Accedi per seguire   
Seguaci 0
nick048

Strana Creazione Di Setup Su Disco

Iniziato da nick048,

10 messaggi in questa discussione

Inviato

Ciao,

Ho un Server con Win Server 2003 SB con un disco diviso in tre partizioni.

Da un paio di giorni mi sono accorto che mi vengono creati automaticamente su ogni partizione due files, rispettivamente autorun e setup.exe.

Pur cancellandoli, dopo un po' ricompaiono.

Ho fatto girare sia ewido che avast! aggiornatissimi, ma senza risultati. Ricompaiono sempre!

I files in oggetto vengono creati in root per quanto riguarda le partizioni non di sistema e nella cartella User shared folder per quella principale.

Allego il log di HiJackThis per ogni eventualità.

Logfile of HijackThis v1.99.1

Scan saved at 17.36.52, on 23/08/2006

Platform: Windows 2003 SP1 (WinNT 5.02.3790)

MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\Alwil Software\Management Tools\mirror\httpd.exe

C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

C:\Programmi\Alwil Software\Avast4\aswServ.exe

C:\Programmi\Alwil Software\Avast4\AvAgent.exe

C:\WINDOWS\system32\Dfssvc.exe

C:\WINDOWS\System32\dns.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\ewido anti-spyware 4.0\guard.exe

C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Programmi\Microsoft SQL Server\MSSQL$AVAST\Binn\sqlservr.exe

C:\Programmi\Microsoft SQL Server\MSSQL$SHAREPOINT\Binn\sqlservr.exe

C:\WINDOWS\system32\ntfrs.exe

E:\oracle\product\10.2.0\orahome10g\bin\nmesrvc.exe

E:\oracle\Oradev10\bin\nmesrvc.exe

E:\oracle\Oradev10\opmn\bin\opmn.exe

E:\oracle\Oradev10\opmn\bin\opmn.exe

E:\oracle\product\10.2.0\orahome10g\bin\isqlplussvc.exe

C:\WINDOWS\system32\cmd.exe

E:\oracle\Oradev10\perl\5.6.1\bin\MSWin32-x86\perl.exe

E:\oracle\Oradev10\bin\webcached.exe

E:\oracle\Oradev10\bin\emagent.exe

E:\oracle\product\10.2.0\orahome10g\jdk\bin\java.exe

E:\oracle\product\10.2.0\orahome10g\BIN\TNSLSNR.exe

E:\oracle\Oradev10\jdk\bin\java.exe

E:\oracle\Oradev10\Apache\Apache\Apache.exe

e:\oracle\product\10.2.0\orahome10g\bin\ORACLE.EXE

E:\oracle\Oradev10\bin\webcached.exe

E:\oracle\Oradev10\jdk\bin\javaw.exe

E:\oracle\Oradev10\jdk\bin\javaw.exe

C:\Programmi\CyberLink\Shared files\RichVideo.exe

C:\WINDOWS\system32\cmd.exe

E:\oracle\product\10.2.0\orahome10g\perl\5.8.3\bin\MSWin32-x86-multi-thread\perl.exe

C:\Programmi\Microsoft SQL Server\MSSQL$AVAST\Binn\sqlagent.EXE

E:\oracle\product\10.2.0\orahome10g\jdk\bin\java.exe

E:\oracle\Oradev10\Apache\Apache\Apache.exe

C:\WINDOWS\System32\wins.exe

C:\WINDOWS\system32\cmd.exe

E:\oracle\Oradev10\Apache\Apache\bin\rotatelogs.exe

C:\WINDOWS\system32\cmd.exe

E:\oracle\Oradev10\Apache\Apache\bin\rotatelogs.exe

C:\Programmi\Alwil Software\Management Tools\avEngine.exe

C:\WINDOWS\system32\tcpsvcs.exe

E:\oracle\Oradev10\jdk\bin\javaw.exe

C:\Programmi\Exchsrvr\bin\exmgmt.exe

C:\Programmi\Exchsrvr\bin\mad.exe

C:\Programmi\File comuni\System\MSSearch\Bin\mssearch.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Exchsrvr\bin\store.exe

