LBGDZECBWU.EXE che diavolo è?

**beto_n1** · 28-11-2007, 18:11

ciao ai presenti ,nel mio firewall ZA ho trovato questa voce LBGDZECBWU.EXE e come percorso DOCUMENTS AND SETTINGS\MIO PC\IMPOSTAZIONI LOCALI\DATI APPLICAZIONI ma se vado a guardare là dentro non c'è........in rete non ho trovato nulla,avira non segnala nulla di strano e nemmeno spybot...ne sapete qualcosa?

**OYS** · 28-11-2007, 18:15

Se ci riesci, prova a farlo controllare su www.virustotal.com
Comunque non sembra niente di buono, perciò posta un log di HijackThis.

**beto_n1** · 28-11-2007, 18:24

Logfile of HijackThis v1.99.1
Scan saved at 17.18.07, on 28/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\system32\slserv.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programmi\Synaptics\SynTP\SynTPLpr.exe
D:\Programmi\Synaptics\SynTP\SynTPEnh.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 BE.EXE
D:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\PROGRA~1\WINZIP\winzip32.exe
D:\Documents and Settings\LU MEU\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - D:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATIPTA] D:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] D:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] D:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [lbgdzecbwu] d:\documents and settings\lu meu\impostazioni locali\dati applicazioni\lbgdzecbwu.exe lbgdzecbwu
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: SmartLinkService (SLService) - - D:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

ora provo la scansione.....

**OYS** · 28-11-2007, 18:29

Sì, è sicuramente un malware, ed è pure attivo.
Al termine della scansione, fixa con HijackThis la seguente voce:

O4 - HKCU\..\Run: [lbgdzecbwu] d:\documents and settings\lu meu\impostazioni locali\dati applicazioni\lbgdzecbwu.exe lbgdzecbwu

Scarica http://swandog46.geekstogo.com/avenger.zip

clicca su input script manually e poi sulla lente di ingrandimento.
nello spazio bianco inserisci con copia incolla questo:

files to delete:
d:\documents and settings\lu meu\impostazioni locali\dati applicazioni\lbgdzecbwu.exe

clicca su done.
poi sul semaforo con luce verde
due volte si, il pc si riavviera' e al ritorno posta il log di avenger (C:/avenger.txt).

**beto_n1** · 28-11-2007, 18:38

...ho trovato la chiave di registro vedo i file e virus total non mi dice nulla....ne so quanto prima

**OYS** · 28-11-2007, 18:40

Originariamente inviato da beto_n1
...ho trovato la chiave di registro

Puoi anche non eliminarla manulamente, basta che avvii hijackthis clicchi do a system scan only, poi selezioni la chiave in questione e premi fix checked in basso a sinistra.

**beto_n1** · 28-11-2007, 18:44

scusa ho visto ora la tua risposta OYS...eseguo grazie mille per la velocità

**OYS** · 28-11-2007, 18:46

Originariamente inviato da beto_n1
scusa ho visto ora la tua risposta OYS...eseguo grazie mille per la velocità

Quando hai finito riposta un log di HijackThis nuovo.

**beto_n1** · 28-11-2007, 19:34

eccomi qui dopo le varie operazioni...

Logfile of HijackThis v1.99.1
Scan saved at 18.25.39, on 28/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\system32\slserv.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programmi\Synaptics\SynTP\SynTPLpr.exe
D:\Programmi\Synaptics\SynTP\SynTPEnh.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 BE.EXE
D:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Documents and Settings\LU MEU\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - D:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATIPTA] D:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] D:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] D:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: SmartLinkService (SLService) - - D:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

lui è sparito ma ciò che mi lascia perplesso è che dopo l'avvio del pc prima di poter eseguire qualsiasi operazione mi ci vogliono quasi 4 minuti...è da poco che ho installato ZA al posto del buon sygate..e boh non ancora capito se è ZA che blocca tutte le operazioni sino a che non è completamente operativo...o forse sono solo delle cazzate....

**OYS** · 28-11-2007, 19:36

Originariamente inviato da beto_n1
lui è sparito ma ciò che mi lascia perplesso è che dopo l'avvio del pc prima di poter eseguire qualsiasi operazione mi ci vogliono quasi 4 minuti...è da poco che ho installato ZA al posto del buon sygate..e boh non ancora capito se è ZA che blocca tutte le operazioni sino a che non è completamente operativo...o forse sono solo delle cazzate....

Secondo me è ZA, anche a me dava questo problema.
Log pulito.

Discussione: LBGDZECBWU.EXE che diavolo è?

Strumenti discussione

Ricerca discussione

Visualizza

LBGDZECBWU.EXE che diavolo è?

Permessi di invio