Strani file nella cartella File comuni

[super_mario_nos]

Ciao. Sono nuovo nel forum..

Oggi avevo deciso di fare un po di pulizia al pc e girovagando nelle cartelle, in
- c:\programmi\file comuni\services
- c:\programmi\file comuni\system
- c:\programmi\file comuni\microsoft shared

ho trovato strani file con nomi assurdi scritti con caratteri minuscoli e maiuscoli...

e sono evidenziati di verde, cioè crittografati se non sbaglio...

non riesco a capire cosa cavolo sono.... e non so perchè ma di sicuro non fanno bene...

[super_mario_nos]

su un file ho scopert oalcune cose..

contenuto in c:\programmi\file comuni\system

weR.exe 136 kb

Data creazione venerdì 31 agosto 2001 12.00.00
Ultima modifica venerdì 31 agosto 2001 12.00.00

Attributi: sola lettura

altre opzioni del file:
-consenti screen saver
-sfondo-->sospendi sempre
-chiusura--> avvisa se è ancora attiva
-incolla-->incolla rapido
tasti di scelta rapida di windows:
-alt+tab
-ctrl+esc
-alt+stamp
-alt+barra spazio
-stamp
-alt+esc
-alt+invio

inoltre è un file crittografato e l'unico utente che puo accedere a questo file è

SdNoRbGoBwJ(SdNoRbGoBwJ)@PC01

identificazione personale certificato:
3E6F F082 5327 C797 9348 5764 9928 BF1B DC24 D4A3

[OYS]

In quelle cartelle ci sono servizi, file di sistema, ecc...

Se non sei sicuro che quei file siano sicuri, fai una scansione con HijackThis e posta il log. Elencherà i servizi attivi, e cosi sapremo se hai qualche servizio che è dannoso.

[super_mario_nos]

mi sa tanto che non servono a niente...

anche perchè non credo che windows crei file eseguibili il cui nome puo essere scritto cosi ad esempio

UnNoMeChEnOnHaSeNsO.exe

non so se mi spiego..

comunque ho controllato anche altri 3 pc ma d iquesti file nemmeno l'ombra

[OYS]

Se non ti convincono, prova a scrivere il loro nome su google, e se non trovi niente, scansiona i piu sospettosi su:


www.virustotal.com

[super_mario_nos]

trovo solo alcune cose in inglese... non ci capisco molto... ma nessuna sembra proprio incentrata su questo wer.exe

[super_mario_nos]

ho fatto la scansione con prevx csi... mi ha trovato questo file come un rootkit, però per rimuoverlo dovrei comprare la licenza del programma.

io wer.exe ho provato a rimuoverlo anche da modalità provvisoria, ma non riesco

[OYS]

Posta un log si HijackThis.

Scarica GMER

a) clicca su > > >
Clicca su Autostart
spunta Show All
clicca Scan
al termine della scansione clicca su Copy
Apri il blocco note e premi CTRL+V.
Salva il file e caricalo su http://www.savefile.com
Posta qui il link che esce.

b) clicca su Rootkit
clicca su Scan
al termine della scansione, clicca su Copy
Apri il blocco note e premi CTRL+V.
Salva il file e caricalo su http://www.savefile.com
Posta qui il link che esce.

[super_mario_nos]

ciao. ho fatto i log che mi hai chiesto:

hijackthis:
http://www.savefile.com/files/1289493

autostart gmer:
http://www.savefile.com/files/1289494

rootkit gmer
http://www.savefile.com/files/1289495

[OYS]

Scarica http://securityresponse.symantec.com...FixLinkopt.exe


Riavvia in modalità provvisoria ed esegui il tool.


Fai una scansione con systemscan.
Una volta eseguita la scansione, zippa il file report.txt che c'è nella cartella C:\suspectfile e caricalo su www.savefile.com e scrivi il link che uscirà.