Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
malware mimetico?
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
merlin
Dio maturo
Dio maturo


Registrato: 16/03/07 00:32
Messaggi: 2421
Residenza: Kingdom of Camelot
MessaggioInviato: 17 Set 2008 15:44    Oggetto: malware mimetico? Rispondi citando
Ciao a tutti. dopo aver notato in Task Manager un anomalo utilizzo di risorse determinato dal file wuaudit.exe ed appurato che si trattava di codice pericoloso come segue:

You should urgently check your PC and remove any  malicious software including WUAUDIT.EXE as  soon as possible.
The free version of Prevx CSI will scan your PC for 
millions of spyware and malware infections in less 
than 2 minutes. Don't take the risk, check your PC 
now.
Download Prevx CSI Now
What You Should Do About 
WUAUDIT.EXE: 
AUTOMATED MALWARE PROFILE, ANALYSIS, REMOVAL AND 
SIGNATURE INFORMATION: 
DEFINITION OF: WUAUDIT.EXE
1. COVERT ANALYSIS OF: WUAUDIT.EXE
2. RELATIONSHIP ANALYSIS OF: WUAUDIT.EXE
3. ACTIVITY ANALYSIS OF: WUAUDIT.EXE
4. PROPAGATION ANALYSIS OF: WUAUDIT.EXE
  Other versions of WUAUDIT.EXE
Safety Rating: Known malware, do not run
Protection: Prevx provides powerful security products that you can use to 
detect, remove and protect you from WUAUDIT.EXE and safeguard your PC 
against viruses, trojans, worms, spyware, rootkits and adware
Why risk having spyware on your PC when it takes less than 2 minutes to 
thoroughly check it with Prevx CSI? Click here to check your PC with Prevx CSI 
Now.
First seen: Jun 3 2007 (GMT)
Last seen: Jun 3 2007 (GMT)
File Size: 1,347,584 bytes
File Names Used: 5
Paths Used: 3
Common File Name: WUAUDIT.EXE
Common Path: %desktop%\dvdsanta.v4.5.cracked.retail­xray\
Vendor Information: No Vendor details specified
WUAUDIT.EXE may use 5 or more path and file names, these are the most 
common:
1 :%WINDIR%\SYSTEM32\WUAUDIT(2).EXE
2 :%WINDIR%\SYSTEM32\WUAUDIT.EXE
3 :%WINDIR%\SYSTEM32\WUAUDIT.EXE~
File Name Structure: Normal
File and Path Structure: Suspicious, code execution from unusual location
Malicious Objects Created: 1 objects
Malicious Creators: 1
Malware Run Keys: None
Self Persists: 
Antivirus Detection: No third party antivirus detection observed
Anti­Spyware Detection: No third party anti­spyware detection observed
The following behaviors have been observed for this object:
Installs programs.
Deletes programs.
Creates Run Keys.
Runs other programs.
Communicates with web sites using httpout protocols.
Has outbound communications.
Creates known malware.
Creates copies of itself.
Object Propagation Rate: Very Low (minimal spread)
Copyright Prevx Limited 2005, 2006
MALWARE ASSESSMENT: PREVX 4 AXES OF EVIL 
METHODOLOGY
What We Know About WUAUDIT.EXE: 
WUAUDIT.EXE 
WUAUDIT.EXE ­ DANGEROUS 
 
Copyright Prevx Ltd 
Page Generated on Sep 15, 2008 22:57
--------
Ho lanciato successivamente gli a.v. installati (Kaspersky e Avira Aantivir, regolarmente aggiornati) e Hijackthis avendo da tutti una risposta negativa circa possibili infezioni; dagli antivirus mediante una scansione completa, da Hijeckthis mediante il responso direttamente dal sito (nessun falso positivo, ma solo qualche riferimento a eseguibili sconosciuti (punto interrogativo) al programma di controllo.

Poiché mi sono andato a cercare notizie su Wuaudir.exe dopo averlo riscontrato attivo sul mio PC, anche se non risulta presente immagino ci sia da qualche parte, magari ben mimetizzato, poiché non è stato cancellato o messo in quarantena.

