Olimpo Informatico

[460_83]

Buongiorno a tutti, sono novello e neofita, spero che qualcuno di voi mi possa aiutare, ho due problemi:
il primo è che dopo una "visita" su alcuni siti direi "poco casti"! ho notato che nella directory "profiloutente/impostazioni locali/temp" si autogenerano, ogni minuto, dei file 12345678.exe (i numeri sono casuali).
Apparentemente non sembra che ci siano altre ripercussioni, ma la cosa mi preoccupa!!
Il secondo problema, viste le informazioni che normalmente vengono richieste leggendo gli altri post, è che la mia macchina è una postazione collegata in rete in una grande azienda (vado su internet attraverso la rete e non dirattamente con un modem) e quindi ho solo i diritti di utente e non di amministratore ( con tutto ciò che ne consegue).
La domanda è; e possibile avere aiuto da voi, oppure non ho altra scelta che Segnalare la cosa ai referenti informatici dell'azienda?
Grazie comunque.

[vincycefa91]

anche nel mio pc si trovavano file del genere nella cartella temp... ti consiglio di postare il log di hijackthis
http://dw.com.com/redir?pid=10379544&merid=6283336&mfgid=6283336&ltype=dl_dlnow&lop=link&edId=3&siteId=4&oId=3040-8022_4-10379544&ontId=8022_4&destUrl=http://www.download.com%2F3001-8022_4-10379544.html

[vincycefa91]

per l'altra domanda non hai problemi... non ti preoccupare... non è un problema grave... comunque aspettiamo altri pareri...

[460_83]

Ero sicuro di non essere solo in questa "Valle di Lacrime"
Grazie per tutto quello che potrete fare

Logfile of HijackThis v1.99.1
Scan saved at 8.30.04, on 05/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programmi\OpenOffice.org 2.0\program\soffice.exe
C:\Programmi\OpenOffice.org 2.0\program\soffice.BIN
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\Pelmiced.exe
C:\WINDOWS\smgr.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\2906241\IMPOST~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://r-wksuto007/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://fstarray.gruppofs.it:8080/array.dll?Get.Routing.Script
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.254.177.210:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programmi\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://damaris.trenitalia.it (HKLM)
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://212.162.68.228/rainet02/Rawflow.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134535744953
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-307.ibm.com/pc/support/IbmEgath.cab
O16 - DPF: {A8330EFC-F810-41C6-A948-0B8879BD14BA} - http://td8eau9td.com/4f04e3b1/50310/1/xp/FreeAccess.ocx
O16 - DPF: {B2296B9D-42A0-441D-A776-0ACDED2B6BBB} - http://wixlvh9q6gn.com/f6961ac75d0a2d992c2c/fffai/TrueChicks.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.trafficredlight.net/10262-23.exe
O16 - DPF: {F7FD91D1-45E6-4349-B698-F976062DAC26} - http://www.treehall.com/download/tr570.exe
O16 - DPF: {FE17E1C5-B8BA-436E-810D-B8E3AB704270} - http://ztktvuftcfs.com/31444220c9cab6547607/baidi/jewmt.cab
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.otherchance.com/2/dialers/671/AUTO_671N.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = utenti.trenitalia.it
O17 - HKLM\Software\..\Telephony: DomainName = utenti.trenitalia.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{62433BEC-E546-4D24-9D6E-D26DF6CE20DC}: NameServer = 10.233.166.16,10.233.166.18
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = utenti.trenitalia.it
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = utenti.trenitalia.it
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: SMS Agent Host (CcmExec) - Unknown owner - C:\WINDOWS\system32\CCM\CcmExec.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Programmi\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programmi\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

[bdoriano]

salva hijackthis in una sua cartella non temporanea e non sul desktop.
avvia hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:

[460_83]

Tu dici, io faccio ( spero Bene )

Logfile of HijackThis v1.99.1
Scan saved at 10.24.04, on 05/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programmi\OpenOffice.org 2.0\program\soffice.exe
C:\Programmi\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\Pelmiced.exe
C:\WINDOWS\smgr.exe
C:\Ufficio\Depo\AIUTO\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://r-wksuto007/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://fstarray.gruppofs.it:8080/array.dll?Get.Routing.Script
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.254.177.210:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programmi\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://damaris.trenitalia.it (HKLM)
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://212.162.68.228/rainet02/Rawflow.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134535744953
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-307.ibm.com/pc/support/IbmEgath.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = utenti.trenitalia.it
O17 - HKLM\Software\..\Telephony: DomainName = utenti.trenitalia.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{62433BEC-E546-4D24-9D6E-D26DF6CE20DC}: NameServer = 10.233.166.16,10.233.166.18
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = utenti.trenitalia.it
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = utenti.trenitalia.it
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: SMS Agent Host (CcmExec) - Unknown owner - C:\WINDOWS\system32\CCM\CcmExec.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Programmi\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programmi\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

[bdoriano]

Il log sembra ok, ora (a parte quelle 2 voci da controllare che ti dicevo prima).
Hai visto qualche finestra strana?

