Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

software sconosciuto

Hai problemi con i file Zip, vuoi formattare l'HD, non sai come funziona FireFox? O magari ti serve proprio quel programmino di cui non ricordi il nome! Ecco il forum dove poter risolvere i tuoi problemi.

Moderatori: Dylan666, hydra, gahan

Postdi Dylan666 » 06/04/04 21:53

Secondo me Windows sapendo che in quella cartella non ci dovrebbero essere sotto-directory quando ci sono non le visualizza! Invece essendo state infilate "a forza" da DOS lì ci sono e come... Questa è la riprova per me della cattiva fede di chi ha messo il software lì e la conferma della sua nocività...
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Sponsor
 

Postdi netghost » 06/04/04 22:00

allora lo cancello tranquillamente, anzi prima ne faccio una copia su di un floppy, e poi lo cancello da dos ;)

grazie :)
ASUS A7V600 // AMD athlon XP 2800 // DDR 512 PC400 // HD maxtor SATA 120 giga // GE-FORCE FX 5200 // monitor 109E5 PHILIPS // DVD ASUS // CD-RW Waitec // DVD RW Nec ND2510A
netghost
Utente Senior
 
Post: 139
Iscritto il: 19/02/04 00:15
Località: SARDEGNA

Postdi Dylan666 » 06/04/04 22:06

Ripeto, senza che ingombri un floppy basta che il file lo racchiudi in un archivio ZIP e potrai tenerlo neutralizzato anche sul PC o su un CD. Però assicurati anche di rimuovere tutti i riferimenti al file nel registro (magari se vuoi esporta anche le chiavi che cancelli) ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi xaba » 07/04/04 08:11

anche a me il file viene individuato in C:\WINDOWS\Downloaded Program Files e invece in quella cartella non vedo altre sottocartelle. Anche il comportamento con zone alarm è lo stesso e da ciò si potrebbe dedurre che trattasi dello stesso virus!!!!!
E ora che si fa? Appena posso mando i dati sul file che total explorer mi indica.
xaba
Utente Junior
 
Post: 99
Iscritto il: 21/02/02 17:28
Località: craven road

Postdi Dylan666 » 07/04/04 11:57

Allora fai così: senza che scarichi nulla apri il promt del dos da Start>Programmi>Accessori e scrivi:

cd C:\WINDOWS\DOWNLO~1 (Invio) <- il segno ~ si fa premendo ALT di sinsitra e digitando intanto 0126 sul tastierino numerico di destra

move KK4J C:\documenti (Invio)

Se il processo è c3b1syf.exe attivo prima terminalo col Process Explorer!
Ora la cartella col file la trovi in "Documenti": da lì potrai analizzarlo, passarlo all'antivirus, metterlo in quarantena e spedirlo alla Symantec, zipparlo e metterlo da parte, cancellarlo o farci quello che vuoi.
Poi dovrai andare su Start>Esegui, scrivere regedit e eliminare tutti i riferimenti al file dal registro (facendo sempre una copia da esportare di quello che stai per cancellare) ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi xaba » 07/04/04 12:15

Grazie Dylan per la pazienza e scusa l'incopetenza: sono orgoglioso che in 7 anni di informatica questo è il 2° virus che mi becco e quindi non ho molta dimestichezza con il malware. Appena torno a casa provo la rimozione e faccio sapere come è andata.

PS anche io sono un appassionato collezionista di DYD ;)
xaba
Utente Junior
 
Post: 99
Iscritto il: 21/02/02 17:28
Località: craven road

Postdi Dylan666 » 07/04/04 12:33

Naturalmente la soluzione vale anche per netghost: soposta il file da DOS (non so il nome della sua cartella, ma dopo aver dato il primo comando basta un "dir" e lo scopre) poi se vuole lo cancella e elimina le chiavi ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi netghost » 07/04/04 22:12

grazie 1000 dylan :D

scusa una domanda?

secondo te prima di mettere mani al registro è meglio farne una copia o basta anche creare un punto di ripristino con la funzione crea punto di ripristino? :?:
ASUS A7V600 // AMD athlon XP 2800 // DDR 512 PC400 // HD maxtor SATA 120 giga // GE-FORCE FX 5200 // monitor 109E5 PHILIPS // DVD ASUS // CD-RW Waitec // DVD RW Nec ND2510A
netghost
Utente Senior
 
Post: 139
Iscritto il: 19/02/04 00:15
Località: SARDEGNA

Postdi Dylan666 » 07/04/04 22:59

In genere basta esportare la chiave che si intende modificare/cancellare in modo tale che casomai doppiocliccando il file reg che si è creato tutto torni come prima. Comunque un punto di ripristino in più non fa mai male. Va ricordato anche che Windows 98 (anche XP, ma li il meccanismo è un po' diverso) crea da solo delle copie di backup del registro che di possono ripristinare col comando scanreg /restore dal floppy di emergenza ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi xaba » 09/04/04 15:22

non riesco a spostare il file neanche dal prompt dei comandi perchè mi da accesso negato :-?
xaba
Utente Junior
 