Qualcuno ha idee/esperienze in merito? Grazie anticipatamente. Smile

Wiz
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
MessaggioInviato: 17 Set 2008 16:12    Oggetto: Re: malware mimetico? Rispondi citando
merlin ha scritto:
Hijackthis avendo da tutti una risposta negativa circa possibili infezioni; dagli antivirus mediante una scansione completa, da Hijeckthis mediante il responso direttamente dal sito (nessun falso positivo, ma solo qualche riferimento a eseguibili sconosciuti (punto interrogativo) al programma di controllo.
Ma vi è una riga relativa a quel file?
Top
Profilo Invia messaggio privato
daysleeper
Semidio
Semidio


Registrato: 25/04/08 00:01
Messaggi: 371
MessaggioInviato: 17 Set 2008 16:23    Oggetto: Rispondi citando
io consiglio di uppare,se possibile,il file in questione qui e vedere il report finale.
Top
Profilo Invia messaggio privato
merlin
Dio maturo
Dio maturo


Registrato: 16/03/07 00:32
Messaggi: 2421
Residenza: Kingdom of Camelot
MessaggioInviato: 17 Set 2008 16:49    Oggetto: Re: malware mimetico? Rispondi citando
chemicalbit ha scritto:
merlin ha scritto:
Hijackthis avendo da tutti una risposta negativa circa possibili infezioni; dagli antivirus mediante una scansione completa, da Hijeckthis mediante il responso direttamente dal sito (nessun falso positivo, ma solo qualche riferimento a eseguibili sconosciuti (punto interrogativo) al programma di controllo.
Ma vi è una riga relativa a quel file?

No non l'ho trovato; ho intanto riscontrato che talvolta è attivo in memoria, poi scompare; l'ho ancora snappato oggi in TaskMananger:
nome immagine wuaudt.exe, nome utente System, CPU 00, util. memoria 48.688 KB
Immagino venga caricato solo casualmente e per pochi minuti ogni volta
Comunque ecco il log qui di seguito.
Wiz
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8.43.12, on 16/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20861)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programmi\VDOTool\TBPanel.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\Programmi\Real-time Defender Professional\RuleEditor.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\PDF Professional 5\PDFProFiltSrv.exe
C:\Programmi\Real-time Defender Professional\PSSession.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programmi\Real-time Defender Professional\Alarm.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Auslogics\AusLogics BoostSpeed\boostspeed.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe
C:\Programmi\Avanquest\PowerDesk\pddlghlp.exe
C:\Programmi\HDDlife\HDDlifePro.exe
C:\Programmi\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink?linkid=193
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programmi\TechSmith\SnagIt 9\SnagItBHO.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: ZeonIEEventHelper Class - {DA986D7D-CCAF-47B2-84FE-BFA1549BEBF9} - C:\Programmi\PDF Professional 5\bin\ZeonIEFavClient.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Nuance PDF - {E3286BF1-E654-42FF-B4A6-5E111731DF6B} - C:\Programmi\PDF Professional 5\bin\ZeonIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programmi\TechSmith\SnagIt 9\SnagItIEAddin.dll
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [Gainward] C:\Programmi\VDOTool\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Programmi\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Nuance PDF Professional 5-reminder] "C:\Programmi\PDF Professional 5\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Dati applicazioni\Nuance\PDF Professional 5\Ereg\Ereg.ini"
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [PS_Alarm] C:\Programmi\Real-time Defender Professional\Alarm.exe
O4 - HKLM\..\Run: [PS_RuleEditor] C:\Programmi\Real-time Defender Professional\RuleEditor.exe
O4 - HKLM\..\Run: [PrevxCSI] "C:\Documents and Settings\Merlin Wizard\Desktop\PREVXCSIFREE.EXE" /bootupreg
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Auslogics BoostSpeed 4] C:\Programmi\Auslogics\AusLogics BoostSpeed\boostspeed.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dialog Helper.lnk = C:\Programmi\Avanquest\PowerDesk\pddlghlp.exe
O4 - Startup: HDDlife.lnk = C:\Programmi\HDDlife\HDDlifePro.exe
O8 - Extra context menu item: Aggiungi a file PDF esistente - res://C:\Programmi\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
O8 - Extra context menu item: Aggiungi al banner Blocco pubblicità - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Aggiungi il contenuto dei collegamenti selezionati al file PDF esistente - res://C:\Programmi\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIEAppendSelLinks.HTML
O8 - Extra context menu item: Aggiungi il contenuto del collegamento al file PDF esistente - res://C:\Programmi\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Append to Existing PDF - res://C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Apri con Nuance PDF Converter 5.0 - res://C:\Programmi\PDF Professional 5\cnvres_ita.dll /100
O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Crea file PDF - res://C:\Programmi\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
O8 - Extra context menu item: Crea file PDF dai collegamenti selezionati - res://C:\Programmi\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIECaptureSelLinks.HTML
O8 - Extra context menu item: Crea file PDF dal contenuto del collegamento - res://C:\Programmi\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistiche sulla protezione del traffico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll acaptuser32.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDFProFiltSrv - Nuance Communications, Inc. - C:\Programmi\PDF Professional 5\PDFProFiltSrv.exe
O23 - Service: Real-time Defender Professional Session Notification Service (RTDPSessionService) - Unknown owner - C:\Programmi\Real-time Defender Professional\PSSession.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Professional Business XII\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Professional Business XII\RpcSandraSrv.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
--
End of file - 13265 bytes
Top
Profilo Invia messaggio privato
merlin
Dio maturo
Dio maturo


