Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

WINBAXHF¥.EXE - e altri come lui

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

WINBAXHF¥.EXE - e altri come lui

Postdi asder » 24/08/06 17:59

ogni tanto quando sono connesso in internet, il sistema rallenta.
allora chiamo task manager e trovo uno o più di processi dal titolo win***.exe, dove al posto degli asterischi chi sono una serie di caratteri, di cui l'ultimo è tipo ° o ¥ o altri strani. io uccido i processi, cerco i file con win*.* ed escono fuori nei punti più strani del disco. li cancello e torna tutto ok. Poi ogni tanto quando mi ricollego, il sistema rallenta, ecc. e ricomincia...

nel registro degli eventi ci sono cose del genere:

"sezione PROTEZIONE"
È stato apportato un cambiamento all'elenco eccezioni applicazioni di Windows Firewall.

Origine criterio: Criterio locale
Profilo cambiato: Standard
Tipo cambiamento: Aggiungi
Nuove impostazioni:
Nome: ipsec
Percorso: C:\DOCUME~1\mario\IMPOST~1\Temp\winvcwtg¥.exe
Stato: Abilitato
Ambito: Tutte le subnet
Impostazioni precedenti:
Nome: -
Percorso: -
Stato: -
Ambito: -

Per ulteriori informazioni, consultare ecc.

uso Spybot, ho immunizzato tutto ma non trova niente, Spamihlator per la posta, ccleaner che pulisce tutto all'avvio, uso HiJack ma non trova niente di strano, vedi log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spamihilator\spamihilator.exe
C:\WINDOWS\system32\atievxx.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\ccleaner.exe" /AUTO
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{71FB49A7-EC9F-4F17-9F23-9BB88C558AEF}: NameServer = 85.37.17.46 85.38.28.84

inoltre ogni tanto mi capita, sempre durante connessione internet, un errore che mi pianta la connessione internet, del tipo REGSVR32 o cose del genere, per il quale, ho scaricato più patch da microsoft, ma credo che potrebbe essere un problema HW della memoria (il mio notebook lo uso da 6 anni)..

come posso fare ? qualcuno sa come aiutarmi o di che si tratta ?
grazie
asder
Newbie
 
Post: 8
Iscritto il: 30/05/03 09:50
Località: Pescara

Sponsor
 

Postdi lucas/s » 25/08/06 11:52

Ciao,
Scarica questo file sul desktop http://www.gmer.net/gmer110.zip
Decomprimi l'archivio
Avvia il file gmer.exe,portati sul tag "Autostart" clicca su "Scan" attendi la fine della scansione e clicca sul pulsante "Copy"
Apri il block notes di windows,clicca su modifica>incolla,clicca su File>salva con nome,salva il file sul desktop
Riavvia gmer.exe,portati sul tag "Rootkit"
clicca su "Scan" attendi la fine della scansione e clicca sul pulsante "Copy"
Apri il block notes di windows,clicca su modifica>incolla,clicca su File>salva con nome,salva il file sul desktop

Per piacere posta i 2 logs salvati
Grazie
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi asder » 26/08/06 08:28

fico gmer ! ecco i risultati:

GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-08-26 08:59:12
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
Ati HotKey Poller@ = %SystemRoot%\system32\atievxx.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run@1 = C:\WINDOWS\svchost.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@CTFMON.EXEC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
@Spamihilator"C:\Programmi\Spamihilator\spamihilator.exe" = "C:\Programmi\Spamihilator\spamihilator.exe"
@ccleaner"C:\Programmi\CCleaner\ccleaner.exe" /AUTO = "C:\Programmi\CCleaner\ccleaner.exe" /AUTO

