Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

ecax1.exe

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

ecax1.exe

Postdi aletoscana » 01/07/06 15:11

Ciao a tutti, dopo poco che ho effettuato la connessione mi appare ecax1.exe nella Temp e nell'avvio automatico e cerca di connettermi ad un altro numero da quello che uso. Lo tolgo con il regedit ma ogni volta che riaccendo il pc succede di nuovo, ho fatto ricerche su internet e non ho trovato niente su questo file, ad aware non trova niente e nemmeno l'antivirus..... qualcuno può darmi una mano...... grazie ciao.
aletoscana
Newbie
 
Post: 4
Iscritto il: 01/07/06 15:03

Sponsor
 

Postdi andorra24 » 01/07/06 15:20

Posta un log di hijackthis.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi amvinfe » 01/07/06 15:42

potrebbe essere associato ad una variante del trojan Agent, infatti una delle sue varianti ha la caratteristica di creare in TEMP un file alfanumerico (4 lettere casuali + il numero 1 + .exe).

Puoi per cortesia inviarmi zippato il file all'indirizzo http://www.suspectfile.com
Grazie
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi aletoscana » 01/07/06 15:58

grazie innanzitutto....
ho attivato HijackThis e ho cercato di elimanre le voci che possono essere nocive... allego tutto...

Logfile of HijackThis v1.99.1
Scan saved at 16.56.56, on 01/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\SYSTEM32\SWEEPER.EXE
C:\Programmi\BlazeVideo\BlazeDVD 4 Professional\MediaDetector.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\GetRight\getright.exe
C:\Programmi\GetRight\getright.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\PC\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Internet Sweeper] C:\WINDOWS\SYSTEM32\SWEEPER.EXE /Q
O4 - HKCU\..\Run: [BlazeServoTool] "C:\Programmi\BlazeVideo\BlazeDVD 4 Professional\MediaDetector.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Similar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programmi\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B233D53-22DB-4802-AC51-ED28AC6CDDB3}: NameServer = 62.211.69.150 212.48.4.15
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
aletoscana
Newbie
 
Post: 4
Iscritto il: 01/07/06 15:03

Postdi andorra24 » 01/07/06 16:06

Il log e' pulito. C'e' solo questa voce da fixare:

O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)

Poi ti consiglio di aggiornare java sun mettendo l'ultima versione.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi aletoscana » 01/07/06 16:16

la voce in questione l'ho fixata 2 volte ma non se ne va..... grazie mille
aletoscana
Newbie
 
Post: 4
Iscritto il: 01/07/06 15:03

Postdi Luke57 » 01/07/06 16:26

Ciao,la voce seguente:
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
è relativa a LinkOptimizer e per toglierla bisogna fare così:
start>esegui>regedt32 (lo scrivi nello spazio bianco)>ok.
Si apre l’editor del registro, ciccando sui + accanto alle singole voci segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Micosoft\Windows\Curre ntVersion\Explorer\Browser Helper Objects, individui la voce (in gergo tecnico è un CLSID)
{DA39029C-D291-A968-3FF4-D0990D5CB5FC},clic con il tasto dx su di essa, sul menu che compare scegli Autorizzazioni, sulla finestra che si apre scegli Avanzate, vai su Proprietario e confermi ( evidenziando di solito il nome dell’utente del computer)con ok, torni sulla pagina precedente e consenti il controllo completo mettendo le relative spunte>ok. A quel punto, cliccando con il tastro dx del mouse sul CLSID e scegliendo Elimina se ne dovrebbe andare.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi amvinfe » 01/07/06 16:48

come pensavo, il file è associato ad una variante del trojan Agent

http://www.suspectfile.com/forum/viewtopic.php?t=125
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi aletoscana » 02/07/06 09:36

ho risolto grazie ai vostri aiuti...........
a presto e grazie ancora
aletoscana
Newbie
 
Post: 4
Iscritto il: 01/07/06 15:03


Torna a Sicurezza e Privacy

Chi c’è in linea

Visitano il forum: Nessuno e 8 ospiti