E:\oracle\Oradev10\vbroker4\bin\osagent.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Alwil Software\Avast4\aswWebSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

E:\oracle\product\10.2.0\orahome10g\bin\emagent.exe

C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\ALCMTR.EXE

C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe

C:\Programmi\File comuni\Real\Update_OB\realsched.exe

C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\aswDisp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe

C:\Programmi\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\ewido anti-spyware 4.0\ewido.exe

C:\Programmi\Internet Explorer\IEXPLORE.EXE

C:\Programmi\FireTrust\MailWasher Pro\MailWasher.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\HJK\HijackThis.exe

E:\oracle\Oradev10\bin\nmupm.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://companyweb

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programmi\TechSmith\SnagIt 8\SnagItBHO.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programmi\TechSmith\SnagIt 8\SnagItIEAddin.dll

O3 - Toolbar: Systran50premi.IEPlugIn - {9A0844DB-84CF-4440-BDB1-1F4F7C4F7FB0} - C:\Programmi\SYSTRAN\5.0\Premium\IEPlugIn.dll

O4 - HKLM\..\Run: [iAAnotif] C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe

O4 - HKLM\..\Run: [DWPersistentQueuedReporting] C:\PROGRA~1\FILECO~1\MICROS~1\DW\DWTRIG20.EXE -a

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\aswDisp.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe" /s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"

O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Gestione servizi.lnk = C:\Programmi\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: Service Manager.lnk = C:\Programmi\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Open and Translate in Word - res://C:\Programmi\SYSTRAN\5.0\Premium\IEShellExt.dll /10

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: START_PAGE_URL=http://companyweb

O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154093757687

O16 - DPF: {CAFECAFE-0013-0001-0017-ABCDEFABCDEF} (JInitiator 1.3.1.17) -

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SoftblueGroup.local

O17 - HKLM\Software\..\Telephony: DomainName = SoftblueGroup.local

O17 - HKLM\System\CCS\Services\Tcpip\..\{4B0AAE1B-5F77-483A-B793-1CB3BD400223}: NameServer = 151.99.125.1,151.99.0.100

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SoftblueGroup.local

O17 - HKLM\System\CS1\Services\Tcpip\..\{4B0AAE1B-5F77-483A-B793-1CB3BD400223}: NameServer = 151.99.125.1,151.99.0.100

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SoftblueGroup.local

O17 - HKLM\System\CS2\Services\Tcpip\..\{4B0AAE1B-5F77-483A-B793-1CB3BD400223}: NameServer = 151.99.125.1,151.99.0.100

O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Mirror HTTP Server (aswHTTPMirror) - Unknown owner - C:\Programmi\Alwil Software\Management Tools\mirror\httpd.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswMaiSv.exe" /service (file missing)

O23 - Service: avast! Management Server - Unknown owner - C:\Programmi\Alwil Software\Management Tools\avEngine.exe" /ServiceStart (file missing)

O23 - Service: avast! NetAgent - Unknown owner - C:\Programmi\Alwil Software\Avast4\AvAgent.exe" /ServiceStart (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswWebSv.exe" /service (file missing)

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: MSSQL$AVAST - Unknown owner - C:\Programmi\Microsoft SQL Server\MSSQL$AVAST\Binn\sqlservr.exe" -sAVAST (file missing)

O23 - Service: MSSQL$SHAREPOINT - Unknown owner - C:\Programmi\Microsoft SQL Server\MSSQL$SHAREPOINT\Binn\sqlservr.exe" -sSHAREPOINT (file missing)

O23 - Service: OracleDBConsolesoftblue - Oracle Corporation - E:\oracle\product\10.2.0\orahome10g\bin\nmesrvc.exe

O23 - Service: OracleOraDev10ASControl - Oracle Corporation - E:\oracle\Oradev10\bin\nmesrvc.exe

O23 - Service: OracleOraDev10ClientCache - Unknown owner - E:\oracle\Oradev10\BIN\ONRSD.EXE

O23 - Service: OracleOraDev10ProcessManager - Unknown owner - E:\oracle\Oradev10\opmn\bin\opmn.exe

