MegaLab.it

Cari amici esperti,

da qualche tempo, si è installato in "esecuzione automatica" un'icona che rappresenterebbe un file denominato"data.dat" naturalmente non fa riferimento a nessun percorso se non direttamente a "esecuzione automatica" infatti al tentativo di apertura esce una finestra che dice si sta tentando di aprire un file......ecc.
Ho provato cancellarlo dai programmi, l'ho disattivato dal "msconfig"
non esiste nel "regedit"
ho fatto la scansione con "AD AWARE" "SPYBOOT" ho verificato con "HIJACKTHIS" risultato.....nulla
Ho installato l'antispyware di Microsoft che lo segnala ad ogni accensione del pc , l'ho elimina ma nulla, tant'è che anche questo programma si è stancato di segnalarlo, avranno un'anima questi programmi?
Addirittura nel "msconfig" io lo disattivo e lui ricostituisce una nuova riga di comando ogni volta.

Che fare? a qualcuno la soluzione!

Grazie infinite.

Puzza quasi di virus?
In che cartella si trova questo files, tanto per capire se appartiene a qualche programma regolare.
Che windows e che antivirus hai?
Prova a mandare qui il log della scansione di hijackthis e vediamo se ci sono voci strane.

Ecco il log di hijackthis.
Virus? Da dove è passato?
MI pare di essere perfino esagerato quanto a protezione....almeno credo.
Come antivirus, uso "antivir" della HBEDV
A proposito di antivirus, sono alcuni giorni che non riesco a fare l'aggiornamento non si collega al sito della casa produttrice.

Grazie per le risposte.

Logfile of HijackThis v1.99.1
Scan saved at 17.48.02, on 09/03/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WFXSVC.EXE
C:\Programmi\Symantec\WinFax\WFXMOD32.EXE
C:\WINDOWS\System32\wfxsnt40.exe
C:\Programmi\Microsoft Hardware\Keyboard\speedkey.exe
C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
G:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\FreePOPs\freepopsd.exe
C:\Documents and Settings\GIAMPY\Menu Avvio\Programmi\Esecuzione
automatica\mouse32a.exe
G:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\C6 Messenger\TinMessenger.exe
C:\Programmi\Foxmail 5.0\Foxmail.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\GIAMPY\Desktop\SECURITY\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.virgilio.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName
= Collegamenti
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:\windows\googletoolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [Microsoft IntelliType Pro] "C:\Programmi\Microsoft
Hardware\Keyboard\speedkey.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched]
C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [gcasServ] "G:\Programmi\Microsoft
AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - Startup: freepop.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O4 - Startup: mouse32a.exe
O8 - Extra context menu item: &Google Search -
res://C:\WINDOWS\GoogleToolbar.dll/cmsearch.html
O8 - Extra context menu item: E&sporta in Microsoft Excel -
res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger -
{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -
C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger -
{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -
C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .pdf: C:\Programmi\Internet
Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} -
http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{564308F8-38DD-4025-9579-25D79C0BEE9B
}: NameServer = 85.37.17.6 151.99.125.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA56639D-86B7-489B-9978-AF607B20EDD8
}: NameServer = 151.99.125.2,151.99.250.2
O20 - Winlogon Notify: ComPlusSetup - C:\WINDOWS\System32\catsrvut.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik
GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH,
Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner -
C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation -
C:\WINDOWS\System32\WFXSVC.EXE

Scusa ma non avevo completato le informazioni.

Non si trova in nessuna cartella, se non esclusivamente dentro "esecuzione automatica" del menù avvio.
Anche leggendone il percorso sul config, ci rimanda all'esecuzione automatica.

WINDOWS XP prof.


Grazie ancora per i suggerimenti.

Le cose che si autoricreano non mi sono mai piaciute.
Se vuoi provare a fare un controllo dalla modalità provvisoria per eventuali virus
http://www.MegaLab.it/2333

Nel log non si vede niente di strano.