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{E0D79304-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79305-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79306-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79307-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@{53707962-6F74-2D53-2644-206D7942484F}C:\PROGRA~1\SPYBOT~1\SDHelper.dll = C:\PROGRA~1\SPYBOT~1\SDHelper.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Start Pageabout:blank = about:blank
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pageabout:blank = about:blank
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
mctp@CLSID = C:\Programmi\Microsoft ActiveSync\aatp.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\system32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\ >>>
000000000001@PackedCatalogItem = C:\WINDOWS\system32\CSLSP.DLL
000000000002@PackedCatalogItem = C:\WINDOWS\system32\CSLSP.DLL
000000000003@PackedCatalogItem = C:\WINDOWS\system32\CSLSP.DLL
000000000004@PackedCatalogItem = C:\WINDOWS\system32\CSLSP.DLL
000000000005@PackedCatalogItem = C:\WINDOWS\system32\CSLSP.DLL
000000000006@PackedCatalogItem = C:\WINDOWS\system32\CSLSP.DLL
000000000007@PackedCatalogItem = C:\WINDOWS\system32\CSLSP.DLL
000000000008@PackedCatalogItem = C:\WINDOWS\system32\CSLSP.DLL
000000000009@PackedCatalogItem = C:\WINDOWS\system32\CSLSP.DLL
000000000010@PackedCatalogItem = C:\WINDOWS\system32\CSLSP.DLL
000000000011@PackedCatalogItem = C:\WINDOWS\system32\CSLSP.DLL
000000000012@PackedCatalogItem = C:\WINDOWS\system32\CSLSP.DLL
000000000013@PackedCatalogItem = C:\WINDOWS\system32\CSLSP.DLL
000000000014@PackedCatalogItem = C:\WINDOWS\system32\CSLSP.DLL
000000000015@PackedCatalogItem = C:\WINDOWS\system32\CSLSP.DLL

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000031@PackedCatalogItem = C:\WINDOWS\system32\CSLSP.DLL

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica = Avvio veloce di Adobe Reader.lnk

---- EOF - GMER 1.0.10 ----

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-08-26 09:24:56
Windows 5.1.2600 Service Pack 2


---- Registry - GMER 1.0.10 ----

Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{2742423D-9B2C-E1F8-2204FBC3D18DB555}\{88A68896-609D-936A-26F31FA12C544D88}\{4CDB3AFE-271E-9455-9E26AF69AD97A138}@WHRUBFTNUT3JMXQXKMKSXOBADA1 0x01 0x00 0x01 0x00 ...

---- Files - GMER 1.0.10 ----

File C:\System Volume Information\MountPointManagerRemoteDatabase
File C:\System Volume Information\tracking.log
File C:\System Volume Information\_restore{EEA64A92-B2B6-4076-9FFE-4F621DC632E7}

---- EOF - GMER 1.0.10 ----

GRAZIE DELL'AIUTO
asder
Newbie
 
Post: 8
Iscritto il: 30/05/03 09:50
Località: Pescara

Postdi lucas/s » 26/08/06 09:51

Meno figo è analizzarlo :D

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in rosso


registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

files to delete:
C:\WINDOWS\svchost.exe

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Scarica Ccleaner
http://download.ccleaner.com/ccsetup132.exe
Installalo,avvialo e spunta le caselle come nelle immagini

Immagine

se usi firefox spunta anche queste
Immagine
Chiudi tutte le applicazioni e clicca su "Avvia Ccleaner"
Nota che potrebbe impiegare molto tempo se non hai mai pulito le aree temporanee

Riavvia nuovamente il pc e vedi se hai ancora problemi

Ciao
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi asder » 26/08/06 18:02

Fatto tutto ! grazie ancora, se dovessero manifestarsi ancora, eventualmente posto di nuovo...

scusa, solo un'ultima domanda... questi processi... che sono e che fanno?
GRAZIE
asder
Newbie
 
Post: 8
Iscritto il: 30/05/03 09:50
Località: Pescara

Postdi asder » 27/08/06 10:31

purtroppo continuano ancora a generarsi questi processi strani...
asder
Newbie
 
Post: 8
Iscritto il: 30/05/03 09:50
Località: Pescara


Torna a Sicurezza e Privacy


Topic correlati a "WINBAXHF¥.EXE - e altri come lui":


Chi c’è in linea

Visitano il forum: Nessuno e 7 ospiti