strani file exe AIUTO

[ma_ru_6]

Salve a tutti sono nuovo del forum e ringrazio già tutti per l'aiuto futuro
Da qualche tempo mi si materializzano dei file exe dai nomi piu strani(aOu.exe aQs.exe ecc.) nella cartella :
C:\Programmi\File comuni\System
L'antivirus non li riesce ad aprireli (Antivir personal edition classic) e io non riesco a cancellarli in nessun modo ho provato anche da dos in modalità provvisoria.
Il mio firewall (jetico personal firewall) mi chiede l'autorizzazione per questi processi se acconsento l'antivirus mi segnala poco dopo la presenza di qualche TRojan che l'antivirus rimuove facilmente.
La cosa è che questi exe si moltiplicano, uno nuovo ad ogni avvio vorrei cercare di rimuoverli.
Inoltre da quando ho questo problema stranamente non riesco più ad usare spy bot e ad-aware in quanto non riesco più a fare gli aggiornamenti e cosa ancor più strana non riesco nemmeno ad accedere da internet ai siti di spy bot e di ad-aware.
AIUTOOOOOOOOOOOOOOOOOOOOOOOOOOO

[Luke57]

Ciao, scarica questi due tools:

http://www.prevx.com/gromozon.asp

Tool di rimozione della Symantec:
http://smallbiz.symantec.com/security_r ... 16-4153-99

Eseguili uno alla volta; disattiva il tuo antivirus durante la scansione.

Quello della prevx fa riavviare il computer e al riavvio viene completata la scansione, al termine della quale viene rilasciato un report che trovi in C:\Gromozon_Removal.log.

Poi esegui il tool della symantec (dalla modalità provvisoria; se
non sai come andarci, premi ripetutamente il tasto F8 all'accensione del computer prima che inizi a caricarsi windows; sulla schermata grigia che appare scegli modalità provvisoria spostandoti con le freccette e premendo invio).

Anche questo tool rilascia un rapporto della scansione nella cartella dove
hai messo il file (Fixlinkopt.log)

Posta i due report delle scansioni.

[ma_ru_6]

ho provato a scaricare i due elementi ma non mi fa accedere alla pagina non è che me li puoi mandare via mail ma_ru_6@yahoo.it te ne sarei infinitamente debitore

[ma_ru_6]

sono riuscito a prendere i tool da un altro pc ecco i log:


Removal tool loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: C:\WINDOWS\System32\c_2859q.nls
Resetting file permissions...
Clearing attributes...
Accesso negato - C:\_cleaned.tmp
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Removing protected file: C:\Programmi\File comuni\System\aOu.exe
Removing protected file: C:\Programmi\File comuni\System\aQs.exe
Removing protected file: C:\Programmi\File comuni\System\bgG.exe
Removing protected file: C:\Programmi\File comuni\System\boK.exe
Removing protected file: C:\Programmi\File comuni\System\BSfhB.exe
Removing protected file: C:\Programmi\File comuni\System\bZO.exe
Removing protected file: C:\Programmi\File comuni\System\DkZ.exe
Removing protected file: C:\Programmi\File comuni\System\EqQ.exe
Removing protected file: C:\Programmi\File comuni\System\ezM.exe
Removing protected file: C:\Programmi\File comuni\System\fVXJc.exe
Removing protected file: C:\Programmi\File comuni\System\RYOok.exe
Removing protected file: C:\Programmi\File comuni\System\sskJsS.exe
Removing protected file: C:\Programmi\File comuni\System\sUz.exe
Removing protected file: C:\Programmi\File comuni\System\Tdu.exe
Removing protected file: C:\Programmi\File comuni\System\tQb.exe
Removing protected file: C:\Programmi\File comuni\System\UGM.exe
Removing protected file: C:\Programmi\File comuni\System\wCG.exe
Removing protected file: C:\Programmi\File comuni\System\xix.exe
Removing protected file: C:\Programmi\File comuni\System\Xov.exe
Removing protected file: C:\Programmi\File comuni\System\XplRR.exe
Removing protected file: C:\Programmi\File comuni\System\yel.exe
Removing protected file: C:\Programmi\File comuni\System\ZgQA.exe
Removing protected file: C:\Programmi\File comuni\System\zyjHZ.exe
Removing protected file: C:\Programmi\File comuni\System\zyuwhT.exe
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\kldcl1.dll
Removed!