Registrato: 16/03/07 00:32
Messaggi: 2421
Residenza: Kingdom of Camelot
MessaggioInviato: 17 Set 2008 16:57    Oggetto: Rispondi citando
daysleeper ha scritto:
io consiglio di uppare,se possibile,il file in questione qui e vedere il report finale.

Fatto, ma tutto è negativo. Infatti l'unica manifestazione visibile è per ora la comparsa random in memoria; almeno credo. Sad
Wiz
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
MessaggioInviato: 17 Set 2008 17:07    Oggetto: Rispondi citando
In che posizione è nel disco fisso?

Ci sono anche altrifile con quel nome?
Top
Profilo Invia messaggio privato
merlin
Dio maturo
Dio maturo


Registrato: 16/03/07 00:32
Messaggi: 2421
Residenza: Kingdom of Camelot
MessaggioInviato: 17 Set 2008 18:22    Oggetto: Rispondi citando
chemicalbit ha scritto:
In che posizione è nel disco fisso?
Ci sono anche altrifile con quel nome?

Negativo, e sull'HD non ce 'è traccia, almeno con quel nome.

Pazienza. vuol dire che disabiliterò paging e ripristino e poi mi farò qualche scansione completa da esecuzione provvisoria.
Poi al primo avviso vedrò anche di reinstallare i driver originali di Winzozz, più di così non credo ci sia da fare.
Anche perché rifacendo lo scan con l'antivirus specifico Prevx CSI, il risultato è negativo.
Tnks a tutti, se ci sono novità avvertirò.
Wiz
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
MessaggioInviato: 17 Set 2008 18:48    Oggetto: Rispondi citando
merlin ha scritto:
chemicalbit ha scritto:
In che posizione è nel disco fisso?
Ci sono anche altrifile con quel nome?

Negativo, e sull'HD non ce 'è traccia, almeno con quel nome.
Scusa, e allora come hai fatto l'upload su virustotal.com ?!
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 18 Set 2008 08:35    Oggetto: Rispondi
Può darsi che venga caricato da qualche task automatico. Think

Dovresti verificare il contenuto della cartella C:\Windows\Tasks, per vedere quali operazioni automatiche sono inserite.

Ti sposto al PSV per un check-up. Wink
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi