmer.net/gmer110.zip
Avvia gmer,clicca sul tag "Rootkit" e clicca su Scan,finita la scansione clicca su "Copy",apri il block notes di windows e clicca su modifica>incolla,adesso salva il file(file>salva con nome)
Ritorna su gmer e clicca sul tag "Autostart",metti la spunta nella casella "Show All" e clicca su Scan,finita la scansione clicca su "Copy",apri il block notes di windows e clicca su modifica>incolla,adesso salva il file(file>salva con nome)

Per piacere postami i due 2 log salvati

ciao