Trojan.Gromozon Removed!

questo era il primo, questo è il secondo:

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
Restored SeDebugPrivilege to Administrators group

Trojan.Linkoptimizer has not been found on your computer.

[Luke57]

Ciao, adesso scarica system scan da qui (è un sistema di diagnosi, non apporta alcuma modifica):
http://www.suspectfile.com/systemscan

spunta tutte le caselle e premi su scan now (ci votrranno diversi minuti)
Il log viene salvato con il nome di report.txt nella cartella c:/suspectfile

Siccome il log è troppo lungo per essere incollato sul forum, mettilo su
http://www.easy-share.com
(clicchi su browse (sfoglia), selezioni il file di testo con il report e premi upload) e poi ricopi in un post il link che ti verrà fornito per scaricarlo.

[ma_ru_6]

http://w12.easy-share.com/895764.html

[Luke57]

Ciao, scarica AVENGER e decomprimilo sul desktop (estrai i file nel desktop)
http://swandog46.geekstogo.com/avenger.zip

- con un doppio click avvia il file avenger.exe
- Seleziona "Input Script Manually"
- Clicca sulla lente di ingrandimento

- Nella finestra che si aprirà "View/edit script"
- copia / incolla (Ctrl+V) quanto segue:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SrvOsb
HKEY_LOCAL_MACHINE\system\controlset002\services\SrvOsb

Registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion \Winlogon\SpecialAccounts\UserList | jrtuI


folders to delete:
C:\Documents and Settings\jrtuI

files to delete:
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR10.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR11.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR12.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR13.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR14.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR15.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR16.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR17.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR18.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR19.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR2.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR3.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR4.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR5.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR6.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR7.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR8.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR9.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXRA.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXRB.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXRC.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXRD.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXRE.tmp
C:\Documents and Settings\marco\Impostazioni locali\Temp\PXRF.tmp


Clicca sul tasto Done
- Poi sull'icona del semaforo
- Rispondi Yes
Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)
Posta il log che verrà creato in C:\Avenger


Inoltre, da
Start>esegui>control userpasswords2>OK
Nella finestra Account, selezioni l’utenza jrtuI e la rimuovi

Infine, apri hijackthis,exe, premi “open the misc tools section”, poi “open uninstall manager”, cerca tra le applicazioni se è presente qualcuna di queste:
LinkOptimizer
-Connection Service
-Power Verify
-StrongestGuard
-ConnectionKnight
-StrongestOptimizer
-SecurityOptimizer
-InternetOptimizer
-StrongestPaladin
-SecurityGuard

Se ci sono,le selezioni una alla volta,tasto destro del mouse e selezioni l'opzione "Delete this entry"

[ma_ru_6]

questo è il log di avenger:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tnpxgchu

*******************

Script file located at: \??\C:\WINDOWS\System32\suemwcbl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKLM\SYSTEM\CurrentControlSet\Services\SrvOsb deleted successfully.
Registry key HKEY_LOCAL_MACHINE\system\controlset002\services\SrvOsb deleted successfully.
Folder C:\Documents and Settings\jrtuI deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR10.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR11.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR12.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR13.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR14.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR15.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR16.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR17.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR18.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR19.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR2.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR3.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR4.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR5.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR6.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR7.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR8.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXR9.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXRA.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXRB.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXRC.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXRD.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXRE.tmp deleted successfully.
File C:\Documents and Settings\marco\Impostazioni locali\Temp\PXRF.tmp deleted successfully.


Could not get size of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Replacement with dummy of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs failed!
Status: 0xc0000034



Could not delete registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion \Winlogon\SpecialAccounts\UserList|jrtuI
Deletion of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion \Winlogon\SpecialAccounts\UserList|jrtuI failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

[ma_ru_6]

con hijackthis non ho trovato nessuna delle applicazioni che mi hai indicato solo una che ci somiglia:


SecurityPaladin



la devo eliminare?????????????????????????????

[Luke57]

Ciao, eliminala al volo con il metodo descritto.

[ma_ru_6]

Ho fatto grazie per l'aiuto.
Ma ho finito? Non devo fare altro(anche per evitare che il problema si ripresenti nuovamente)?