in alcuni pc con windows XP mi trovo installato un servizio con nome casuale il cui proprietario è un utente con nome casuale con password casuale.
quando parte il servizio mi occupa tutta la memoria e di conseguenza mi blocca il computer.
suppongo che sia un bel virus ma non sono riuscito a trovare documentazione a riguardo.
qualcuno sa di cosa si tratta?
grazie
per il quello che hai detto potrebbe essere un virus in larga diffusione, il linkoptimizer.
se con uno scan di hjackthis trovi
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {4E9ABE7B-9130-6F62-695C-52F6B74543E6} - C:\WINDOWS\[random]1.dll (file missing)
O4 - HKLM\..\Run: [[random]1.exe] C:\WINDOWS\Temp\[random]1.exe
quando random è un nome casuale (ex. TfgYd1.exe) che può anche cambiare da reboot a reboot
sei infetto dal virus e dovresti guardare
qui per toglierlo
il log di hijackthis non mi smbra riportare tutte quelle voci.eccolo
Logfile of HijackThis v1.99.1
Scan saved at 9.39.43, on 01/08/06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Programmi\MWSnap\MWSnap.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\Trend Micro\OfficeScan Client\ofcdog.exe
C:\Programmi\Trend Micro\OfficeScan Client\pccntupd.exe
C:\WINDOWS\system32\userinit.exe
\sil091\d\copia sil024\moreno\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = SIL002:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {63F5D079-99EC-A0EF-304C-7D2CC287AC77} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [MWSnap] "C:\Programmi\MWSnap\MWSnap.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Collegamento a Aggiorna IntegraFW.lnk = C:\Aggiorna IntegraFW.bat
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = -
O17 - HKLM\Software\..\Telephony: DomainName = -
O17 - HKLM\System\CCS\Services\Tcpip\..\{C19A8BDE-4152-47A3-BD93-3CBBAAF6FD70}: NameServer = -.-.-.-,-.-.-.-
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = -
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = -
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OracleOraHome81ClientCache - Unknown owner - E:\oracle\ora81\BIN\ONRSD.EXE
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
ed ecco le caratteristiche del servizio:
nome
WinQom
Descrizione
Fornisce tre servizi di gestione: il servizio Database catalogo, che serve per confermare le firme dei file di Windows; il servizio Archivio principale protetto, per aggiungere e rimuovere dal computer i certificati dell'autorità di certificazione delle fonti attendibili; e il servizio Chiave, che aiuta a registrare i certificati nel computer. Se questo servizio è interrotto, i servizi di gestione non funzioneranno in modo corretto. Se il servizio è disabilitato, tutti i servizi che dipendono direttamente da questo non potranno essere avviati.
Tipo di avvio
Automatico
Connessione
.\AGfpR
applicazione
"C:\Programmi\File comuni\System\GEn.exe"
guardando la descrizione sembra che il sevizio sia stato duplicato da uno già presente nel sistema.
effettivamente non hai il LinkOptimizer. avevo capito male io.
comunque qualcosa da fixare c'è
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {63F5D079-99EC-A0EF-304C-7D2CC287AC77} - (no file)
poi ti volevo chiedere se fai uso di proxy
sì sul pc dove ho il problema è configurato il proxy
Avevi visto giusto prima: è linkoptimizer al 103%Originariamente inviato da BilloKenobi
effettivamente non hai il LinkOptimizer. avevo capito male io.
comunque qualcosa da fixare c\'è
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {63F5D079-99EC-A0EF-304C-7D2CC287AC77} - (no file)
poi ti volevo chiedere se fai uso di proxy
Cit dalla guida che hai linkato:@3dgraphix: segui la guida ed aggiungi anche il file GEn.exe tra quelli che Avenger dovrà cancellare (credo che però ad ogni boot cambi). Se hai problemi, posta i log richiesti.Creazione di un nuovo servizio con nome random. Il servizio si identifica facilmente dall´elenco dei servizi (Start >> Esegui digitare services.msc e premere invio) perchè nella colonna connessione riporta un nome random.
Ciao
Pensi di avere un file infetto? Invialo a SuspectFile
Permessi di invio
Rispondi quotando