O23 - Service: OracleOraDevSuiteClientCache - Unknown owner - E:\oracle\OraDevSuite\BIN\ONRSD.EXE

O23 - Service: OracleOraHome10giSQL*Plus - Oracle - E:\oracle\product\10.2.0\orahome10g\bin\isqlplussvc.exe

O23 - Service: OracleOraHome10gTNSListener - Unknown owner - E:\oracle\product\10.2.0\orahome10g\BIN\TNSLSNR.exe

O23 - Service: OracleServiceSOFTBLUE - Oracle Corporation - e:\oracle\product\10.2.0\orahome10g\bin\ORACLE.EXE

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe

O23 - Service: SQLAgent$AVAST - Unknown owner - C:\Programmi\Microsoft SQL Server\MSSQL$AVAST\Binn\sqlagent.EXE" -i AVAST (file missing)

O23 - Service: SQLAgent$SBSMONITORING - Unknown owner - C:\Programmi\Microsoft SQL Server\MSSQL$SBSMONITORING\Binn\sqlagent.EXE" -i SBSMONITORING (file missing)

O23 - Service: SQLAgent$SHAREPOINT - Unknown owner - C:\Programmi\Microsoft SQL Server\MSSQL$SHAREPOINT\Binn\sqlagent.EXE" -i SHAREPOINT (file missing)

Spero :) sinceramente in un aiuto.

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

[ben]nick048[/ben]

preto un esperto del settore ti darà una mano ....solo un po di pazienza!! :)

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Ciao e ben arrivato anche da parte mia nick048

dal log non risulta nulla di sospetto, a parte uno spyware a basso pericolo (ma non è lui il tuo problema) che rigurda l'audio Realtek... puoi comunque toglierlo dall'avvio automatico senza causare problemi al Pc....

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

Realtek AC97 Audio - Event Monitor. "Sypware" file used surreptitiously monitor ones actions... Used by Realtek to gather data about customers

Puoi invece fare un'altra cosa...

Appena ti appaiono i files... falli analizzare su Virus Total (nella mia firma) e vedi che dice...

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Ciao Kuma,

Prima ho fatto un po' di pulizia del registro, poi ho eliminato:

O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab

e stranamente sembra che non vi sia più il problema.

Aspetterò però a cantar vittoria ancora un poco.

Volevo, comunque, chiederti un parere su questa questione che mi si è presentata cercando di risolvere quello precedente.

Ho visto che ho due file timer, uno in System e l'altro in System32; è giusto o uno dei due è un bidone tipo smss?

Grazie e ciao.

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Con quel nome (molto comune) è un po' difficile stabilirlo.... (e senza estensione poi..... :) )

Io so per certo che se tale file si trova nella cartella di Windows, (e con estensione EXE) allora è infetto (W32.Timese.AG)

Fallo controllare su virus total (nella mia firma) per vedere se è pulito oppure no

io nella cartella System ne ho uno ma con estensione .DRV

stessa cosa in System32

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Ciao,

ho controllato anch'io ed hanno entrambi estensione DRV.

Grazie e saluti

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

volevo solo sapere se hai eleminato (ALCMTR.EXE) se cosi mi dice pervafore che è campiato perche ne ho anche io uno .

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

[ben]Ste72[/ben]

Ciao, il file ALCMTR.EXE viene installato con i driver audio Realtek AC97

è considerato uno spyware (a basso rischio però).

Il processo non è essenziale al funzionamento dell'audio del Pc e può essere fissato senza problemi usando Hijack...

Basta toglierlo dall'avvio automatico, non è necessario eliminare il file. [more info]

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Con spyware terminator appare questo file e mi sono un po documentato e sono arrivato a questo post: Cn hijackthis questo file nn appare quindi devo supporre che nn viene caricato all'avvio?

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

:P Ciao Jamester,

se non compare questa voce

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

vuol dire che non viene caricato in avvio.

se Spyware Terminator trova questo file

C:\WINDOWS\ALCMTR.EXE

vuol dire che è presente sul pc, ma puoi lasciarlo senza problemi.

:P:)

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0
Vai alla lista Discussioni HiJackThis - Posta qui i Log