Ciao a tutti,
è da un po di giorni che mi ritrovo nella cartella document and setting una cartella utente dal nome stranissimo (nVfltuNqs...ecc..).
L'ho cancellata piu volte ma ad ogni riavvio ricompare.
Premetto che qualche giorno fa ho rimosso un rootkit (quello di service32.exe...maledetto).
Avast pero non rileva niente di anomalo.
A qualcuno è già successo?
sono un po preoccupato
grazie a tutti...
Scarica ed utilizza questo: http://www.prevx.com/gromozon.asp
Poi posta il contenuto del file c:/gromozon_removal.log
Pensi di avere un file infetto? Invialo a SuspectFile
gia utilizzato...e infatti mi aveva trovato qualcosa...e mi ha detto che il rootkit non e piu presente...
pero la cartella si ricrea in continuazione ad ogni avvio...
dunque...come si fa a sapere in windows quali servizi vengono avviati all'avvio della macchina?
in questo modo io riuscirei a controllare se ci sono file "strani" che vengolo lanciati e che potrebbero essere la causa che crea la cartella utente anomala.
dal registro di sistema e possibile saperlo???
grazie
help...
per scoprire i servizi Pannello di Controllo -> Strumenti di amministrazione -> Servizi
mmm...ma se fosse una dll o un .exe ad essere lanciato all'avvio della macchina lo vedrei nell'elenco servizi?
penso che sia piu nel registro di sistema memorizzato cosa lanciare allo start della macchina
sì, le informazioni su cosa avviare all'inizio sono contenute del registro, ma tu mi hai chiesto i servizi, non gli autorun & co. quello che ti ho indicato indica tutti i servizi presenti (attivi o non attivi) sul tuo pc.
per procedere a una rimozione manuale (purtoppo ogni tanto il tool perde colpi) scarica questi altri programmi
Ccleaner --- http://download.ccleaner.com/ccsetup132.exe
The Avenger --- http://swandog46.geekstogo.com/avenger.zip
Myuninstaller --- http://www.puntocr.it/index/download...t/lid/214.html
GMER --- http://www.gmer.net/files.php
quando li hai scaricati, estrai Gmer, avvialo, e fai uno scan dalla sezione "Autostart". poi clicchi su copia e incolli nella risposta
stessa cosa con la sezione "Rootkit".
prima di tutto volevo ringraziarti per le risposte...
ho scaricato Gmer e nella sezione autostart non e saltato nulla di strano...
invece nella sezione services c'è una cosa molto interessante:
c'è un servizio dal nome assurdo che ha come connessione il nome dell'utente fittizio che corrisponde alla cartella creata ad ogni avvio di win in document e setting...
infatti se vedo i servizi di win vedo che questo cavolo di servizio si appoggia ad un file in
c:\programmi\file comuni\services\Xpe.exe
la chiave del problema è li.
PS. nei giorni passati probabilmente sono stato affetto dal link optimizer. Ho scaricato piu tool e ora mi dicono che il sistema è ok...ma questo non mi quadra. Elenco tool utilizzati.
- prevx removal tool gromozom
- sophos antirootkit
- nod32 tool trojan
vi posto inoltre il servizio che ho trovato con Gmer e che ho visto essere presente in bella mostra tra i servizi di windows (anche tentando di disattivare il servizio mi esce critto "accesso negato")
quello è uno dei file infetti.
non vorrei sembrarti insistente, nè metto in dubbio le tue capacità in campo informatico,ma se ti ho chiesto di postarmi i log è perchè nella lettura potrebbe esserti sfuggito qualcosa.
inoltre quello che hai trovato è solo uno dei numerosi problemi inflitti dal LinkOptimizer, anche se in merito al tool della prevx molta roba dovrebbe essere stata eliminata
puoi postarli per favore? grazie
Permessi di invio
Rispondi quotando