software sconosciuto

[Dylan666]

Secondo me Windows sapendo che in quella cartella non ci dovrebbero essere sotto-directory quando ci sono non le visualizza! Invece essendo state infilate "a forza" da DOS lì ci sono e come... Questa è la riprova per me della cattiva fede di chi ha messo il software lì e la conferma della sua nocività...

[netghost]

allora lo cancello tranquillamente, anzi prima ne faccio una copia su di un floppy, e poi lo cancello da dos

grazie

[Dylan666]

Ripeto, senza che ingombri un floppy basta che il file lo racchiudi in un archivio ZIP e potrai tenerlo neutralizzato anche sul PC o su un CD. Però assicurati anche di rimuovere tutti i riferimenti al file nel registro (magari se vuoi esporta anche le chiavi che cancelli)

[xaba]

anche a me il file viene individuato in C:\WINDOWS\Downloaded Program Files e invece in quella cartella non vedo altre sottocartelle. Anche il comportamento con zone alarm è lo stesso e da ciò si potrebbe dedurre che trattasi dello stesso virus!!!!!
E ora che si fa? Appena posso mando i dati sul file che total explorer mi indica.

[Dylan666]

Allora fai così: senza che scarichi nulla apri il promt del dos da Start>Programmi>Accessori e scrivi:

cd C:\WINDOWS\DOWNLO~1 (Invio) <- il segno ~ si fa premendo ALT di sinsitra e digitando intanto 0126 sul tastierino numerico di destra

move KK4J C:\documenti (Invio)

Se il processo è c3b1syf.exe attivo prima terminalo col Process Explorer!
Ora la cartella col file la trovi in "Documenti": da lì potrai analizzarlo, passarlo all'antivirus, metterlo in quarantena e spedirlo alla Symantec, zipparlo e metterlo da parte, cancellarlo o farci quello che vuoi.
Poi dovrai andare su Start>Esegui, scrivere regedit e eliminare tutti i riferimenti al file dal registro (facendo sempre una copia da esportare di quello che stai per cancellare)

[xaba]

Grazie Dylan per la pazienza e scusa l'incopetenza: sono orgoglioso che in 7 anni di informatica questo è il 2° virus che mi becco e quindi non ho molta dimestichezza con il malware. Appena torno a casa provo la rimozione e faccio sapere come è andata.

PS anche io sono un appassionato collezionista di DYD

[Dylan666]

Naturalmente la soluzione vale anche per netghost: soposta il file da DOS (non so il nome della sua cartella, ma dopo aver dato il primo comando basta un "dir" e lo scopre) poi se vuole lo cancella e elimina le chiavi

[netghost]

grazie 1000 dylan

scusa una domanda?

secondo te prima di mettere mani al registro è meglio farne una copia o basta anche creare un punto di ripristino con la funzione crea punto di ripristino?

[Dylan666]

In genere basta esportare la chiave che si intende modificare/cancellare in modo tale che casomai doppiocliccando il file reg che si è creato tutto torni come prima. Comunque un punto di ripristino in più non fa mai male. Va ricordato anche che Windows 98 (anche XP, ma li il meccanismo è un po' diverso) crea da solo delle copie di backup del registro che di possono ripristinare col comando scanreg /restore dal floppy di emergenza

[xaba]

non riesco a spostare il file neanche dal prompt dei comandi perchè mi da accesso negato

[Dylan666]

Allora fai così: senza che scarichi nulla apri il promt del dos da Start>Programmi>Accessori e scrivi:

cd C:\WINDOWS\DOWNLO~1 (Invio) <- il segno ~ si fa premendo ALT di sinsitra e digitando intanto 0126 sul tastierino numerico di destra

move KK4J C:\documenti (Invio)

Se il processo è c3b1syf.exe attivo prima terminalo col Process Explorer!