[460_83]

Finestra strana a parte un banner pubblicitario di stampanti che si è aperto sul forum mentre stampavo le tue istruzioni (ho dovuto infatti ristampare in quanto si sovrapponeva) nulla.
Purtroppo però devo dirti che i file in questione continuano a generarsi

[vincycefa91]

prova a far girare qst nel pc
http://www.gmer.net/index.php e posta il log qui.
poi controlla che in c:\windows\system32 nonci sia geebc.dll e
nel registro di sistema (start-esegui-regedit) vai su queste chiavi:
1 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon vedi nella finestra accanto la chiave userinit e riporta qui i valori
2 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options e controlla se esiste la chiave explorer.exe

facci sapere

[460_83]

[bdoriano]

gmer va fatto girare dal pc (non dal sito)
Hai scaricato questo file, giusto?
Lo scompatti in una sua cartella.
Lo avvii, clicca su Scan, al termine della scansione clicca su Copy.
Ti basta aprire il blocco note e premere CTRL+V per incollare il contenuto della scansione.
Il file così generato lo salvi su link, qui devi solo postare il link che ti verrà segnalato.

Altra scansione che puoi fare con gmer:
clicca su >>>
clicca su AutoStart
clicca su Copy e poi procedi come indicato prima per salvare un altro file con altre informazioni.

Puoi fare anche una scansione con: Panda Active Scan

[460_83]

Scaricando ed eseguendo gmer in locale mi compare una maschera con scritto:
"C\Windows\System32\Drivers\gmer.sys". Accesso Negato.
Per quanto riguarda Panda, essendo la mia macchina inserita all'interno di una rete aziendale ho paura, spuntando la voce "Azienda", oppure "Privato" ma con un indirizzo e-mail facilmente ricondiucibile ad una azienda di avere poi dei problemi.
Cosa mi consigli

Grazie ! e ti prego....... non mollare

[bdoriano]

Per gmer non puoi fare nulla, se non hai diritti da amministratore...

Per le scansioni online, puoi guardare questo topic.
Puoi sempre creare un indirizzo e-mail gratuito (gmail, hotmail, yahoo, etc...).

[460_83]

Spuntando "Privato" e immettendo un indirizzo di posta privato, dopo l'avvio della scansione compare questo Messaggio:

Si e' verificato un errore durante l'installaizone di ActiveScan: Controllate che la vostra connessione Internet sia attiva e fate click su "Prova ancora".Le possibili cause di errore sono:

Mancata autorizzazione al download dei controlli ActiveX.

Problemi con la connessione Internet.

Può essere dovuto a un errore nel download o a un errore nell'installazione per mancanza di spazio su disco rigido, privilegi, ecc.. Prova ancora
Scusa ma il Virus Scan di Mc Afee installato sulla mia macchina non può essere utile

[bdoriano]

Allora mi sa che tutti gli scan online non funzionano sul tuo pc.
Prova a far girare mcafee, vediamo cosa ti dice.

[460_83]

Eseguito "Virus scan" presente sul PC senza nessun esito

Ho provato comunque "MacAfee Free Scan" dal thread segnalato, questo è quanto riportato nella tabella dei file infetti/sospetti :

:\...\crtdcghcn.jar-24badb9f-7ba01b09.zip Exploit-ByteVerify
C:\...\crtdcghcn.jar-24badb9f-7ba01b09.zip Exploit-ByteVerify
C:\...\crtdcghcn.jar-24badb9f-7ba01b09.zip Exploit-ByteVerify
C:\...\crtdcghcn.jar-24badb9f-7ba01b09.zip Exploit-ByteVerify
C:\...\crtdcghcn.jar-24badb9f-7ba01b09.zip Exploit-ByteVerify
C:\...\crtdcghcn.jar-24badb9f-7ba01b09.zip Exploit-ByteVerify
C:\...\crtdcghcn.jar-24badb9f-7ba01b09.zip Exploit-ByteVerify
C:\...\ms-counter.jar-608c527-607e6edc.zip Exploit-ByteVerify
C:\...\ms-counter.jar-608c527-607e6edc.zip Exploit-ByteVerify
C:\...\ms-counter.jar-608c527-607e6edc.zip Exploit-ByteVerify
C:\...\ms-counter.jar-608c527-607e6edc.zip Exploit-ByteVerify
C:\...\ms-counter.jar-608c527-607e6edc.zip Exploit-ByteVerify
C:\...\ms-counter.jar-608c527-607e6edc.zip Exploit-ByteVerify
C:\...\ms-counter.jar-608c527-607e6edc.zip Exploit-ByteVerify

Buone notizie ...... vero

[bdoriano]

Sono questi i files che ti vengono creati?

[460_83]

No, i file che vedi sono stati rilevati dal MacAfee Free Scan usato on-line.
i file generati di cui parlo sono così:

1178765.exe

1238894.exe

Grazie comunque per il tempo che mi hai dedicato