Setup1.exe... virus?

[Paul R]

XoftSpy mi ha trovato nelle cartella Windows un virus chiamato ''setup1.exe'' però non me lo cancella perchè non ho il codice di licenza dell'antispyware. Gli altri antivirus e antispyware non lo trovano però:doh: Nella cartella Windows ho trovato però 2 file chiamati così che hanno anche la stessa dimensione solo che uno si chiama setup1.exe.cab (una cosa del genere) quindi quale dei due dovrei cancellare? Non vorrei cancellare un file di Windows :boh:

:help:

 

[Iron]

Prova questo:

SUPERAntiSpyware

o questo:

AVG Anti-Spyware

 

[tecnico24]

Inoltre scarica hijackthis:
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.zip
estrai ed avvia hijackthis.exe
clicca su do a system scan and save logfile e salva su una cartella a tuo piacimento il file.poi lo devi postare sul forum allegandolo.
clicca su invia risposta e poi sotto c'e il tasto gestione allegati.clicca,carica il file salvato e invia.

 

[Kele]

...confronta il "peso" di setup1.exe con questo:
http://support.microsoft.com/kb/234626/it

 

[Paul R]

Ecco:

 

[Kele]

..infatti sembra che non hai niente....a parte il "XoftSpy"....

 

[Paul R]

Ho appena fatto una ricerca e dice che è XoftSpy che lo trova da qualche giorno, giusto dopo gli ultimi updates, ecco che dicono 3 utenti:

utente1
I just received the same message, but mswsock.dll is a valid file, right? When I click on View Details in XoftSpySE it says "item not found". Seems strange.

utente2
It is possible that a virus modified the mswsock.dll. Mswsock manages internet connections on a computer (stands for microsoft winsocket, which is a connection interface), so a virus or trojan could potentially modify it to allow itself to send out spam email, monitor traffic, etc. If XoftSpySE is saying it's a tojan, it probably is. The same is true with c:\widnows\setup1.exe. It is mostly likely a trojan. (Microsoft does not put installer excutable files in their system folder.)

utente3
Curious thing is that this didn't start happening until the after updating XoftSpySE to the latest update. I am wondering if the latest definitions update had a problem? I even tried to restore my old copy of both files mswsock.dll & setup1.exe from a couple years ago and still it shows up with the same trojan & wintective messages!

Quindi può essere un falso positivo??

 

[Kele]

...lascia perdere il Xoft.....

 

[tecnico24]

..infatti sembra che non hai niente....a parte il "XoftSpy"....

azz,non ha proprio niente.il log dice che lui e' infetto da instant access,il dialer piu' tremendo che esista.
avvia hijackthis,seleziona l'opzione Do a system scan only e seleziona a sinistra sulle voci sotto elencate:

O15 - Trusted Zone: *.whataboutarabit.com

O15 - Trusted Zone: *.whataboutadog.com

e clicca sotto su fix checked.
poi scarica findawf:
http://noahdfear.geekstogo.com/FindAWF.exe
clicca sulla prima opzione e poi posta qua il log che ti uscira,allegandolo.

 

[Kele]

azz.....sorry!
sono stato superficiale, guardavo solo alle icone rosse in "diagnosi".....lunga vita a tecnico24

poi per penitenza mi sono guardato in giro...:
http://www.suspectfile.com/forum/viewtopic.php?p=12984

..già che a fare tutta sta trafila di cose quasi quasi conviene reinstallare....

...ma speriamo che con Findawf sia meglio....
http://geniv.forumcommunity.net/?t=6226730

azz. epitaffio tratto dal link sopra:
" Se pure dopo questa ennesima spiegazione corredata di esempi e spiegata discretamente bene non avete ancora capito nulla del come eliminare il virus, e non mi meraviglierei visto precedenti esperienze, formattate il pc, tanto a quanto pare sembra che esista solo quello quando si e' limitati a comprendere "

 

[tecnico24]

il pc non lo formatterei mai per un virus.MAI E POI MAI!

 

[Paul R]

Allora ho cancellato quei file con Hijackthis, adesso con FindAWF cerco i file bak e poi posto il log con l'allegato?

P.S. io per adesso non ho avuto problemi di dialer...dovrei preoccuparmi lo stesso?

 

[tecnico24]

sisi,allegandolo e fixando le voci con hijackthis.

 

[Paul R]

Ecco il log di FindAWF

 

[tecnico24]

Ciao Paul R!
scarica avenger http://swandog46.geekstogo.com/avenger.zip
Clicca Su Input script manually e poi sulla lente di ingrandimento.
nello spazio bianco inserisci queste righe con copia/incolla:

files to delete:
C:\Programmi\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe


files to move:
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Grisoft\AVG7\bak\avgcc.exe | C:\Programmi\Grisoft\AVG7\avgcc.exe

Poi clicca su Done,sul semaforo e due volte si!
poi il pc si riavviera' e al ritorno posta qua il log di avenger allegandolo che lo trovi in c:/.
poi vediamo se sei a posto o no