[xaba]

q6evim4e
PID : 1096
company name: Microsoft corporation
user name : NT AUTHORITY\SYSTEM
command line: C:\WINDOWS\downlo~1\ug5cut0\q6evim4e.exe
path: C:\WINDOWS\downlo~1\ug5cut0\q6evim4e.exe
version : 1.00.0000.0001

[xaba]

process explorer non me lo fa terminare

[Dylan666]

Grazie
Ma il processo ha cambiato nome? O si è ricreato? Prima non era c3b1syf.exe nella cartella KK4J ? Se i file continuassero a essere prodotti in quella stessa posizione controlla che non ci siano software "strani" all'avvio seguendo questo topic dal punto 3 della parte RIMEDI

[Dylan666]

process explorer non me lo fa terminare

Prova dalla modalità provvisoria e se non è una partizione NTFS dal DOS di un floppy di ripristino del 98

[Darver75]

Salve a tutti. Utilizzo questo thread per postare anche io un dubbio che mi riguarda. Appena installato ZA questo mi ha rivelato che un processo (appena mi collegavo ad internet) cercava di connettersi alla rete, siccome aveva un nome troppo strano per essere qualcosa di normale gli ho impedito qualsiasi accesso tramite lo ZA. Il suo nome è il seguente: 1X6LTWPX.EXE
Ho fatto una ricerca con google e non ho trovato nulla. Il file si trova in una cartella nascosta di C:\Windows\Downloaded Program Files\DNXFHPA\ infatti posso vederla solo da DOS. Guardando questo thread su un problema simile avete ipotizzato che potesse essere un virus ma io non ne ho la certezza e non so se cancellare o meno il file. Da DOS ho copiato e rinominato il file (.zip) in un'altra cartella e l'ho passato col Norton che non ha rivelato nulla. Con process explorer ho visto dove si trova (tra l'altro il processo scompare appena non ha l'accesso ad internet per il blocco di ZA) e si trova in un ramo del processo MSTASK.EXE (Modulo di gestione dell'utilità di pianificazione) che ha le seguenti caratteristiche:
Device sage
File c:\Windows\SCHEDLOG.TXT
Mutex SAGEWINDOWCLASS
Process 1X6LTWPK.EXE(FFFD55C5)
Process MSTASK.EXE(FFFE3B2D)
Thread MSTASK.EXE(FFFE3B2D):FFFD6F71
Thread MSTASK.EXE(FFFE3B2D):FFFDC999

Questo è uno stralcio del contenuto del file schedlog.txt
"UfBHLmsP.job" (1X6LTWPK.EXE)
Avviata 31/05/04 20.57.52
"Servizio Utilità di pianificazione"
Avviato alle 31/05/04 20.57.53
"Symantec NetDetect.job" (NDETECT.EXE)
Avviata 31/05/04 20.57.58
"Symantec NetDetect.job" (NDETECT.EXE)
Terminata 31/05/04 20.58.04
Esito: Operazione completata con un codice di uscita (65).

Come vedete c'è un richiamo al file in questione e parte proprio nel momento in cui mi collego alla rete.

Ora vi descrivo le caratteristiche del processo in questione 1X6LTWPK.EXE
MappedFile rpcrt4sharedmem
Mutex MPRMutex
Mutex svrapi
Mutex OLESCMLOCKMUTEX
Process 1X6LTWPK.EXE(FFFD55C5)

la sua descrizione è solo il seguente carattere " | " e la company è indicata in Microsoft Corporation.78

In conclusione voi cosa ne pensate? E' probabilmente un virus oppure un processo legato all'utilità di pianificazione?Cosa mi consigliate?

Ciao e grazie per l'aiuto che mi darete.

[Dylan666]

il file 1X6LTWPX.EXE è sicuramente uno spyware, per questo l'antivirus non lo segnala. Sulle sottocartelle (che non dovrebbero esistere) nella directory "Downloaded Program Files" leggi anche questo:

http://www.pc-facile.com/forum/viewtopic.php?t=19484

Per me fatti una copia di quello che rimuovi per scaramanzia, ma sia la cartella DNXFHPA, si ail suo contenuto, sia i riferimenti nel registro all'exe posso essere tolti.