virus, dialer o cosa?

**alessandrocarul** · 13-04-2004, 18:38

ciao, nel task manager di window ho alcuni processi di cui non capisco l'utilità, e visto che da qualche giorno mi si aprono popUP pubbilicitarie e zozze vorrei sapere quale programma mi sta tormentando... voi conoscete questi .exe? se si, a cosa servono?

- anji_2k.exe cartella c:/windows/sistem32/
- 6v9ggi.exe cartella: non trovo il file

- csrss.exe cartella c:/windows/sistem32/
- lsass.exe cartella c:/windows/sistem32/
questo, facendo una ricerca su internet doverebbe essere un virus... confermate?
http://www.genovabynet.it/Dettagliru...ITEM=170&arg=7
secondo questo sito no:
http://www.zanezane.net/forum/topic....ms=eliminabili
- srcfs.exe cartella: non trovo il file

in allegato ho messo un immagine stampata dal regedit HKEI_LOCAL_MACHINE/software/microsoft/windows/currentversion/run
Secondo voi cosa non dev'esserci?
IMJPMG8.1 l'ho tolto... non mi ispirava proprio..

Grazie in anticipo, ciao!!

**amvinfe** · 14-04-2004, 00:06

hai diversi valori da eliminare, ma se li elimini solo dal registro non risolvi.
Scaricati AdAware, HijackThis da -links utili- in rilievo, per l'uso di HijackThis sempre in rilievo c'è anche un tutorial.
Aggiorna il db di AdAware, fai una scansione approfondita del disco, rimuovi i valori che ti trova, riavvia la macchina. Fai uno Scan con HijackThis e posta qui il Log.

**alessandrocarul** · 14-04-2004, 15:26

Grazie... ho seguito le tue istruzioni e questo è il log di HijackThis :

Logfile of HijackThis v1.97.7
Scan saved at 15.22.29, on 14/04/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\File comuni\Nokia\Services\ServiceLayer.exe
C:\Programmi\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programmi\Netropa\Onscreen Display\OSD.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\Programmi\Intuwave\Shared\mRouterRunTime\mRoute rRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\downlo~1\2otb8i\6v9ggi.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\admin\Impostazioni locali\Temp\Directory temporanea 1 per hjt.zip\HijackThis.exe
C:\Programmi\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe
C:\Programmi\File comuni\Adobe\Web\AOM.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Documents%20and%20Settings/admin/Documenti/LINK.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Sk33.exe] c:\docume~1\admin\impost~1\temp\Sk33.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\Programmi\Lavasoft\Ad-aware 6\Ad-aware.exe" "+b1"
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programmi\File comuni\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PCSuiteperNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 TS.lnk = ?
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/game...ts/y/kt3_x.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {1EDF25DE-DFB2-40CA-AA83-30AE7DA8C203} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

ti ringrazio per la disponibilità!!

**amvinfe** · 14-04-2004, 23:31

hai sicuramente il Gain (Gator per intenderci)
che è uno spyware, ma che non è la causa di quelle popup porno.
Il suo percorso è:

C:\Programmi\File comuni\GMT\GMT.exe

per rimuoverlo metti prima la spunta in HijackThis su

O4 - Global Startup: GStartup.lnk = C:\Programmi\File comuni\GMT\GMT.exe

e clicca su Fix checked

riavvia in modalità provvisoria ed elimina la cartella

GMT

il percorso è

C:\Programmi\File comuni\GMT\GMT.exe

Poi fai una scansione online perchè ci sono files che non mi convincono

6v9ggi.exe
Sk33.exe

Poi sinceramente non capisco neanche questo valore come pagina iniziale del broswer :master:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Documents%20and%20Settings/admin/Documenti/LINK.html

**alessandrocarul** · 15-04-2004, 13:22

Originariamente inviato da amvinfe
Poi sinceramente non capisco neanche questo valore come pagina iniziale del broswer :master:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Documents%20and%20Settings/admin/Documenti/LINK.html

Per questo a "colpa mia" :gren: :gren:
mi sono crato una pagina iniziale coi link che uso più spesso, così non devo andare a cercarli su preferiti, o scriverli. E' molto comodo!!!!

Da quando ho fatto pulizzia con ad-ware, cmq, non si aprono più le pop-up.

x il GMT e strano... sulla cartella file comuni non è presente

grazie ancora, ciao!!

Discussione: virus, dialer o cosa?

Strumenti discussione

Ricerca discussione

Visualizza

virus, dialer o cosa?

Permessi di invio