Ciao a tutti
Avviso di Norton: bla.exe sta tentando di connettersi ad un server DNS (Rischio Medio).
Programma: bla.exe / Protocollo: UDP (in uscita) / Percorso: C:\
Ho già ricevuto diversi avvisi come questo tanto è vero che avendo negato l'accesso il firewall di norton lo aveva bloccato
http://www.imageshack.us">
però questa volta anche se ho negato l'accesso me lo ritrovo in C:\. Che cos'è esattamente? Lo posso eliminare direttamente da C:\? E poi perchè è passato se norton lo aveva bloccato?
Grazie per l'aiuto ciao
karmak
ciao...ho fatto una ricerca e pare sia un po complicata la rimozione...cmq se vuoi puoi dare un'okkiata a qst discussione così capisci cos è... http://newsgroup.tecnologia.virgilio.it/newsgroup/message.jspa?messageID=4611686018440756064&threadStatus=0 - http://newsgroup.tecnologia.virgilio.it/newsgroup/message.js pa?messageID=4611686018440756064&threadStatus=0
ciao
Grazie lucas
Ho fatto come di hai indicato, con il blocco note potevo solo scegliere tra file di testo o tutti i file, comunque è stato salvato in "documenti". Però non ho ben compreso il motivo di questo passaggio. Su proprietà ho impostato solo lettura. Ho fatto una prova e si può cancellare da C:\ mandandolo nel cestino però questo non significa que sia stato eliminato completamente.
Logfile of HijackThis v1.99.1
Scan saved at 21.38.39, on 14/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Norton Internet Security\ISSVC.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\QtZiAcer.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programmi\QuickTime\qttask.exe
C:\Program Files\D-Link\DSL-200\dslstat.exe
C:\Program Files\D-Link\DSL-200\dsl*gent.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Microsoft Encarta\Encarta Enciclopedia Plus\EDICT.EXE
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Programmi\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\DOCUME~1\Ugo\IMPOST~1\Temp\Directory temporanea 16 per hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rossoalice.it/ - http://www.rossoalice.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com - http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZiAcer.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon
O4 - HKLM\..\Run: [Dsl*gENTEXE] C:\Program Files\D-Link\DSL-200\dsl*gent.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSn iff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/130866d461c87fd1e817/netzip/RdxIE601_it.cab - http://software-dl.real.com/130866d461c87fd1e817/netzip/RdxI E601_it.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1118683914849 - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en /x86/client/wuweb_site.cab?1118683914849
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab - http://security.symantec.com/sscv6/SharedContent/common/bin/ cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1118683771072 - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en /x86/client/muweb_site.cab?1118683771072
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF95775C-7E5F-4510-9C11-8 F9644685D36}: NameServer = 80.17.212.208 151.99.125.1
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programmi\Norton Internet Security\ISSVC.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
ciao
karmak
Da un po di tempo ho notato che quando entro in un sito mi appare quasi sempre la console java:
http://www.imageshack.us">
Poi scompare riducendosi ad icona. Può dipendere da bla.exe?
Karmak
ciao luca
veramente java c'è l'ho istallata http://www.imageshack.us">
Addirittura adesso mi compare la console anche quando apro I.E. alla pagina di rosso alice.
Inoltre il file bla.exe salvato in "documenti" non è più eliminabile
http://www.imageshack.us">
Come mai tutto questo scompiglio? Cosa posso fare?
Grazie ciao
karmak
per lucas
Ho tolto la spunta su solo lettura ma non si può eliminare, inoltre ritorna in C:\ anche se lo avevo messo nel cestino. Hai ragione è di 0 byte.
per Yusuke
Ho provato come mi hai detto ma nel Task Manager non compare e di conseguenza non posso terminare l'applicazione.
karmak
Ciao a tutti
Scusate ragazzi per il ritardo ma l'altro ieri dove abito un violento temporale ha messo fuori uso la linea telefonica, adesso l'hanno ripristinata ma la connessione è un pò ballerina, va e viene, comunque speriamo che regga.
Per lucas ho installato WhoLockMe ed eseguito le istruzioni di kuma ma l'utility non riesce ad eliminare/rinominare il file bla.exe
http://www.imageshack.us">
Per Yusuke purtroppo il mio antivirus Norton in modalità provvisoria non si avvia, ho provato molte volte ma niente da fare, inoltre delle due chiavi che mi hai dato la seconda non esiste http://www.imageshack.us">
Come puoi vedere dalla foto RunService non c'è. Ad ogni modo "Config Loader"="scvhost.exe" non c'è nemmeno nell'altra chiave che ho trovato.
bla.exe continua a rimanere al suo posto. ADESSO CHE FACCIO?
L'idea di luna 84 potrebbe essere buona, visto che il mio antivirus non si avvia in modalità provvisoria. Però come evitare un eventuale conflitto tra i due antivirus? NOD32 si avvia in mod. prov.? Durante il download del 2° devo disattivare il 1°?
GRAZIE PER L'AIUTO!!!
karmak
Ciao luca, scusami ma non vedo di cosa tu debba scusarti! se ti riferisci all'utility che non ha eliminato il file bla.exe tu non ne hai nessuna colpa.
Questo è il risultato della scansione con PANDA
Incident &nbs p; &nbs p; Status Location &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p;
Adware:Adware/Gator   ; No disinfected & nbsp; C:\WINDOWS\gator*.log &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp;
Adware:Adware/Gator   ; No disinfected & nbsp; C:\WINDOWS\GatorPdpLoudInstaller.log
Virus:Trj/Downloader.CQW Disinfected & nbsp; C:\Documents and Settings\Ugo\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\file\my.c lass-dc825cc-717d30cc.class &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp; &nb sp;
Virus:Trj/Downloader.CQW Disinfected & nbsp; C:\Recycled\Dc48.exe &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p; &nbs p;
Virus:Trj/Downloader.CQW Disinfected & nbsp; C:\bla.exe &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp; &n bsp;
Mi sapete spiegare come mai NORTON scannerizza circa 135.000 file mentre PANDA ne ha scann. ben 253.000! Dove li ha trovati i 118.000 file di differenza? Possibile che NORTON salti la scan. di 118.000 file?
Comunque in C:\ bla.exe non c'è più e speriamo che non ritorni (come ha fatto fino adesso), per quanto riguarda il file in documenti proverò ad eliminarlo con un'altro programma.
GRAZIE LUCA
Karmak
Eliminato file bla.exe da "docunenti" con Delete Doctor.
GRAZIE LUCAS
Ciao
karmak