Quanto i problemi di aggiornamento non sei il solo, hanno problemi grossi sul loro server
http://www.MegaLab.it/forum/viewtopic.php?t=12499

Caro Crazy.

Ho eseguito la scansione con scangui in modalità provvisoria, in effetti ha ritrovato e ripulito il sistema da qualche infame trojan,
poi ho fatto ripartire la macchina in modalità normale e...sorpresa il file "dat" era ancora lì che si divertiva a fare capolino.
Intanto ho minato il pc, poi se non si trova una soluzione lo faccio esplodere e puff il dat non c'è più.

A parte le battute, in fondo non crea problemi basta chiudere la finestra ad ogni accensione, tuttavia rompe avere le cose che non sono regolari è una questione di principio.

Grazie per i prossimi suggerimenti.

lustig ha scritto:Ecco il log di hijackthis.
Virus? Da dove è passato?
MI pare di essere perfino esagerato quanto a protezione....almeno credo.
Come antivirus, uso "antivir" della HBEDV
A proposito di antivirus, sono alcuni giorni che non riesco a fare l'aggiornamento non si collega al sito della casa produttrice.

Grazie per le risposte.

Logfile of HijackThis v1.99.1
Scan saved at 17.48.02, on 09/03/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WFXSVC.EXE
C:\Programmi\Symantec\WinFax\WFXMOD32.EXE
C:\WINDOWS\System32\wfxsnt40.exe
C:\Programmi\Microsoft Hardware\Keyboard\speedkey.exe
C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
G:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\FreePOPs\freepopsd.exe
C:\Documents and Settings\GIAMPY\Menu Avvio\Programmi\Esecuzione
automatica\mouse32a.exe
G:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\C6 Messenger\TinMessenger.exe
C:\Programmi\Foxmail 5.0\Foxmail.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\GIAMPY\Desktop\SECURITY\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.virgilio.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName
= Collegamenti
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:\windows\googletoolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [Microsoft IntelliType Pro] "C:\Programmi\Microsoft
Hardware\Keyboard\speedkey.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched]
C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [gcasServ] "G:\Programmi\Microsoft
AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - Startup: freepop.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O4 - Startup: mouse32a.exe
O8 - Extra context menu item: &Google Search -
res://C:\WINDOWS\GoogleToolbar.dll/cmsearch.html
O8 - Extra context menu item: E&sporta in Microsoft Excel -
res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger -
{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -
C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger -
{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -
C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .pdf: C:\Programmi\Internet
Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} -
http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{564308F8-38DD-4025-9579-25D79C0BEE9B
}: NameServer = 85.37.17.6 151.99.125.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA56639D-86B7-489B-9978-AF607B20EDD8
}: NameServer = 151.99.125.2,151.99.250.2
O20 - Winlogon Notify: ComPlusSetup - C:\WINDOWS\System32\catsrvut.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik
GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH,
Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner -
C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation -
C:\WINDOWS\System32\WFXSVC.EXE

Non vorrei avvocatare, ma la versione di Internet Explorer è vecchia. E' molto che non esegui Windows Update? Che non ti manchi qualche aggiornamento. Proprio oggi ne è arrivato uno (marzo 2005) riguardante protezione spyware (non ricordo i dettagli).

lustig ha scritto:da qualche tempo, si è installato in "esecuzione automatica" un'icona che rappresenterebbe un file denominato"data.dat" naturalmente non fa riferimento a nessun percorso se non direttamente a "esecuzione automatica" infatti al tentativo di apertura esce una finestra che dice si sta tentando di aprire un file......ecc.

cliccando con tasto destro del mouse sul file in questione, andando in proprietà - collegamento, non indica a cosa fa capo?
invece in proprietà - generale vedi quando è stato creato o modificato per renderti conto se in quel giorno hai fatto qualcosa di inusuale...
magari è di qualche programma che si avviava in automatico e che poi non è stato disinstallato correttamente...

ciao