sysupd.exe

[}gu|do[z]{®©]

ho notato qualcosa di strano sul mio pc.. penso sia qualche worm.. sul desktop mi sono ritrovato un file chiamato "dpusys.ini" che appena cancellato viene ricreato... tra i processi ho trovato uno dal nome molto sospetto (sysupd.exe).. che tra l'altro appena killato viene riavviato.. il file è stato creato un'ora fa.. il che mi insospettisce ancora di più.. ed ha una chiave nel registry nella voce dei programmi avviati con windows... e la chiave appena cancellata viene creata...

direi che sono ci abbastanza indizi perchè sia qualche cavolata di worm o simile... però norton aggiornato un attimo prima di fare la scansione, non trova nulla di strano su quel file...

qua:
http://it.mcafee.com/virusInfo/defau...virus_k=101169
credo si parli di lui come un adware...

chi ne sa qualcosa di + mi illumini.. intanto vedo che rispolvo io

[amvinfe]

...La McAfee lo da come Adware, PestPatrol come dialer.
In -links utili- in rilievo scaricati HijackThis fai uno Scan e posta il Log, per l'uso leggi il tutorial che prego leggere attentamente visto che quasi sempre si postano Log non corretti.

[}gu|do[z]{®©]

ok.. provvedo.. ma nel frattempo sono riuscito ad uccidere il processo, a eliminarlo dal registri, e chiaramente dal disco...

però non si sa mai..

[}gu|do[z]{®©]

Non ho capito cosa intendi per log sbagliato (a meno che nn abbia svbagliato )... senza leggere il tutolrial avevo fatto la stessa cosa che dice lì...


Logfile of HijackThis v1.97.7
Scan saved at 3.51.56, on 24/04/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\guidoz\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: PerfectNavBHO Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: UD Agent.lnk = C:\Programmi\United Devices\UD.EXE
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\GoogleToolbar.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\GoogleToolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\GoogleToolbar.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\GoogleToolbar.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {1EDF25DE-DFB2-40CA-AA83-30AE7DA8C203} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/b...ll/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...027.3808217593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab


conosco tutto a parte quei due file missing... e a parte questo
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/b...ll/xscan53.cab


cmq vabbè.. quello segnalato a inizio thread l'ho rimosso a mano (anche se sono curioso di sapere come potrei averlo preso visto che all'ora di creazione del file non mi pare di aver fatto nulla di anomalo).. altri non ne dovrei avere.. non uso exploDer..

grazie

[jak]

housecall potrebbe essere l antivirus pc cillin
hai fatto forse una scansione on line ?
o installato qualche versione demo di pccillin ?

[}gu|do[z]{®©]

Originariamente inviato da jak
housecall potrebbe essere l antivirus pc cillin
hai fatto forse una scansione on line ?
o installato qualche versione demo di pccillin ?

demo no di sicuro.. può essere che ho fatto una scansione on-line chissà quando... ne ricordo una parecchio tempo fa.. non formatto da una vita quindi può essere..

[amvinfe]

Tutte le applicazioni devono essere chiuse, broswer compreso.
Apri HijackThis, clicca su Scan, metti la spunta al fianco di questi valori:

R3 - URLSearchHook: PerfectNavBHO Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)

O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab

clicca su Fix checked, riavvia la macchina.

Per una maggiore sicurezza, fai girare anche AdAware aggiornato.

Il problema è che molti durante la scansione e la rimozione con HJT lasciano aperte delle applicazioni, spesso e volentieri anche il broswer. HJT per poter lavorare in modo corretto non deve avere nessun'altra applicazione aperta.

[}gu|do[z]{®©]

Originariamente inviato da amvinfe
Tutte le applicazioni devono essere chiuse, broswer compreso.
Apri HijackThis, clicca su Scan, metti la spunta al fianco di questi valori:

R3 - URLSearchHook: PerfectNavBHO Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)

O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab

clicca su Fix checked, riavvia la macchina.

Per una maggiore sicurezza, fai girare anche AdAware aggiornato.

Il problema è che molti durante la scansione e la rimozione con HJT lasciano aperte delle applicazioni, spesso e volentieri anche il broswer. HJT per poter lavorare in modo corretto non deve avere nessun'altra applicazione aperta.

ah.. non l'avevo proprio visti quei punti.. e avevo lasciato firefox aperto.. tutto il resto era chiuso...

cmq visto che avevo in mente di farlo da un bel po'.. stamattina ho formattato.. era troppo impiastricciato... quindi anche se ci fosse ancora qualcosa....

Più che altro quando mi becco qualcosa mi chiedo sempre come visto che sono abbastanza accort... buh

Grazie comunque