Post: 99
Iscritto il: 21/02/02 17:28
Località: craven road

Postdi Dylan666 » 09/04/04 15:26

Dylan666 ha scritto:Allora fai così: senza che scarichi nulla apri il promt del dos da Start>Programmi>Accessori e scrivi:

cd C:\WINDOWS\DOWNLO~1 (Invio) <- il segno ~ si fa premendo ALT di sinsitra e digitando intanto 0126 sul tastierino numerico di destra

move KK4J C:\documenti (Invio)

Se il processo è c3b1syf.exe attivo prima terminalo col Process Explorer!
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi xaba » 09/04/04 15:29

q6evim4e
PID : 1096
company name: Microsoft corporation
user name : NT AUTHORITY\SYSTEM
command line: C:\WINDOWS\downlo~1\ug5cut0\q6evim4e.exe
path: C:\WINDOWS\downlo~1\ug5cut0\q6evim4e.exe
version : 1.00.0000.0001
xaba
Utente Junior
 
Post: 99
Iscritto il: 21/02/02 17:28
Località: craven road

Postdi xaba » 09/04/04 15:35

process explorer non me lo fa terminare
xaba
Utente Junior
 
Post: 99
Iscritto il: 21/02/02 17:28
Località: craven road

Postdi Dylan666 » 09/04/04 15:36

Grazie ;)
Ma il processo ha cambiato nome? O si è ricreato? Prima non era c3b1syf.exe nella cartella KK4J ? Se i file continuassero a essere prodotti in quella stessa posizione controlla che non ci siano software "strani" all'avvio seguendo questo topic dal punto 3 della parte RIMEDI
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 09/04/04 15:39

xaba ha scritto:process explorer non me lo fa terminare


Prova dalla modalità provvisoria e se non è una partizione NTFS dal DOS di un floppy di ripristino del 98
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Darver75 » 04/06/04 15:45

Salve a tutti. Utilizzo questo thread per postare anche io un dubbio che mi riguarda. Appena installato ZA questo mi ha rivelato che un processo (appena mi collegavo ad internet) cercava di connettersi alla rete, siccome aveva un nome troppo strano per essere qualcosa di normale gli ho impedito qualsiasi accesso tramite lo ZA. Il suo nome è il seguente: 1X6LTWPX.EXE
Ho fatto una ricerca con google e non ho trovato nulla. Il file si trova in una cartella nascosta di C:\Windows\Downloaded Program Files\DNXFHPA\ infatti posso vederla solo da DOS. Guardando questo thread su un problema simile avete ipotizzato che potesse essere un virus ma io non ne ho la certezza e non so se cancellare o meno il file. Da DOS ho copiato e rinominato il file (.zip) in un'altra cartella e l'ho passato col Norton che non ha rivelato nulla. Con process explorer ho visto dove si trova (tra l'altro il processo scompare appena non ha l'accesso ad internet per il blocco di ZA) e si trova in un ramo del processo MSTASK.EXE (Modulo di gestione dell'utilità di pianificazione) che ha le seguenti caratteristiche:
Device sage
File c:\Windows\SCHEDLOG.TXT
Mutex SAGEWINDOWCLASS
Process 1X6LTWPK.EXE(FFFD55C5)
Process MSTASK.EXE(FFFE3B2D)
Thread MSTASK.EXE(FFFE3B2D):FFFD6F71
Thread MSTASK.EXE(FFFE3B2D):FFFDC999

Questo è uno stralcio del contenuto del file schedlog.txt
"UfBHLmsP.job" (1X6LTWPK.EXE)
Avviata 31/05/04 20.57.52
"Servizio Utilità di pianificazione"
Avviato alle 31/05/04 20.57.53
"Symantec NetDetect.job" (NDETECT.EXE)
Avviata 31/05/04 20.57.58
"Symantec NetDetect.job" (NDETECT.EXE)
Terminata 31/05/04 20.58.04
Esito: Operazione completata con un codice di uscita (65).

Come vedete c'è un richiamo al file in questione e parte proprio nel momento in cui mi collego alla rete.

Ora vi descrivo le caratteristiche del processo in questione 1X6LTWPK.EXE
MappedFile rpcrt4sharedmem
Mutex MPRMutex
Mutex svrapi
Mutex OLESCMLOCKMUTEX
Process 1X6LTWPK.EXE(FFFD55C5)

la sua descrizione è solo il seguente carattere " | " e la company è indicata in Microsoft Corporation.78

In conclusione voi cosa ne pensate? E' probabilmente un virus oppure un processo legato all'utilità di pianificazione?Cosa mi consigliate?

Ciao e grazie per l'aiuto che mi darete.
Darver75
Utente Junior
 
Post: 57
Iscritto il: 28/12/03 17:28

Postdi Dylan666 » 04/06/04 19:07

il file 1X6LTWPX.EXE è sicuramente uno spyware, per questo l'antivirus non lo segnala. Sulle sottocartelle (che non dovrebbero esistere) nella directory "Downloaded Program Files" leggi anche questo:

http://www.pc-facile.com/forum/viewtopic.php?t=19484

Per me fatti una copia di quello che rimuovi per scaramanzia, ma sia la cartella DNXFHPA, si ail suo contenuto, sia i riferimenti nel registro all'exe posso essere tolti.
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Precedente

Torna a Software Windows


Topic correlati a "software sconosciuto":

Software di pulizia
Autore: alex941211
Forum: Software Windows
Risposte: 7

Chi c’è in linea

Visitano il forum: Nessuno e 9 ospiti