MegaLab.it


http://www.megalab.it/forum/

File strano in esecuzione automatica

./viewtopic.php?f=33&t=35651&start=0

Pagina 1 di 1

File strano in esecuzione automatica

MessaggioInviato: mer ott 10, 2007 10:39 am
da ssjx
Speravo di non dover postare qui ancora per un po' ma vabbè

stamattina mi sono accorto (per puro caso) che nella cartella esecuzione automatica del menu avvio è presente un file molto sospetto (otmtyg.exe) ......... faccio una scanzione con AVS e A-Squared free (sia solo sul file incriminato che sull'intero sistema) ma non trovano nulla

Non ancora convinto invio il file su Virus Total e questo è il risultato:

Immagine


Come procedo? ....... non ho ancora eliminato il file perché non vorrei così facendo di scatenare una moltiplicazione (come mi era successo qualche anno fa [boxed] )


Tnx

MessaggioInviato: mer ott 10, 2007 10:50 am
da kap
Posta un log di hijackthis...il nome di quel file sarà stato sicuramente assegnato in maniera random(qualora si trattasse di un virus)

ciau

MessaggioInviato: mer ott 10, 2007 10:51 am
da crazy.cat
quasi tutti i grandi antivirus (kaspersky e quindi avs, nod e bitdefender) non lo riconoscono, antivir pe lo trova.
Potrebbe anche esserci dell'altro in giro per il pc.

Vediamo un log di hijackthis.
controlla se in giro per il pc ci sono altri exe o dll con la stessa data di quello che hai già trovato.

Mi puoi zippare quel file e metterlo da qualche parte in modo che lo aggiungo alla mia raccolta.
(mandami il ink in privato).

MessaggioInviato: mer ott 10, 2007 10:55 am
da ssjx
Ecco intanto il log

Logfile of HijackThis v1.99.1
Scan saved at 11.56.23, on 10/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Sicurezza\A-Squared Free\a2service.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\NotifyPhoneBook.exe
F:\Programmi\Sicurezza\Active Virus Shield\avp.exe
F:\Programmi\Sicurezza\Look 'n' Stop\looknstop.exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Programmi\Utility\Free Download Manager\FUM\fumoei.exe
F:\Programmi\Sicurezza\Active Virus Shield\avp.exe
F:\Programmi\Utility\HDDlife 3\hldasvc.exe
F:\Programmi\Utility\HDDlife 3\hldasvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
F:\Programmi\Internet\File Sharing\X-Mule\X-Mule.exe
F:\Programmi\Internet\File Sharing\X-Mule\Bin\eMule\eMule.exe
C:\Programmi\Sicurezza\Peer Guardian 2\pg2.exe
F:\PROGRA~1\Utility\FOXITR~1\FOXIT_~1.EXE
F:\PROGRA~1\Utility\FOXITR~1\FOXIT_~1.EXE
F:\Programmi\Sicurezza\Utility\Hijackthis 1.99\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICURE~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [aol] "F:\Programmi\Sicurezza\Active Virus Shield\avp.exe"
O4 - HKLM\..\Run: [Look 'n' Stop] "F:\Programmi\Sicurezza\Look 'n' Stop\looknstop.exe" -auto
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Free Uploader Oe Integration] F:\Programmi\Utility\Free Download Manager\FUM\fumoei.exe
O4 - Startup: otmtyg.exe
O4 - Global Startup: otmtyg.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://F:\Programmi\Utility\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://F:\Programmi\Utility\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://F:\Programmi\Utility\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://F:\Programmi\Utility\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Free Download Manager - file://F:\Programmi\Utility\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://F:\Programmi\Utility\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://F:\Programmi\Utility\Free Download Manager\dlall.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - F:\Programmi\Utility\Free Download Manager\FUM\fumiebtn.dll
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 7844283109
O17 - HKLM\System\CCS\Services\Tcpip\..\{67407C43-75DD-44AB-97E1-4D606F482AA8}: NameServer = 85.37.17.50 85.38.28.76
O18 - Protocol: hddlife - {BD758015-47D9-477A-8873-4B688A2BC0E2} - "F:\Programmi\Utility\HDDlife 3\hlAPP.dll" (file missing)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\Sicurezza\A-Squared Free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Active Virus Shield (AVP) - Unknown owner - F:\Programmi\Sicurezza\Active Virus Shield\avp.exe" -r (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - F:\Programmi\Multimedia\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: HDDlife HDD Access service - BinarySense, Inc. - F:\Programmi\Utility\HDDlife 3\hldasvc.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: UPnPService - Magix AG - C:\Programmi\File comuni\MAGIX Shared\UPnPService\UPnPService.exe


adesso ti mando il file [;)]

MessaggioInviato: mer ott 10, 2007 11:05 am
da crazy.cat
Si vede solo lui
O4 - Startup: otmtyg.exe
O4 - Global Startup: otmtyg.exe

Pensa ad un installazione (almeno temporanea) di antivir pe.

E' meglio se il file lo zippi e lo carichi su questo sito
http://www.wikifortio.com/

Via mail non mi arriverà mai.

MessaggioInviato: mer ott 10, 2007 11:07 am
da ssjx
OK ora provvedo a mandarti il file... per antivir rimando a stasera

PS
quello è il solo file exe, dll con quella data
Tutti gli orari sono UTC + 1 ora [ ora legale ]
Pagina 1 di 1
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/